Анонс идеи аппаратного скремблера

фиксирует таймстемп T, ограничивающий время для подбора злоумышленником и предотвращающий Replay-атаку.

B cлушает канал и, приняв посылку с флагом запроса, сверяет таймстемп

То есть предполагаются синхронные часы? Не слишком ли непрактичное требование?

Не особо синхронные – предполагался допуск минутной погрешности.
Хотя, конечно, в аппаратной реализации это не совсем практично, да.
Собственно, таймстемп нужен исключительно для ограничения времени выполнения протокола для усеченных айтентификаторов. Но, как мне намекнули, это неэффективный костыль: хотя-бы в начале надо передать полный (128 бит) аутентификатор. В таком случае синхронизированный таймстемп можно смело выбрасывать, а для удаления зависших в ожидании соединений использовать счетчик тактов с момента включения устройства.

А, так вы всё-таки прослушиваете мои интернет-коммуникации! Буквально вчера искал документы такого плана.

Начал интересоваться возможностью создания скрытых каналов в WiFi. По типу стего поверх обычного WiFi-соединения между двумя подставными узлами (чтобы кто-то в стороне получал сообщение путём пассивного перехвата этого канала) или коротких импульсных односторонних связей.

Сначала нашёл это и это. Но показалось слишком примитивно.

Затем наткнулся на ULTRA WIDEBAND DATA CHANNELS FOR SPECIAL OPERATIONS FORCES. Откуда вышел на Millimeter-Wave Soldier-to-Soldier Communications for Covert Battlefield Operations.

И дошёл до: Radio Communications in the digital Age, откуда заинтересовался STANAG и низкобитрейтным MELPe. Там, ближе к концу, после разъяснения азов, интересная информация

Начал думать, как это всё можно скомпоновать вместе и понавесить крипто. А тут вы со своей темой :)

На первый взгляд протокол выглядит достаточно хорошо продуманным. И даже может найти больше применений, чем шифрование в рациях.

Использование таймштампа T вполне оправданно, чтобы действительно не отвечать на слишком старые вызовы. Но тогда, почему бы его не включить и снаружи в чистом виде, и внутри хэша запроса?

Т.е., вместо P_AB = H(ID_A ║ B^x) считать P_AB = H(ID_A ║ T ║ B^x) и передавать запрос внешне по старому P_AB, T, X, X', но с учётом зависимости P_AB от T. И в других шагах протокола по аналогии.

Хуже от этого не будет. Правда, доказать, что сильно лучше — тоже. Но, по крайней мере, размер запроса от этого никак не изменится, а дополнительная привязка будет и в самом запросе, чтобы T нельзя было произвольно менять в подставных запросах, повторяющих старые.

Скрытно, это как?

Это если абоненты знают друг друга не только по ключам, но и по голосу. А если абонент B, скажет: «по этому вопросу свяжись с C, он больше владеет информацией». А с C до этого A никогда не разговаривал(а)?

Уважаемый Gegel!

Аппаратный скремблер, это, конечно, хорошо, но каковы перспективы дальнейшего развития вашего Torfone – вот что заботит большинство пользователей!
Особенно с учетом непопулярных действий MS по Skype.
Вы посмотрите, какой переполох начался по этому поводу – https://www.linux.org.ru/news/internet/10606010, и это только на ЛОРе.
А у простого люда до сих пор нет надежного качественного открытого шифрующего Voice-мессенджера, которым можно заменить Skype.
Хотя количество их разработок достигает десятков, но все они в абсолютном своем большинстве – у.г.
Вот на что следует обратить ваше бесценное внимание и усилия!

А, так вы всё-таки прослушиваете мои интернет-коммуникации!

СОРМ+. Добавлен астральный модуль.
СОРМ+Pro. Активный режим: участники pgpru дружно роют в направлении, заданном тов.майором :)
А если серьезно, то тенденция к смене модели со шпионской на военную тревожная.

Использование таймштампа T вполне оправданно

Да, но это таки проблема в HW-исполнении. И с другой стороны, т.к. любой запрос может быть создан кем угодно для кого угодно, а обязательный ответ все равно включает рандомные ключи, то какой смысл отделять реплей от фейка? После замечания SATtva вот подумал вообще исключить таймштамп из запроса и из инициализации Sponge, а в список ожидающих и открытых соединений писать свой счетчик тактов с начала включения (несинхронизированный) для удаления зависших.

Кроме того, картинки с солдатами по вашим ссылкам натолкнули на мысль, что в модели угроз я не учел возможности ddos. Старую запись сессии надо бы удалять только после полной аутентификации новой.

Скрытно, это как?

Имеется в виду, что ни внешний наблюдатель, ни противоположная сторона не получают информацию о результате аутентификации. Протокол не прерывается, сеанс устанавливается. Абонент просто предупрежден, что с сеансом/контактом что-то не так, и сам принимает решение.

Это если абоненты знают друг друга не только по ключам, но и по голосу.

Я понял Шнаера немного по другому: человек четко отличает голос от не-голоса. Это и есть фактор аутентификации. Т.е. вероятность, не зная ключа, изменить данные так, чтобы после дешифровки и декодирования получить голос, а не шум, причем с другой голосовой информацией, пренебрежимо мала.
Хотя, конечно, если, рассматривать вариант с фразой "Казнить нельзя помиловать", то можно внести искажения и изменить двоякий смысл. Но на практике, учитывая наличие естественных искажений телефонии, обычно критические места уточняют.

PS: если можно, поменяйте в моем первом посте в двух местах SIGMA на SKEME: думал об одном, а писал другое...

каковы перспективы дальнейшего развития вашего Torfone

Доделываю консольный под Linux (но несовместим со старым по протоколу и криптографии – все оптимизировал). И сразу будет под Windows. Значительно улучшил обработку голоса (новые кодеки) и криптографию (ECDH, Keccak).

Поменял. Возможно, кое-какие вопросы и размышления сформулирую чуть позже.

Можно попробовать текущую бетку? Или она сильно сыра?

Можно попробовать текущую бетку? Или она сильно сыра?

Пока сырая. Я заморочился аудиокодеками (добавил практически все, что нашел), они жутко конфликтовали – потерял много времени. Вроде все наладил. Сейчас только взялся за криптографию. Постараюсь не затягивать.

To unknown: похоже, это те же ребята, что и по первой вашей ссылке: https://github.com/lulzlabs/AirChat

Т.е. уже после согласования при установлении связи по шифрованному каналу передаётся от A к B значение M_A, а от B к A значение M_B?

Да и ещё в DH там предусмотрены проверки на навязывание плохих значений?

Ещё интересно: голос не аутентифицируется и не кодируется кодами упреждающей коррекции ошибок (FEC), это понятно. А данные запросов каким кодированием передаются в однонаправленном канале с помехами? В КВ (HF/SSB) и GSM особенно, где могут быть сильные шумы, задержки, пропуски, эхо и искажения. Или FDMDV это всё обеспечивает для данных?

Т.е. уже после согласования при установлении связи по шифрованному каналу передаётся от A к B значение MA, а от B к A значение MB?

После DH-согласования мастер-ключа абоненты могут обмениваться голосовыми посылками. В начале каждой посылки в открытом виде передаются MA (MB) и CTR. Аутентификаторы служат одновременно и идентификаторами отправителей: получатель просматривает список открытых соединений и, найдя аутентификатор, идентифицирует отправителя и одновременно его подлинность. Прятать аутентификаторы под шифр нет смысла, т.к. тогда понадобятся отдельные идентификаторы отправителя. Кроме того, в этом случаем мы уходим от SKEME, что, скорее всего, повлияет на ее доказуемо полную отрицаемость.

Тут хочу уточнить один момент: аутентификатор усекать нельзя: хотя бы однократно каждый абонет должен получить 128-битный аутентификатор другого (иначе Боб может MitM-мить, подобрав подходящий X' – Боб ведь может влиять на мастер-ключ). После обмена полными аутентификаторами можно перейти на усеченные (используя их только в качестве идентификатора отправителя). Думаю, есть смысл передать длинные аутентификаторы однократно в первых голосовых посылках. Если будет сбой передачи полного аутентификатора, соединение для кого-то из участников будет выглядеть неаутентифицированным, и он инициирует его переустановку.

CTR содержит младшие биты счетчика пакетов. Счетчики должны быть синхронизированы у абонентов, т.к. они используются в качестве IV. Счетчики передаются периодически на протяжении длинных голосовых посылок, чтобы корректировать возможную рассинхронизацию при потерях и уменьшить выпадание голосовых блоков. Счетчики корректируются только вперед, аналогичный механизм используется в Циммермановском PGPFone. Важно: CTR может быть коротким (в данном случае 8 бит), но дублироваться (в данном случае 3x), иначе помеха может сбить счетчик вперед, и тогда придется ждать, пока счетчик отправителя дойдет до установившегося значения, или переоткрывать соединение.

Вообще я опишу побитную структуру фреймов чуть позже, исходя из требований кодека и возможностей FDMDV-модема, прикидка уже есть. Модем обеспечивает передачу фрейма в 28 бит за 20 mS. Его достоинство (в сравнении с STANAG) – в начале посылки нет тренинг-сигнала, и плюс моментальное восстановление. 20mS звуковой фрейм содержит одну центральную несущую (для синхро) и по 7 боковых с каждой стороны, т.о. параллельно передаются 28 бит+1 синхро (фазовыми сдвигами). Один бит уходит на тип, остальные: или данные, или подтип+control. Я, гуляючи, придумал устойчивый транспортный протокол для проекта, но надо по свободному времени потестировать, хотя бы через микрофон между двумя ноутами для начала.

Да и ещё в DH там предусмотрены проверки на навязывание плохих значений?

Я не готов ответить, на сколько это актуально для EC25519. Для обычной DH публичный ключ проверяют на 0 и ±1 (в PGPFone это реализовано). Что касается ECDH, то планируется использовать C-реализацию. Бернштейн пишет, что валидны любый публичные ключи (пункт Free Key Validation на стр.2). Или Вы не то имели в виду?

А данные запросов каким кодированием передаются в однонаправленном канале с помехами?

Это вопрос меня тоже волновал. Наверное, есть смысл использовать обычную CRC32, просто игнорируя ошибочные. Не знаю, какой процент ошибок (BER) реально получим в канале, но, думаю, 40 байт все же удастся передать без коррекции, если не с первого раза, то повторами (это полсекунды эфирного времени). А что касается ключа, то он тоже не такой уж длинный (скажем, те же 40 байт + PGP-сигнатура), и содержит урезанный отпечаток к качестве идентификатора, который есть хеш. Так что даже CRC32 не нужна. Публикуем периодически, рано или поздно выловится.

Всё строится на том, что под хэш запроса попадают случайные параметры DH. Поэтому посторонняя сторона (Ева), даже зная открытые ключи, по записи данных не может определить, кто с кем связывается — если речь речь идёт про радио (некоммутируемую среду распространения сигнала). И это хорошо :)

Но допустим, она определила это по косвенным признакам (пеленговала, номера GSM прослушивала). Затем, Ева от своего имени связывается с Бобом и прерывает сеанс после прохождения всех шагов («извините, не на тот номер попала»).

Также она может соединиться и с Алисой.

Затем, она знает, что настоящий Боб по каким-то причинам ответить не может. И знает, что в данный момент его вызывает Алиса. Сможет ли Ева выдать себя за Боба, подсунув X^b и A^y, записанные от предыдущих сеансов связи с настоящими Алисой и Бобом? Или хотя бы навязать известный ей K, пусть даже не пройдя аутентификацию? Или как-то вклиниться посредине? Хотя, вроде нет — аутентификаторы M не совпадут.

В то время как всё прогрессивное человечество использует MFSK для данных.

А совсем прогрессивное — 4QAM как раз под вашу задачу.

Data transmission over voice dedicated channels using digital modulations:

Abstract. The mobile phone networks use medium rate voice coders. These coders use a destructive compression based on speech specific characteristics. Therefore, any other signal than voice could be highly damaged. In this paper we discuss the technical reasons of this degradation by exposing the principle algorithms used in speech coders, and the features and the effect of Voice Activity Detectors (VAD). We propose a flexible approach allowing data transmission up to 3 kbps with a binary error rate (BER) lower than 3.10^-3. Such a bit rate makes it possible to transmit ciphered speech. This approach is based on using digital modulation and optimizing their parameters, in order to obtain a modulated signal that shows the better resistance to the speech coder and robustness to the VAD. The considered modulations are QAM and FSK. We evaluate and compare their performances for transmission through a medium rate speech coder.

Digital modulations can handle data transmission through an EFR speech coder at considerable binary rates. With 4QAM, we can reach 3 kbps while maintaining a BER lower than 3.10^-3. The advantage of using digital modulations is the simplicity of the demodulation, which doesn’t require complex computations as in [3, 4]. Thus, it remains to add some error correcting code, and a channel equalizer in order to improve the BER and increase the achievable bit rate. The performances offer the possibility of tunneling real time speech conversations through speech-dedicated channels, like GSM voice channel, in order to establish a secure communication. In this case, the tunneled speech is coded at low bit rates, typically by a MELP 2.4 kbps. Then the binary coded parameters are modulated, and the modulated signal is transmitted through the channel, across one or more speech coders.

Т.е., можно упаковать всё в 4QAM и слать и свои данные, и кодированно-шифрованную речь по узким каналам с помехами и внешними кодеками, хоть по GSM, хоть по КВ/УКВ.

И знает, что в данный момент его вызывает Алиса. Сможет ли Ева выдать себя за Боба

По описанию – классическая попытка MitM. Предлагаемый протокол – не мой велосипед, все же это доказанный SKEME. Как я уже писал, в классической SKEME общий ключ, которым стороны подписывают параметры (с перестановкой) выводится с помощью протокола Abadi, у меня – с помощью KEA+ (исключительно для удобства работы с ECDH вместо, скажем RSA). Правда, для KEA+ показана wPFS-атака в eCK-модели, но, мне кажется, в данном приложении это не суть важно, т.к. выводимый с помощью KEA+ ключ используется лишь для подписи других DH-параметров, и "мастер-ключевая" чистая DH сама по себе уже обеспечивает PFS. Даже утечка общего ключа подписывания после завершения протокола ничего не даст злоумышленнику, т.к. в любой новой сесии (в т.ч. параллельной) честной стороной всегда будут использованы новые DH-параметры.
Но это мы опять вступаем в высокие сферы доказательств, я зимними вечерами их столько перелопатил, что уже аллергия – проще использовать общеизвестные доказанные протоколы, что я и пытался сделать в проекте.

В то время как всё прогрессивное человечество использует MFSK.

Как раз вчера тоже был по этой ссылке :) Еще подробнее тут.
Программа open-source, можно даже скачать и потестировать все варианты. Большинство работает ниже уровня шума (маскировка!). Есть прикольные решения, например Hellschreiber, передающий в чат вместо кодов символов их графические сканы (человек сам корректирует искажения графического образа). Но они все слишком низкобитрейтные (для чата), для голоса не подходят. Да и исходный код MELPe-600 жутко проприетарный, мне так и не удалось достать. С больши трудом нашел MELPe-1200 (для Торфона), так что от этого и исходим. Как вариант, можно использовать для голоса FDMDV, а для чувствительных данных – MFSK, но это будет еще тот гемморой: определять еще и тип модуляции на фоне шумов. Как ни крути, а проще короткие, но важные данные защищать контрольной суммой и дублировать в случае ошибки, чем городить для них отдельную низкобитрейтную, но надежную инфраструктуру с FEC.
Другое дело, если дополнительно планируется обмен пользовательскими данными (например, картинками или документами). Мой проект этого не предполагает, и это значительно упрощает ситуацию. Но если это для Вас важно, то посмотрите проект Анонимусов по моей ссылке в посте выше – там используется как раз FLDIGI со всеми ее модемами. В их демо-видеоролике, ближе к концу, при демонстрации поиска в Твиттере ищут по ключевому слову Ukraine, прикольно.

PS:

А совсем прогрессивное — www4QAM как раз под вашу задачу.

Сейчас гляну.

Гляньте ещё на End-to-End Voice Encryption over GSM – Defcon.

Я так понимаю, что в голосовых цифровых сетях с вредными кодеками (GSM) данные лучше передавать в 4QAM (туда же и паковать шифрованный кодек для голоса), а небольшие объёмы данных на (ультра)коротких волнах — в MFSK-посылках. И посылка вызова будет слышна на слух.

Совсем извратный вариант: для КВ — в FMDV-модем положить данные в 4QAM в перерыве между голосом; а для GSM — обернуть всё в 4QAM.

Дело в том, что каждый из вариантов (КВ, УКВ, GSM, WiFi-вставики) имеют свои особенности, поэтому пытаться делать универсальное решение только хуже. Например, в КВ это замирания, доплер при движении отражающего слоя в ионосфере, эхо от многократных отражений и даже повторы после втогого огибания земли. Плюс неточная настройка SSB (неизвестный частотный сдвиг). Где-то в этом блоге я встречал ссылку на документ с рекомендациями по эмуляции различных каналов, сейчас не найду.
Но в любом случае – это целые исследования, которые, к тому же активно продолжаются. Я не рискну взяться за разработку собственных решений в этой области, нет достаточного опыта. Пока поиграюсь с FMDV, а там посмотрим по результатам.
Кстати, тут блог по тестированию FMDV радиолюбителями на КВ, а тут – их проект в железе (аналогично, но без криптографии, конечно).