id: Гость   вход   регистрация
текущее время 06:05 13/12/2019
Владелец: unknown (создано 20/06/2013 12:12), редакция от 21/06/2013 17:07 (автор: unknown) Печать
Категории: криптография, алгоритмы, распределение ключей, протоколы
http://www.pgpru.com/Новости/2013/Информационно-теоретическиСтойкиеКаналыДляСогласованияКлючаЧерезОбычныйИнтернет
создать
просмотр
редакции
ссылки

20.06 // Информационно-теоретически стойкие каналы для согласования ключа через обычный интернет


Как известно, практически вся используемая в интернет-связи криптография, является вычислительно-стойкой. В противоположность ей существует информационно-теоретически (IT)-стойкая, которая остаётся стойкой независимо от того какими объёмами вычислительных ресурсов обладает противник.


На первый взгляд, требование IT-стойкости может казаться избыточным: вычислительно-стойкие алгоритмы и так проектируются с запасом, что никакой противник, обладающий даже энергией от ресурсов целых планет или крупных космических объектов, не сможет создать суперкомпьютер для взлома вычислительно-стойкого шифра — для этого ему просто не хватит ни энергии, ни вещества. Но, с другой стороны, обоснование вычислительной стойкости алгоритмов всегда неполно, и могут появиться новые виды криптоанализа или вычислений, которые смогут резко снизить ожидавшиеся затраты на взлом.


Это возвращает интерес к IT-стойкой криптографии. К сожалению, при использовании обычных каналов связи IT-стойкой может считаться лишь связь посредством одноразового блокнота: одноразовой, истинно случайной гаммы, которая равна длине сообщения и копии которой до использования дожны храниться у обеих сторон. Дополнительно в такой схеме нужна и IT-стойкая аутентификация, которая осуществляется посредством короткого одноразового ключа. Такая схема достаточно непрактична, немасштабируема и может привести к фатальным ошибкам из-за высокой вероятности неправильного управления одноразовой гаммой.


Для построения IT-стойких каналов связи чаще всего используют квантовую и, реже, шумовую криптографию. В обоих случаях это требует доступа к каналу связи на физическом уровне или специального создания канала с требуемыми свойствами и сопутствующей инфраструктурой. Использование обычного интернета для IT-стойкого согласования ключа до недавнего времени считалось практически невозможным: лишь отдельные, несколько наивные исследования предполагали разменивать сторонам возможность безопасной сборки общего ключа на предположение о том, что противник, якобы, не может прослушивать все используемые ими каналы связи, а лишь только некоторые.


Исследователи Lachlan J. Gunn, James M. Chappell, Derek Abbott, Andrew Allison из отделения электронных и электротехнических разработок университета Аделаиды (Австралия) решили продвинуться в этом вопросе немного дальше.


Согласно классической работе Маурера, если отправитель Алиса делает измерение X, получатель Боб делает измерение Y, прослушивающая сторона Ева делает измерение Z, то при расхождении этих измерений получается совместное распределение PXYZ, которое открывает возможность IT-стойкого согласования ключа в классических каналах связи. В 2004 году Kish и Sethuraman предложили протокол связи, основанный на односторонних коммутативных шифрующих операторах. Если отправитель и получатель накладывают слой шифрования на сообщение, то коммутативность позволяет отправителю совершить обратную своей операцию и таким образом получить шифртекст, ключ к которому знает только получатель.


Для того, чтобы сделать такой обмен ключами IT-стойким, исследователи в текущей работе предлагают воспользоваться шумом, извлекаемым из времени прохождения пакета по сети. Для шифрования необходимо получить секрет, известный обеим сторонам, но неизвестный прослушивающей стороне. Вместо заранее известного сторонам секрета, они могут извлечь его из какого-либа шума окружающей среды таким образом, чтобы он у них стал одинаковым, но прослушивающая сторона не смогла бы получить о нём сведений без ошибок. При отправке пакетов друг другу через интернет, Алиса и Боб получат шум в измерении времени, но прослушивающая сторона также не сможет идеально измерить время и получит другой шум. Это помешает Еве получить преимущество в фазе согласования информации (information reconciliation — IR) между Алисой и Бобом посредством кодов проверки и коррекции ошибок. Несмотря на то, что отклонения по времени прохождения пакета являются смещёнными и неравномерно распределёнными, исследователи применили ряд методик по извлечению случайности. Одной из них является извлечение лишь одного бита за один сеанс обмена пакетами.


Нижняя оценка по лимиту Маурера S(X; Y || Z) ≤ I(X; Y ) показывает, что каким бы сложным не был протокол, если использовать только два разных источника случайных чисел с обеих сторон, то IT-безопасно согласовать ключ невозможно. Иначе говоря, шум внешней среды должен мешать Еве безошибочно точно оцифровывать время получения пакетов. Однако, в большинстве случаев реально используемого сетевого оборудования благоприятная ситуация для Евы невозможна. Например, если она будет зеркалировать себе весь трафик между Алисой и Бобом, то её зеркалирующий роутер неизбежно внесёт шум дополнительных задержек. Также будет и при использовании стандартного компьютера, выполняющего роль "человека-посредине".


При этом следует отметить, что если прослушивающая сторона сконструирует несуществующее на данный момент на рынке связи оборудование, которое будет осуществлять проштамповку времени пакетов во время перехвата на аппаратном уровне, то она сможет разрушить этот протокол.


В демонстрационной системе исследователи посылали UDP-пакеты практически вокруг земного шара (Австралия-США-Европа), в то время как прослушивающая и перенаправляющая пакеты сторона находилась в этой же комнате в том же сегменте локальной сети. Выработку IT-стойкого ключа удалось произвести на скорости всего 13 бит в минуту, что недостаточно для одноразового блокнота, но может быть использовано только для медленного согласования ключа симметричного шифра. На меньших дистанциях исследователи предполагают увеличение скорости согласования.


Таким образом, через линии обычного интернет-соединения возможно медленное согласование симметричного ключа (около 10 минут для 128 бит) без использования асимметричной криптографии. Сам канал согласования остаётся IT-стойким, но малая длина ключа позволяет использовать его лишь для вычислительного-стойкого симметричного шифрования. Стойкость канала может быть нарушена потенциально-достижимыми техническими средствами, если противник сконструирует специальное (хотя потенциально более сложное и дорогостоящее) оборудование, способное делать перехват трафика без задержки времени пакетов или использует точное аппаратное измерение времени, сохраняемое в отдельных метаданных для последующего анализа. Так что такой протокол лишь препятствует перехвату ключа обычным существующим оборудованием.


Источник: Cryptography and Security Archive


 
Много комментариев (17) [показать комментарии/форму]
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3