id: Гость   вход   регистрация
текущее время 07:32 16/02/2019
Автор темы: ressa, тема открыта 05/11/2013 11:07 Печать
Категории: криптография, инфобезопасность, алгоритмы, уязвимости, стандарты
http://www.pgpru.com/Форум/Криптография/RSASecurityЗаявилаОНаличииАНБ-бэкдораВСвоихПродуктах
создать
просмотр
ссылки

05.11 // RSA Security заявила о наличии АНБ-бэкдора в своих продуктах


Причем, еще 19 сентября.
А вот Microsoft, например, не заявило. Но об этом ниже.


Итак, в их продуктах RSA Data Protection и RSA Bsafe во всю использовался алгоритм Dual EC_DRBG (Dual Elliptic Curve Deterministic Random Bit Generation), сертифицированный NIST (fileописание). И сертифицированный, как выяснилось, с сюрпризом от агенства национальной безопасности США. То есть, это никакой не random, если вы знаете в чём суть закладки.
Ну и о том, что этот алгоритм может содержать бэкдор, исследователи говорили еще в 2007м году. Что не помешало NIST его сертифицировать. А кипиш начался после опубликованных Сноуденом документов, где явно говорилось о неком стандарте 2006 года.


Dual_EC_DRBG, между прочим, является довольно популярной штуковиной.
Реализован в Windows, начиная с Vista SP1, что делает его самым популярным в мире. Так же, реализация есть в OpenSSL и вообще он похоже пролоббирован в куче продуктов (McAfee, например, но те использовали его только для программ гос сектора). Так что, вычищать от него код придется еще долгое время.


Подробности устройства бэкдора, практически на пальцах.
Источник: http://habrahabr.ru/post/200686/


 
На страницу: 1, 2, 3 След.
Комментарии
— unknown (05/11/2013 15:35)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Посты про эллиптику надо тогда как-то все вместе собирать, но я даже сам не могу решить, какие из них полезные. Этой темы касались часто, но в большинстве случаев только поверхностно: по принципу — пока можно обходиться без неё, то лучше её не использовать.
— Гость (05/11/2013 18:00)   <#>
Да, будет и подборка постов с критикой эллиптики. Цель — показать, где что обсуждалось, и где озвучивались нужные аргументы, не более того. Полезность — это скорее качество для характеризации связных текстов, а не подборок ссылок. ☻

Кстати, сходу даже не припомню: вопрос о бэкдоре в ECC (как асимметричное крипто с невнятными константами) и бэкдор в ГПСЧ на эллиптических кривых как-то связаны?
— SATtva (21/12/2013 11:01)   профиль/связь   <#>
комментариев: 11533   документов: 1036   редакций: 4086
Reuters пишет тут, что использование Dual_EC_DRBG в качестве умолчального ГСЧ было продиктовано не преимуществами алгоритма (детерминизм при тестировании и пр.), а соглашением с АНБ, по которому RSA Security получила $10 млн. Сумма может показаться сравнительно скромной, однако она составляет треть от всего прошлогоднего дохода криптографического подразделения компании.
— unknown (21/12/2013 11:54, исправлен 21/12/2013 11:55)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Есть ещё и косвенный моральный ущерб от таких бэкдоров: с теоретической точки зрения на основе ECC можно было бы разработать доверяемый ГПСЧ, но теперь всё направление в глазах пользователей будет казаться скомпрометированным.

— ntldr (21/12/2013 13:25)   профиль/связь   <#>
комментариев: 371   документов: 19   редакций: 20
ГПСЧ на основе асимметрики – не дай бог.
— unknown (21/12/2013 16:45)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Во-первых — никто не заставляет. Во-вторых, исследователи не только из АНБ занимаются разработкой ГПСЧ, потоковых шифров и хэшей на основе асимметрики.

При всём скепсисе к практической пользе таких изысканий, есть ли аргумент, который бы убедительно закрывал всё направление этой области исследований?
— ntldr (21/12/2013 20:59)   профиль/связь   <#>
комментариев: 371   документов: 19   редакций: 20
Исследовать можно всё что угодно, но в практической криптографии есть два аргумента: 1 – симметрика как правило оказывается надежнее (эмпирический вывод), 2 – любой практический протокол в своей основе использует симметричное шифрование, поэтому не нужно лишних сущностей если задача решается уже используемыми примитивами. Трудно представить задачу которая решается без симметрики, но легко – без асимметрики.
Вышесказанное не претендует на истину, это просто взгляд практика, глубокое внутреннее убеждение.
— unknown (22/12/2013 15:33, исправлен 22/12/2013 15:36)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Участник Spinore (даже если предположить, что это именно он постил под гостем) часто любил приводить обратное убеждение: дескать, асимметрика опирается на какую-никакую, но обоснованную математику, а симметрика — набор уловок и запутываний, пытающихся имитировать идеальный шифр, а этот набор запутываний всегда может быть распутан. С одной стороны я где-то подтверждал и это, но сдругой стороны приводил и доводы против асимметрики.


В частности, у меня был большой /comment63447, чтобы не искать по абзацам, приведу самоцитату:


Использовать именно такие фундаментальные матпроблемы в симметричных алгоритмах пытались. Давно известен потоковый шифр и криптостойкий ГПСЧ BBS. Перед конкурсом SHA-3 был предложен VSH — Very Smooth Hash. Кроме непрактичности его ещё и поломали, обойдя все нижележащие "трудные математические проблемы" и на конкурс он не попал, но теоретические исследования в этой области продолжаются.
Проблемы этих алгоритмов помимо непрактичности из-за сильной тормознутости и прочей ресурсоёмкости ещё и в неполноте симуляции RO. Они не просто имеют зазор стойкости, как симметричные, они симулируют только какие-то отдельные качества RO, но вообще не симулируют другие (или заведомо очень плохо — другой уровень неполноты) и из них не склеить протокол напрямую без промежуточных хэширований/шифрований обычными симметричными алгоритмами. Тогда, спрашивается, зачем они нужны на замену традиционной симметрики ценой такой дикой негибкости, непрактичности, переусложнения, сложности создания протоколов? Т.е. они тянут за собой все недостатки асимметричных алгоритмов, которые традиционно сглаживают симметричными. А здесь выверт наоборот. Пока интересный только с точки зрения теории.

Вот ещё интересная ссылка в wiki образовалась — Provably secure cryptographic hash function


Также, Брюс Шнайер утверждал нечто вроде, что с симметрикой всё хорошо и даже у АНБ никакого секретного прогресса в криптоанализе якобы быть не может, а вот на счёт асимметрики он почему-то считает, что получить незаметный тайный прогресс в исследованиях во взломе в тайне от открытого сообщества — возможно.

— практика (29/12/2013 07:11)   <#>

The earlier disclosures of RSA's entanglement with the NSA already had shocked some in the close-knit world of computer security experts.

it declined to discuss how the NSA entanglements have affected its relationships with customers.

After Snowden has measured one part of this {R,N}SA entangled pair, the state of the other one became pure (that produces deterministic result after the measurements).

Martin Hellman, a former Stanford researcher who led the team that first invented the technique, said NSA experts tried to talk him and others into believing that the keys did not have to be as large as they planned.

— Хеллман, не надо генерировать такие длинные ключи! Ты что, сумасшедший параноик? Сделай покороче, этого и так достаточно.


Я могу чего-то не понимать, но вот взять если такой пример: маломощные чипы и смарткарты, где технически неоткуда взять достаточное количество рандома. В этом случае предзагруженный асимметричный ключ (или как оно там технически организовано) мог бы давать что-то полезное. По ссылке на VSH есть ещё аргумент компактности кода:

VSH can be useful in embedded environments where code space is limited.


The Zémor-Tillich hash function — A family of hash functions that rely on the arithmetic of the group of matrices SL2. Finding collisions is at least as difficult as finding factorization of certain elements in this group. This is supposed to be hard, at least PSPACE-complete. For this hash, an attack was eventually discovered with a time complexity close to 2n/2. This beat by far the birthday bound and ideal pre-image complexities which are 23n/2 and 23n for the Zémor-Tillich hash function. As the attacks include a birthday search in a reduced set of size 2n they indeed do not destroy the idea of provable security of invalidate the scheme but rather suggest that the initial parameters were too small.

Как тесен мир! Проверил по гуглу — и да, это тот тот самый Zémor, про слайды которого было написано:

Тут — про конструирование квантовых LDPC-кодов. Попытка рассказать очень сложные вещи простыми словами. Есть много картинок с тайным смыслом, графами и пентограммами. Где-то там сбоку вылезает топология, а, значит, и её алгебраизация. Стр. 52 — гомологии и когомологий каких-то групп. Это всё к вопросу о том, чем занимаются современные математики, и зачем это нужно. Получается, что в теории квантовых кодов исправления ошибок оно пригождается. Докладчик — чистый математик без бэкграунда в физике, как это у многих в теме КТИ бывает. Он сказал, что нужно начинать изучение с топологии, где вводятся основные понятия, а без них гомологии понятны не будут.

Он хоть и криптограф, но в PRA публиковаться не гнушается. На официальном банкете я умудрился сесть слева от Видика и наискосок от Zémor'а, там с ними и поговорил, а то им всем вечно некогда на этих конференциях и рабочих встречах (meetings).


Очень точно и правильно сказано. С точки зрения практической реализации криптографии эти моменты, пожалуй, самые ключевые.
— теория (29/12/2013 07:12)   <#>

Здесь было много обсуждений на эту тему, со временем они постепенно устаревали, понимание проблем эволюционировало, менялось... По правде сказать, даже то, что было не так давно написано в теме про KeccaK, я считаю содержащим изрядную долю бреда.

Наверно, тема ГПСЧ тесно связана с шифрующими примитивами, но мне проще думать в категории последних, т.к. о ГПСЧ я никогда глубоко не задумывался. Если же говорить о ГСЧ, то всё сказано тут, а ГПСЧ — это принципиального другого рода проблема. И не надо смешивать две проблемы: черпание энтропии из системных событий (аналог ГСЧ) и преобразование этой малой энтропии в энтропию большую (ГПСЧ). Мог неправильно понять, но, кажется, в некоторых методах ГПСЧ, основанных на асимметрике, пытаются сделать нечто третье: полностью детерминистичный ГПСЧ, которому вообще не нужна никакая случайность, и единственный секрет такого ГПСЧ — асимметричный (приватный?) ключ (возможно, ещё какой-то секретный seed). Если речь идёт не о третьем варианте, а о втором, то нестойкость ГПСЧ не так критична. Такой ГПСЧ мог бы быть и на симметрике и на асимметрике, у меня тут нет профессионального персонального пятого чувства, чтобы заявить, что мне какой-то из этих вариантов принципиально не нравится.

Допустим, мы пока забываем о деталях и частностях, открывая новую итерацию оффтопик-срача «симметрика vs асимметрика» (SATtva, перережь ленточку) безотносительно их применимости к конкретно ГПСЧ. Итак, я бы привёл следующие аргументы:

  1. Что лучше, две толстых надёжных двери или 100 тонких?

    Примерно к такому вопросу сводится задание определить, что лучше: симметрика или асимметрика. Безопасность асимметрики лежит на двух тяжёлых проблемах и на латании дыр применения этих проблем (необходимость шифровать только случайные данные, заботиться о паддинге и т.д.). Безопасность симметрики лежит на куче утверждений (проблем) и натяжек, которых не две, а на порядки больше, но, с другой стороны, да, эти «проблемы» не имет статус великих, и взлом одной проблемы может означать, что ломать несколько других (но очень вряд ли все) не придётся.

  1. Безопасность как симметрики, так и асимметрики — это вычислительная безопасность

    Это так в полном формальном смысле этого слова, тут терминология из теории сложности как раз кстати (и по ссылке на вики она, как и следовало ожидать, упомянута). IT-безопасности у конвенциональной криптографии (сжимающей большие секреты в малые), как я понимаю, не может быть в принципе, и это доказано (см. ссылку, хоть это и полуочевидное утверждение).1

  1. Безусловность условна или безусловна?

    Что понимать под безусловностью (unconditional)? В гугле всё очень мутно на этот счёт, но многие считают безусловность синонимом IT. Я бы сказал, что да, действительно, IT-безопасность тривиально безусловна, а вот вычислительная — это вопрос. Одни могут назвать условной безопасностью только ограничение на вычислительные ресурсы атакующего, другие — только завязку на недоказанные утверждения в доказательстве безопасности, третьи — выполнение первого или второго. И это будут три разных понятия термина «условная безопасность». Для простоты я пока буду вкладывать в этот термин второй смысл из трёх: недоказанные строгим образом утверждения.

  1. Если ICM и идеальный хэш определить правильным образом, то окажется, что они существуют

    Как гласит терминология п. 3, обычная классическая криптография является условно безопасной. Однако, принципиально ничто не мешает довести её до ума, переведя в категорию безусловной, если считать теорию сложности математикой, а не профанацией.2 Доказуемая безопасность — это переименованное и цельно тянутое понятие «hardness assumption» из теории сложности. Собственно, на концептуальном уровне ничто не мешает строго доказать принадлежность (при каких-то условиях) взлома криптоалгоритма к определённому классу сложности, как и неравенство разных классов сложности друг другу (но этим уже теория сложности занимается, а не криптография).

    Под «каким-то условиями» можно понимать что-нибудь типа «атакующему доступно столько-то пар плейнтекст-шифтекст, столько-то вычислительных ресурсов в единицу времени и столько-то ресурсов памяти в единицу времени». Естественно, эти условия должны быть определены грамотным образом, иначе, если вы их сильно завысите (как это сделано для ICM), вы получите доказательство того, что ни одна реальная конструкция им не удовлетворяет. Т.е., я хочу сказать, что несуществование ICM — это парадокс определений, а не парадокс смысла понятия «безопасный блочный шифр». Unknown Кто-то может сейчас со мной не согласиться.

  1. Практический криптоанализ симметрики стоит примерно на таком же нуле, как и асимметрики

    Яркий пример — DES. Этот алгоритм примерно столь же стар, сколь стара асимметричная криптография. Есть ли существенный прогресс в его криптоанализе? DES сейчас ломают не потому, что он криптографически слаб, а потому, что перебор 264 (ну, или сколько там нужно для DES) стал реальным на практике. Выплачиваете стоимость квартиры в Мск (≈ 100k у.е.) и получаете железку, которая ломает DES за несколько минут. И это что-то типа верха достижений на текущий момент при всё том, что он был изобретён чёрти когда давно. Эти факты наталкивают на мысль, что концептуальное ускорение (не за счёт брутфорса) для взлома DES невозможно, т.е. эта задача имеет некую неуменьшаемую алгоритмическую сложность (вспоминаем п. 4).

  1. Нужна ли симметрика асимметрике?

    Если не вдаваться в глубокие философские вопросы о практическом существовании асимметрики без симметрики, можно тоже сказать, что это спор о понятиях, как и всё остальное вышеизложенное. Можно естественным образом назвать асимметрикой криптографию, которая асимметрично шифрует случайную битовую строку, и поставить на этом точку, всё. Пусть это будет такой небольшой примитив, но его безопасноcть мы потребуем по полной. Мне кажется, что когда говорят о симметрике интуитивно, почти всегда неявно подразумевается именно этот смысл, а не асимметрика в смысле полного комбайна типа RSA+AES. В общем, взяв это определение за основу, можно отделить мух от котлет и сказать, что задачи асимметрики полностью параллельны задачам симметрики, и одна для другого в явном виде не нужна. И это обеспечит возможность честнее сравнивать одно с другим.

Вышеприведённые пункты намечают примерную дорожную карту того, что есть, и того, что можно ожидать в будущем. Из них чётко видно, что единственная финальная цель стандартной криптографии — встроить всю вычислительно стойкую криптографию в класс безусловно стойкой (в смысле использованной терминологии). На этом пути асимметричная криптография (в смысле п. 6) уже почти возле финиша, в то время как симметричная ещё только топчется на старте. Да, в силу введёных определений вы можете заявить, что сравнение не совсем честное: асимметрика — простой элемент общей схемы шифрования, а симметрика — независимая полноценная имплементация какого-то типа шифрования. Тем не менее, и то и другое — какие-то куски общей задачи по шифрованию, куски какого-то более сложного протокола, и я заявляю, что да, тот небольшой кусок, который есть асимметрика, проработан лучше, чем тот большой тяжёлый и сложный кусок, который мы называем симметрикой. Чем-то этот вывод повторяет ранее озвученный (и даже, возможно, делает его тривиальным при таких определениях/терминологии), но не во всём. Т.е., дело не в том, что

набор запутываний всегда может быть распутан,

а в том, что к задаче теории сложности одно сводится сравнительно легко (необходимо сделать, если забить на тонкости, только один пока недоказанный шаг), а другое — вообще непонятно, с какого конца начинать сводить, т.к. даже проработанной толком теории на этот счёт нет несмотря на успешную адаптацию терминологии (оракул, adversary, hardness asumpltion = provable security) и философии теории вычислительной сложности.

Не умею коротко, проще молчать. Тот случай, когда основная мысль и вывод кристаллизируется только при попытке её связно озвучить, а когда начинал писать, сам этого не понимал.


1IT-безопасность требует безопасности против противника с неограниченными вычислительными ресурсами, в том числе, как я понимаю, даже неклассическими: всякими нерелятивистскими квантовыми, релятивистскими квантовыми, а также основанными на нефизических вычислениях.
2Насколько мне известно, какие-то строгие результаты в теории сложности (не опирающиеся на гипотезы типа P≠NP) уже получены. И даже доказательство равенства классов P и NP, если оно случится, не убьёт теорию сложности, а лишь сделает это доказательство основопологающим результатом этой теории.
— фантазия (29/12/2013 07:38)   <#>

В свете вышесказанного можно вообразить другую ситуацию: вдруг оказалось доказанным, что P=NP, и мы строго показали, что у взлома как асимметрики, так и симметрики низкий класс вычислительной сложности. Итак, то, что можно взломать легко и то и другое, доказано. Вопрос остаётся только в нахождении конкретного алгоритма, который превратит абстрактное доказательство в конструктивное.3 В этом случае «лёгкость и понятность» асимметрики могут с ней сыграть нежелательную роль, сильно упростив практическое нахождение такого алгоритма (в то время как в симметрике придётся долго распутывать концы с концами). Впрочем, любую криптографию обычно стараются делать как можно более простой4 при условии сохранения заявленных свойств, поэтому простота асимметрики — вполне естественное и полезное свойство, к которому стремяться и при конструировании симметричных шифров.

3Стоит отметить, что, в общем случае, это тоже непростая задача: в математике есть много теорем существования, к которым примеры не найдены до сих пор (или были найдены лишь спустя десятилетия), а также доказанных границ, к которым так и не построили алгоритмы, их достигающие. Пример последнего — найти конкретный код (метод кодирования), который достигает пропускную способность конкретного коммуникационного канала с шумом.
4Для упрощения доказательств и лучшей их убедительности.
— Гость (29/12/2013 11:27)   <#>
@ressa,


Кажется, новость от 2007 и новость от 2013 разнятся, тем что, в документах Сноудена Шнаер нашёл доказательство того, что алгоритм с закладкой.

До этого, всего лишь был признан слабым. Теперь – проплачен NSA. Может новость всё таки оставить?
— unknown (29/12/2013 19:56, исправлен 29/12/2013 19:57)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Строго говоря, там всю осень по капле выпускали эти документы. В одних утверждалось, что АНБ намеренно продвигало этот стандарт, но не было подробностей. А когда подробности появились, часть аудитории только заметила это как новость, другая часть, наоборот пропустила продолжение в духе «и так всё с ними уже ясно».


На самом деле — это примечательный момент. Компания RSA-security репутационно похоронена. Как в своё время швейцарская Crypto AG, которую, если не ошибаюсь, АНБ же и выкупило через свои подставные фирмы.


Полёт мыслей по поводу симметрики и асимметрики оценил, но даже особо сказать нечего.


Мелкие возражения.


Взлом DES самими криптографами на момент его создания оценивался в миллион долларов по деньгам и на спецтехнике того времени, но не для рядовых бизнес-контор, а для тех у кого уже есть доступ к разработке соответствующего оборудования. Короткую длину ключа DES, урезанную по прямому указанию АНБ, критиковали ещё в то время.


Шнайер и др. отмечают, что есть малоразвивающиеся области математики, в которых работает буквально несколько человек в мире. Считается, что в отличие от открытого сообщества, АНБ может нанимать кого-то на изучение этих областей, если сочтёт это перспективным и забежать немного вперёд. Якобы, это касается больше асимметрики.

— Гость (29/12/2013 22:30)   <#>
Компания RSA-security репутационно похоронена
Мой цинизм подсказывает, что репутация – это миф. Вкинут деньги в больше пиара, пиарщики отпоют дифирамбы, компания получит требуемые заказы, бизнес не закроется. Через несколько лет никто, кроме кучки специалистов которые ничего не решают, и не вспомнит об эпичном провале.
— sentaus (29/12/2013 22:42)   профиль/связь   <#>
комментариев: 1058   документов: 16   редакций: 32
Через несколько лет никто, кроме кучки специалистов которые ничего не решают, и не вспомнит об эпичном провале.

Ага, кто сейчас помнит о мегаутечке с серверов SecurID...

А когда подробности появились, часть аудитории только заметила это как новость, другая часть, наоборот пропустила продолжение в духе «и так всё с ними уже ясно».

Я вот кстати увидел тут только политические новости. Если я всё правильно в 2007 году понял, тогда показали, что в стандарте существует техническая возможность бэкдора. В 2013 году появились сообщения, что АНБ этой возможностью воспользовалось. Мне как-то трудно считать АНБ полными идиотами, которые этим бы не воспользовались.
На страницу: 1, 2, 3 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3