openPGP в России

11.02 // OpenPGP // Новая атака на схему симметричного шифрования в OpenPGP

Около суток назад на сайте Международной ассоциации криптологических исследований (IACR) была опубликована работа криптологов Сержа Мистера и Роберта Цуккерато, где они рассмотрели новый способ взлома симметрично зашифрованных сообений в стандарте OpenPGP. Несмотря на то, что атака представляет исключительный академический интерес, она даже менее практична, чем атака Шнайера-Джеллада-Катца^[link1]. Пользователям PGP и GnuPG ничего опасаться не стоит.

Мистер и Цуккерато, как Шнайер, Джеллад и Катц, использовали методы адаптивно подобранного шифртекста и дешифрующего оракула. В случае успеха оппонент получает возможность восстанавливать первые два байта из любого блока шифртекста при 2¹⁵ (в среднем) запросов к оракулу на каждый (два часа в лабораторных условиях на стандартном Pentium M 1.8 ГГц). Это несравнимо меньше, чем при успешной атаке Шнайера-Джеллада-Катца, где одного подобранного шифртекста, переданного оракулу, достаточно (при определённых условиях), чтобы дешифровать весь открытый текст единичного сообщения.

Некоторые детали методики приведены на странице FAQ^[link2]. Интересующимся всеми подробностями реализации взлома стоит обратиться непосредственно к работе исследователей. Её общий итог и вывод в следующем:

• Атака не является следствием ошибок в какой-либо реализации стандарта OpenPGP. Это атака непосредственно на протокол OpenPGP.
• Атака эффективна только против автоматизированной системы, которая, в случае безуспешного расшифрования, возвращает отправителю ошибку. К настоящему дню подобных систем не существует.
• Атака требует в среднем 32768 обращений к системе для дешифрования 2 байтов шифртекста в открытый текст, поэтому она абсолютно бесполезна против человека, который едва ли станет расшифровывать такую уйму "битых" писем и сообщать отправителю, прошло ли расшифрование с ошибкой или без.
• Чтобы избежать даже теоретической возможности атаки, в стандарт OpenPGP будут внесены соответствующие изменения, обеспечивающие необходимую защиту.

Источник: "openPGP в России"^[link3]