Почему криптосистемы ненадежны?

| | | | |нужного уровня | | | | |

| | | | |защиты. | | | | |

| | | | |С резким скачком | | | | |

| | | | |производительности | | | | |

| | | | |вычислительной | | | | |

| | | | |техники сначала | | | | |

| | | | |столкнулся алгоритм | | | | |

| | | | |RSA, для вскрытия | | | | |

| | | | |которого необходимо | | | | |

| | | | |решать задачу | | | | |

| | | | |факторизации. В марте| | | | |

| | | | |1994 была закончена | | | | |

| | | | |длившаяся в течение 8| | | | |

| | | | |месяцев факторизация | | | | |

| | | | |числа из 129 цифр | | | | |

| | | | |(428 бит6). Для этого| | | | |

| | | | |было задействовано | | | | |

| | | | |600 добровольцев и | | | | |

| | | | |1600 машин, связанных| | | | |

| | | | |посредством | | | | |

| | | | |электронной почты. | | | | |

| | | | |Затраченное машинное | | | | |

| | | | |время было | | | | |

| | | | |эквивалентно примерно| | | | |

| | | | |5000 MIPS-лет7. | | | | |

| | | | |Прогресс в решении | | | | |

| | | | |проблемы факторизации| | | | |

| | | | |во многом связан не | | | | |

| | | | |только с ростом | | | | |

| | | | |вычислительных | | | | |

| | | | |мощностей, но и с | | | | |

| | | | |появлением в | | | | |

| | | | |последнее время новых| | | | |

| | | | |эффективных | | | | |

| | | | |алгоритмов. (На | | | | |

| | | | |факторизацию | | | | |

| | | | |следующего числа из | | | | |

| | | | |130 цифр ушло всего | | | | |

| | | | |500 MIPS-лет). На | | | | |

| | | | |сегодняшний день в | | | | |

| | | | |принципе реально | | | | |

| | | | |факторизовать | | | | |

| | | | |512-битные числа. | | | | |

| | | | |Если вспомнить, что | | | | |

| | | | |такие числа еще | | | | |

| | | | |недавно | | | | |

| | | | |использовались в | | | | |

| | | | |программе PGP, то | | | | |

| | | | |можно утверждать, что| | | | |

| | | | |это самая быстро | | | | |

| | | | |развивающаяся область| | | | |

| | | | |криптографии и теории| | | | |

| | | | |чисел. | | | | |

| | | | |29 января 1997 фирмой| | | | |

| | | | |RSA Labs был объявлен| | | | |

| | | | |конкурс на вскрытие | | | | |

| | | | |симметричного | | | | |

| | | | |алгоритма RC5. | | | | |

| | | | |40-битный ключ был | | | | |

| | | | |вскрыт через 3.5 часа| | | | |

| | | | |после начала | | | | |

| | | | |конкурса! (Для этого | | | | |

| | | | |даже не потребовалась| | | | |

| | | | |связывать компьютеры | | | | |

| | | | |через Интернет - | | | | |

| | | | |хватило локальной | | | | |

| | | | |сети из 250 машин в | | | | |

| | | | |Берклевском | | | | |

| | | | |университете). Через | | | | |

| | | | |313 часов был вскрыт | | | | |

| | | | |и 48-битный ключ. | | | | |

| | | | |Таким образом, всем | | | | |

| | | | |стало очевидно, что | | | | |

| | | | |длина ключа, | | | | |

| | | | |удовлетворяющая | | | | |

| | | | |экспортным | | | | |

| | | | |ограничениям, не | | | | |

| | | | |может обеспечить даже| | | | |

| | | | |минимальной | | | | |

| | | | |надежности. | | | | |

| | | | |Параллельно со | | | | |

| | | | |вскрытием RC5 был дан| | | | |

| | | | |вызов и столпу | | | | |

| | | | |американской | | | | |

| | | | |криптографии - | | | | |

| | | | |алгоритму DES, | | | | |

| | | | |имеющему ключ в 56 | | | | |

| | | | |бит. И он пал 17 июня| | | | |

| | | | |1997 года, через 140 | | | | |

| | | | |дней после начала | | | | |

| | | | |конкурса (при этом | | | | |

| | | | |было протестировано | | | | |

| | | | |около 25% всех | | | | |

| | | | |возможных ключей и | | | | |

| | | | |затрачено примерно | | | | |

| | | | |450 MIPS-лет). Это | | | | |

| | | | |было безусловно | | | | |

| | | | |выдающееся | | | | |

| | | | |достижение, которое | | | | |

| | | | |означало фактическую | | | | |

| | | | |смерть DES как | | | | |

| | | | |стандарта шифрования.| | | | |

| | | | |И действительно, | | | | |

| | | | |когда в начала 1998 | | | | |

| | | | |года следующее | | | | |

| | | | |соревнование по | | | | |

| | | | |нахождению ключа DES | | | | |

| | | | |привело к успеху | | | | |

| | | | |всего за 39 дней, | | | | |

| | | | |национальный институт| | | | |

| | | | |стандартов США (NIST)| | | | |

| | | | |объявил конкурс на | | | | |

| | | | |утверждение нового | | | | |

| | | | |стандарта AES | | | | |

| | | | |(Advanced Encryption | | | | |

| | | | |Standard). AES должен| | | | |

| | | | |быть полностью | | | | |

| | | | |открытым симметричным| | | | |

| | | | |алгоритмом с ключом | | | | |

| | | | |размером 128, 192, | | | | |

| | | | |256 бит и блоком | | | | |

| | | | |шифрования размером | | | | |

| | | | |128 бит. | | | | |

| | | | |Ошибочный выбор | | | | |

| | | | |класса алгоритма | | | | |

| | | | |Это также весьма | | | | |

| | | | |распространенная | | | | |

| | | | |причина, при которой | | | | |

| | | | |разработчик выбирает | | | | |

| | | | |пусть и хороший, но | | | | |

| | | | |совершенно | | | | |

| | | | |неподходящий к его | | | | |

| | | | |задаче алгоритм. Чаще| | | | |

| | | | |всего это выбор | | | | |

| | | | |шифрования вместо | | | | |

| | | | |хэширования или выбор| | | | |

| | | | |симметричного | | | | |

| | | | |алгоритма вместо | | | | |

| | | | |алгоритма с открытыми| | | | |

| | | | |ключами. | | | | |

| | | | |Примеров здесь масса | | | | |

| | | | |- это почти все | | | | |

| | | | |программы, | | | | |

| | | | |ограничивающие доступ| | | | |

| | | | |к компьютеру паролем | | | | |

| | | | |при его включении или| | | | |

| | | | |загрузке, например, | | | | |

| | | | |AMI BIOS, хранящий | | | | |

| | | | |вместо хэша пароля | | | | |

| | | | |его зашифрованный | | | | |

| | | | |вариант, который, | | | | |

| | | | |естественно, легко | | | | |

| | | | |дешифруется. | | | | |

| | | | |Во всех сетевых | | | | |

| | | | |процедурах | | | | |

| | | | |аутентификации | | | | |

| | | | |естественно применять| | | | |

| | | | |ассиметричную | | | | |

| | | | |криптографию, которая| | | | |

| | | | |не позволит подобрать| | | | |

| | | | |ключ даже при полном | | | | |

| | | | |перехвате трафика. | | | | |

| | | | |Однако такие | | | | |

| | | | |алгоритмы (из сетевых| | | | |

| | | | |OC) пока реализует | | | | |

| | | | |только Novell Netware| | | | |

| | | | |4.x, остальные же | | | | |

| | | | |довольствуются (в | | | | |

| | | | |лучшем случае!) | | | | |

| | | | |стандартной схемой | | | | |

| | | | |"запрос-отклик", при | | | | |

| | | | |которой можно вести | | | | |

| | | | |достаточно быстрый | | | | |

| | | | |перебор по | | | | |

| | | | |перехваченным | | | | |

| | | | |значениям "запроса" и| | | | |

| | | | |"отклика". | | | | |

| | | | |Повторное наложение | | | | |

| | | | |гаммы шифра | | | | |

| | | | |Уже классическим | | | | |

| | | | |примером стала | | | | |

| | | | |уязвимость в Windows | | | | |

| | | | |3.x и первых версиях | | | | |

| | | | |Windows 95, связанная| | | | |

| | | | |с шифрованием. В этом| | | | |

| | | | |случае программисты | | | | |

| | | | |фирмы Microsoft, | | | | |

| | | | |хорошо известные | | | | |

| | | | |своими знаниями в | | | | |

| | | | |области безопасности,| | | | |

| | | | |применяли алгоритм | | | | |

| | | | |RC4 (представляющем | | | | |

| | | | |собой ни что иное, | | | | |

| | | | |как шифрование | | | | |

| | | | |гаммированием), не | | | | |

| | | | |меняя гаммы, | | | | |

| | | | |несколько раз к | | | | |

| | | | |разным данным - | | | | |

| | | | |сетевым ресурсам, | | | | |

| | | | |хранящимся в файлах | | | | |

| | | | |типа .pwl. | | | | |

| | | | |Оказалось, что один | | | | |

| | | | |из наборов данных | | | | |

| | | | |файла .pwl | | | | |

| | | | |представлял из себя | | | | |

| | | | |более чем специфичный| | | | |

| | | | |текст - 20-символьное| | | | |

| | | | |имя пользователя (в | | | | |

| | | | |верхнем регистре) и | | | | |

| | | | |набор указателей на | | | | |

| | | | |ресурсы (см. рис. 2).| | | | |

| | | | |Таким образом, угадав| | | | |

| | | | |им пользователя | | | | |

| | | | |(которое в | | | | |

| | | | |большинстве случаев к| | | | |

| | | | |тому же совпадает с | | | | |

| | | | |именем файла) можно | | | | |

| | | | |вычислить по крайней | | | | |

| | | | |мере 20 байт гаммы. | | | | |

| | | | |Т.к. гамма не | | | | |

| | | | |меняется при | | | | |

| | | | |шифровании других | | | | |

| | | | |ресурсов (в этом | | | | |

| | | | |состоит основная | | | | |

| | | | |ошибка применения RC4| | | | |

| | | | |в этом случае), могут| | | | |

| | | | |быть вычислены первые| | | | |

| | | | |20 байт всех | | | | |

| | | | |ресурсов, в которые | | | | |

| | | | |входит длина каждого | | | | |

| | | | |из них. Вычислив | | | | |

| | | | |длину, можно найти | | | | |

| | | | |значения указателей и| | | | |

| | | | |тем самым прибавить | | | | |

| | | | |еще несколько | | | | |

| | | | |десятков байт к | | | | |

| | | | |угаданной гамме. Этот| | | | |

| | | | |алгоритм реализован в| | | | |

| | | | |известной программе | | | | |

| | | | |glide. | | | | |

| | | | |[pic] | | | | |

| | | | |Рис. 2. Формат файла | | | | |

Страницы: 1, 2, 3, 4, 5, 6, 7, 8