Сомнения в стойкости шифрования коммерческих версий PGP
Аргументы для сомнений в стойкости шифрования коммерческих версий PGP:
1. Здесь на сайте http://www.pgpru.com/faq/common/#1 по прежнему утверждается о свободном распространении исходных кодов PGP, однако реально исходные коды продуктов PGP это собственность фирмы США (юр. адрес 3460 West West Bayshore, Palo Alto, CA 94303, USA) и согласно правилам http://www.access.gpo.gov/bis/ear/pdf/734.pdf) экспортного контроля США (изложено в §734.3((b)(2),(3) и примечание в конце пункта (b)(3) ) даже опубликованные ранее исходные коды, если они попадают под действие ограничений (длина симметричного алгоритма > 64, а ассиметричного > 512 для конечного поля (112 – эллиптические кривые), и то действует экспортное ограничение (исключая книжные публикации). Можете убедиться в действии этого ограничения – PGP Corporation декларирует возможность получить коды http://www.pgp.com/downloads/sourcecode/srcrequest.html только при подписании соглашения-лицензии и не факт, что коды получит любой, кто заполнит и отошлет подобное соглашение. На странице про исходные коды сделана оговорка, что "Please note that PGP Corporation does not make its source code available to others for reuse or to provide information about implementation details.", где последние слова значают, что получая коды, вы обязуетесь не распространять информацию о деталях реализации системы. Да и
никаких обязательств о соответствии отправляемых исходных кодов и купленой Вами версии Компания на себя не принимает.
Риторические вопросы:
– входят в "детали реализации" выбор корректных криптографических параметров при реализации алгоритмов генерации пар открытых и закрытых ключей, выработки ключей симметричного шифрования и получения случайных чисел при их использовании в этих системах. Ведь в итоге те аналитики, кто получит исходные коды по соглашению и при этом ещё до конца разоберется в мсходниках, связаны обязательством не распространять детали реализации.
– чего стоит проверка исходных кодов, если PGP не обязуется представить исходные коды именно той реализации корпоративной версии, которую скачаете в инсталляционном коде? Ведь в нюансах реализации модулей можно легко сделать усечение длины ключа симметричного шифрования – в реализации функции шифрования она останется большой (как в исходных кодах SDK), но после вызова функции генерации случайного сеансового ключа, можно добавить операцию наложения маски/фиксированного алгоритма(например на основе параметров открытого ключа получателя) чтобы случайными в ключе остались лишь 64 бит( чтобы удовлетворить требования экспорта США), а остальные – по фиксированной функции от первых.
2. Делаются ссылки http://www.pgp.com/products/sdk/fips.html на проведенные оценки NIST USA качеств шифрования PGP SDK, служащего ядром для всех PGP продуктов, для ряда алгоритмов при работе в режиме FIPS. Однако обратите внимание, что от версии PGP SDK 3.0.3 (http://csrc.nist.gov/cryptval/140-1/140sp/140sp394.pdf ) к последней рабочей версии PGP SDK 3.5.3 (http://csrc.nist.gov/cryptval/140-1/140sp/140sp630.pdf) длина ключей ассиметричных алгоритмов (разделы 2.1 в обоих документах) резко ограничена при использовании для функции шифрования (например для защиты сеансового ключа симметричного алгоритма), но не для режима подписи. Вот вам и стойкость и конфиденциальность!!!.
3. Как пример скрытой двойственности в вопросах "сильной" криптографии в США можно привести продукты Мicrosoft, где давно заявлено о стойкости 128 бит симметричного шифрования для всех её основных продуктов, однако при внимательном рассмотрении находим, что оценка криптографии проведена по значению 5D992.b.1 (http://www.microsoft.com/exporting/matrix_w.htm)
смысл этой оценки поясняется (http://www.microsoft.com/exporting/termsmx.htm#eccn) как соответсвие требованию – Information Security – Software (data confidentiality encryption less than or equal to 64-bits in key space or data authentication encryption). Обратите внимание там же на термин "Mass Market" "The U. S. government regulations allow mass market encryption products containing strong encryption to be exported under 5D992, NLR (see above) after a 30-day review. A "Mass Market" in this column indicates that the software has been reviewed by the U. S. Government and has been approved as mass market software.” На мой взгляд это явно подразумевает ослабленную защиту сеансового ключа шифрования или сужение ключевого пространства введением зависимости между битами симметричного ключа.
хотелось бы услышать мнение Sattva
комментариев: 232 документов: 17 редакций: 99
комментариев: 9796 документов: 488 редакций: 5664
Всё больше хороших криптографических алгоритмов не патентуется. Создатели не хотят зарабатывать деньги, лишая людей свободного доступа к знаниям и технологиям, возможности развивать и создавать что-то свое.
Аналогично и с программами. Криптософт должен идти под GPL/BSD совместимой лицензией и быть свободным. Иначе ни о каком интересе к анализу его безопасности не может быть и речи.
комментариев: 11558 документов: 1036 редакций: 4118
Экспортные ограничения США были полностью сняты уже шесть лет назад. Единственное исключение составляет ряд стран ограниченного экспортного контроля высокотехноголичной и военной продукции (Ирак, Иран, Ливия, Серверная Корея и т.д.).
Любой исходный код, под какой бы лицензией он ни распространялся, является собственностью своего правообладателя. Иногда автор делигирует свои имущественные права третьей стороне либо передаёт своё произведение в общественное достояние, но в мире ПО такое случается редко. Даже GPL не предусматривает отказ от имущественных прав.
Всё, что делает PGPCorp как коммерческая организация — это открывает исходный код для свободного доступа. Это вполне адекватная мера и вполне достаточная.
Рекомендую вначале проверить это самому, прежде чем делать подобные заявления и водить читателей в заблуждение. Здесь Вы говорите о специальном исходном коде системы PGP Universal. Эта система состоит из трёх программных элементов, лицензируемых совершенно различным образом: это, во-первых, системная основа в виде модифицированной и преднастроенной Linux, лицензируемой по GPL, во-вторых, криптоядро PGP SDK, передаваемое по весьма либеральной лицензии, и непосредственно программные модули PGP Universal (интерфейсы, системы управления и пр.). Последнее — исключительно проприетарное ПО, причём довольно увесистое, и PGPCorp передаёт его исходный код на жёстких носителях.
Это значит лишь то, что, несмотря на публикацию исходного кода, компания не санкционирует его использование в сторонних приложениях. Дабы не было путаницы между понятиями open source software и free software.
Источник? Где Вы это прочитали? Скомпилируйте исходный код в среде, аналогичной официальной, и получите идентичный программный код.
На это я ответил выше.
На мой взгляд, комплексные бизнес-приложения, к которым относится современный PGP, всё же останутся исключением. Здесь заинтересованность в анализе будет сохраняться, во-первых, вследствие зависимости крупного бизнеса и национальной инфраструктуры от подобных приложений (т.е. будет во многом осуществляться самими заказчиками как непосредственно, так и аутсорсными организациями) и, во-вторых, из-за интереса независимых исследователей к "лакомуму куску": получение известности от атаки на популярное приложение и другие нематериальные мотивы.
Так или иначе, но сохранение коммерческого ПО в бизнес-процессах неизбежно. А вот формы окупаемости разработки действительно могут меняться. Но это уже тема для другой дискуссии.
комментариев: 9796 документов: 488 редакций: 5664
Верно. Возможно, чрезмерное увлечение некоторыми идеями привело у меня к сужению взгляда на проблему и излишней категоричности суждений. ;-)
Но от своего мнения я просто так не откажусь!
Обычно я привык считать основной формой криптографии чисто научные публикации и исследования, а там в основном рассматривают свободный софт.
Если некоторое количество лет назад в книгах и научных статьях рассматривали алгоритмы и примеры кусков кода из PGP, то сейчас мало кто из исследователей будет делать рекламу крупной фирме, даже для "получение известности от атаки на популярное приложение ".
Мое скромное мнение – вероятность просуществовать ошибке незамеченной велика и в свободном софте и в коммерческом, но в коммерческом всё-таки больше.
Это я к вопросу выбора – если соображения безопасности, легкости аудита и прочее важнее, проще перейти на свободный софт и не заморачиваться с тем, что там придумали производители тяжеловесного ПО.
Если же есть жёсткие требования по внедрению в типичное бизнес окружение, то неизбежно придёться мириться с некоторыми возможными ограничениями.
Да, тут каждый ищет ту нишу, которая ему интереснее, выгоднее. Ничего нового мы здесь не скажем.
Любопытно, можно что-нибудь узнать именно про эту часть системы? Описания. Ссылки. Ваше личное мнение.
комментариев: 10 документов: 1 редакций: 0
комментариев: 9796 документов: 488 редакций: 5664
http://rechten.uvt.nl/koops/cryptolaw/
И конкретно для США http://rechten.uvt.nl/koops/cryptolaw/cls2.htm#us
Я извиняюсь, что опять про своё, но свободные (некомерческие) продукты с открытым кодом вообще никакому контролю не подвергаются и могут использовать любую длину ключа, что не может не радовать.
Что касается коммерческих продуктов у меня сложилось мнение, что это просто техосмотр. Вероятность того, что кому-то будут угрожать невыдачей лицензии в обмен на сотрудничество невелика.
Хотя законы там какие-то все друг другу противоречащие. Какой ещё бы серьёзный коммерческий продукт взять для сравнения с PGP и посмотреть, на какие законы ссылается его производитель?
комментариев: 10 документов: 1 редакций: 0
1."Техосмотр" на предмет соответствия чему ?
Какой смысл Вы вкладываете здесь в понятие "коммерческий продукт" – ослабленное шифрование ?
Я считаю что "Mass market encryption", это прошедшие одобрение – читай ослабленные до стойкости уровня 64 бит симметричного или 512 ассиметричного алгоритма (я думаю путем алгоритмического способа сокращения ключевого пространства )
Насчет невыдачи лицензии – я в предыдущем посте прямо вам привел цитату – перечитайте последний абзац моего предыдущего поста (ii) – а это их законодательный акт и законы там чтут.
2. По поводу продуктов –
а) я привел в первом посте пример про микрософт, где тоже заявляют о стойкости 128 бит, но сами же и поясняют на всякий случай, что оценка проведена по требованиям =<64 бит.
б) возьмите криптоборудование серьёзной банковской платежной системы и посмотрите, как обстоят дела с неограниченными лицензиями.
комментариев: 11558 документов: 1036 редакций: 4118
Согласен.
Всё лежит здесь.
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 10 документов: 1 редакций: 0
1. Если у скептической стороны-фирмы есть возможность оплатить и найти а) специалистов, способных провести детальный анализ исходных кодов, доведя его до полного формализованного алгоритмического описания, б) группу аналитиков -криптографов, уровень познания которых позволяет оценить корректность реализации криптоалгоритмов, использование слабых криптографических переменных (например начальные вектора в симметричных, параметры генерации ассиметричных алгоритмов, образующие эллипт. кривые и т.п.) и иные скрытые каналы, и при этом группы а) и б) способны к взаимодействию и пониманию между собой
– подобная фирма действительно могла так поступить.
Впрочем могу допустить, что если они и найдут некорректность, то PGP заявит о случайной ошибке и именно им вышлет исправленный вариант, а затем подготовит новую общую версию с новыми "ошибками" – информация о деталях реализации не должна ведь уходить на сторону по лиц. соглашению. Некая фирма с таким бюджетом для крипто-анализа будет скорее из числа Top-100 (для России) и при таких возможностях проще создать своё функционально подобное общекорпоративное решение на базе GnuPG, но ведь приватность и бизнес-секреты есть и у малого бизнеса, и у рядовых граждан.
2. Ваши слова "выкладывая исходный код СКЗИ в свободный доступ" отражают некое лукавство – доступ НЕ свободен:
а) продукт SDK (где сосредоточено криптоядро) согласно информации сайта PGP доступен к получению в версии 3.0 и только после заполнения формы и оплаты лицензии ( но разве коммерческие продукты не идут уже с версией 3.5.3 ?)
Далее, Вы будете утверждать, что в рамках бесплатного и упрощенного режима получения исходников Desktop и Command line версий туда войдут и основные части последнего SDK, чья предыдущая версия доступна за плату и с заполнением форм – "Complete the SDK Request Form to be granted export clearance. Note: It is important that customers use all proper legal names of individuals and corporate entities when completing the form to expedite the granting of export clearance. A PGP Corporation representative will contact you shortly " ?
б) Главное – лицензионное соглашение для ВСЕХ продуктов PGP ограничивает любую передачу исходных кодов кому-либо (кроме сотрудников внутри одной компании, оформившей соглашение), а значит официально не позволяет специалистам, даже независимо друг от друга запросившим и получившим исходные коды, обсуждать публично в Internet (или в рамках очных конференций специалистов) особенности реализации конкретного криптоядра и его алгоритмов, а также публиковать, пусть даже небольшие куски- цитаты исходного кода в своих анализах/докладах. Тем самым научные круги и специалисты, да и сама эта область рассмотрения продуктов PGP, отстранены от анализа, т.к. публичным и известным людям все же претит нарушать закон (тем более в условиях, когда правительства взывают к гражданскому сознанию в борьбе с террором. Найдите на сайте Циммермана, как он был вынужден был по сути оправдываться за свой продукт после событий в США, 11 сентября и последующих публикаций)
комментариев: 11558 документов: 1036 редакций: 4118
В Ваших постингах, начиная с первого, слишком много допущений. Вы, вероятно, видите их оправданными, но я — нисколько. Почему, к примеру, наличие экспортной лицензии для mass market product или проведение анализа продукта в BIS тут же означает наличие в продукте заведомых ослаблений? Из чего Вы делаете такой вывод? Только исходя из недоверия к той или иной политической коньюнктуре? Не убедительно, как и большинство теорий заговоров...
Я буду утверждать, что библиотека pgpsdk.dll последней версии входит в полном виде (а не частями) во все коммерческие продукты PGP. Соответственно, её исходный код свободно доступен в пакетах исходников названных Вами продуктов. Берите, изучайте. А лицензирование SDK — это совсем другая история.
Пожалуйста, приведите конкретные цитаты из текста лицензии, на основании которых Вы делаете подобные выводы.
Только прошу не ссылаться на политику обнародования уязвимостей PGPCorp, запрещающую опубликования уязвимостей в продуктах компании в течение 30 дней с момента её уведомления о находках: это абсолютно нормальная практика, никоим образом не ограничивающая исследования. (Мистер и Цуккерато, к примеру, ожидали положенный месяц, прежде чем предать свои находки гласности.)
комментариев: 10 документов: 1 редакций: 0
Цитируемое Вами мое допущение вполне разумно и обосновано.
излагаю -
Мой смысловой перевод требования выше – оговорено, что "слабое" шифрование (симметричный ключ < 64 бит) регулируется нормами 5A992 or 5D992 (т.е. не лицензируется и не требует анализа BIS), а вот ОСТАЛЬНЫЕ криптопродукты сразу отнесены к жестко лицензируемому контролю по нормам 5A002 or 5D002 (по категории NS – U. S. national security) с ограничениеми в частности почти по всей xUSSR территории. Лишь по результатам обследования в BIS криптопродукт с ключем > 64 может быть исключен из контроля по нормам 5A002 or 5D002.
Изначально понятие mass market encryption product несет лишь ещё некоторые ограничения, которые в этом же документе найдете.
во-вторых:
Подумайте сами и дайте разумное объяснение: почему вдруг стойкие криптосредства (ключ >64бит ), жёстко ограничиваемые к распространению по мотивам угрозы безопасности США, вдруг магическим образом из списка лицензирования исключаются и становятся допустимы без ограничений, а главное – по каким мотивам: т.к. а) они расчитаны на массовое применение b). The cryptographic functionality cannot be easily changed by the user; c. Designed for installation by the user without further substantial support by the supplier; д) прошли успешное обследование в BIS.? И это в условия, когда и за своими граждами в США сейчас пытаются установить полный контроль коммуникаций, а уж контроль за информацией в других странах – это старая мечта со времен Эшелона.
Вы наверно большой по жизни оптимист, если обладая такой информацией, мои сомнения считаете основанными
P. S. Про SDK и публичность обсуждения исходников отвечу позже
комментариев: 9796 документов: 488 редакций: 5664
Скорее всего, просто бюрократия, попытка содержать штат сотрудников, которые контролируют то, что уже давно бессмысленно контролировать. Имитация некоей деятельности, направленной на защиту нацинтересов (чем десятилетиями занимаются разные ведомства), а на деле просто формальная выдача бумажек.
Разумная сертификация еще имела бы смысл для госучреждений или критически важной нацинфраструктуры.
В принципе этот механизм вполне можно реанимировать в сторону ужесточения, что конечно же настораживает.
Будет интересно, если Вы или Sattva докопаетесь до чего-то конкретного. Хотя это и маловероятно.
комментариев: 10 документов: 1 редакций: 0
Привожу:
1. текст на сайте http://www.pgp.com/downloads/s.....rcecode_license.html
"DEFINITIONS: ... “You/you” means the individual person installing or using PGP Source Code on his or her own behalf; or, if the PGP Source Code is being downloaded or installed on behalf of an organization, such as an employer, “you” means the organization for which the PGP Source Code is downloaded or installed, and the person installing or using the PGP Source Code represents that he or she has the authority to do so on your behalf. "
"2. What You Cannot Do. ...
d) give (meaning sell, loan, distribute, or transfer) the PGP Source Code files, as originally provided by PGP Corp or as modified by you or anyone else, to anyone else (unless you are downloading the PGP Source Code files in the course of performing duties for your employer, in which case you can share the PGP Source Code files with fellow employees as long as you do not make additional copies and otherwise comply with these license terms); "
Уточню ещё раз, что я говорю не об обсуждении конкретной, уже найденной кем-то строго на индивидуальной основе и сообщенной им предварительно в PGP уязвимости, а об общественном, колллективном научном обсуждении идей и подходов в анализе конкретного продукта с цитированием затрагиваемых кусков исходного кода криптоядра (типа выбора алгоритма AES). Разве может называться "свободным" доступ с исключением последнего?
Доверенные люди утверждают, что в скачаной в апреле версии по запросу Desktop с официального сайта исходников по ссылке, пришедшей на почт. адрес из зоны RU, оказался указан номер версии SDK "3.5.0", а куда он инсталлирован, оговорено – PGP 9.0.0 (Build 101 Alpha), но ведь уже в феврале обсуждалась работа версии PGP 9.0.5 [build5050].