Новости

Актуальные

03.02 // Известие о взломе VeriSign спустя полгода после происшествия

После серии компрометаций удостоверяющих центров X.509 стало известно, что подобная участь не миновала и гигант VeriSign.

Представители VeriSign (которая — ну так, чтоб просто представлять размеры возможного бедствия — до сих пор держит два из 13 корневых DNS-серверов и является основным регистратором для доменов com, net, name, cc, tv) поспешили заявить, что считают, что атакующие не добрались до систем, поддерживающих DNS. Представитель же Symantec, владельца УЦ VeriSign, поспешил заявить, что нет оснований считать, что эта атака как-то затронула системы, занимающиеся сертификатами. Хочется в это верить — иначе история будет значительно веселее, чем в случае c голландским CA.

Любопытно, что администраторы не информировали руковоство компании аж до сентября 2011 года, а сама информация о взломе всплыла после публикации ежеквартального отчета федеральной комиссии по ценным бумагам и биржевым операциям (U.S. Securities and Exchange Commission), которая ужесточила требования по информированию инвесторов о подобных взломах.

Источник: http://bugtraq.ru/rsn/archive/2012/02/04.html

30.01 // АНБ опубликовало шифр Джона Нэша

Агентство Национальной Безопасности США рассекретило переписку с математиком Джоном Нэшем (который стал широко известен за пределами своей области деятельности после выхода фильма "Игры разума").

Письма размещены на стенде криптологического музея АНБ. В этих письмах от 1955 года Нэш предложил вариант шифра, который считал "невзламываемым" без знания противником ключа, а сам шифр предлагал засекретить только для предотвращения распространения стойкой криптографии среди противников США.

Нэш сделал утверждение о возможности создания шифров, единственным способом взлома которых будет перебор ключа, что дало бы возможность использовать короткий ключ, выбранный в соответствии с критериями вычислительной стойкости. В соответствии с этим, он предполагал, что игровой баланс между создателями всё более хитроумных шифров и взломщиками в будущем придёт в стадию полного завершения в пользу создателей стойких шифров.

Однако, АНБ отвергло дизайн шифра, указав, что он не соответствует критериям безопасности, принятым в каналах правительственной связи. По сообщениям из ответных писем, шифр достаточно остроумный и вызвал оживлённое обсуждение среди специалистов агентства, но его идея оказалась бесперспективной — любые попытки улучшения были бы заведомо хуже уже имеющихся решений по крайней мере в плане производительности.

Конкретные причины отказа его рассмотрения являлись секретными (возможно предположить, что АНБ не хотело разглашать ни своих методов криптоанализа, ни способствовать правильным догадкам о методах создании стойких шифров). Интерес ведомства вызвала и теория игр Джона Нэша, которая впоследствии и принесла ему известность и Нобелевскую премию по экономическим наукам.

Сам алгоритм конечно неактуален, но, вероятно, ему суждено стать известным в плане исторического интереса.

Идеи Нэша сводятся примерно к таким пунктам:

1. Шифр работает с двоичным представлением информации (в современной терминологии в виде битов).
2. Шифртекст зависит не только от ключа, но и от внутреннего состояния, зависящего от всех предыдущих открытых текстов: Y_i = F (α₁, α₂, … α_r; X_i, X_i-1, X_i-2, … X_i-n). Для этого копии битов шифртекста подаются обратно на циклическую обработку алгоритмом.
3. Ввод открытого текста и вывод шифртекста (шифрование/расшифрование) осуществляются побитово (один бит за один цикл).
4. Ввод открытого текста осуществляется сложением по модулю два в устройстве A (в современной терминологии XOR).
5. В зависимости от того, какой бит находится в текущем потоке, устройство D выбирает путь перестановки в устройстве P.
6. Основу алгоритма составлет перестановщик P. Устройство P меняет текущий бит в зависимости от состояния битов по пути перестановки. При этом пути могут быть, как неизменяющие бит, так и инвертирующие его. Количество ключей зависит от количества точек в устройсте (не считая первой, которая не даёт выбора) и составляет [ n! 2ⁿ⁺¹ ]².
7. Расшифрование происходит аналогично, только добавляется устройство R для задержки одного цикла.

Некоторые моменты могут вызвать не вполне однозначное толкование.

Вопросы по п. 6: Судя по письму, начальное заполнение битами устройства P — это и есть ключ. Или этим можно считать характер связей-переходов между точками хранения битов в P? Можно однако считать, что имеют право на одновременое сосуществование оба варианта (хотя правила перестановок должны представлять собой сбалансированную функцию — это скорее вариант долговременной секретной таблицы). Не очень понятно, как при прохождении бита меняются эти биты в перестановщике P. В соответствии с правилом прохождения, взаимно? Т.е. и проходящий бит и те, через которые он проходит. Инвертируются (или в зависимости от сочетания не изменяются) и всегда замещаются? Или замещаются только когда инвертируются? Одна из красных стрелок не помечена знаком "+" или "-" — означает ли это что-нибудь?

Вопросы по п. 7: почему задерживающее устройство R помещено в расшифровывающую часть схемы, а не наоборот — в зашифровывающую? Можно было бы пропустить один бит открытого текста через D-P, а затем его уже поксорить снова с открытым текстом в A и только после этого выпустить. Иначе непонятно XOR чего с чем производится в начальном цикле, в то время как для дешифрования эта задержка вроде как не нужна?

Как вариант, можно было бы прогнать через шифрующее устройство некоторое количество случайных битов (вектор инициализации) — для придания уникальности шифртексту и изменения начального заполнения битов, задающих перестановку в P. При расшифровании эти биты можно было бы использовать и отбросить (как обычный IV). Возможно, что о векторе инициализации Джон Нэш не знал.

Сама по себе схема предельно простая и вместо внесения дополнительных усложнений Нэш предлагал увеличивать размер P. Интересно, какой самый простой вид криптоанализа для неё возможен?

АНБ утверждает, что никогда не использовало идей из этой схемы. А если в этой схеме заменить битовые операции на байтовые? Возможно ли было бы получить что-то близкое к современным шифрам?

Источник: Агентство Национальной Безопасности США — Центр по связям с прессой / Национальный музей криптологии

02.01 // Первая оценка возможности практического взлома AES: 1.5 триллиона US$ и менее года вычислений

Исследования в области специальных аппаратных средств для взлома шифров насчитывают почти столетнюю историю. В 1938 году польские математики, возглавляемые Марианом Режевски, создали электромеханическое устройство под названием "Бомба" (Bomba Kryptologiczna), позволившее им взломать немецкий шифр Enigma за счёт полного перебора положений 17576 роторов. Этот успех был развит английскими криптографами (с ведущей ролью Алана Тюринга и Гордона Велчмана), которые создали удачные машины для взлома шифров, позволившие силам союзников читать сообщения, зашифрованные Энигмой в ходе Второй Мировой войны. Параллельные усилия в криптоанализе другого немецкого шифра, Lorenz SZ40/42, привели к созданию первого в мире программируемого компьютера Colossus. Он содержал 1500 вакуумных ламп и был способен обрабатывать 5000 знаков в секунду.

В 1980 году Померанц и др. создали аппаратную архитектуру, названную Quasimodo для факторизации больших чисел с помощью алгоритма квадратичного решета. Quasimodo был построен, но не функционировал должным образом. Проект DES Cracker (также известный как Deep Crack) — это машина параллельного поиска ключа, разработанная организацией EFF в конце 1990-х с суммарным бюджетом всего 210000 US$. Deep Crack содержал около 1500 специальных микросхем и требовал по крайней мере 9 дней для нахождения 56-битного ключа DES за счёт атаки "грубой силой". Также в конце 1990-х Шамир предложил TWINKLE — электрооптическое устройство для выполнения шага просеивания в алгоритме NFS (решета числового поля). По его оценкам одного такого чипа было бы достаточно, чтобы за приемлемое время факторизовать 512-битные числа и, соответственно, взламывать 512-битные RSA-ключи. TWIRL, улучшенная модификация TWINKLE предполагала уменьшение полного времени просеивания до 10 минут. Оба эти устройства остались чисто гипотетическими, но привлекли значительное внимание криптосообщества и вызвали рост последующих исследований. Типичным примером стало появление устройства COPACOBANA на основе паралльной архитектуры FPGA (ПЛИС) для успешного криптоанализа шифров с 64-битным ключом (KeeLoq, DES и A5/1).

Дальнейший интерес связан с изучением возможностей графических процессоров (GPU) и специализированных микросхем ASIC.

Исследователи Алекс Бирюков и Йохан Гроссшадль из лаборатории алгоритмики, криптологии и безопасности Университета Люксембурга (LACS) впервые предоставили оценки возможности построения суперкомпьютера для практического взлома AES на основе передовых технологий GPU/ASIC/VLSI, использованных в NVIDIA GT200b. По их расчётам на сегодняшний момент возможности существующего "железа" позволяют осуществлять атаки, на проведение которых требуется 2¹⁰⁰ вычислений. Следует понимать, что эти атаки можно считать практически осуществимыми только гипотетически (например, если вся энергетика, финансы и инфраструктура США будут направлены только на взлом AES в течении года, то это можно считать практически осуществимым взломом, по крайней мере в оценочном плане).

"Практическому взлому" можно считать подверженным не только AES-128, но и AES-256. Следует опять же различать, что даже если гипотетический противник, обладающий доступными в масштабе крупной страны сверхресурсами, потратит их на осуществление взлома, его практичность всё равно остаётся под сомнением: противнику нужно получить доступ к слишком большой утечке данных в рамках исполнения протокола, что может встречаться скорее в лабораторных условиях и ограничивает оценочный характер этого результата ещё в большей степени.

Исследователи рассмотрели две ранее известные атаки на полнораундовый AES, требующие исполнения 2¹⁰⁰ операций. Первая атака — на связанных ключах против AES-256 (Related Key Cryptoanalysis — RKC) — 2^99.5 шагов исполнения и 2⁷⁸ памяти. Такая атака непрактична из-за малой вероятности появления связанных ключей в каком-либо практически используемом криптопротоколе. В простейшем случае используется простое соотношение K' = K ⊕ C, улучшенная версия этой же атаки (бумеранг-атака со связанными ключами) использует соотношение K' = F⁻¹ (F(K) ⊕ C) = R_C (K), где K, K' — неизвестные связанные ключи, F — раундовая функция ключевого расписания AES-шифрования, C — навязываемая атакующим константа. Несмотря на слишком сильную модель атакующего и невероятное количество предоставляемых ему данных, такая атака преодолевает психологический барьер сложности 2¹⁰⁰.

Вторая атака основана на размене ключей-времени-памяти (Time-Memory-Key — TMK) против AES-128, также известна как атака с множественными целями. В этой атаке фиксированный открытый текст шифруется множеством различных секретных ключей, а целью атакующего является нахождение по крайней мере одного из этих ключей. Используя 2³² целей, TMK-атака имеет сложность предвычислений 2⁹⁶, после чего каждый новый секретный ключ может быть найден с затратами времени 2⁸⁰ и памяти 2⁵⁶. Впервые атака такого рода предложена Хеллманом для инвертирования хэш-функций и использована для создания радужных таблиц. Идея состояла в просчёте хэш-цепочек и отбрасывании всех промежуточных значений кроме стартового и конечного. Пары конечных и стартовых цепочек сохранялись в памяти, сортировались в памяти по конечным значениям. В ходе атаки противник берёт шифртекст (хэш-значение) и повторяет функцию до нахождения конечного значения цепочки. Сравнивая конечное значение со списком уже просчитанных, он может найти нужную цепочку и требуемый прообраз.

Применительно к шифрам TMK-атака позволяет перебирать только часть пространства поиска за счёт оптимизации по требуемому параметру. В случае если сообщения (файлы) с одним и тем же заголовком шифруются множественными ключами, такую ситуацию можно признать практичной. Если пространство поиска N = 2ⁿ (n = 128 для AES-128), то располагая шифрованием фиксированного открытого текста D_k различными ключами, необходимо перебрать только N / D_k точек в пространстве. Для этого нужно использовать t / D_k шифротаблиц вместо t, что означает уменьшение памяти до M = mt / D_k (где m — количество начальных-конечных точек в таблице Хеллмана). Затраты времени T = t / D_k · t · D_k = t² на основе исходной оптимизации Хеллмана (меньше проверок таблиц — больше точек с данными). Наконец, правило останова для матрицы N = mt² — состояние минимизации расходов покрытия матрицы в результате проявления эффекта парадокса дней рождения. Используя правило останова для матрицы и сокращая параметры m и t, получаем формулу оптимизации: N² = T(MD_k)².

Используя в качестве образца AES-128, атакующий за счёт 2³² доступных шифрований фиксированного текста на различных неизвестных ключах восстанавливает один из этих ключей предвычислением 2⁹⁶ шагов и 2⁵⁶ обращений к памяти для табличного хранилища размером 2⁶¹ байт и затрачивает в целом 2⁸⁰ шагов по времени для поиска ключа. Важным свойством является также то, что атака не является обязательно атакой с подобранным открытым текстом, так как конкретное значение открытого текста не важно. Для осуществления атаки быстрее, чем полным перебором, противник может найти, какое значение открытого текста наиболее часто используется в целевом приложении, собрать данные для различных ключей и провести атаку. Таким образом TMD-атака является более практичной, чем атака на связанных ключах (RKC).

Обе атаки требуют примерно одинаковых затрат и оборудования. Исследователи считают, что организация, способная потратить триллион долларов (что сопоставимо с размером годового оборонного бюджета США), может взломать AES-256 в сценарии RKC и подобных атак в течении года вычислений. Использование десятой части такого бюджета (100 миллиардов US$) достаточно для проведения TMK-атаки на AES-128 с 2³² целями. Такая атака потребует год предвычислений, после чего каждый новый ключ может быть вычисляем за 2⁸⁰ AES-операций, т.е. каждые 8 минут на таком "менее масштабном" суперкомпьютере. Исследователи рассматривают гипотетический проект такого компьютера, названный ими CAESAR (“Cryptanalytic AES ARchitecture”). Эта гипотетическая машина (как TWINKLE или TWIRL), хотя и находится за границей реально доступных ресурсов, но в отличие от "кофейников Шамира", опирается на существующую технологию. Некоторые предположения и близкие прогнозы авторов касаются памяти. Так, реалистично ожидать появления жёстких дисков размером 10-100 терабайт, которых в таком случае потребуется всего 3 · 10¹⁰ — 3 · 10⁹. Столько же потребуется и процессоров. Расходы энергии составят 4 тераватта, что превосходит годовое потребление энергии в США (3.34 тераватта), но развитие энергосберегающих вычислительных технологий позволяют несколько приблизить и эти границы.

В качестве перспективных факторов авторы рассматривают также:

• Продолжение действия закона Мура для ближайших десятилетий, хотя и с некоторым замедлением.
• Успехи в криптоанализе AES, снижающие сложность атак. Такие успехи являются спорадическими и непредсказуемыми, поэтому оценить влияние этого фактора сложно.
• Появление магнито-электронных (спинтронных) компьютеров со значительно сниженным энергопотреблением.
• Появление оптоэлектронных компьютеров, значительно снижающих энергопотребление для массированных вычислений.
• Появление 3D-оптических накопителей. Уже сейчас достижим размер в 1 терабайт для дисков, аналогичных DVD. Возможно появление 100-терабайтных носителей.
• Распространение квантовой голографии. В 2009 году уже был продемонстрирован результат возможности записи 3 эксабайт (2^61.5 байт) на квадратный дюйм.

По мнению исследователей, проект гипотетического суперкомпьютера CAESAR демонстрирует узкие места в затратах энергии и количестве памяти, но свидетельствует о снижении оценок практической стойкости AES в долговременной перспективе.

Источник: Cryptology Eprint Archive

30.12 // EFF добилось частичного возобновления процесса против АНБ в деле о массовом прослушивании в США

29 декабря, девятый окружной апелляционный суд Сан-Франциско заблокировал попытки правительства закрыть дело о массовом прослушивании граждан США, которое было инициировано Фондом Защиты Электронных Рубежей (EFF) в процессе Джюэла против АНБ (Агентства Национальной Безопасности США). Слушания по этому вопросу будут возобновлены.

Суд постановил, что Джюэл привёл достаточно свидетельств о программе массового прослушивания без ордеров для того, чтобы продолжить процесс. Судьи отвергли аргументы властей, которые пытались представить заявления о широкоизвестной программе шпионажа и доказательства, найденные в здании на Фолсом-стрит в Сан-Франциско, слишком спекулятивными.

"С момента первого появления на свет программы массового прослушивания, мы боролись за то, чтобы суд вынес решение о том, является ли она легальной" — сказала директор EFF по правовым воросам Синди Кон. "Сегодня девятый округ дал нам этот шанс и мы ожидаем доказательства неконституционности данной программы и нелегальности нарушения прав миллионов рядовых американцев".

В этот же день суд поддержал отказ в другом процессе EFF, направленном против массового прослушивания — деле Хэптинга против AT&T, которое было первым иском против телекоммуникационной компании на предмет её вовлечённости в массовое прослушивание внутри страны. Суд постановил, что так называемый "иммунитет с обратной силой", одобренный Конгрессом для того, чтобы остановить пользователей, подающих иски против компаний, является конституционным, в частности, поскольку требования в процессе Джюэла против АНБ остаются неразрешёнными.

"Предоставляя иммунитет, имеющий обратную силу, для телекоммуникационных компаний, соучаствующих в программе прослушивания без ордеров, Конгресс отказывается от своих обязательств перед американскими гражданами", заявил главный представитель EFF Курт Опсал. "Сегодняшнее решение, подтверждающее, что права телекоммуникационных компаний выше прав их пользователей, является разочаровывающим".

Это постановление появилось спустя почти шесть лет после первого раскрытия программы прослушивания без ордеров, опубликованного в Нью-Йорк Таймс 16 декабря 2006 года. EFF продвинулось в деле Джюэла в северном федеральном судебном округе Калифорнии. Ожидается, что следующей линией защиты со стороны властей будет давление на тему привилегий государственной секретности, но этот аргумент уже отвергался в схожих судебных случаях.

Источник: Центр по связям со СМИ организации EFF

29.12 // Необходимость использования длинных отпечатков ключей в GnuPG

Asheesh Laroia опубликовал сообщение о быстром способе нахождения коллизий к коротким отпечаткам ключей в GnuPG. Он сообщает о том, что может в течении нескольких часов сгенерировать отпечатки для любого ключа на рядовом компьютере и отказывается от публикации программы якобы из-за возможного ущерба из-за спуфинга серверов ключей. Поиск вторых прообразов для коротких отпечатков позволяет создать ключ с коротким отпечатком, таким же как у заданного ключа.

Однако, ничего нового в этой особенности нет и уязвимостью в GnuPG это не является. Пример более ранней реализации в рассылке Fulldisclosure. Использование легкозапоминаемых коротких 32-битных идентификаторов — коротких отпечатков исторически сохранилось с 1992 года (программа PGP), когда подбор прообразов был возможным, но вычислительно трудным на общедоступных компьютерах. В соответствии со стандартом OpenPGP при проверке ключей коллизии в коротких отпечатках не должны приводить ни к каким нежелательным результатам, однако в некоторых оболочках и серверах обработка таких событий может быть реализована неправильно.

Патч, который даёт предпочтение длинным отпечаткам, откладывался разработчиками как несущественный, но он внесён во все ветки последних версий GnuPG. Пользователям рекомендуется доверять только полным отпечаткам ключей и быть осторожными при выводе результатов поиска с серверов, которые осуществляют поиск только по коротким отпечаткам.

Источник: AshesshWorld

22.12 // Внеплановый даунтайм

Многие могли обнаружить, что в течение почти целых суток сайт был недоступен. Я сам это заметил только сегодня днём (перестав получать письма) и тут же связался с хостинг-провайдером. Выяснилось, что ночью нашу хостинг-площадку переносили на новый сервер, однако что-то пошло не так, и её активация на новом месте очень сильно затянулась...

В общем, всё в порядке, сайт не закрыли, администрация пока по-прежнему на свободе. Приношу извинения за провайдера за доставленные неудобства.

17.12 // Плановое декабрьское обновление SSL-сертификата сайта

Приношу извинения за небольшую задержку. Новый сертификат будет установлен в ближайшие день-два. Отпечаток приведён ниже.

SHA1 Fingerprint=3C:75:28:CC:23:47:10:F8:23:AE:E5:21:4F:97:58:CD:CC:8A:A2:BE

17.12 // Исправление уязвимостей в Tor 0.2.3.10-alpha и 0.2.2.35

Всем пользователям Tor необходимо обновиться из-за нахождения переполнения кучи в работе с памятью. Конкретного эксплойта неизвестно, но авторы считают, что любая уязвимость такого рода может потенциально приводить к исполнению произвольного кода.

В действительности, теоретический эксплойт возможен лишь при определённых настройках Tor. Злоумышленник должен обратиться к SOCKS-порту Tor, который у большинства пользователей ограничен локальным хостом, если только они не предоставляют доступ к своему Tor-процессу по сети. При такой настройке подразумевается работа tor-процесса не в качестве сервера (tor-узла), а лишь в качестве клиента совместного доступа (варианта SOCKS-прокси).

Другой вектор атаки может быть реализован если Tor-клиент настроен на выход в сеть через сторонний SOCKS-прокси. Злоумышленник должен иметь контроль над данным прокси-сервером, организовать атаку "человека-посредине" или как-то иначе осуществить соединение с SOCKS-Tor-портом.

В настройках по умолчанию для большинства пользователей данная уязвимость не представляет угрозы.

Источник: The Tor Blog

12.12 // Медведев поручил Путину открыть дорогу иностранной криптографии

Среди президентских поручений правительству оказался пункт о возможности признания Россией международных стандартов защиты информации. Если это произойдет, отечественный рынок откроется для зарубежных поставщиков шифрования, считают эксперты. В то же время, спрос на отечественные решения может упасть.

Президент Дмитрий Медведев подписал перечень поручений по итогам заседания Международного консультативного совета по созданию и развитию международного финансового центра в России. «Мы создаём финансовый центр и для того, чтобы получать инвестиции извне, и для того, чтобы наши российские предприниматели получили лучшие условия для своей деятельности», – обрисовал президент общий смысл этих инициатив.

Среди прочего президент поручил правительству рассмотреть вопрос о целесообразности смягчения требований к вывозу отечественных шифровальных (криптографических) средств за рубеж и о признании международных стандартов в области защиты информации. Ответственным за работы назначен председатель правительства Владимир Путин, предложения должны быть представлены до 1 марта 2012 г.

Эксперты говорят о том, что перспективы отечественного оборудования для шифрования за рубежом туманны, тогда как иностранные вендоры после признания международных стандартов смогут усилить свои позиции в России.

«Безусловно, поручения связаны с вступлением России в ВТО, – считает управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников. Российская криптография, по его словам, практически не экспортируется, поэтому в первую очередь инициатива президента может облегчить жизнь иностранным поставщикам средств шифрования при их ввозе из-за рубежа.

Также в признании международных стандартов защиты информации заинтересованы крупные заказчики, у которых есть необходимость шифрования трафика «на лету», с чем не справляются надежные, но медленные российские алгоритмы, добавляет Емельянников.

Сейчас криптографическое оборудование лицензирует Минэкономразвития по согласованию с ФСБ, а без ограничения ввозятся только слабые алгоритмы, говорит эксперт.

Поручение президента не поможет российским производителям, а лишь снимет регуляторные барьеры для зарубежных поставщиков, согласен Илья Карпов, начальник отдела маркетинга компании Zelax, занимающейся выпуском телеком-оборудования в России.

«Отечественное оборудования для шифрования имеет высокий класс надежности, но его перспективы за рубежом совершенно не ясны, – говорит он. – Иностранные госструктуры с высокими требованиями к безопасности не будут их покупать по политическим причинам, а на массовом рынке востребованы решения попроще».

Выиграть от признания международных стандартов смогут вендоры из Китая и Кореи, считает Карпов: «Ведущие западные поставщики уже решили проблему лицензирования путем установления партнерских отношений с российскими игроками».

О том, что рост роли международных стандартов на национальном рынке информационной безопасности может привести к падению спроса на продукцию отечественных производителей ПО, недавно говорил и Алексей Лукацкий, бизнес-консультант по безопасности Cisco.

Впрочем, разговоры о послаблениях для поставщиков средств защиты информации идут давно, напоминает Михаил Емельянников: «Учитывая установленные поручением сроки и то, что у правительства, насколько мне известно, другая точка зрения на подобную либерализацию, я не думаю, что в ближайшее время что-то реально сдвинется».

Источник: http://www.cnews.ru/news/top/i.....ml?2011/12/12/468598

30.11 // Hummingbird: приватный вариант Twitter-сервиса

В последнее время получили большое распространение онлайновые социальные сети (OSN), которые интенсивно вытесняют традиционные средства связи в интернете, такие как электронная почта и чаты. Наиболее популярные на данный момент OSN, такие как Facebook, Twitter, Google+, предоставляют пользователю настройки приватности и права доступа (ACL) к контенту (сообщениям, фото, видео), использование которых основано на доверии к поставщику этих сервисов. Это доверие легко нарушается: уклончивые соглашения о приватности позволяют поставщику услуг перепродавать приватные данные пользователя третьим сторонам. Так, Facebook по-умолчанию считает все материалы, размещённые пользователями, "публичным достоянием", что вызывало опасения по поводу соблюдения приватности со стороны Федеральной Торговой Комиссии США. Другие риски пользовательским данным включают в себя: взломы, инсайдерские атаки, ордера на обыск от правоохранительных органов (например по делу о сотрудничающих с проектом WikiLeaks). Кроме того, угроза контенту возрастает из-за его кэширования и сохранения в оффлайне (на резервных копиях носителей в датацентрах) даже после того, как пользователь его удалил, поэтому угроза приватности остаётся постоянной.

Более эффективным методом защиты приватности является передача контроля над приватными данными к их владельцам (конечным пользователям), так чтобы содержимое приватных данных не раскрывалось центральному сервису, также как и неавторизованным пользователям. Также важным является сокрытие связей и отношений между пользователями. Так, в микроблоггинг-OSN, таких как Twitter и Tumblr сокрытие данных о подписчиках и поисковых запросах важно для защиты от утечек, приводящих к профилированию, такому как: персональные привычки, политические взгляды, состояние здоровья и др. Например, интерес к хэштэгу #HIVcure (лечение ВИЧ/СПИД), совмещённый с данными геотеггинга Google, указывающими на посещение медучреждения на карте.

Исcледователи Emiliano De Cristofaro, Claudio Soriente (Политехнический Университет Мадрида) Gene Tsudik, Andrew Williams (Университет Калифорнии, Ирвин) предложили систему приватного микроблоггинга Hummingbird ("Колибри").

Два основных свойства этой системы:

1. Приватный тонко-настраиваемый контроль доступа для друзей и читателей: владелец твит-микроблога шифрует твит-сообщения и выбирает, кто может получать доступ (определение ACL для твит-контента).
2. Приватность для друзей, читателей, подписчиков: они могут выбирать хэштэг без утечки интересов. Так, Алиса может подписаться на хэштэг #OccupyWS ("Займи Уолл-Стрит") от владельца канала New York Times (NYT) так, что ни Twitter, ни NYT об этом не узнают.

В качестве основы для построения протокола работы Hummingbird были выбраны: псевдослучайные функции "с забыванием", подписи RSA "вслепую" — на их основе и с использованием хэшей в модели случайного оракула построены псевдослучайные функции с забыванием на основе слепых подписей RSA, а также псевдослучайные функции с забыванием на основе выполнения протокола Диффи-Хеллмана вслепую.

Идея псевдослучайных функций с забыванием впервые была предложена на основе псевдослучайных функций Наора-Рейнголда в 2005 году Фридманом, Ишаи, Пинкасом и Рейнголдом для приватного поиска ключевых слов. В дальнейшем были предложены и другие конструкции этого протокола.

Смысл протокола (это протокол псевдослучайных функций с забыванием, выступающий в качестве подпротокола, строительного блока Hummingbird) состоит в следующем:

f(x) — псевдослучайная функция.

f_s(x) — псевдослучайная функция F (s, x), где x — переменная, а s — секретное значения для выбора функции из семейства псевдослучайных функций (аналог хэша с ключом, но более сложная конструкция с участием асимметричных примитивов).

Oblivious PseudoRandom Functions (OPRFs) — "псевдослучайные функции с забыванием", "слепые", "невнимательные" вычисления — это f_s(x), вычисляемая в ходе такого двустороннего протокола между отправителем и получателем, что:

1. Только отправитель (sender, часто это ещё и сервер) знает секретный индекс s.
2. Получатель (часто это клиент) предоставляет в "скрытом", "замаскированном" виде вход x.
3. Получатель (совместно с отправителем) может вычислить f_s(x), но не узнав при этом s (он знает только промежуточные значения — "затемнённый", "слепой", "замаскированный" множитель) — ("вычисления вслепую"). Отправитель "не узнаёт", "забывает" то, что ему не положено знать: не узнаёт x, f_s(x) — ("помог вычислить и забыл", "не смог подглядеть в то, что вычислял"). Отправитель "для себя" не получает вообще никакой полезной информации от исполнения протокола. Иначе говоря, на выходе протокола получатель (клиент) получает f_s(x) для своего x, а отправитель (сервер) — ничего, "пустой выход протокола".
4. В случае RSA-OPRFs получатель может проверить корректность вычислений в протоколе со стороны отправителя.
5. В случае DH-OPRFs получатель не может непосредственно проверить корректность вычислений отправителя (это может быть исправлено если отправитель приложит доказательство знания дискретного логарифма с нулевым разглашением: Zero-Knowledge Proof of Knowledge — ZKPK).

Используя такой протокол можно решать множество задач: например сервер может помочь двум пользователям узнать, есть ли у них одинаковые запросы, так что сервер ничего не узнает об этих запросах, а пользователи узнают лишь о факте совпадения.

Исследователи считают, что такой выбор алгоритмов и принцип построения сервиса имеет свои преимущества перед, например, шифрованием на основе атрибутов доступа в распределённых сетях: таким образом удаётся поддерживать быструю скорость работы (что важно при использовании микроблоггинга с мобильных устройств), решить проблемы с масштабируемостью, сохранить в тайне интересы подписчиков (что было бы невозможно при использовании ABE — шифровании, основанном на атрибутах).

Протокол не обеспечивает анонимности: владелец твит-блога по умолчанию известен (если он не скрывает свою идентичность дополнительными средствами, такими как анонимные сети). При этом читатели микроблога остаются полностью анонимными без каких-либо дополнительных средств. Понятно, что чтение приватных твитов возможно только для авторизованных пользователей, в отличие от обычного сервиса Twitter, где большинство твит-микроблогов открыты.

Исследователи выполнили тестовый вариант сервера Hummingbird и плагина для Firefox. Оба требуют наличия Java. При этом для сервера не наблюдается никаких дополнительных расходов на поддержание приватности. У пользователей затраты времени на различные операции составляют 0.1-0.9 ms/hashtag. В дальнейшем исследователи планируют ввести дополнительные функции в протокол, включить анонимность владельцев микроблогов, отзыв подписчиков и провести улучшенный анализ безопасности.

Источник: Cryptology ePrint Archive

См. также: #h00t: цензурозащищённый, анонимный, шифрованный обмен данными через Twitter и другие сервисы

Добавить новость

Здесь вы можете поделиться собственной новостью, которая после проверки модератором попадет на главную страницу сайта. Чтобы пройти проверку сообщение должно быть полным, грамотно составленным, соответствующим тематике сайта, а также должно содержать ссылку на источник информации. Перепечатывать полноформатные статьи с других ресурсов не рекомендуется, а при перепубликации новостных сообщений убедитесь, что исходный сайт это допускает. Публикации на иностранных языках запрещены!

Архивы новостей

• 2001
• 2002
• 2003
• 2004
• 2005
• 2006
• 2007
• 2008
• 2009
• 2010
• 2011
• 2012

Подписка и экспорт

Рассылка проекта Описание и статистика... Архив рассылки...

RSS-каналы Последние новости Обновления форума Изменения страниц