Почему криптосистемы ненадежны?

| | | | |становится известным | | | | |

| | | | |достаточно большому | | | | |

| | | | |кругу лиц и ценность | | | | |

| | | | |такой криптосистемы | | | | |

| | | | |становится почти | | | | |

| | | | |нулевой. Самыми | | | | |

| | | | |известными примерами | | | | |

| | | | |здесь являются AWARD | | | | |

| | | | |BIOS (до версии | | | | |

| | | | |4.51PG) с его | | | | |

| | | | |универсальным паролем| | | | |

| | | | |"AWARD_SW" и СУБД | | | | |

| | | | |Paradox фирмы Borland| | | | |

| | | | |International, также | | | | |

| | | | |имеющая "суперпароли"| | | | |

| | | | |"jIGGAe" и "nx66ppx".| | | | |

| | | | | | | | | |

| | | | |Вплотную к наличию | | | | |

| | | | |люков в реализации | | | | |

| | | | |(очевидно, что в этом| | | | |

| | | | |случае они используют| | | | |

| | | | |явно нестойкие | | | | |

| | | | |алгоритмы или хранят | | | | |

| | | | |ключ вместе с | | | | |

| | | | |данными) примыкают | | | | |

| | | | |алгоритмы, дающие | | | | |

| | | | |возможность третьему | | | | |

| | | | |лицу читать | | | | |

| | | | |зашифрованное | | | | |

| | | | |сообщение, как это | | | | |

| | | | |сделано в нашумевшем | | | | |

| | | | |проекте CLIPPER, где | | | | |

| | | | |третьим лицом | | | | |

| | | | |выступает | | | | |

| | | | |государство, всегда | | | | |

| | | | |любящее совать нос в | | | | |

| | | | |тайны своих граждан. | | | | |

| | | | |Недостатки датчика | | | | |

| | | | |случайных чисел (ДСЧ)| | | | |

| | | | | | | | | |

| | | | |Хороший, | | | | |

| | | | |математически | | | | |

| | | | |проверенный и | | | | |

| | | | |корректно | | | | |

| | | | |реализованный ДСЧ | | | | |

| | | | |также важен для | | | | |

| | | | |криптосистемы, как и | | | | |

| | | | |хороший, | | | | |

| | | | |математически стойкий| | | | |

| | | | |и корректный | | | | |

| | | | |криптоалгоритм, иначе| | | | |

| | | | |его недостатки могут | | | | |

| | | | |повлиять на общую | | | | |

| | | | |криптостойкость | | | | |

| | | | |системы. При этом для| | | | |

| | | | |моделирования ДСЧ на | | | | |

| | | | |ЭВМ обычно применяют | | | | |

| | | | |датчики | | | | |

| | | | |псевдослучайных чисел| | | | |

| | | | |(ПСЧ), | | | | |

| | | | |характеризующиеся | | | | |

| | | | |периодом, разбросом, | | | | |

| | | | |а также | | | | |

| | | | |необходимостью его | | | | |

| | | | |инициализации (seed).| | | | |

| | | | |Применение ПСЧ для | | | | |

| | | | |криптосистем вообще | | | | |

| | | | |нельзя признать | | | | |

| | | | |удачным решением, | | | | |

| | | | |поэтому хорошие | | | | |

| | | | |криптосистемы | | | | |

| | | | |применяют для этих | | | | |

| | | | |целей физический ДСЧ | | | | |

| | | | |(специальную плату), | | | | |

| | | | |или, по крайней мере,| | | | |

| | | | |вырабатывают число | | | | |

| | | | |для инициализации ПСЧ| | | | |

| | | | |с помощью физических | | | | |

| | | | |величин (например, | | | | |

| | | | |времени нажатия на | | | | |

| | | | |клавиши | | | | |

| | | | |пользователем). | | | | |

| | | | |Малый период и плохой| | | | |

| | | | |разброс относятся к | | | | |

| | | | |математическим | | | | |

| | | | |недостаткам ДСЧ и | | | | |

| | | | |появляются в том | | | | |

| | | | |случае, если по | | | | |

| | | | |каким-то причинам | | | | |

| | | | |выбирается | | | | |

| | | | |собственный ДСЧ. | | | | |

| | | | |Иначе говоря, выбор | | | | |

| | | | |собственного ДСЧ так | | | | |

| | | | |же опасен, как и | | | | |

| | | | |выбор собственного | | | | |

| | | | |криптоалгоритма. | | | | |

| | | | |В случае малого | | | | |

| | | | |периода (когда | | | | |

| | | | |псевдослучайных | | | | |

| | | | |значений, | | | | |

| | | | |вырабатываемых | | | | |

| | | | |датчиком, меньше, чем| | | | |

| | | | |возможных значений | | | | |

| | | | |ключа) злоумышленник | | | | |

| | | | |может сократить время| | | | |

| | | | |поиска ключа, | | | | |

| | | | |перебирая не сами | | | | |

| | | | |ключи, а | | | | |

| | | | |псевдослучайные | | | | |

| | | | |значения и генерируя | | | | |

| | | | |из них ключи. | | | | |

| | | | |При плохом разбросе | | | | |

| | | | |датчика злоумышленник| | | | |

| | | | |также может уменьшить| | | | |

| | | | |среднее время поиска,| | | | |

| | | | |если начнет перебор с| | | | |

| | | | |самых вероятных | | | | |

| | | | |значений | | | | |

| | | | |псевдослучайных | | | | |

| | | | |чисел. | | | | |

| | | | |Самой | | | | |

| | | | |распространенной | | | | |

| | | | |ошибкой, | | | | |

| | | | |проявляющейся и в | | | | |

| | | | |случае хорошего ПСЧ, | | | | |

| | | | |является его | | | | |

| | | | |неправильная | | | | |

| | | | |инициализация. В этом| | | | |

| | | | |случае число, | | | | |

| | | | |используемое для | | | | |

| | | | |инициализации, имеет | | | | |

| | | | |либо меньшее число | | | | |

| | | | |бит информации, чем | | | | |

| | | | |сам датчик, либо | | | | |

| | | | |вычисляется из | | | | |

| | | | |неслучайных чисел и | | | | |

| | | | |может быть | | | | |

| | | | |предсказано стой или | | | | |

| | | | |иной степенью | | | | |

| | | | |вероятности. | | | | |

| | | | |Такая ситуация имела | | | | |

| | | | |место в программе | | | | |

| | | | |Netscape Navigator | | | | |

| | | | |версии 1.1. Она | | | | |

| | | | |инициализировала ПСЧ,| | | | |

| | | | |используя текущее | | | | |

| | | | |время в секундах | | | | |

| | | | |(sec) и микросекундах| | | | |

| | | | |(usec), а также | | | | |

| | | | |идентификаторы | | | | |

| | | | |процесса (pid и | | | | |

| | | | |ppid). Как выяснили | | | | |

| | | | |исследователи Я. | | | | |

| | | | |Голдберг и Д. Вагнер,| | | | |

| | | | |при такой схеме как | | | | |

| | | | |максимум получалось | | | | |

| | | | |47 значащих бит | | | | |

| | | | |информации (при том, | | | | |

| | | | |что этот датчик | | | | |

| | | | |использовался для | | | | |

| | | | |получения 40- или 128| | | | |

| | | | |(!)-битных ключей). | | | | |

| | | | |Но, если у | | | | |

| | | | |злоумышленника | | | | |

| | | | |была возможность | | | | |

| | | | |перехватить пакеты, | | | | |

| | | | |передаваемые по сети;| | | | |

| | | | |и | | | | |

| | | | |был доступ (account) | | | | |

| | | | |на компьютер, где | | | | |

| | | | |запущена программа, | | | | |

| | | | |то для него не | | | | |

| | | | |составляло труда с | | | | |

| | | | |большой степенью | | | | |

| | | | |вероятности узнать | | | | |

| | | | |sec, pid и ppid. Если| | | | |

| | | | |условие (2) не | | | | |

| | | | |удовлетворялось, то | | | | |

| | | | |злоумышленник все | | | | |

| | | | |равно мог попытаться | | | | |

| | | | |установить время | | | | |

| | | | |через сетевые демоны | | | | |

| | | | |time, pid мог бы быть| | | | |

| | | | |получен через демон | | | | |

| | | | |SMTP (обычно он | | | | |

| | | | |входит в поле | | | | |

| | | | |Message-ID), а ppid | | | | |

| | | | |либо не сильно | | | | |

| | | | |отличается от pid, | | | | |

| | | | |либо вообще равен 1. | | | | |

| | | | |Исследователи | | | | |

| | | | |написали программу | | | | |

| | | | |unssl, которая, | | | | |

| | | | |перебирая | | | | |

| | | | |микросекунды, | | | | |

| | | | |находила секретный | | | | |

| | | | |40-битный ключ в | | | | |

| | | | |среднем за минуту. | | | | |

| | | | |Неправильное | | | | |

| | | | |применение | | | | |

| | | | |криптоалгоритмов | | | | |

| | | | |Эта группа причин | | | | |

| | | | |приводит к тому, что | | | | |

| | | | |оказывается | | | | |

| | | | |ненадежными | | | | |

| | | | |криптостойкие и | | | | |

| | | | |корректно | | | | |

| | | | |реализованные | | | | |

| | | | |алгоритмы. | | | | |

| | | | |Малая длина ключа | | | | |

| | | | |Это самая очевидная | | | | |

| | | | |причина. Возникает | | | | |

| | | | |вопрос: как стойкие | | | | |

| | | | |криптоалгоритмы могут| | | | |

| | | | |иметь малую длину | | | | |

| | | | |ключа? Видимо, | | | | |

| | | | |вследствие двух | | | | |

| | | | |факторов: | | | | |

| | | | |некоторые алгоритмы | | | | |

| | | | |могут работать с | | | | |

| | | | |переменной длиной | | | | |

| | | | |ключа, обеспечивая | | | | |

| | | | |разную | | | | |

| | | | |криптостойкость - и | | | | |

| | | | |именно задача | | | | |

| | | | |разработчика выбрать | | | | |

| | | | |необходимую длину, | | | | |

| | | | |исходя из желаемой | | | | |

| | | | |криптостойкости и | | | | |

| | | | |эффективности. Иногда| | | | |

| | | | |на это желание | | | | |

| | | | |накладываются и иные | | | | |

| | | | |обстоятельства - | | | | |

| | | | |такие, как экспортные| | | | |

| | | | |ограничения. | | | | |

| | | | |некоторые алгоритмы | | | | |

| | | | |разрабатывались | | | | |

| | | | |весьма давно, когда | | | | |

| | | | |длина используемого в| | | | |

| | | | |них ключа считалась | | | | |

| | | | |более чем достаточной| | | | |

| | | | |для соблюдения | | | | |

Страницы: 1, 2, 3, 4, 5, 6, 7, 8