31.08 // Взломаны две промышленные системы распределения квантовых ключей

Учёные из Норвегии и Германии нашли сравнительно простой и не слишком затратный способ перехвата сообщений в системах распределения квантовых ключей, сконструированных инженерами компаний [WWW] ID Quantique и [WWW] MagiQ Technologies.

В криптографии легитимных пользователей традиционно называют Алисой и Бобом, а перехватчика — Евой. Наиболее известный квантовый протокол распределения ключей [WWW] BB84 использует четыре квантовых состояния, которые образуют два базиса; можно, к примеру, задействовать четыре типа поляризации фотонов в «ортогональном» и «диагональном» базисах. Алиса посылает Бобу фотоны в произвольно выбранных базисах, а тот регистрирует их, причём здесь базисы также устанавливаются произвольным (и не зависящим от выбора Алисы) способом. Если Боб не угадывает, результат измерения оказывается случайным. Когда передача завершается, принимавшая сообщение сторона открыто сообщает, в каком базисе проводились измерения каждого фотона, а Алиса раскрывает информацию о базисе, в котором эти фотоны были подготовлены. Результаты некорректных измерений отбрасываются, а оставшиеся данные преобразуются в строку битов (ключ), длина которой, как несложно догадаться, уменьшается в среднем в два раза по сравнению с длиной отправленной Алисой строки.

Ева может занять место между Алисой и Бобом, но на надёжность системы это не повлияет, поскольку она, как и Боб, не знает, в каком базисе подготовлены фотоны. Если Ева не угадывает, а Боб, напротив, проводит измерение в нужном базисе, то вместо правильного результата он получает случайное значение. При сравнении битов после обмена эти ошибки обнаруживаются, что и позволяет раскрыть присутствие Евы.

Все эти рассуждения справедливы в идеальном случае, но на практике задача взлома систем распределения ключей вполне реальна: «слабым звеном» оказался [WWW] лавинный диод, который используется для регистрации отдельных фотонов. Для того чтобы обеспечить чувствительность к одиночным квантам света, эти полупроводниковые элементы переводят в так называемый гейгеровский режим при подаче напряжения обратного смещения Vсм, превышающего пробойное Vп (см. рис. выше). При попадании фотона образуется лавина носителей заряда, через диод протекает ток, который превышает установленное пороговое значение Iпор, и схема регистрирует факт прихода частицы. Затем Vсм намеренно снижают, чтобы «погасить» лавину, после чего диод возвращается в исходное гейгеровское состояние. Обычно на диод подают постоянное напряжение, несколько уступающее пробойному по величине, и импульсы напряжения, которые создают чёткую последовательность гейгеровских периодов.

При уменьшении Vсм диод работает в «классическом» линейном режиме: протекающий через него ток становится пропорционален мощности падающего излучения, а пороговое значение Iпор преобразуется, следовательно, в пороговую мощность Рпор. Именно на этом и основан предлагаемый физиками способ взлома. В их схеме детекторы Боба переводятся в линейный режим, а Ева отсылает ему не одиночные фотоны, а импульсы, по мощности несколько превосходящие Рпор. В этом случае, как показывают эксперименты, можно добиться того, что Боб будет регистрировать приход импульса только тогда, когда он выбирает тот же базис, что и Ева. В результате половина битов пропадает, но это ограничение не слишком важно, поскольку детекторов Боба достигает намного меньше половины испущенных Алисой фотонов. Кроме того, эффективность регистрации лавинными диодами отдельных квантов далека от 100%, тогда как импульсы в линейном режиме они детектируют исправно.

Для того чтобы перевести лавинный диод в линейный режим, необходимо, очевидно, уменьшить напряжение смещения или увеличить напряжение пробоя. Учёные решили эту задачу довольно простым способом: они направили на детекторы излучение лазера, работающего в непрерывном режиме с мощностью около 1 мВт. Это позволило взломать системы [WWW] Clavis2 и QPN 5505, поставляемые ID Quantique и MagiQ Technologies. Представителей компаний, разумеется, уведомили о том, что их продукция оказалась ненадёжна; в ID Quantique, по словам разработчиков, уже приняли ответные меры. «Этот способ атаки гораздо более практичен и опасен, чем всё, с чем мы сталкивались прежде», — подтверждает сотрудник ID Quantique Грегуар Риборди (Grйgoire Ribordy). При этом г-н Риборди призывает не драматизировать ситуацию, указывая на то, что модификации Clavis2, поставляемые в университеты, сильно отличаются от тех, которые используются по прямому назначению: последние предлагают дополнительные уровни защиты.

Стоит сказать, что в своих опытах учёные использовали генератор сигналов, [WWW] оптический аттенюатор, лазерный диод со стекловолоконными выводами, измеритель мощности излучения, осциллограф и несколько вольтметров. Стоимость такого набора оборудования не превышает десяти тысяч евро. «Эксперименты заняли около двух месяцев», — добавляет участник исследования Вадим Макаров из [WWW] Норвежского научно-технологического университета.

Напомним: три месяца назад «КЛ» уже [WWW] сообщала о взломе другой системы ID Quantique, но тогда присутствие Евы всё же вызывало появление некоторого количества ошибок. В новой схеме отследить прослушивание невозможно.

Полная версия отчёта будет опубликована в журнале [WWW] Nature Photonics; [WWW] препринт статьи можно скачать с сайта [WWW] arXiv.

Подготовлено по материалам [WWW] Nature News.

Источник: [WWW] http://science.compulenta.ru/558678/

31.08 // Власти Индии хотят предъявить ультиматум компаниям Skype и Google

Вслед за получением согласия компании Research In Motion на доступ к данным пользователей BlackBerry, индийские власти намерены предъявить схожие требования к компании Google и компании Skype. В ведомстве телекоммуникационного регулятора Индии не исключили включения в список и других телекоммуникационных компаний.

По информации официального новостного агентства Индии PTI, Министерство телекоммуникаций Индии и ряд силовых ведомств страны намерены предъявить ультиматум сервису интернет-телефонии Skype и компании Google. Кроме всемирно известных брендов власти страны также намерены атаковать и операторов, создателей и пользователей частных виртуальных сетей VPN, так как тут данные тоже проходят мимо глаз и ушей спецслужб Индии.

Требования к Google и Skype будут, скорее всего, теми же, что и к BlackBerry. А именно: разместить серверы, обслуживающие индийских пользователей, на территории Индии, а также предоставить доступ спецслужбам страны к информации, проходящей через эти серверы.

Впрочем, независимые эксперты говорят, что не совсем понятно, как власти будут регулировать частные виртуальные сети, ведь их может создать, при наличии финансовых возможностей, любой ИТ-специалист с соответствующей квалификацией, а какого-либо запрета на создание VPN-сетей, в Индии пока нет.

Официально в Google и Skype говорят, что на сегодняшний день от индийского телекоммуникационного регулятора они не получали требований, но если даже получат, то вначале они ознакомятся с ними и лишь потом будут давать комментарии.

Напомним, что вчера власти Индии сообщили о том, что отодвигают свое решение по закрытию сервисов Blackberry компании Research in Motion в ответ на соглашение компании предоставить более широкий доступ к инфраструктуре компании и данным пользователей для специальных служб этой страны. В компании RIM подтвердили, что предоставили индийским спецслужбам доступ к почте и мгновенным сообщениям пользователей BlackBerry в Индии. Сообщается, что доступ был предоставлен к данным более чем 1 миллиона пользователей.

В официальном заявлении Министерства внутренних дел страны говорилось, что ведомство берет 60-дневный таймаут для изучения предоставленных возможностей. В этот период индийская полиция и правительственные агентства по обеспечению государственной безопасности при поддержке Министерства телекоммуникаций Индии будут изучать возможности чтения пользовательских данных на серверах, которые теперь RIM разместила на территории Индии, а не в Канаде и Великобритании, как прежде.

При этом индийские власти подчеркивают, что даже в связи со сделанными уступками вопрос о закрытии сервисов BlackBerry остается открытым и окончательно он будет решен после тестирования, проводимого в 60-дневный срок.

Источник: [WWW] http://www.cybersecurity.ru/crypto/101672.html

30.08 // RIM предоставила Индии доступ к данным пользователей BlackBerry

Власти Индии сегодня сообщили о том, что отодвигают свое решение по закрытию сервисов Blackberry компании Research in Motion в ответ на соглашение компании предоставить более широкий доступ к инфраструктуре компании и данным пользователей для специальных служб этой страны. В компании RIM подтвердили, что предоставили индийским спецслужбам доступ к почте и мгновенным сообщениям пользователей BlackBerry в Индии. Сообщается, что доступ был предоставлен к данным более чем 1 миллиона пользователей.

В официальном заявлении Министерства внутренних дел страны говорится, что ведомство берет 60-дневный таймаут для изучения предоставленных возможностей. В этот период индийская полиция и правительственные агентства по обеспечению государственной безопасности при поддержке Министерства телекоммуникаций Индии будут изучать возможности чтения пользовательских данных на серверах, которые теперь RIM разместила на территории Индии, а не в Канаде и Великобритании, как прежде.

При этом индийские власти подчеркивают, что даже в связи со сделанными уступками вопрос о закрытии сервисов BlackBerry остается открытым и окончательно он будет решен после тестирования, проводимого в 60-дневный срок.

"RIM сделала вполне конкретные предложения для законного доступа силовых агентств страны. Эти меры со стороны компании уже были реализованы", – говорят в индийском Министерстве внутренних дел. В Министерстве сегодня подтвердили, что в понедельник состоялась встреча их представителей с работниками Разведывательного бюро Индии и Национальной техническо-исследовательской организации, где и обсуждались предложенные компанией RIM меры для доступа к информации пользователей.

Наблюдатели говорят, что канадский производитель смартфонов в итоге все-таки нашел способ предоставления данных пользователей властям Индии, хотя изначально почти на протяжении двух лет заявлял, что это невозможно технически и даже компания не имеет доступа к информации пользователей.

Стоит отметить, что сегодня же финская Nokia сообщила о размещении своих корпоративных почтовых серверов для обслуживания индийских пользователей на территории этой страны, чтобы работа компании соответствовала законодательным нормам Индии. По словам представителя Министерства внутренних дел Онкара Кедиа, власти страны также изучают возможности, предоставленные Nokia в плане доступа к ее сервисам. Управляющий директор Nokia India Д. Шивакумар сообщил, что окончательно финская компания разместит серверы на территории Индии до ноября этого года, а также предоставит правительственным агентствам полный доступ.

Аналитики говорят, что RIM сталкивается с серьезной дилеммой. С одной стороны компания должна выполнять требования регулирующих органов стран, где она работает, а с другой, предоставляя доступ спецслужбам, она теряет доверие корпоративных клиентов, которые более не рискуют передавать закрытые деловые и финансовые данные по каналам BlackBerry. Именно с этой дилеммой RIM пришлось бороться не только в Индии, но и в Саудовской Аравии и Объединенных Арабских Эмиратах. Аналогичные претензии к компании сейчас также выдвигают власти Индонезии, Ливана и Таиланда.

Аналитики говорят, что между правительственными интересами и корпоративной приватностью грань очень тонка и для компании было бы крайне желательно ее соблюсти.

"Индия стала своего рода центром аутсорсинга для крупных клиентов из США и Европы. В свете последних событий для индийских компаний крайне важно соблюсти целостность и безопасность клиентской информации. Любая утечка данных для крупных индийских аутсорсеров – это почти гарантированная потеря клиентов и бизнеса", – говорит Четан Самант, управляющий директор Ассоциации производителей программного обеспечения Индии.

Власти Индии со своей стороны говорят, что именно закрытость сервисов BlackBerry в свое время сделали возможными терракты в 2008 году в городе Мумбаи. А в октябре этого года в Индии стартуют Игры доброй воли, которые также рискуют стать мишенью для террористов из-за глобального характера мероприятия.

Источник: [WWW] http://www.cybersecurity.ru/crypto/101600.html

26.08 // DAA-SIGMA: протокол обмена ключами со взаимной анонимной аутентификацией

Исследователи Джесс Уокер и Джангтао Ли из лаборатории Intel в своей работе "Key Exchange with Anonymous Authentication using DAA-SIGMA Protocol" предложили улучшенный метод аутентификации при сохранении анонимности. При этом они рассмотрели предшествовавшие решения этой противоречивой проблемы, совмещающей два противоположных свойства: аутентификацию (удостоверение подлинности, идентичности, личности) и сохранение анонимности одновременно.

Анонимные цифровые подписи, такие как групповые подписи, прямая анонимная аттестация (DAA) и анонимные удостоверения играют важную роль в технологиях продвижения приватности. Они позволяют объекту (пользователю или аппаратному устройству) создавать подписи без раскрытия своей идентичности. Анонимные подписи также позволяют осуществлять анонимную аутентификацию объекта.

Концепция схемы групповых подписей была впервые представлена Чаумом и Ван Хейстом в 1991 году. В схеме групповых подписей все члены группы совместно используют групповой открытый ключ, однако каждый участник имеет уникальный закрытый ключ. Групповая подпись, созданная членом группы, анонимна для проверяющего, но выслеживаема со стороны доверяемого управляющего группой. Было предложено много схем групповых подписей. Прямая анонимная аттестация (Direct Anonymous Attestation — DAA) была впервые представлена Брикелем, Кэйменишем и Ченом для удалённой анонимной аутентификации на модуле доверенных аппаратных вычислений (Trusted Platform Module — TPM). DAA может рассматриваться как специальная схема групповой подписи без возможности выслеживания. DAA привлекла много внимания в сообществе исследователей доверенных вычислений и многие схемы DAA были реализованыы в этой сфере.

Анонимные цифровые подписи привлекают внимание индустрии в последние годы. Например, группа доверенных вычислений (Trusted Computing group — TCG), организация глобальных промышленных стандартов, приняла схему DAA для стандартизации в TCG TPM спецификации версии 1.2. Эта же схема DAA была ранее принята ISO/IEC как международный стандарт. DAA выполнена и уже сегодня поставляется с миллионами TPM-устройств. Intel выполнил расширениее DAA, называемое Enhanced Privacy ID в чипсете Intel P55 lbex Peak. Недавно ISO/IEC начали разработку двух новых международных стандартов: одного для анонимных цифровых подписей, включая групповые подписи и схемы DAA и другого для анонимной аутентификации объектов с использованием анонимных цифровых подписей.

(Прим. перев.: Данные исследования возможно иллюстрируют преимущественный интерес к работе с групповыми анонимными идентичностями в индустрии управления цифровых прав и контроля копирайта при номинальной сохранности приватности пользователя при вторжении в его компьютер или специализированное электронное устройство с целью проверок (если нарушений не обнаружено или автоматическом отключении доступа к копирайт-материалам без выслеживания пользователя-нарушителя). Однако эти протоколы интересны сами по себе и могут быть использованы в других целях. Слово "приватность" и "доверие" могут трактоваться совершенно по-разному, в зависимости от того, кому принадлежат ключи в реализации протокола и каким целям служит его реализация).

DAA может быть использовано для анонимной аутентификации непосредственно следующим образом: проверяющий посылает сообщение вызова члену группы; член группы может аутентифицироваться перед проверяющим анонимно, используя свой приватный ключ для создания DAA-подписи на сообщении. После проверки DA-подписи проверяющий соглашается с тем, что член группы — это действительно DAA-подписавший, но не может узнать, кто конкретно создал подпись. Модули доверенных вычислений (TPM) используют этот метод для анонимной аутентификации для получения свидетельства об идентифицирующем ключе анонимного удостоверения издателя. Этот метод аутентификации ограничен, поскольку участник группы не може проверить удостоверение самого проверяющего и в процессе аутентификации между ними не получается совместно произведённого ключа.

Более общий способ использования DAA в анонимной аутентификации — это встраивание DAA в протокол обмена ключами Диффи-Хеллмана так, что два объекта могут аутентифицировать друг друга и совместно произвести ключ сессии для последующей коммуникации. Было составлено множество предложений для внедрения DAA в протоколы обмена ключами. Бэлф и др. предложили анонимную аутентификацию в файлообменных (peer-to-peer) сетях путём встраивания DAA в TLS и IPsec. Леунг и Митчелл представили протокол анонимной аутентификации на основее DAA. Недавно Цесена и др. предложили протокол анонимной аутентификации на основе TLS и DAA, включающий образец реализации.

Несмотря на множество предложений по использованию DAA в протоколах обмена ключами Диффи-Хеллмана, опубликованных в литературе ранее, авторам неизвестно никакой формальной модели доказательства безопасности, которая бы использовалась для обоснования стойкости этих протоколов. Создание такой модели послужило мотивацией этой работы.

Ими были внесены вклады такого рода:

Модель безопасности для обмена ключами с анонимной аутентификацией. Было предложено тщательное рассмотрение анонимной аутентификации и предложена новая модель безопасности для обмена ключами с анонимной аутентификацией, которая была выведена из модели обмена ключами Канетти-Кравчика. В модели Канетти-Кравчика идентичность играет важную роль в доказательстве безопасности. Однако в анонимной аутентификации идентичность объекта, который хочет остаться анонимным в процессе аутентификации не может быть раскрыта в ходе обмена ключами. Это создаёт значительные трудности в определении безопасности модели и в разработке протокола обмена ключами.

Безопасный протокол обмена ключами с анонимной аутентификацией. Авторы разработали новый протокол обмена ключами на основе DAA и SIGMA-семействе протоколов обмена ключами в стандартах IPsec и Internet Key Exchange (IKE). Этот протокол был назван DAA-SIGMA. При этом дан формальный анализ безопасности протокола DAA-SIGMA в рамках модели, представленной авторами.

Помимо протокола DAA-SIGMA, авторами предложен протокол и для встраивания групповых подписей в обмен ключевыми параметрами по Диффи-Хеллману. Соответствующий протокол назван GS-SIGMA.

В протоколе DAA-SIGMA рассмотрена возможность использования (вместо идентичностей) сертификатов на основе открытых ключей удостоверяющих центров. Также в DAA предусмотрены возможности использования контролируемой пользователем выслеживаемости (возможность включать своё имя в параметры создания подписи) и отзыва (возможность доказать проверяющему непринадлежность к списку отозванных ключей).

Самое парадоксальное свойство, в наибольшей степени сочетающее взаимоисключающие на первый взгляд требования, это возможность взаимной анонимной аутентификации. И хотя авторы не видят смысла использовать такое свойство в интернете, они предполагают такое использование в рамках модели физически близко находящихся друг к другу устройств (например мобильные устройства или автомобили), вероятно, чтобы не производить накопления идентифицирующей информации при информационном взаимодействии.

В дальнейшем авторы планируют предоставить формальные доказательства безопасности взаимной анонимной аутентификации и изучить способ внедрения DAA в SSL/TLS протокол с сохранением доказуемой безопасности в рамках новой модели, которая её описывает.

Источник: [WWW] Cryptology ePrint Archive

18.08 // MBEGA — оптимизированный стегоанализ изображений

Исследователи S.Geetha и Dr.N.Kamaraj с кафедры информационных технологий и кафедры проектирования электрических и электронных систем (Thiagarajar College of Engineering, Madurai — 625 015, Tamil Nadu, Индия) предложили оптимизированный комплексный метод стегоанализа для поиска стегоизображений в потоке сетевого трафика в своей работе "Optimized image steganalysys through feature selecting using MBEGA".

Данный алгоритм объединяет между собой множество различных техник для автоматизированного получения результата.
Каждая из четырёх известных техник ищет десятки статистических особенностей в изображении, по сравнению с усреднёнными образцами сетевого трафика или базами изображений. Затем производится обработка генетическим алгоритмом (GA), а для предотвращения долгой работы генетического алгоритма используются методы прерывания в алгоритме Markov Blanket-Embedded Genetic Algorithm (MBEGA).

Стеганография — это динамичное средство, имеющее долгую историю и возможность адаптации к новым уровням технологии. Стеганография (скрытое письмо) — это способ сокрытия изображения в непривлекающих внимание данных. Кроме отправителя и получателя никто не знает о факте существования такого собщения, посредством чего данные защищаются от неавторизованного и нежелательного просмотра. Стеганография включает цифровые стратегии сокрытия файла в некоторых видах мультимедиа данных: изображения, звук, видео; а также это могут быть заголовки TCP-пакетов.

Стеганография считается безопасной если стегоизображения не содержат никаких детектируемых артефактов после встраивания сообщения. Другими словами, множество стегоизображений должно иметь такие же статистические свойства, как и множество покрывающих изображений. Если существует алгоритм, который даёт ответ на вопрос о содержании в данном изображении скрытого сообщения, лучше чем случайное угадывание, то такая стегосистема считается взломанной.

Стеганография может провоцировать негативные эффекты с точки зрения персональной приватности, бизнес-активности и национальной безопасности. Криминальные элементы могут злоупотреблять этой техникой для планирования нелегальной активности. Например, коммерческие шпионы или предатели могут красть конфиденциальные торговые или технические сообщения и предоставлять их конкурентам посредством скрытых сообщений для получения выгоды. Террористы также могут планировать к использованию схожие техники для совместного проведения международных атак (таких как событие 911 в США) и предотвращать своё выслеживание. Также существуют возможности для скрытного распространения компьютерных вирусов и троянов. Эти мотивы служат авторам для разработки техник стегоанализа.

Стегоанализ включает в себя детектирование использования стеганографии внутри файла при незначительном знании (или полном его отсутствии) как отдельных параметров стегоалгоритма, так и даже стегоалгоритма в целом. Стегоалгоритмы часто оставляют следы своего использования в файлах. Знание этой особенности позволяет выявлять наличие секретных сообщений. Искусство стегоанализа играет важную роль в выборе свойств и характеристик для теста на скрытые сообщения, в то время как наука помогает создавать эти тесты.

Многие известные стегоаналитические техники разделяются на специфические (против конкретного алгоритма) и основанные на особенностях различий оригинальных и стегоизображений. Вторые схемы более приемлемы и интенсивнее изучаются. Основными проблемами остаются: снижение ложных позитивных срабатываний, автоматизация (исключение человека-стегоаналитика в выборе параметров), обработка больших массивов данных, стремление к обработки приемлемо большого потока данных в реальном времени.

Четыре использованные техники отбора данных в работе, основаны на следующих особенностях.

WAM особенности, 27 пунктов — изучение статистических свойств корреляций младшего значащего бита, включая вычисление остатков фильтра квази-Винера. Fisher Linear Discriminator (FLD) может использоваться для создания высокочувствительного детектора стеганографии младших значащих битов. Достигается аккуратность до 90% при нагрузке на младший значащий бит в 25% от максимума (0.25 бита на пиксел) и близкое к идеальному различение при заполнении 50%. Всего в методе WAM используется 27 таких особенностей.

IQM особенности: 19 особенностей (Метрика Минковского гамма=2, метрика Минковского 1, максимальная разница, разница по отсортированному максимуму, разница Шенакоски, кросскорреляция структурного контента, резкость передачи изображения, угловое среднее, угловое среднее отклонение, спектральная амплитуда, спектральная фаза, взвешенная спектральная дистанция, среднеблоковая спектральная амплитуда, среднеблоковая спектральная фаза, среднеблоковая взвешенная спектральная дистанция, нормализованное абсолютное значение ошибок(HVS), нормализованное среднеквадратическое значение ошибок (HVS), HVS-L2).

Особенности Фридриха, 23 пункта

Статистические особенности высших порядков, 72 пункта.

Для практической проверки использовалась база даных с 250 изображениями по категориям (животные, птицы, здания, лица; природа: цветы, фрукты, небо и облака). В изображениях были разные текстуры, цвета, яркость и интенсивность и они отличались по происхождению. Затем в изображения были внедрены стегоданные на 50% допустимой загрузки (0.5 бит/пиксел) посредством трёх самых популярных алгоритмов стеговнедрения: Cox, Digimac и PGS. Использовались програмы StegHide и S-Tools по причине их популярности, высокой загрузочной способности по отношению к стегоконтейнерам, свободной доступности и использованию для изображений.

Внедряя во все 250 изображений стегометки всеми методами было получено 1500 записей. Смесь из 150 содержащих стегометки и 150 чистых сообщений использовалась для самообучения системы. Оставшиеся 100 стегоотмеченных и 100 чистых сообщений использовались для теста, после того, как система прошла обучение. Для конечных исследований использовалось 1750 изображений.

Диапазон распознавания стегосообщений каждым из четырёх методов по-отдельности лежал в интервале 72-95% за несколько миллисекунд на файл. По сравнению с предыдущими работами, при использовании управляемого генетического анализа авторам удалось улучшить распознавание методом IQM, в то время как остальные три не показали существенного прироста.

Данная работа показывает существенный потенциал в вопросах стегодетектирования на основе комбинирования разных методов как параллельно, так и с совместной обработкой генетическими алгоритмами. Аналогичные методы по утверждению авторов могут быть разработаны и для стегоанализа других контейнеров информации, например звуковых.

Источник: [WWW] Cryptography and Security Archive

16.08 // От визуальной криптографии к визуальной стеганографии и разделению секрета

Исследователи Feng Liu и ChuanKun Wu из государственной лаборатории информационной безопасности института программного обеспечения Китайской Академии Наук, Пекин, рассмотрели существующие и предложили улучшенные средства визуальной криптографии и стеганографии в своей работе "Embedded Extended Visual Cryptography Schemes".

Визуальная криптография — это экзотическое и маловостребованное, однако интересное направление в криптографии, которое получило известность после представления в 1994 году на конференции EUROCRYPT работы "Visual Cryptography" М. Наора и А. Шамира.

В исходном варианте требуются два листа бумаги, на каждом из которых будет видно нечто, похожее на случайный шум из пикселов (чёрных точек на белом фоне). Один из листов будет одноразовым ключом, хранящимся у получателя, а второй — отправляемым ему шифртекстом. Если совместить два листа бумаги и посмотреть на просвет, то можно увидеть изображение:

file:lios1.png

Принцип действия, а следовательно основные преимущества и недостатки такой схемы связаны с принципом одноразовых блокнотов.
Зашифрованное изображение получается наложением случайного шума на картинку с текстом с применением операции XOR или аналогичных, но при этом используется работа с матрицами пикселов. Стойкость метода к взлому — безусловная (на уровне одноразовых блокнотов), но при этом требуются и одноразовые ключи. Кроме того, отправка шумовых графических сообщений малоинтересна в современном мире: даже если у получателя нет компьютера и криптопрограмм, сам факт получения подозрительного шумового графического сообщения он скрыть не может.

Более интересным направлением является визуальная стеганография (совмещение изображений, не вызывающих подозрений) и визуальное разделение секрета (когда для расшифровки изображения "на просвет" нужно совместить несколько изображений, например три, или любые два из трёх).

Используя такие картинки:

file:lios2.png

авторам удалось получить примерно такой результат при намеренной печати в плохом качестве:

file:lios3.png

Чуть более крупное изображение выглядит так:

file:lios4.png

Следует отметить, что данная работа не является новой, а неоднократно совершенствовалась авторами с 2006 года. Кроме того, известно множество других исследований в области визуальной криптографии и стеганографии, в том числе позволяющих использовать цветные изображения. При этом цвет обычно используется только как дополнительный стегоканал: никто не мешает представленные здесь картинки использовать и в цветном виде, ведь главное прочитать контрастный текст, неважно какого цвета он будет.

Таким образом, используя специально подготовленные на компьютере изображения с внедрённым текстом, получатель, также имеющий ключевое изображение в виде распечатанной картинки, может получить сообщение от отправителя и прочитать его совмещением листов бумаги на просвет, без использования криптографического или стеганографического ПО.

Данный метод может использоваться для сокрытия фактов использования средств стеганографии, для тайного хранения или провоза одноразовых блокнотов, ключей шифрования при угрозе обысков или досмотров, отправки скрытых коротких сообщений в условиях экстремальной цензуры переписки для лиц, не имеющих доступа к компьютерам.

В менее экстремальных, но также исключительных случаях (отсутствие электричества, электронной техники, полевые условия и др.) методы визуальной криптографии имеют перспективу для использования в некоторых протоколах голосования (при этом участники могут не доверять электронному оборудованию и проверить учёт своего голоса), для проверки билетов, пропусков, ценных документов (при отсутствии сканеров кодов или электронных меток). Системы визуального разделения секрета могут использоваться для хранения кодов допуска, запуска и аналогичных вещей.

В обычных условиях, при наличии компьютеров, принтеров, сканеров, мобильных телефонов с фотокамерами, методы визуальной стеганографии могут послужить полем деятельности для энтузиастов, например в попытках отправки скрытых сообщений через нестандартные каналы связи.

Источник: [WWW] Cryptology ePrint Archive

06.08 // Инфраструктура удостоверяющих центров X.509: патологоанатомический осмотр

Фонд электронных границ (EFF) готовит к публикации данные исследования [WWW] EFF Observatory. В рамках инициативы была собрана полная коллекция всех публичных SSL-сертификатов веб-сайтов, доступных в Сети. Фонд обещает предоставить данные всем заинтересованным исследователям для дальнейшей работы (как в исходном виде, так и в виде базы SQL), но ряд увлекательных выводов можно сделать уже сейчас.

• 16 миллионов хостов в IP-адресном пространстве слушают порт 443. SSL поддерживают 10.8 миллионов. Из них, 4.3 миллиона используют УЦ-заверенные сертификаты. Таким образом, большинство SSL-сертификатов — самоподписанные.
• Помимо безусловного доверия огромному числу корневых УЦ, каждый браузер наследует от них доверие к столь же доверяемым промежуточным УЦ, принадлежащим коммерческим фирмам и правительственным организациям (например, Министерству внутренней безопасности США, Форду и Гуглу). Windows и Firefox наследуют доверие к 1482 таким сертификатам (651 организация).
• Многие УЦ заверяют зарезервированные адреса. Например, 192.168.1.2.
• Имя, заверенное наибольшее количество раз — "localhost" (шесть тысяч уникальных сертификатов). Многие УЦ подписывали его по несколько раз, явственно свидетельствуя, что не прочь выдавать дубликатные сертификаты (к тому же на локальные имена).
• В базах браузеров присутствуют два [доверенных наравне с прочими] сертификата с 512-битовыми модулями RSA. Их ещё не факторизовали?
• OpenSSL в Debian генерировал неслучайные ключи, но УЦ об этом, похоже, не знают: 530 таких ключей используются в SSL-сертификатах. Лишь 73 из них были аннулированы.

Источник: [File] http://www.eff.org/files/DefconSSLiverse.pdf

06.08 // Универсальная атака на хэш-функции MDx, SHA-1, SHA-2 и ряд кандидатов SHA-3

Исследователи Властимил Клима (независимый криптограф-консультант, известный практическими работами по оптимизированному взлому MD5; Чехия) и Данило Глигороски (сотрудник кафедры информационных технологий, математики и электротехники Института телематики, а также Норвежского Университета Науки и технологии, Трондхэйм) обнаружили теоретическое отличие в поведении множества хэш-функций от модели случайного оракула.

В своей работе Generic collision attacks on narrow-pipe hash functions faster than birthday paradox, applicable to MDx, SHA-1, SHA-2, and SHA-3 narrow-pipe candidates они пытаются доказать, что использование функции сжатия в режиме "Narrow-Pipe" (что используется в большинстве хэшей и в дизайне многих кандидатов конкурса SHA-3) позволяет найти коллизию не за 2^n/2 попыток, а при хэшировании сообщений существенно большой длины k за 2^n/2-k/2.

Результат пока не имеет практического значения, но может потенциально сделать недействительными многие доказательства протоколов в модели случайного оракула для существующих хэш-функций и заставить пересмотреть ход конкурса SHA-3.

Ранее авторы [File] давали оценку неидеальности "narrow-pipe" хэш-функциям SHA-3 кандидатов: BLAKE, Hamsi, SHAvite-3, Skein.

Источник: [WWW] Cryptology ePrint Archive

05.08 // Американцы не против правительственной слежки

<...> В ходе исследования специалисты Sophos провели опрос среди американских интернет-пользователей, в ходе которого выяснилось, что большинство опрошенных не видят проблемы в том, что правительство использует технологии для мониторинга и фильтрации сетевого трафика, а также имеет доступ к почтовым серверам.

Опрошенные утверждают, что не возражают против чтения их почты спецслужбами, если намерения специальных служб ограничиваются только лишь соображениями защиты от террористов и финансовых мошенников. 23% опрошенных заявили, что считают для себя приемлемым госмониторинг при любых условиях, еще 40% заявили, что находят его для себя приемлемым в случае каких-либо чрезвычайных ситуаций или военных действий. 37% заявили, что не считают приемлемым доступ к своим данных при любых условиях. <..>

Источник: [WWW] http://www.securitylab.ru/news/396447.php

02.08 // PIR-Tor: концепт-проект доказуемо-безопасного перевода сети Tor на p2p-архитектуру

Ключевая проблема архитектуры сети Tor состоит в том, что он требует от пользователей поддержания глобальных сведений о состоянии системы, что потребует затрат по мере роста системы. Было предложено множество решений на основе p2p-сетей для преодоления опасения по поводу масштабируемости сети Tor, но они обеспечивали только эвристическую безопасность. Фактически, сообщество исследователей в области безопасности было достаточно успешно в преодолении защиты передовых систем, как путём пассивных, так и активных атак.

Исследования новых примитивов в области масштабируемых анонимных коммуникаций, сфокусированные на обеспечении гарантий доказуемой безопасности, представили Prateek Mittal, Nikita Borisov (Кафедра электротехники и компьютерного проектирования университета Иллинойса в Урбана-Шампейн при частичной поддержке национального научного фонда США) и Carmela Troncoso, Alfredo Rial (Католический университет Лёвен, группа по изучению вопросов компьютерной безопасности и промышленной криптографии, Бельгия, совместно с междисциплинарным институтом широкополосных технологий в рамках программы поддержки [WWW] BCRYPT и программы межуниверситетского взаимодействия, финансируемой правительством Бельгии, а также фламандским исследовательским научным фондом).

Работа этих исследователей называется [File] Scalable Anonymous Communication with Provable Security и принята к программе [WWW] Hotsec'10, 5'th Usenix Workshop on Hot Topics in Security, проходящей совместно с 19th USENIX Security Symposium с 10 августа 2010 года в Вашингтоне.

В первую очередь исследователи сосредоточились на безопасных p2p-анонимных коммуникациях, основанных на взаимной политике соседних узлов. Во-вторых, они представили PIR-Tor, масштабируемую клиент-серверную архитектуру для анонимных коммуникаций, основанную на приватном получении информации (Private Information Retrieval).

В эру всепроникающей слежки наша онлайновая активность записывается, накапливается и анализируется. Анонимные коммуникации — это базовые технологии увеличения приватности, которые скрывают идентичность связывающихся участников от третьей стороны или идентичность пользователя от удалённой стороны. Сеть Tor на данный момент развёрнута для обслуживания сотен тысяч пользователей. Tor используется для защиты приватности журналистов, диссидентов, добровольных организаторов утечек данных о злоупотреблениях, силами охраны правопорядка и даже посольствами государств.

Ключевая проблема архитектуры Tor — необходимость поддерживать глобальные данные о состоянии системы для того, чтобы выбирать узлы случайным образом. По мере роста сети поддержание глобального отображения системы станет затратным. McLachlan и др. показали, что в ближайшем будущем сеть Tor будет использовать на порядок больше трафика для поддержания этого глобального отображения, на котором строятся анонимные коммуникации.

Существующие даже самые передовые анонимные p2p-системы, обеспечивающие лишь эвристическую безопасность, легко взламываются как пассивными, так и активными атаками. Более того, эти системы слишком сложны и их применимость возможна только в сетях со структурированной топологией. Авторы приводят краткий обзор атак на анонимные p2p-системы на примере дизайна MorphMix, сетей с безопасными операциями запроса DHT. Все они дают существенную утечку информации об инициаторе и сторонах соединения.

Первое предложение авторов — это создание p2p-анонимных коммуникаций на основе взаимной политики соседних узлов, которая работает даже в неструктурированных топологиях. Ключевой момент состоит в обходе таблиц отпечатков соседних узлов в топологии, т.е. если враждебный узел X попытается исключить честный узел Y из своей таблицы отпечатков, то честный узел Y также исключит злонамеренный узел X из своей таблицы отпечатков. Авторы формально доказывают, что взаимная политика соседних узлов не даёт никаких преимуществ противнику. Также они показывают механизмы для защиты самой этой политики, как в неструктурированных, так и в структурированных топологиях.

Во-вторых, PIR-Tor может выдерживать значительную долю скомпрометированных узлов в сети. Вместо опрашивания центральных директорий достаточно опросить небольшое число случайных узлов. Это является ключом к масштабируемости архитектуры, а использование PIR-техник защитит клиентов против пассивных атак от злонамеренных серверов.

В модели угрозы анонимных систем с низкой задержкой не предусмотрено сопротивление глобальному наблюдателю. Рассматривается ограниченный наблюдатель, который контролирует f узлов. Даже в сети с большим числом узлов могущественный противник, такой как правительства или крупные организации, потенциально может ввести большое число узлов в сеть, например развернув ботнет. Ботнеты размером 20000 узлов представляют реальную угрозу анонимным системам.

В протоколе взаимных политик соседних узлов пути создаются путём случайного обхода. Инициатор сначала устанавливает цепочку со случайным соседним узлом (отпечатком) A, а затем запрашивает у A его таблицу отпечатков. Затем инициатор выбирает случайный узел B через таблицу отпечатков A и расширяет свою цепочку до B через A. Путём повторения этих шагов устанавливается цепочка необходимой длины. Если узел попытается склонить случайных обход к злонамеренным узлам, то его вероятность самому быть выбранным в качестве промежуточного узла уменьшается, вплоть до сведения эффекта атаки к нулю.

При наличии дополнительных ограничений злонамеренные узлы самоизолируются в небольших участках топологии. Кроме того, политика взаимного исключения удивительно эффективна против активных атак на случайный обход, не увеличивая угрозу пассивных атак. Исследователи смоделировали этот механизм с помощью цепочек Маркова и вывели вероятности соответствующих событий.

В неструктурированных топологиях соседская политика может быть использована совместно с социальными сетями. Предусматривается совместное использование доверенного сервера с таймслотами, который хранит сведения о соседях, но за счёт использования методов слепой подписи не может анализировать эту информацию. За счёт поддержки соседской политики этим сервером, злонамеренный узел X не может сказать узлу Y, что тот включён в сертификат X, поскольку тот не включил Y в свои данные в процессе случайного обхода. По мере увеличения роста числа подписей n в каждый таймслот, поддержание такой статистики и работа с ней станет затратной. Для увеличения масштабируемости предлагается, что сперва все узлы пошлют хэш от своих таблиц маршрутизации доверенному серверу. Затем сервер построит дерево хэшей Меркла над этими сообщениями и подпишет корень дерева. Наконец, сервер пошлёт подпись корня дерева помимо log n хэшей для каждого узла, что позволит узлам доказывать, что они являются частью таблицы отпечатков дерева Меркла, подписанного доверенным сервером. Вычислительные расходы на это будут только n log n хэш-операций на каждый таймслот, а расход трафика только O(nlogn), в отличие от O(n²) в текущей архитектуре Tor. Случайный обход в социальных сетях также устойчив к Сибилл-атакам.

Если в сетях с неструктурированной топологией всё ещё требуется доверенный центральный сервер (хотя такие сети и перспективны с точки зрения противодействия атакам перехвата трафика), то в сетях со структурированной топологией авторы предлагают другой протокол. При этом подразумевается наличие инфраструктуры открытого ключа (PKI), которая используется для проверки назначенных идентификаторов Tor-узлам, но в отличие от существующего на данный момент обычного дизайна сети Tor, не требуется никакого онлайнового взаимодействия с доверенной стороной.

Основная идея в том, чтобы сопоставить каждому узлу сертификат, подписанный его отпечатками. Этот сертификат содержит список отпечатков узлов. Ключевое свойство, которое требуется применить к этому сертификату, состоит в том, что узел должен иметь возможность создавать только единственный сертификат за таймслот, который является глобально проверяемым. Глобальная проверяемость должна гарантировать, что соседние узлы могут проверить этот сертификат и принять решение о его включении в свою собственную таблицу отпечатков и каждый узел в сети также должен иметь возможность проверить сертификат для безопасного процесса случайного обхода. Единственный проверяемый сертификат в таймслоте гарантирует, что узел X не может сказать узлу Y, что тот включен в сертификат X путём предоставления другого сертификата, который не включает Y в процессе случайного обхода.

Для уникальности сертификатов в таймслотах применяется методика проверки дистанции. Для проверки уникальности узлы вычисляют среднюю дистанцию между оптимальными отпечатками, основанными на структуре топологии отпечатков, перечисленных в сертификате. Если дистанция больше порогового значения, то сертификат отбрасывается.

PIR-Tor

Защита анонимных коммуникаций в peer-to-peer сетях чрезвычайно сложное дело. Для гарантии случайного выбора узлов в качестве переотправителей коммуникации в проектах безопасных систем делается предположение, что идентификаторы узлов распределены равномерно и случайно в пространстве идентификаторов, а доля злонамеренных узлов не выше 20%. Сегодня сеть Tor имеет всего-лишь около 2500 узлов и если их сейчас перевести на peer-to-peer архитектуру, то для противника будет несложно внедрить 500 узлов для пересечения 20%-ного порога. Новая предполагаемая архитектура способна выдерживать компрометацию такого же количества узлов, как и в текущей сети Tor, но позволяет значительно увеличить сеть.

Пользователям не нужно будет больше получать полный список узлов сети от центральных серверов директорий. Достаточно знать только несколько узлов, чтобы построить случайную цепочку. Однако знание только нескольких узлов сети делается пользователя уязвимым к атакам на получения пассивных отпечатков маршрута от злонамеренной директории, даже в модели "честный-но-любопытный", что является текущей моделью угрозы для Tor, также как и для его расширений. Следует отметить, что злонамеренные серверы представляют собой реальную угрозу: ранее сервер директорий Tor уже был взломан.

В PIR-Tor используется модель приватного получения информации для решения проблемы масштабируемости Tor. Центральные серверы содержат базы данных IP-адресов доступных Tor-маршрутизаторов, а клиенты получают отдельные данные по узлам путём такого запроса, повторяя его столько раз, сколько им требуется для построения цепочки. Это уменьшает расходы на трафик при передаче всего списка. В тоже время этот протокол сохраняет приватность пользователя против враждебных серверов директорий. За счёт применения PIR-протокола результат такого выбора также безопасен, как если бы клиент скачал весь список и выбрал узлы самостоятельно. При этом требуется минимальное внесение изменений в существующую архитектуру Tor, а в дополнение система получает гарантии доказуемой безопасности.

В сети Tor клиенты не выбирают узлы полностью случайно, а в соответствии со значительными ограничениями. Например, первый узел должен быть сторожевым (стабильным в смысле значительного нахождения по времени в онлайне), а последний узел должен быть исходящим. В PIR-Tor информация о каждой политике и аптайме маршрутизатора также включается в базу данных, однако это замедляет приватный поиск. Для этого серверы директорий планируется разделить на три типа: только для исходящих, промежуточных и входящих узлов. Поскольку многие серверы включены сразу в несколько этих категорий, то потребуются дополнительные запросы. Предусмотрено оптимизированное представление сторожевых узлов и учёт пропускной способности.

Симуляция производительности Tor-сети проводилась при использовании схемы приватного получения информации Кушевитца-Островского, основанной на гомоморфном шифровании Гольдвассера-Миккали с размером ключа 1024 бита. PIR-протокол является информационно-теоретически стойким и позволяет множеству серверов хранить копию базы данных, так что клиент может запрашивать все из них для получения информации. Это безопасно, пока t из l серверов не сотрудничают в злонамеренном сговоре.

По данным симуляции время на получение одного IP-адреса Tor-маршрутизатора слабо возрастает в зависимости от количества узлов, миллисекунды:

Источник: [File] ESAT/COSIC, IBBT-K.U.Leuven