id: Гость   вход   регистрация
текущее время 11:26 28/03/2024
Владелец: unknown (создано 10/04/2008 10:46), редакция от 24/04/2008 20:29 (автор: volandlm) Печать
Категории: криптография, приватность, протоколы, атаки, стеганография, отрицаемое шифрование, побочные каналы
http://www.pgpru.com/Новости/2008/СтеганографияПриПомощиСлабойКриптографииПомогаетБоротьсяСДушителямиСвободы
создать
просмотр
редакции
ссылки

10.04 // Стеганография при помощи слабой криптографии помогает бороться с душителями свободы


Голландский учёный и специалист по информационной безопасности из Института Теоретической Физики в Амстердаме, сотрудник исследовательской лаборатории Philips Boris Škorić, опубликовал работу Steganography from weak cryptography, в которой предложил новый подход к стеганографии на основе простых и давно известных методов. Им предложен протокол использующий слабую криптографию для сокрытия двух разных сообщений в шифртексте.


Традиционно, современная стеганография базируется на формализованной Симмонсом "проблеме заключённых". В некоторой абстрактной тюрьме находятся двое заключённых, готовящих побег (как несложно догадаться их зовут Алиса и Боб). Они находятся в разных тюремных камерах и готовят совместный план побега. Однако у них нет лёгкой возможности создать незаметный канал связи. Все их сеансы общения и сигналы друг другу, даже самые безобидные, перехватываются надзирателем, которого зовут Вэнди. Надзиратель разрешает общение, но запрещает использовать любые двусмысленные или непонятные ему сообщения. Если сообщение кажется ему подозрительным, то Алиса и Боб подвергаются наказанию и их сообщения блокируются.


Чтобы обойти цензуру надзирателя Алиса и Боб прячут сообщения в условленных фразах или определённым образом отформатированном тексте. В цифровом мире (связь через подконтрольный противнику канал с запретом криптографии) они могут внедрять незаметным образом сообщения в пересылаемые файлы разных форматов, аудио и видеоканалы связи.


Но что если ограничение на запрет крипто не стоит так остро как в тюрьме или оккупированной территории, но и привлекать внимание использованием стойкого крипто нежелательно? Таким образом, речь идёт о борьбе с более либеральным противником, чем надзиратель, а Алиса и Боб находятся "на свободе".


Boris Škorić предлагает новую формулировку – от "проблемы заключённых" к "проблеме борцов за свободу".


Борцы за свободу Алиса и Боб тайно планируют совершение некоторой акции.
Они общаются по небезопасному каналу, который прослушивается их могущественным противником – Вэнди.


Вот какие условия ставятся в новой формулировке:


  • Вэнди всегда позволяет Алисе и Бобу говорить о чём им вздумается. Он только прослушивает канал, но никогда не блокирует сообщения.

  • Вэнди подвергнет Алису и Боба преследованию, если узнает, что они готовят проведение акции.

  • Алиса и Боб знают, что Вэнди установит за ними усиленную слежку, если они будут использовать стойкое крипто. В этом основное отличие от "проблемы заключённых" у которых любое крипто запрещено.

  • Алиса и Боб знают, что Вэнди располагает очень мощными ресурсами в области стего- и криптоанализа.

Целью этих абстрактных борцов за свободу является тайное согласование плана акции и её осуществление до того, как об этом узнает Вэнди. Учёный Boris Škorić предлагает следующее решение этой интересной проблемы.


Алиса шифрует подставной текст при помощи ключа, содержащего истинное сообщение M. Она использует слабый шифр, который получатель Боб может легко взломать таким образом, чтобы получить ключ (таким образом Алиса может отрицать, что вообще посылала сообщение конкретно Бобу, а не положила его в общий доступ на каком-либо файл-сервере для других лиц). Вэнди тоже взламывает шифр, но не может доказать, что ключ шифра сам по себе является коротким шифртекстом на основе стойкого шифра, содержащим истинное сообщение.


В работе приводится пример такой схемы для симметричных криптоалгоритмов, когда у обеих сторон есть общий ключ, для извлечения открытого текста из подставных ключей. К сожалению, её пропускная способность крайне низкая – обычно один симметричный ключ не может быть больше 256 бит, соответственно и размер открытого текста не может быть больше за один сеанс.


Но используя серию сообщений (например общение в чате), они могут набрать необходимое число псевдоключей для обмена сообщениями. Хотя в работе нет прямого указания, вероятно, таким способом можно модифицировать различные протоколы связи с высокой пропускной способностью (например мобильную связь, IP-телефонию), внося в них криптографические слабости, незаметные постороннему наблюдателю, но позволяющие сторонам извлекать общий шифртекст из подставного ключа сеанса.


Источник: Cryptography and Security Archive


 
— Гость (11/04/2008 19:56)   <#>
Если Вэнди требует осмысленных сообщений, да к тому же не глуп, почему бы ему не поставить условием наличие только осмысленных паролей? Ведь шифрование всё равно слабое.
— SATtva (11/04/2008 20:05)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Как я понимаю, предполагается сценарий с нетоталитарным государством, ведущим тотальную прослушку. Само государство не накладывает ограничений на тип и содержание передаваемых посланий, но обнаружив стойкую невзламываемую криптографию, берёт участников общения под более пристальный контроль. Если в сообщениях обнаруживаются (тем или иным способом) признаки неповиновения, то следует наказание. В общем, это можно было бы назвать вполне жизненной ситуацией.
— Гость (11/04/2008 21:51)   <#>
государство не накладывает ограничений
Тогда заголовок новости неправильный – не "душители свободы", а "нарушители приватности".
— Гость (12/04/2008 04:49)   <#>
Как концепция – штука очень интересная. Жаль только, что к российским реалиям в пределе слабо применима. Как только подобная схема получит распространение – появятся и методы борьбы с .. Таким образом, все кто хотят "оставаться на плаву" должны постоянно изобретать новые методы и идти на шаг вперёд: пользоваться тем что ещё мало распространено на данный момент.
— unknown (14/04/2008 08:56, исправлен 14/04/2008 09:33)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Таким образом, все кто хотят "оставаться на плаву" должны постоянно изобретать новые методы и идти на шаг вперёд: пользоваться тем что ещё мало распространено на данный момент.

Все концепции разрабатываются для того, чтобы этого не надо было делать. Все научные методы криптографии и стеганографии разрабатываются с учётом того, что противник знает о том как они работают во всех деталях так же хорошо как и пользователи и даже чуть лучше (принцип Керхгофа).

Если пользователи обмениваются запароленными архивами с музыкой или Ворд-документами и делают вид, что они ничего не знают о стойком крипто или незаинтересованы его использовать, то заподозрить их сложно.

Проблема в ничтожно малом размере сообщения. Если вместо 8-битного байта использовать 5-битный алфавит (32 символа), то в 256-битном ключе можно передать 51 букву. Используя неравномерный код (чаще употребляемые буквы кодируются более короткими группами битов) и сокращения, можно немного увеличить размер сообщения. Сойдёт для передачи чего-то очень короткого (время и место встречи).

Тогда заголовок новости неправильный – не "душители свободы", а "нарушители приватности".

Да сама работа полный LOL – там "freedom fighters" – борцы за свободу. Может они за свободу Тибета или за права животных решили повыступать. Или облить премьер-министра кетчупом. Короче борцы с чем-либо, от которых у Вэнди в любой стране одна головная боль. Обычным пользователям для приватности такие шпионские ухищрения не нужны. Это для экстремалов. Или прото для любителей-параноиков и искателей нестандартных концепций.

Просто интересно, что в ключе (также как и в некоторых типах ЭЦП, и в векторах инициализации и др. параметрах) можно передавать короткие шифртексты. Это может быть не только экзотическим способом общения, но и каналом утечки информации из системы к примеру.
— unknown (14/04/2008 09:22)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Если Вэнди требует осмысленных сообщений, да к тому же не глуп, почему бы ему не поставить условием наличие только осмысленных паролей? Ведь шифрование всё равно слабое.

Ну придётся подыскать такую программу, которая использует от пароля относительно стойкий хэш (для него достаточно стойкости в плане неинвертируемости и рандомизации), но использует слабый шифр.

В девяностые годы таких программ была масса – запароленные архивы, запароленные документы некоторых программ вполне бы подошли.

Т.о. Вэнди получает ключ (так же как и получатель), который выглядит случайным, но не пароль (или псевдопароль – который при использовании слабого хэша даёт такой же ключ). Он мог бы попытаться подбирать его по словарю, но это способ выявить только совсем уж слабые пароли.

Привлекательность такой стеганографии в том, что если наличие случайного массива данных допускается в передаче, то формальная стойкость метода опирается на стойкость криптоанализа стойкого шифра.
— cooshoo (14/04/2008 16:07)   профиль/связь   <#>
комментариев: 83   документов: 4   редакций: 4
А чем эта схема лучше, чем простое подписывание сообщений (где секретный канал организуется с помощью псевдослучайных чисел, используемых в схемах электронной подписи)?
— unknown (14/04/2008 16:44, исправлен 14/04/2008 16:45)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Тем что криптонестойкие схемы ЭЦП малораспространены.

Задача состоит в том, чтобы противостоять профилированию на тех кто пользуется стойким крипто и на тех, кто не пользуется ("под ламера косит").
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3