Гэты падзел з'яўляецца невялікі праект боку я вырашыў распачаць. Першапачаткова яна была проста будзе дастаткова доўгім спёр-оф-момант пасаду alt.2600 для таго, каб высветліць некаторыя няправільныя здагадкі і ўспрымання людзей з нагоды бяспекі PGP. Яна вырасла за рамкі, што...
Ёсць шмат памылак там пра тое, як уразлівыя Pretty Good Privacy для нападу. Гэты FAQ прызначаны для праліць некаторы святло на гэтае пытанне. Гэта не ўвядзенне ў PGP ці крыптаграфіі. Калі ў вас няма хоць бы гутарковай разбіраюцца ў любой тэме, чытачам накіраваны на Infinity Канцэпцыя выпуск 1, і sci.crypt Пытанні і адказы. Абодва дакументы даступныя праз FTP з infonexus.com. Гэты дакумент можа быць знойдзена там жа.
PGP з'яўляецца гібрыдная крыптасістэмы. Ён складаецца з 4 крыптаграфічных элементаў: ён утрымоўвае сіметрычнага шыфра (IDEA), асіметрычны шыфр (RSA), аднабаковы хэш (MD5), і генератар выпадковых лікаў (што ў два галавой, на самай справе: гэта ўзоры энтрапіі ад карыстальніка, а затым выкарыстоўвае гэта, каб насенне ПСЧ). Кожны прадмет у іншы від атакі.
IDEA, завершана ў 1992 годзе Брэх і маса блочны шыфр, які працуе на 64-бітных блокаў дадзеных. Там ёсць быць ніякіх авансаў ў криптоанализа стандартных IDEA, якія публічна вядомыя. (Я нічога не ведаю аб тым, што АНБ зрабіў, і не самы нікому.) Толькі метад атакі, такім чынам, грубай сілы.
Як мы ўсе ведаем, прастора ключоў ідэі з'яўляецца 128-біт. У базе 10 абазначэння, якія:
340,282,366,920,938,463,463,374,607,431,768,211,456.
Каб аднавіць пэўны ключ, трэба, у сярэднім, пошук паловы ключоў. Гэта складае 127 біт:
170,141,183,460,469,231,731,687,303715,884,105,728.
Калі ў вас 1000000000 машыны, якія маглі б паспрабаваць 1000000000 ключы/сек, ён будзе па-ранейшаму прымаць усе гэтыя машыны больш, чым Сусвет, як мы ведаем, што існуе і шмат чаго яшчэ, каб знайсці ключ. IDEA, наколькі дадзенай тэхналогіі, то, не ўразлівыя для нападу грубай сілы, чыстая і простая.
Калі мы не можам ўзламаць шыфр, і мы не можам грубай сілы ключ-прастору, што, калі мы можам знайсці некаторыя слабасці ў PRNG выкарыстоўваецца PGP для генерацыі псеўдавыпадковых IDEA сеансавых ключоў? Гэта тэма разглядаецца больш падрабязна ў раздзеле 4.
RSA, першы паўнавартасны адкрыты ключ крыптасістэмы быў распрацаваны Ривест, Шамір і Adleman ў 1977 годзе. RSA атрымлівае яе бяспекі з відавочнай цяжкасцю ў факторынгу вельмі вялікі кампазітаў. Аднак, нічога не было даказана з RSA. Гэта не даказана, што факторынг грамадскага модуль толькі (лепшы) спосаб разарваць RSA. Там могуць быць яшчэ не адкрытых спосаб разарваць яго. Ён таксама не даказана, што факторынг * * мае гэтак жа цяжка, як гэта. Там існуе магчымасць таго, што прасоўванне ў тэорыі лікаў можа прывесці да адкрыцця паліномны алгарытм факторынгу часу. Але ні адна з гэтых рэчаў не адбылося, і няма пункту даследаванні ў гэтым кірунку. Аднак, 3 рэчы, якія адбываюцца і будуць адбывацца, якія прымаюць ад бяспекі RSA з'яўляюцца: дасягненні ў галіне факторынгу тэхнікі, вылічальнай магутнасці і зніжэнне кошту вылічальнай тэхнікі. Гэтыя рэчы, асабліва першая, працуюць супраць бяспекі RSA. Аднак, як вылічальная магутнасць павялічваецца, гэтак жа здольнасць генерыраваць больш ключоў. Гэта нашмат * * лягчэй размножваюцца вельмі вялікіх простых лікаў, чым гэта павінна фактарам у выніку кампазітны (пры сённяшнім разуменні тэорыі лікаў).
Каб зразумець, напады на RSA, важна зразумець, як RSA работ. Коратка:
Шыфраванне вырабляецца шляхам дзялення мэтавага паведамлення на блокі меншага, чым п, і такім модульнае узвядзенне ў ступень:
C = M ^ E мод N
Расшыфроўка проста зваротную аперацыю:
M = C ^ D Mod п
Зламыснік мае доступ да адкрытым ключом. Іншымі словамі, зламыснік Е і Н. Зламыснік хоча закрыты ключ. Іншымі словамі зламыснік хоча d. Каб атрымаць D, N павінны быць улічаныя (што дасць р і д, якія затым могуць быць выкарыстаны для разліку D). Факторынг N з'яўляецца самым вядомым нападам ПАР на сённяшні дзень. (Пры нападзе RSA, спрабуючы вывесці (р-1) (Q-1) не лягчэй, чым факторынг п, і выкананне поўнага перабору для значэнняў D цяжэй, чым факторынг п.) Некаторыя з алгарытмаў, якія выкарыстоўваюцца для факторынгу наступным :
- Суд першай інстанцыі: старая і найменш эфектыўным. Экспаненцыяльная час працы. Паспрабуйце усе простыя лікі менш SQRT (N).
- Квадратычным сіта (СМА): хуткі алгарытм для лікаў менш, чым 110 лічбаў.
- Некалькі паліномны квадратычным сіта (MPQS): хуткая версія QS.
- Падвойны Вялікі прэм'ер Змяненне MPQS: яшчэ хутчэй.
- Лічбавае поле сіта (NFS): У цяперашні час хуткі алгарытм вядомых для лікаў больш чым 110 знакаў. Быў выкарыстаны для фактар ??дзевяты нумар Ферма.
Гэтыя алгарытмы ўяўляюць стан мастацтва ў вайне супраць вялікіх складовых лікаў (таму супраць RSA). Лепшыя алгарытмы супер-паліном (суб-экспаненты) Час працы з NFS з асімптатычнай ацэнцы часу бліжэй да паліном паводзін.
Тым не менш, факторынг вялікага ліку цяжка. Аднак, з дасягненнямі ў тэорыі лікаў і вылічальнай магутнасці, яна становіцца ўсё лягчэй. У 1977 годзе Рон Ривест заявіў, што факторынг 125-значны нумар спатрэбіцца 40 квадрыльён гадоў. У 1994 RSA129 былі ўлічаны выкарыстаннем каля 5000 MIPS-гадоў высілкаў ад прастою цыклаў працэсара на кампутары праз Інтэрнэт на працягу васьмі месяцаў. У 1995 годзе Blacknet ключ (116 знакаў) былі ўлічаны выкарыстанні каля 400 MIPS-гадоў намаганняў (1 MIPS-год 1000000 інструкцый у секунду кампутар пад кіраваннем тэрмінам на адзін год) з некалькіх рабочых станцый дзясятка MasPar каля трох месяцаў. З улікам цяперашніх тэндэнцый даўжыня ключа, якія могуць быць улічаныя будзе толькі ўзрастаць з цягам часу. У табліцы ніжэй ацэнкі намаганняў, неабходных для фактар ??некаторыя найбольш часта сустракаемыя PGP аснове RSA з адкрытым ключом модуль даўжыні выкарыстаннем Генеральнай поле "Нумар сіта:
KeySize MIPS-years required to factor ----------------------------------------------------------------- 512 30,000 768 200,000,000 1024 300,000,000,000 2048 300,000,000,000,000,000,000
Наступны графік паказвае некаторыя ацэнкі для эквівалентнасці ў грубай сілы ключавым запытам сіметрычных ключоў і грубай факторынгу сілу асіметрычнымі ключамі, выкарыстоўваючы NFS.
Symmetric Asymmetric ------------------------------------------------------------------ 56-bits 384-bits 64-bits 512-bits 80-bits 768-bits 112-bits 1792-bits 128-bits 2304-bits
Аб гэтым заявіў 4 мужчын, якія ўлічваюцца Blacknet ключ, які "арганізацый з" больш сціплы "рэсурсы можна амаль напэўна брэйк 512-бітныя ключы ў таямніцы прама зараз." Гэта не азначае, што такія арганізацыі былі б зацікаўлены ў надае так шмат вылічальнай магутнасці зламаць паведамленні проста ніхто. Аднак, большасць людзей, якія выкарыстоўваюць крыптаграфію не камфортна ведаючы сістэмы яны давяраюць свае таямніцы можна падзяліць...
Мая парада, як заўсёды заключаецца ў выкарыстанні буйных ключавых дапушчальныя рэалізацыі. Калі рэалізацыя не дазваляе пры дастаткова вялікіх ключоў, каб задаволіць Вашу параною, не выкарыстоўвайце гэтую рэалізацыю.
Гэтыя напады не назіраецца глыбокая слабасць у ПАР сябе, толькі ў некаторых рэалізацыях пратаколу. Большасць з іх не пытанні ў PGP.
Зламыснік праслухоўвае ў па неабароненым каналу, у якім RSA паведамленні перадаюцца. Зламыснік збірае зашыфраваныя з паведамленні ад мішэні (прызначаных для другога боку). Зламыснік хоча, каб мець магчымасць прачытаць гэтае паведамленне, не маючы для мантавання сур'ёзныя намаганні факторынгу. Іншымі словамі, яна хоча M = C ^ d.
Каб аднавіць м, зламыснік першы выбірае выпадковы лік, г <п. (Зламыснік з адкрытым ключом (е, п).) Зламыснік вылічае:
X = R ^ E мод N (Яна шыфруе г з дзяржаўным і мэты ключ)
у = х N мадэляванне (памнажае мэтавага зашыфраванага з Temp)
T = R ^ -1 мод N (мультипликативная зваротная г N мадэляванне)
Зламыснік разлічвае на тое, што:
Калі X = R ^ E мод п, то г = х ^ N мадэляванне D
Атакуючы атрымлівае мэтавай падпісаць з ёй у прыватнага ключа, (які на самай справе расшыфроўваецца у) і адпраўляе U = Y ^ D Mod п да зламысніку. Зламыснік проста вылічае:
Тую мод N = (R ^ -1) (Y ^ D) мод N = (R ^ -1) (х ^ D) (C ^ D) мод N = (C ^ D) мод N = M
Каб перашкодзіць гэтай атакі не падпісаць нейкія выпадковыя дакумент, прадстаўлены для вас. Ўвайдзіце аднабаковы хэш паведамлення.
Як аказалася, электронная толькі невялікі лік не адняць бяспекі RSA. Калі шыфраваныя паказчык мала (агульныя каштоўнасці 3,17, і 65 537), то з адкрытым ключом аперацыі значна хутчэй. Адзіная праблема ў выкарыстанні малых значэннях для E у якасці грамадскага паказчык знаходзіцца ў невялікай шыфравання паведамленняў. Калі ў нас ёсць 3, а наш электронны і мы м менш, чым кубічны корань з N, то паведамленне можа быць адноўлена толькі шляхам прыняцця кубічны корань з M, таму што:
м [для 3rdroot м ^ (п)] ^ 3 мод N будзе эквівалентная м ^ 3
і таму:
3rdroot (м ^ 3) = m.
Каб абараніцца ад гэтага нападу, проста пляцоўку паведамленне з дадзенае час перад шыфраваннем, такім, што т ^ 3 будзе заўсёды можна прывесці мод п.
PGP выкарыстоўвае малых я для шыфравання паказчык, па змаўчанні ён спрабуе выкарыстаць 17. Калі ён не можа вылічыць D з е месца ў 17, PGP будзе ітэрацыі E да 19, і паспрабуйце яшчэ раз... PGP таксама сочыць, каб дапоўніць м з выпадковая велічыня так т> п.
Вельмі новая вобласць атакі публічна адкрытыя Павел прапановы Кохер з тым, што розныя крыптаграфічныя аперацыі (у дадзеным выпадку модульных аперацый ўзвядзення ў ступень у ПАР) прымаюць дыскрэтна розная колькасць часу для апрацоўкі. Калі RSA вылічэнні выконваюцца без кітайскай тэарэме аб астатках, прымяняецца наступнае:
Зламыснік можа выкарыстоўваць невялікія адрозненні ў тэрмінах вылічэнні RSA
каб, у многіх выпадках аднавіць d. Атака пасіўнай, калі зламыснік знаходзіцца ў сеткі і адзначае, RSA аперацый.
Зламыснік пасіўна назірае Да аперацыі вымярэння часу Т, неабходнае для вылічэння кожнага модульнага аперацыі ўзвядзення ў ступень: M = C ^ D мадэляванне п. Зламыснік таксама ведае, З і Н. Псеўда-код атакі:
Algorithm to compute m=c^d mod n: Let m0 = 1. Let c0 = x. For i=0 upto (bits in d-1): If (bit i of d) is 1 then Let mi+1 = (mi * ci) mod n. Else Let mi+1 = mi. Let di+1 = di^2 mod n. End.
Гэта вельмі новы (аб'ява было зроблена на 1995/07/12) і пільнай увагі ў нападзе не было магчымасці. Тым не менш, Рон Ривест было гэта, каб сказаць аб барацьбе з ім:
From: Ron Rivest Newsgroups: sci.crypt Subject: Re: Announce: Timing cryptanalysis of RSA, DH, DSS Date: 11 Dec 1995 20:17:01 GMT Organization: MIT Laboratory for Computer Science The simplest way to defeat Kocher's timing attack is to ensure that the cryptographic computations take an amount of time that does not depend on the data being operated on. For example, for RSA it suffices to ensure that a modular multiplication always takes the same amount of time, independent of the operands. A second way to defeat Kocher's attack is to use blinding: you "blind" the data beforehand, perform the cryptographic computation, and then unblind afterwards. For RSA, this is quite simple to do. (The blinding and unblinding operations still need to take a fixed amount of time.) This doesn't give a fixed overall computation time, but the computation time is then a random variable that is independent of the operands. ============================================================================== Ronald L. Rivest 617-253-5880 617-253-8682(Fax) rivest@theory.lcs.mit.edu ==============================================================================
Асляпляльны Ривест кажа аб проста ўводзіць выпадковае значэнне ў працэс расшыфроўкі. Такім чынам,
M = C ^ D Mod п
становіцца:
M = R ^ -1 (СД ^ е) ^ D Mod п
г выпадковае значэнне, і г ^ -1, гэта зваротная.
PGP не ўразлівыя для нападу часу, як ён выкарыстоўвае CRT для паскарэння RSA аперацый. Акрамя таго, паколькі тэрміны нападу зламыснік патрабуе выконваць крыптаграфічных аперацый у рэжыме рэальнага часу (гэта значыць: Snoop расшыфроўкі працэс ад пачатку да канца), і большасць людзей шыфравання і расшыфроўкі ў аўтаномным рэжыме, далей зрабіў непрактычна.
Хоць атакі вызначана што апасацца, гэта тэарэтычны характар, і не было зроблена на практыцы, да гэтага часу.
[Заўвага ад аператара сайта: яго тэрміны атака патрабуе чалавека на доступ да шыфравання рухавіка для атрымання дакладных тэрмінаў дэшыфравання RSA ці шыфравання аперацый з рознымі ўваходамі. Так як у PGP, аперацыі RSA з'яўляецца толькі адной з аперацый, ажыццяўляецца паміж любымі двума пісаніна на экране, такога роду атакі не ўяўляецца магчымым, калі зламыснік мае доступ да падрабязнай аперацыйнай аперацыйнай сістэмы на расшыфроўку самай машыны. Аднак, з такой доступ, PGP цалкам небяспечна ў любым выпадку - напрыклад, зламыснік можа прачытаць ключ да secring.pgp файл як карыстальнік ўводзіць яго цаля Гэта напад у першую чаргу цікавасць да выкарыстання "смарт-карт ", якія выкарыстоўваюць RSA ў якасці сродку ідэнтыфікацыі карты.-- Ору]
Шамір і іншыя выявілі, напад на найбольш крыптасістэмы (DES, IDEA, RSA), якія могуць быць выкарыстаны, калі зламыснік можа як-то сілы шыфравання/дэшыфравання рухавіка рабіць памылкі. Аналізуючы форму вываду вядома ўваход, калі рухавік вымушаны зрабіць адзін біт памылкі дзесьці ў сваёй дзейнасці, найбольш крыптасістэмы можна разбіць лёгка. Зноў аднак гэта ў першую чаргу ўяўляюць цікавасць для людзей, якія выкарыстоўваюць некаторыя схемы шыфравання, дзе ўвод, вывад, і шыфраваныя даступна для зламысніка (напрыклад, таму што шыфраванне убудаваных у "смарт-карты" ці якой-небудзь вызначэнне прылады). Калі зламыснік мае дастатковы доступ да вашага кампутара, на якім вы праводзіце шыфравання, што ён/яна можа прывесці да яе робяць памылкі, то ваш PGP, верагодна, ужо вельмі слабы. [Ору]
Ёсць і іншыя нападу на RSA, такіх, як агульны модуль атака, у якой некалькі доля карыстальнікаў N, але маюць розныя значэнні для Е і D. Абмен агульны модуль з некалькімі карыстальнікамі, могуць дазволіць зламысніку аднавіць паведамленне без уліку п. PGP не падзяляе з адкрытым ключом модуля "сярод карыстальнікаў.
Калі D з'яўляецца да чвэрці памеру N і E менш, чым N, D могуць быць адноўлены без ўліку. PGP не выбірае дробных значэння для расшыфроўкі паказчыка. (Калі D былі занадта малыя, гэта можа зрабіць грубую сілу разгорткі D значэння магчыма што, відавочна, дрэнна.)
Няма сэнсу рабіць прагнозы для рэкамендаваў Ключы даўжынёй. Галавакружнай хуткасці, з якой тэхналогіі прасоўвання робіць яго цяжкім і небяспечным. Паважаны крыптаграфіі не будзе рабіць прагнозы апошнія 10 гадоў і я не буду бянтэжыць сябе спрабуюць зрабіць любы. Для сакрэты сённяшнім 1024-біт, верагодна, бяспечна і 2048-бітны ключ, безумоўна, з'яўляецца. Я не стаў бы давяраць гэтыя лічбы ў канцы мінулага стагоддзя. Аднак, варта адзначыць, што ПАР не было б апошнім гэта доўга, калі яно было, як уласціва памыляцца, як некаторыя псіхаў з сярэднім ініцыялы хацеў бы, каб вы верылі.
MD5 з'яўляецца аднабаковым хэш выкарыстоўваецца для хэш фразу ў IDEA ключ і падпісаць дакументы. Message Digest 5 быў распрацаваны Ривест ў якасці пераемніка MD4 (якая апынулася саслабленай з абмежаванай раундаў). Гэта павольней, але больш бяспечным. Як і ўсе аднабаковай хэш-функцыі, MD5 прымае адвольнай даўжыні ўваходнага і генеруе унікальны выхад.
Трываласць любы Хэш аднабаковым вызначаецца тым, наколькі добра ён можа выпадковым адвольнае паведамленне і вырабляць адзіны выхад. Ёсць два тыпу атакі грубай сілы супраць аднабаковай хэш-функцыі, чыста грубай сілы (мая тэрміналогія) і дзень нараджэння атакі.
Выхад MD5 з'яўляецца 128-біт. У чыстым напад "грубай сілай, зламыснік мае доступ да хэш паведамленні H (M). Яна хоча, каб знайсці іншае паведамленне M 'такое, што: H (M) = H (M').
Каб знайсці такое паведамленне (калі яно існуе) было б узяць машыну, якая можа паспрабаваць 1000000000 паведамленняў у секунду аб 1.07E22 гадоў. (Каб знайсці м спатрэбіцца столькі ж часу.)
Знайсці два паведамленні, што хэш з тым жа значэннем вядомы як сутыкненні і эксплуатуецца нараджэння атакі.
Нараджэння атакі статыстычная задача верагоднасці. Улічваючы п уваходаў і выхадаў да магчымай, (MD5 час функцыі ўзяць п -> к) Ёсць п (п-1)/2 пар уваходаў. Для кожнай пары, ёсць верагоднасць 1/Да ад абодвух уваходаў вырабляць той жа выснова. Так, калі ўзяць да/2 пары, верагоднасць будзе 50%, што адпаведныя пары будуць знойдзеныя. Калі п> SQRT (к), ёсць добры шанец знайсці сутыкнення. У выпадку MD5's, 2 ^ 64 паведамленняў неабходна быць судзімым. Гэта не магчыма напад дадзенай тэхналогіі сённяшняга дня. Калі б вы маглі паспрабаваць 1000000 паведамленняў у секунду, то запатрабуецца 584942 гадоў, каб знайсці сутыкнення. (Машына, якая можа паспрабаваць 1000000000 паведамленняў у секунду спатрэбіцца 585 гадоў, у сярэднім.)
Для паспяховага кошт нараджэння ў дачыненні склеп (3), гл.: URL: ftp://ftp.infonexus.com/pub/Philes/Cryptography/crypt3Collision.txt.gz
Дыферэнцыяльны криптоанализ даказала сваю эфектыўнасць супраць аднаго раунда MD5, але не супраць усіх 4 (дыферэнцыяльнага криптоанализа глядзіць на зашыфраваны пар, тэкстаў мае пэўныя адрозненні і аналізуе гэтыя адрозненні, як яны распаўсюджваюцца праз шыфр).
Існаваў паспяховай атакі на сціск сама функцыя, якая вырабляе сутыкнення, але гэтая атака не мае практычнага значэння бяспекі. Калі ваша копія PGP была MD5 код зменены, каб выклікаць гэтыя сутыкнення, яно не будзе дайджэст паведамленні праверкі, і вы б адкінуць яго як змяніць... Правільна?
Згодна з традыцыйнай тэорыі інфармацыі, англійская мова мае каля 1,3 біт энтрапіі (інфармацыі) на знак 8-біт. Калі фразы ўвайшлі дастаткова доўга, у выніку MD5 хэш будзе статыстычна выпадковым. Для 128-біт на выхадзе з MD5, фразу прыкладна 98 сімвалаў будуць забяспечваць выпадковы ключ:
(8/1.3) * (128/8) = (128/1.3) = 98,46 знакаў
Як многія людзі выкарыстоўваюць 98 знакаў фразы для сваіх таемных ключоў у PGP? Ніжэй прыведзены 98 сімвалаў...
123456789012345678901234567890123456789012356789012345678901234567890123456789012345678
1,3 зыходзіць з таго, што адвольная чытаецца ангельскае прапанову, як правіла, будзе складацца з пэўных літар, (E, R, S, T і статыстычна вельмі часта) тым самым зніжаючы яго энтрапіі. Калі любы з 26 літар ў лацінскім алфавіце былі аднолькава магчымыя і, верагодна, (што здараецца рэдка) энтрапія ўзрастае. Так званай абсалютнай хуткасці б, у гэтым выпадку, быць:
Уваход (26)/часопіс (2) = 4,7 біт
У гэтым выпадку павышэння энтрапіі, пароль сапраўды выпадковыя паслядоўнасці знакаў ангельскага толькі павінны быць:
(8/4.7) * (128/8) = (128/4.7) = 27,23 знакаў
Для атрымання дадатковай інфармацыі на фразу даўжыня, гл. фразу PGP Пытанні і адказы
PGP выкарыстоўвае 2 PRNG для генерацыі і кіравання (псеўда) выпадковых дадзеных. ANSI X9.17 генератара і функцыі, якія меры энтрапіі з затрымкай у націску клавіш карыстальніка. Выпадковых басейн (які randseed.bin файла) выкарыстоўваецца для насення ANSI X9.17 PRNG (які выкарыстоўвае ідэю, а не 3DES). Randseed.bin першапачаткова спароджаны ад trueRand які клавіш таймер. X9.17 генератар папярэдне промывают MD5 хэш тэкст і postwashed з некаторых выпадковых даных, якая выкарыстоўваецца для стварэння наступнага файла randseed.bin. Працэс пабіты і абмяркоўваецца ніжэй.
ANSI X9.17 з'яўляецца метад генерацыі ключоў PGP выкарыстоўвае. Гэта афіцыйна загадана выкарыстаннем 3DES, але лёгка пераўтворыцца ў IDEA. X9.17 патрабуе 24 байт выпадковых даных з randseed.bin. (PGP захоўвае дадатковыя 384 байт інфармацыі аб стане для іншых мэтаў...) Калі cryptRand пачынаецца, randseed.bin файл промывают (гл. ніжэй), і першыя 24-байт выкарыстоўваюцца для ініцыялізацыі X9.17. Яна працуе наступным чынам:
E () = IDEA шыфравання, з шматразовай ключ, які выкарыстоўваецца для генерацыі ключа
T = час (дадзеныя з randseed.bin выкарыстоўвацца замест часу)
V = вектар ініцыялізацыі, з randseed.bin
R = выпадковы ключ сесіі, якія будуць створаны
R = E [E (T) XOR V]
Наступны V спараджаецца такім чынам:
V = E [E (T) XOR R]
TrueRand спробы генератара для вымярэння энтрапіі з затрымкай націску клавіш карыстальніка кожны раз, калі карыстальнік набірае на клавіятуры. Ён выкарыстоўваецца для стварэння пачатковай randseed.bin якая ў сваю чаргу выкарыстоўваецца для насенне X9.17 генератара. Якасць вываду trueRand залежыць ад яго ўваходу. Калі ўваход мае нізкую колькасць энтрапіі, выхаду не будзе, як выпадковыя, як гэта магчыма. У мэтах забеспячэння максімальнай энтропіяй, націскі клавіш павінны быць размешчаныя, як выпадкова, як гэта магчыма.
У большасці выпадкаў, атакуючы не ведае змест тэксту шыфруецца па PGP. Так, у большасці выпадкаў, пральная X9.17 генератар з MD5-хэш тэксту, проста дадае да бяспекі. Гэта заснавана на здагадцы, што гэты дадатковы невядомай інфармацыі будзе дадаць у энтрапію генератара. Калі, у выпадку, калі зламыснік мае некаторую інфармацыю аб тэксту (магчыма, зламыснік ведае, якой файл быў зашыфраваны, і жадае, каб даказаць гэты факт) зламыснік можа выканаць атаку па адкрытым тэксту супраць X9.17. Аднак, гэта не верагодна, што з усімі іншымі меры засцярогі, што гэта прыслабіць генератара.
Randseed промывают да і пасля кожнага выкарыстання. У выпадку PGP ў мыццё IDEA шыфравання ў рэжыме шыфра зваротнай сувязі. Так як IDEA лічыцца бяспечнай (гл. раздзел 1), яно павінна быць гэтак жа цяжка вызначыць, 128-бітны ключ IDEA, як гэта для збору інфармацыі ад мыцця. IDEA ключ выкарыстоўваецца MD5 хэш тэкст і вектар ініцыялізацыі за нуль. IDEA ключ сесіі Затым генеруецца як IV. Postwash лічыцца больш бяспечным. Больш падрабязна выпадковых байт генеруюцца зноўку ініцыялізаваць randseed.bin. Гэтыя зашыфраваныя з тым жа ключом, як PGP зашыфраваным паведамленне. Прычына гэтага ў тым, што калі зламыснік ведае ключ сесіі, яна можа расшыфраваць паведамленне PGP непасрэдна і не было б неабходнасці атакаваць randseed.bin. (Адзначым, што зламыснік можа быць больш зацікаўлены ў стане randseed.bin, калі яны атакуюць ўсе паведамленні, або паведамленне, карыстальнік павінен адправіць наступны).
Большасць нападаў, выкладзеных вышэй, альбо немагчыма, альбо не ўяўляецца магчымым па сярэдняй праціўніка. Такім чынам, што можна сярэднім узломшчык зрабіць, каб падарваць інакш рослы бяспеку PGP? Як аказалася, Ёсць некалькі "выканальна" нападаў, якія могуць быць запушчаныя тыповыя ўзломшчыка. Яны не нападаюць на крыптасістэмы самі пратаколы, (якія паказалі, быць бяспечнай), а сістэма канкрэтных рэалізацыях PGP.
Гэтыя напады не рабіць трэба нічога рабіць актыўную і можа лёгка застацца незаўважанымі.
Тым не менш вельмі эфектыўны метад атакі, націск Snooping можа парушыць бяспеку крыптасістэмы наймацнейшых. Калі зламыснік можа ўсталяваць кейлоггер, і захоп фразу з неасцярожных мэта, то не криптоанализа бы то ні было неабходна. Зламыснік мае пароль для разблакоўкі RSA ключа. Сістэма цалкам скампраметаваная. Метады адрозніваюцца ад сістэмы да сістэмы, але я б сказаў DOS аснове PGP будуць найбольш уразлівыя. DOS з'яўляецца самым простым OS падарваць, і большасць ключавых-прэс Snooping інструменты, якія я ведаю. Усе зламыснік павінен зрабіць, гэта атрымаць доступ да машыны для да 5 хвілін у двух асобных выпадках і атака была б поўнай. У першы раз для ўстаноўкі праграмнага забеспячэння Snooping, другі раз, каб выдаліць яго і аднавіць тавараў. (Калі машына ў сеткі, гэта можа быць зроблена * выдалена * і лёгкасці атакі значна павялічваецца.) Нават калі мэта боты чыстыя, не загружаючы любое TSR's, вірус загрузачнай сектара яшчэ можа рабіць працу, празрыста. Зусім нядаўна, аўтар выявіў ключ рэгістрацыі утыліта для Windows, які пашырае гэты напад для працы пад Windows-абалонак PGP (гэта рэгістратар даступна infonexus праз FTP, дарэчы). ftp://ftp.infonexus.com/ паб/ToolsOfTheTrade/DOS/клавіятурных шпіёнаў /
Keypress Snooping пад Unix з'яўляецца трохі больш складаным, бо корань доступу неабходна, калі мэта ўваходзіць у яе фразу з X-Windows GUI. Ёсць мноства клавіятурных шпіёнаў даступныя пасіўна назіраць націску клавіш з сесіі X-Windows. Праверце: ftp://ftp.infonexus.com/pub/SourceAndShell/Xwindows/
[Ору - 2003] я атрымаў даклад, што лесарубы апаратныя клавішы становяцца папулярнымі. Гэта невялікія ключоў, якія надаюць непасрэдна паміж клавіятурай і кампутарам і запісваць усё націску на клавішы. Яны могуць быць устаноўлены і вынятыя з дапамогай сказаць скажацца ачысткі супрацоўнікаў або калег. Дыега Навара піша: "Яны сапраўды папулярныя ў нашы дні, і былі выкарыстаны для буйных махлярства кампутар у бразільскай сістэме IRS".
Арыгінальны нябачнай пагрозы. Ніжэй прыводзіцца ўрывак з анонсу адзначыў гуру інфармацыйнай вайны Уинн Schwartau апісваюць атакі Ван Эк:
Van Eck Radiation Helps Catch Spies
"Winn Schwartau" < p00506@psilink.com >
Thu, 24 Feb 94 14:13:19 -0500
Van Eck in Action
Over the last several years, I have discussed in great detail how the
electromagnetic emissions from personal computers (and electronic gear in
general) can be remotely detected without a hard connection and the
information on the computers reconstructed. Electromagnetic eavesdropping is
about insidious as you can get: the victim doesn't and can't know that anyone
is 'listening' to his computer. To the eavesdropper, this provides an ideal
means of surveillance: he can place his eavesdropping equipment a fair
distance away to avoid detection and get a clear representation of what is
being processed on the computer in question. (Please see previous issues of
Security Insider Report for complete technical descriptions of the
techniques.)
The problem, though, is that too many so called security experts, (some
prominent ones who really should know better) pooh-pooh the whole concept,
maintaining they've never seen it work. Well, I'm sorry that none of them
came to my demonstrations over the years, but Van Eck radiation IS real and
does work. In fact, the recent headline grabbing spy case illuminates the
point.
Exploitation of Van Eck radiation appears to be responsible, at least in part,
for the arrest of senior CIA intelligence officer Aldrich Hazen Ames on
charges of being a Soviet/Russian mole. According to the Affidavit in support
of Arrest Warrant, the FBI used "electronic surveillance of Ames' personal
computer and software within his residence," in their search for evidence
against him. On October 9, 1993, the FBI "placed an electronic monitor in his
(Ames') computer," suggesting that a Van Eck receiver and transmitter was used
to gather information on a real-time basis. Obviously, then, this is an ideal
tool for criminal investigation - one that apparently works quite well. (From
the Affidavit and from David Johnston, "Tailed Cars and Tapped Telephones: How
US Drew Net on Spy Suspects," New York Times, February 24, 1994.)
From what we can gather at this point, the FBI black-bagged Ames' house and
installed a number of surveillance devices. We have a high confidence factor
that one of them was a small Van Eck detector which captured either CRT
signals or keyboard strokes or both. The device would work like this:
A small receiver operating in the 22MHz range (pixel frequency) would detect
the video signals minus the horizontal and vertical sync signals. Since the
device would be inside the computer itself, the signal strength would be more
than adequate to provide a quality source. The little device would then
retransmit the collected data in real-time to a remote surveillance vehicle or
site where the video/keyboard data was stored on a video or digital storage
medium.
At a forensic laboratory, technicians would recreate the original screens and
data that Mr. Ames entered into his computer. The technicians would add a
vertical sync signal of about 59.94 Hz, and a horizontal sync signal of about
27KHz. This would stabilize the roll of the picture. In addition, the
captured data would be subject to "cleansing" - meaning that the spurious
noise in the signal would be stripped using Fast Fourier Transform techniques
in either hardware or software. It is likely, though, that the FBI's device
contained within it an FFT chip designed by the NSA a couple of years ago to
make the laboratory process even easier.
I spoke to the FBI and US Attorney's Office about the technology used for
this, and none of them would confirm or deny the technology used "on an active
case."
Of course it is possible that the FBI did not place a monitoring device within
the computer itself, but merely focused an external antenna at Mr. Ames'
residence to "listen" to his computer from afar, but this presents additional
complexities for law enforcement.
1. The farther from the source the detection equipment sits means that
the detected information is "noisier" and requires additional forensic
analysis to derive usable information.
2. Depending upon the electromagnetic sewage content of the immediate
area around Mr. Ames' neighborhood, the FBI surveillance team would be limited
as to what distances this technique would still be viable. Distance squared
attenuation holds true.
3. The closer the surveillance team sits to the target, the more likely
it is that their activities will be discovered.
In either case, the technology is real and was apparently used in this
investigation. But now, a few questions arise.
1. Does a court surveillance order include the right to remotely
eavesdrop upon the unintentional emanations from a suspect's electronic
equipment? Did the warrants specify this technique or were they shrouded
under a more general surveillance authorization? Interesting question for the
defense.
2. Is the information garnered in this manner admissible in court? I
have read papers that claim defending against this method is illegal in the
United States, but I have been unable to substantiate that supposition.
3. If this case goes to court, it would seem that the investigators would
have to admit HOW they intercepted signals, and a smart lawyer (contradictory
allegory :-) would attempt to pry out the relevant details. This is important
because the techniques are generally classified within the intelligence
community even though they are well understood and explained in open source
materials. How will the veil of national security be dropped here?
To the best of my knowledge, this is the first time that the Government had
admitted the use of Van Eck (Tempest Busting etc.) in public. If anyone
knows of any others, I would love to know about it.
Стаўленне да PGP відавочная, а пагроза рэальная. Snooping фразу з клавіятуры, і нават цэлае пасланне з экрана з'яўляюцца жыццяздольнымі нападаў. Гэты напад, аднак экзатычных гэта можа здацца, не выходзіць за рамкі магчымасцяў любога з некаторымі тэхнічнымі ноу-хау і жаданне чытаць PGP такім варыянце файлаў.
У шматкарыстальніцкай сістэмы, такія як Unix, фізічнай памяці машыны можа быць разгледжаны любы карыстальнік, які мае адпаведныя прывілеі (звычайна каранёвай). У параўнанні з факторынг велізарнае складовае лік, адкрыццё віртуальнай памяці сістэмы (/ Dev/KMEM) і шукае на старонцы карыстальніка, і непасрэдна Прачытаўшы яе, трывіяльна.
У шматзадачнай асяроддзях, такіх як Windows, OS мае непрыемную звычку падпампоўкі змесціва памяці на дыск, як правіла, празрыста для карыстальніка, калі ён адчувае неабходнасць вызваліць трохі аператыўнай памяці. Гэтая інфармацыя можа сядзець, у адкрытым выглядзе, у файл падпампоўкі на розныя перыяды часу, толькі і чакаюць кагосьці прыйсці і ўзяць яго. Зноў жа, у сеткавай асяроддзі, дзе машына доступ можа быць зроблена з адноснай беспакаранасцю, гэты файл можа быць скрадзены без згоды ўладальніка або ведаў.
Калі вы карыстаецеся PGP на гаспадар якога вы атрымліваеце доступ выдалена, вы можаце быць ўразлівыя да гэтай атацы. Калі вы не выкарыстоўваеце нейкі сесіі шыфравання ўтыліта, такіх як SSH, DESlogin, ці якой-то сеткі стэк пратаколаў шыфравання (аднаго канца да другога або спасылкі на спасылку), вы пасылаеце ваш пароль, і паведамленні праз ў адкрытым выглядзе. Аналізатар пакетаў седзячы на ??прамежкавай кропкай паміж ваш тэрмінал можа захапіць усю гэтую інфармацыю спакойна і эфектыўна. Аналізатары пакетаў даступныя на infonexus: ftp://ftp.infonexus.com/pub/SourceAndShell/Sniffers/
Гэтыя нападу з'яўляюцца больш папераджальны характар ??і маюць тэндэнцыю быць крыху больш цяжкім заработнай платы.
Векавы атакі Траянскі конь па-ранейшаму вельмі эфектыўным сродкам кампрамісу. Канцэпцыя траянскага каня не павінна быць чужа нікому. Здавалася б, бяскрыўднага праграмы, што ў рэчаіснасці гэта зло і робіць патэнцыйна небяспечных рэчаў на вашым кампутары. Як гэты гук...: Некаторыя 31it3 кодэра выступіў з k3wl новы фронт Windows-праграмы, PGP. Усе навічкі скончацца і FTP копіі. Яна выдатна працуе, з мноствам кнопак і палосы пракруткі, і нават ідзе з кучай файлаў *. WAV і падтрымкі SB AWE 32 так што вы можаце мець 16-бітны гук CD якасці бяспечнай замак, калі вы шыфравання файлаў. Яна працуе ў невялікая колькасць памяці, закадаваны так, што нічога не уцечкі, ён перахапляе OS званкі, якія ў адваротным выпадку яго змесціва скінута на дыск і робіць, што ўсё інфармацыя застаецца ў энерганезалежнай памяці. Яна выдатна працуе (першае дадатак Windows, што робіць). Бяда ў тым, гэтая праграма на самай справе мае некалькі ліній зламыснага кода, што запіс на сакрэтны ключ пароль, і калі ён знаходзіць мадэм (які не мае мадэм у гэтыя дні?) Гэта ATM0 ў мадэм і набірае да цвёрда лік прыкладна да заражаны кампутар або мадэм банка і адпраўляе інфармацыю праз.
Магчымыя? Так. Хутчэй за ўсё? Колькасць
Код PGP з'яўляецца агульнадаступнай. Таму лёгка змяніць. Калі хто-то змяняць зыходны код PGP ўстаўкі ўтоенай бэкдор і пакінуць яго ў нейкі пункту распаўсюджвання, гэта можа мець катастрафічныя наступствы. Аднак, гэта таксама вельмі лёгка выявіць. Проста праверыць кантрольныя сумы. Выпраўленне MD5 модуль для даклада ілжывыя кантрольная сума Таксама магчыма, таму праверыць, выкарыстоўваючы ўдалую копію. Больш падступныя атакі будзе змяняць код, скампіляваць яго і таемна пасадзіць яго ў мэтавай сістэме. У сеткавай асяроддзі гэта можа быць зроблена, нават не маючы фізічны доступ да машыны.
Я прадставіў фактычных дадзеных, статыстычныя дадзеныя, і прагназуемыя дадзеныя. Форма ўласныя высновы. Можа быць, NSA знайшоў паліномны час (чытай: * хутка *) факторынгу алгарытму. Але мы не можам звольніць іншым чынам забяспечыць крыптасістэмы з-за параноі. Вядома, па таго ж, мы не можам давяраць крыптасістэмы на чутках і здагадках бяспекі. Сутнасць заключаецца ў наступным: у галіне кампутарнай бяспекі, гэта плаціць, каб быць асцярожным. Але гэта не заплаціць, каб быць проста не інфармаваныя або патрэбы паранаідальная. Ведайце факты.
КД, Колін Plumb, Пол Кохер, Брус Шнайер, Пол Рубін, Стывен Маккласки, Адам Назад, Біл Унру, Бэн Cantrick і чытачоў sci.crypt і comp.security.* груп,