Рейтинг:0

Что требуется для использования бэкдора с криптографическим алгоритмом?

флаг jp

Дэвид Вонг в своей книге «Криптография реального мира» пишет:

В 2013 году после откровений Эдварда Сноудена было обнаружено, что АНБ целенаправленно и успешно настаивал на включении бэкдор-алгоритмов в стандартов (см. «Dual EC: A Standardized Back Door» Bernstein et al.), которые включал скрытый переключатель, который позволял АНБ, и только АНБ, предсказывать ваши секреты. Эти лазейки можно рассматривать как волшебные пароли, которые позволяют правительству (и только это, якобы) чтобы подорвать ваше шифрование. <...> В последнее время в $2019$было установлено, что российский стандарт ГОСТ был жертва такого же обращения.

Ссылка на ГОСТ, вероятно, касается Стрибог и Кузнечик.

Хотя автор ссылается на «волшебные пароли», понятно, что это чрезмерное упрощение, поэтому его нельзя понимать буквально.

Я хотел бы знать следующее: в обоих случаях (Dual EC и Streebog/Kuznyechik s-box) какая информация разрешает эксплуатацию? Это

  • секретный ключ, аналогичный закрытому ключу в алгоритмах асимметричной криптографии, который нельзя получить из общедоступных данных; или же
  • какой-то секретный способ (алгоритм) эксплуатации, который неизвестен публике
  • обе
  • что-то другое

Другими словами, каждый ли мог бы использовать эти бэкдоры, если бы какой-то секретный ключ был известен публике, или не хватало каких-то научных/алгоритмических знаний?

kelalaka avatar
флаг in
Двойной EC позволяет АНБ узнать следующее состояние генератора случайных чисел из 32 байтов, которые можно увидеть из одноразовых номеров TLS.
флаг jp
@kelalaka, вот в чем вопрос, что АНБ не позволяет широкой публике узнать об этом?
forest avatar
флаг vn
@AndrewSavinykh АНБ больше не опережает общественность на десятилетия, когда речь идет о криптографических знаниях. К счастью, вполне возможно определить, когда дизайн _нельзя_ был взломан с высокой вероятностью. Даже если бы АНБ могло легко разработать шифр с бэкдором, общественность поняла бы, что сама его конструкция теоретически делает бэкдор возможным, и отвергла бы его.
Рейтинг:2
флаг my

в обоих случаях (Dual EC и Streebog/Kuznyechik s-box) какая информация позволяет экспонировать?

В случае с Dual EC это по сути закрытый ключ. Dual EC имеет две внутренние точки эллиптической кривой (P и Q); если кто-то знает отношение между ними (то есть знает целое число $n$ это устраивает($nP = Q$), то они могут прогнозировать будущие результаты на основе текущего. Если они этого не делают (и не могут иначе решить вычислительную проблему Диффи-Хеллмана), то они не могут.

Это отношение известно как дискретный журнал; по сути, это закрытый ключ в большинстве криптосистем, основанных на эллиптических кривых.

Со Стрибогом и Кузнечиком не все так однозначно. Мы не знаем, существует ли бэкдор (это широко подозревается из-за необъяснимых закономерностей внутри sbox — одной из возможных причин этих закономерностей может быть работа бэкдора — однако это не единственная возможная причина).

Поскольку мы не знаем, как был вставлен бэкдор (если он вообще был), не совсем ясно, как он будет использоваться. Одной из возможностей является вставка линейной характеристики (или чего-то подобного); если это предположение верно, то эксплойт будет включать в себя знание некоторого количества открытого текста и зашифрованного текста, а затем использование этой характеристики для проверки частей ключа.

флаг jp
Спасибо, я понял ответ. Дополнительный вопрос: принято ли в современной криптографии принимать алгоритм в качестве стандарта, когда его безопасность зависит от того, что никто не знает «закрытый ключ», который «жестко запрограммирован» в стандарте? Потому что при таком объяснении кажется очевидным, на что следует обратить внимание при рассмотрении предлагаемого стандарта.
poncho avatar
флаг my
@AndrewSavinykh: можно подумать, что это не будет принято, однако есть по крайней мере один текущий предлагаемый стандарт, в котором он есть: Spake+2 https://datatracker.ietf.org/doc/draft-bar-cfrg-spake2plus/ ( который является предлагаемым PAKE); в стандарте есть встроенные значения $N$ и $M$, и если вы знаете их дискретные журналы, вы можете проверить большое количество паролей из одного обмена ключами. Я не знаю, сочтет ли это сообщество приемлемым...

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.