Журнал "Information Security/ Информационная безопасность" #1, 2019

Для построения или обнаружения лазеек необхо- димо ответить на следую- щие вопросы. 1. Какая информация выдается с устройства? 2. Может ли устройство содержать скрытый канал утечки информации? 3. Если может, то какова пропускная способность этого канала? 4. Что можно скрыть в выдаваемой информации, не мешая при этом нормаль- ной работе устройства? 5. Какие дополнительные данные необходимо знать, чтоб извлечь из выдаваемой информации скрытые в ней данные? менее большинство авторов (и авторы данной статьи раз- деляют это мнение) предлагают закрепить за криптографиче- скими лазейками термин Back- doors, оставив термин Trap- doors для обозначения инфор- мации, позволяющей легко обратить однонаправленную функцию (Trapdoor one-Way Function). Программная закладка В русскоязычной литературе для обозначения этих понятий используются и "закладки", и "лазейки", и "бэкдоры", и даже "потайные ходы". Термин "закладка" зафиксирован в ГОСТ Р 51275–2006 [5]: про- граммная закладка – предна- меренно внесенный в программ- ное обеспечение функциональ- ный объект, который при опре- деленных условиях инициирует реализацию недекларирован- ных возможностей программ- ного обеспечения. В данной статье авторы будут использовать и "лазейки", и "закладки", и "бэкдоры" как синонимы. Для построения или обнару- жения лазеек необходимо отве- тить на следующие вопросы. 1. Какая информация выда- ется с устройства? 2. Может ли устройство содержать скрытый канал утеч- ки информации? 3. Если может, то какова пропускная способность этого канала? 4. Что можно скрыть в выда- ваемой информации, не мешая при этом нормальной работе устройства? 5. Какие дополнительные дан- ные необходимо знать, чтоб извлечь из выдаваемой инфор- мации скрытые в ней данные? (То есть что является ключом к лазейке?) Слабые закладки Способы встраивания закла- док в криптографические алго- ритмы можно условно разде- лить три основных группы: сла- бые закладки, передача инфор- мации по скрытым каналам, SETUP-механизмы [6]. Слабые закладки – это наме- ренное ослабление алгоритма, позволяющее узнать секретную пользовательскую информацию на основе открытой информа- ции. Слабые закладки всегда обнаруживаются с помощью реверсинжиниринга. В ряде слу- чаев слабые закладки можно выявить, основываясь только на выходных (открытых) данных алгоритма, с помощью простых алгебраических проверок или статистического анализа. Под- робнее о теоретических спосо- бах построения слабых закла- док можно прочитать в [11], а о некоторых реальных случаях обнаружения подобных уязви- мостей (на примере алгоритма RSA) – в [10]. Скрытые каналы Вопрос о существовании лазеек в криптографическом алгоритме тесно связан с поня- тием скрытого канала передачи информации. В соответствии с ГОСТ Р 53113.1–2008 [9] скрытый канал (Covert Channel) – непред- усмотренный разработчиком системы информационных тех- нологий и автоматизированных систем коммуникационный канал, который может быть при- менен для нарушения политики безопасности. То есть канал называется скрытым, если он специально не проектировался и изна- чально не предполагался для передачи информации в элек- тронной системе обработки данных. На практике к таким каналам относят не только нестандартные каналы пере- дачи информации, но и нестандартные способы пере- дачи информации по легаль- ным каналам. Примером тако- го канала является передача информации с помощью млад- ших битов пикселей в файле с изображением. Выбранная терминология представляется не совсем удачной. Как отмечено в [1], называть эти каналы скрыты- ми, тайными (hidden, covert) можно только при условии, что об их существовании ниче- го не известно. В противном случае третье лицо, имеющее информацию об этих каналах, в ряде случаев будет получать всю информацию, проходя- щую по ним, и даже иметь возможность изменять эту информацию по своему усмот- рению. Поэтому, на наш взгляд, такие каналы уместнее называть нестандартными или нелегальными. • 39 КРИПТОГРАФИЯ www.itsec.ru Современная криптография – область на стыке математики, математической кибернетики и прикладных инженерно-технических наук. И никакой раздел математики или кибернетики не является столь связанным с повседневной жизнью, столь политизированным и, вследствие этого, столь подверженным воздействию со стороны государства, как криптография.