Журнал "Information Security/ Информационная безопасность" #1, 2019

SETUP-механизмы могут быть симметричными и асимметричными. По анало- гии с симметричным шиф- рованием в симметричных лазейках ключ, встроенный в реализацию, совпадает с ключом автора лазейки, необходимым для получения доступа к скрытому каналу (или же эти ключи легко вычислимы друг из друга). С другой стороны, ключ раз- работчика асимметричной лазейки не может быть эффективно вычислен по данным, встроенным в реа- лизацию инфицированного алгоритма. После обнаруже- ния в реализации алгоритма асимметричного SETUP- механизма и выяснения его особенностей, например, при помощи реверс-инжини- ринга и пользователи, и зло- умышленники (все, за исключением владельца ключа к асимметричной лазейке) не могут опреде- лить как уже использован- ные, так и будущие секрет- ные ключи пользователя. В этом смысле асимметрич- ный SETUP-механизм обес- печивает "криптостойкость" системы по отношению ко всем нарушителям, кроме спецслужбы (в том числе и по отношению к разработчику) и может использоваться даже в системах с открытым исходным кодом. чить доступ к пользовательским данным (т.е. пользователь защищен не только от сторон- него нарушителя, но и от раз- работчика). Злоумышленник до проведения реверс-инжинирин- га обладает меньшими возмож- ностями, чем разработчик. SETUP-механизмы могут быть симметричными и асим- метричными. По аналогии с симметричным шифрованием в симметричных лазейках ключ, встроенный в реализацию, сов- падает с ключом автора лазей- ки, необходимым для получения доступа к скрытому каналу (или же эти ключи легко вычислимы друг из друга). С другой сторо- ны, ключ разработчика асим- метричной лазейки не может быть эффективно вычислен по данным, встроенным в реали- зацию инфицированного алго- ритма. После обнаружения в реализации алгоритма асим- метричного SETUP-механизма и выяснения его особенностей, например, при помощи реверс- инжиниринга и пользователи, и злоумышленники (все, за исключением владельца ключа к асимметричной лазейке) не могут определить как уже использованные, так и будущие секретные ключи пользователя. В этом смысле асимметричный SETUP-механизм обеспечивает "криптостойкость" системы по отношению ко всем нарушите- лям, кроме спецслужбы (в том числе и по отношению к разра- ботчику) и может использовать- ся даже в системах с открытым исходным кодом. Рассмотрим различные виды закладок на простом примере. Читателю наверняка знаком алгоритм подписи RSA 8 . Как известно, перед формировани- ем подписи данные обычно хэшируются. А поскольку раз- мер хэша зачастую меньше раз- мера открытого модуля RSA, то результат хэширования допол- няется некоторыми фиксиро- ванными или случайными бай- тами. Так, например, в стандарте PKCS#1 [12] описан метод выравнивания RSASSA-PSS, при котором в качестве вырав- нивающих данных используется некоторая случайная строка и некоторые преобразования этой строки. При проверке подписи данное значение легко восста- навливается, т.е. оно не являет- ся секретом и доступно любому наблюдателю, включая зло- умышленника. Нетрудно заметить, что salt можно использовать в качестве скрытого канала передачи дан- ных, поскольку никаких ограниче- ний на это значение нет и ника- ких дополнительных проверок оно проходить не должно. Если передаваемая инфор- мация передается через salt в открытом виде, то это можно рассматривать как аналог сла- бой закладки. То есть любой сторонний нарушитель получает тот же доступ к информации скрытого канала, что и разра- ботчик лазейки. Если вместо salt передавать значение (salt)’ = E(m’), где m’– передаваемая секретно инфор- мация, а E– функция шифрова- ния, то получается лазейка с защитой (с ключом). Если при этом E – симмет- ричное шифрование, то это сим- метричная лазейка. В таком случае лазейка защищена толь- ко от стороннего нарушителя, не имеющего возможности про- вести реверс-инжиниринг. Если же E – асимметричное шифрование, то мы построили асимметричную закладку, защи- щенную и от стороннего наблю- дателя, и от злоумышленника, который провел реверс-инжи- ниринг, и от разработчика (в случае, если ключ расшифро- вания известен только спец- службе). Отметим также, что если функция E обеспечивает доста- точно хорошую статистику на выходе, то случайное значение salt и вычисленное значение (salt)’ полиномиально нераз- личимы, т.е. закладка устойчива даже против отличительного злоумышленника. Данный пример, конечно же, является очень упрощенным и предназначен главным образом для иллюстрации темы. А более интересные и изощренные закладки мы обсудим в после- дующих работах. Литература [1] Жуков А.Е. Криптосистемы со встроенными лазейками // BYTE Россия. – 2007. – № 101. – С. 45–51. [2] National Institute of Stan- dards and Technology. Escrowed Encryption Standard.– NIST FIPS PUB 185, U.S. Department of Commerce, 1994. [3] National Institute of Stan- dards and Technology. Recom- mendation for Random Number Generation Using Deterministic Random Bit Generators.– NIST Special Publication 800-90A, Rev. 1, 2012. First version June 2006, second version March 2007, http://csrc.nist.gov/publications/ PubsSPs.html#800-90A. [4] ISO/IEC 18031:2005. Infor- mation technology – Security tech- niques – Random bit generation. [5] ГОСТ Р 51275–2006. Защи- та информации. Объект инфор- матизации. Факторы, воздей- ствующие на информацию. Общие положения. [6] Маркелова А.В. Уязви- мость ROCA и другие возмож- ности внедрения закладок в алгоритм RSA. Всероссийская студенческая конференция "Студенческая научная весна": сборник тезисов докладов. – МГТУ им. Н.Э. Баумана, 2018. – С. 313–314. [7] Young A., Yung M. Kleptog- raphy: using Cryptography against Cryptography // In book: EURO- CRYPT’97. (Series: Lecture Notes in Computer Science). Springer, 1998. – Vol.1233. – Pp. 62–74. [8] Young A., Yung M. Monkey – Black-Box Symmetric Ciphers Designed for MONopolizing KEYs // In book: FSE’98. (Series: Lecture Notes in Computer Science). Springer, 1998. – Vol.1372. – Pp. 122–133. [9] ГОСТ Р 53113.1–2008. Защита информационных тех- нологий и автоматизированных систем от угроз информацион- ной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие поло- жения. [10] Маркелова А.В. Скрытые каналы и лазейки с универ- сальной защитой в асиммет- ричных криптоалгоритмах // Отчет по научно-исследователь- ской работе. – МГТУ им. Н.Э. Баумана, 2018. – 50 c. [11] Young A., Yung M. Mali- cious Cryptography. Exposing Cryptovirology. Wiley Publishing, Inc. 2004. [12] PKCS #1 v2.1: RSA Cryp- tography Standard. RSA Labora- tories. DRAFT 1 – September 17, 1999. l • 41 КРИПТОГРАФИЯ www.itsec.ru 8 Необходимую информацию можно найти практически в любой книге, посвященной криптографии, а также на нескольких сотнях сайтов с криптографической тематикой Ваше мнение и вопросы присылайте по адресу is@groteck.ru