Рейтинг:0

Crypto

Что требуется для использования бэкдора с криптографическим алгоритмом?

Andrew Savinykh

09.07.2023, 22:24

Дэвид Вонг в своей книге «Криптография реального мира» пишет:

В 2013 году после откровений Эдварда Сноудена было обнаружено, что АНБ целенаправленно и успешно настаивал на включении бэкдор-алгоритмов в стандартов (см. «Dual EC: A Standardized Back Door» Bernstein et al.), которые включал скрытый переключатель, который позволял АНБ, и только АНБ, предсказывать ваши секреты. Эти лазейки можно рассматривать как волшебные пароли, которые позволяют правительству (и только это, якобы) чтобы подорвать ваше шифрование. <...> В последнее время в $2019$было установлено, что российский стандарт ГОСТ был жертва такого же обращения.

Ссылка на ГОСТ, вероятно, касается Стрибог и Кузнечик.

Хотя автор ссылается на «волшебные пароли», понятно, что это чрезмерное упрощение, поэтому его нельзя понимать буквально.

Я хотел бы знать следующее: в обоих случаях (Dual EC и Streebog/Kuznyechik s-box) какая информация разрешает эксплуатацию? Это

секретный ключ, аналогичный закрытому ключу в алгоритмах асимметричной криптографии, который нельзя получить из общедоступных данных; или же
какой-то секретный способ (алгоритм) эксплуатации, который неизвестен публике
обе
что-то другое

Другими словами, каждый ли мог бы использовать эти бэкдоры, если бы какой-то секретный ключ был известен публике, или не хватало каких-то научных/алгоритмических знаний?

0 + 0

черный ход

АНБ

kelalaka

09.07.2023, 23:53

Двойной EC позволяет АНБ узнать следующее состояние генератора случайных чисел из 32 байтов, которые можно увидеть из одноразовых номеров TLS.

Ответить

Andrew Savinykh

10.07.2023, 00:42

@kelalaka, вот в чем вопрос, что АНБ не позволяет широкой публике узнать об этом?

Ответить

forest

18.07.2023, 20:21

@AndrewSavinykh АНБ больше не опережает общественность на десятилетия, когда речь идет о криптографических знаниях. К счастью, вполне возможно определить, когда дизайн _нельзя_ был взломан с высокой вероятностью. Даже если бы АНБ могло легко разработать шифр с бэкдором, общественность поняла бы, что сама его конструкция теоретически делает бэкдор возможным, и отвергла бы его.

Ответить

Рейтинг:2

Crypto

poncho

12.07.2023, 20:18

в обоих случаях (Dual EC и Streebog/Kuznyechik s-box) какая информация позволяет экспонировать?

В случае с Dual EC это по сути закрытый ключ. Dual EC имеет две внутренние точки эллиптической кривой (P и Q); если кто-то знает отношение между ними (то есть знает целое число $n$ это устраивает($nP = Q$), то они могут прогнозировать будущие результаты на основе текущего. Если они этого не делают (и не могут иначе решить вычислительную проблему Диффи-Хеллмана), то они не могут.

Это отношение известно как дискретный журнал; по сути, это закрытый ключ в большинстве криптосистем, основанных на эллиптических кривых.

Со Стрибогом и Кузнечиком не все так однозначно. Мы не знаем, существует ли бэкдор (это широко подозревается из-за необъяснимых закономерностей внутри sbox — одной из возможных причин этих закономерностей может быть работа бэкдора — однако это не единственная возможная причина).

Поскольку мы не знаем, как был вставлен бэкдор (если он вообще был), не совсем ясно, как он будет использоваться. Одной из возможностей является вставка линейной характеристики (или чего-то подобного); если это предположение верно, то эксплойт будет включать в себя знание некоторого количества открытого текста и зашифрованного текста, а затем использование этой характеристики для проверки частей ключа.

0 + 0

Andrew Savinykh

12.07.2023, 20:24

Спасибо, я понял ответ. Дополнительный вопрос: принято ли в современной криптографии принимать алгоритм в качестве стандарта, когда его безопасность зависит от того, что никто не знает «закрытый ключ», который «жестко запрограммирован» в стандарте? Потому что при таком объяснении кажется очевидным, на что следует обратить внимание при рассмотрении предлагаемого стандарта.

Ответить

poncho

16.07.2023, 20:21

@AndrewSavinykh: можно подумать, что это не будет принято, однако есть по крайней мере один текущий предлагаемый стандарт, в котором он есть: Spake+2 https://datatracker.ietf.org/doc/draft-bar-cfrg-spake2plus/ ( который является предлагаемым PAKE); в стандарте есть встроенные значения $N$ и $M$, и если вы знаете их дискретные журналы, вы можете проверить большое количество паролей из одного обмена ключами. Я не знаю, сочтет ли это сообщество приемлемым...

Ответить

Admin

Этот вопрос на других языках:

EN: What is required to use a cryptographic algorithm backdoor?

TH: สิ่งที่จำเป็นในการใช้แบ็คดอร์อัลกอริทึมการเข้ารหัส

RO: Ce este necesar pentru a utiliza un algoritm criptografic backdoor?

RU: Что требуется для использования бэкдора с криптографическим алгоритмом?

VI: Điều gì là cần thiết để sử dụng một cửa hậu thuật toán mật mã?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.