Вы находитесь на странице: 1из 6

gykov 3/5/19 6:09 PM Page 36

ТЕХНОЛОГИИ

Криптография и клептография:
скрытые каналы и лазейки
в криптоалгоритмах
Алексей Жуков, председатель совета Ассоциации “РусКрипто"
Александра Маркелова, технический директор ООО “НТЦ Альфа<Проект”,
к. ф.<м. н.

В
последнее время наблюдаются попытки государственных
структур ряда ведущих стран ослабить алгоритмы шифрования
и стандарты безопасности с целью облегчения работы
спецслужб и правоохранительных органов в рамках мер,
предпринимаемых государством в ответ на рост
террористической опасности. В числе прочего следуют
заявления об обязательном внедрении лазеек
в криптоалгоритмы, являющиеся государственными стандартами.
Не касаясь этических, юридических, экономических
и политических сторон, рассмотрим этот процесс
с криптографической точки зрения: какие модели и механизмы
лежат в основе той или иной криптографической лазейки,
можно ли ее обнаружить, кто может воспользоваться теми
возможностями, которые она предоставляет.

"Война – это мир, раб- странства делает его безопас- тах, при использовании без-
ство – это свобода, ным для всех участников. опасной передачи информа-
ослабление криптоалго- Речь генерального прокуро- ции по протоколам SSL/TLS
ритмов – это безопас- ра является частью процесса, в интернет-браузерах и т.п.
ность киберпростран- еще несколько десятилетий Появляется все больше быто-
ства", – пожалуй, именно тому назад названного запад- вых приборов (телевизоров,
эта формулировка наи- ной прессой "криптовойнами". кофеварок, пылесосов), под-
более точно отражает Этим термином характеризу- ключенных к так называемому
содержание речи заме- ется то скрытое, то явное Интернету вещей (IoT, Inter-
стителя генерального стремление со стороны госу- net-of-Things), и конечно же,
прокурора США Рода дарства ограничить обще- коммуникации этих устройств
Розенштейна1. Выступая ственность в доступе к крипто- между собой и с владельцем
в октябре 2017 г. перед графическим средствам, обес- должны быть надежно защи-
выпускниками Военно- печивающим сильную защиту. щены криптографическими
морской академии, он в кото- Среди причин, как правило, методами. Даже автомобили
рый раз сформулировал офи- указывают на недопустимость становятся частью Интернета
циальную позицию властей попадания надежных систем вещей (развитие концепции
и спецслужб США: надежное шифрования в руки террори- Connected Car), и это уже
шифрование – антиконститу- стов, организованной преступ- вопрос безопасности не только
ГОСТ ционно2, потому что мешает ности или недружественных ценной личной информации,
Р 51275–2006 [5]: правоохранительным органам режимов. но и жизни водителя.
эффективно бороться с пре- Все это принято относить
Программная закладка – ступностью как на этапе пред- Криптография и жизнь к "гражданской3 криптографии" –
преднамеренно внесенный отвращения преступлений, так На сегодняшний день подав- т.е. криптографии, которая,
в программное обеспечение и при проведении расследова- ляющее большинство людей в отличие от криптографии
функциональный объект, ний. так или иначе используют государственной или военной,
который при определенных По мнению генерального про- криптографию в повседневной призвана удовлетворять
условиях инициирует реали- курора, именно прозрачность жизни: в мобильной телефон- потребности частных лиц
зацию недекларированных (для наблюдения) киберпро- ной связи, в банковских кар- и организаций.
возможностей программно-
го обеспечения. 1
Deputy Attorney General Rod J. Rosenstein Delivers Remarks on Encryp<tion at the United States Naval
Academy. Annapolis, MD ~ Tuesday, October 10, 2017. https://www.justice.gov/opa/speech/ deputy<
attorney<general<rod<j<rosenstein<delivers<remarks<encryption<united<states<naval.
2
Дословно: “Warrant<proof encryption defeats the constitutional balance by elevating privacy above
public safety” и “There is no constitutional right to sell warrant<proof encryption”.
3
Прилагательное “гражданская” юридического и политологического смысла здесь не несет.

36 •
gykov 3/5/19 6:09 PM Page 37

КРИПТОГРАФИЯ www.itsec.ru

Криптография "Война – это мир, рабство – это свобода, ослабление


и преступность криптоалгоритмов – это безопасность киберпространства", –
Одновременно с этим среди пожалуй, именно эта формулировка наиболее точно отражает
пользователей гражданской содержание речи заместителя генерального прокурора США
криптографии оказываются не Рода Розенштейна1. Выступая в октябре 2017 г. перед
только законопослушные граж- выпускниками Военно-морской академии, он в который раз
дане, но и преступники, мошен- сформулировал официальную позицию властей и спецслужб
ники, террористы, использую- США: надежное шифрование – антиконституционно2, потому
щие современные технологии что мешает правоохранительным органам эффективно
для подготовки, совершения и бороться с преступностью как на этапе предотвращения
сокрытия преступлений. Крип- преступлений, так и при проведении расследований.
тография в их руках с точки Слабые закладки –
зрения правоохранительных это намеренное ослабление
органов – безусловно, очень финансовые). В частности, с оружием террористов в случае алгоритма, позволяющее
неудобное и опасное оружие. этих позиций был написан обзор утечки ключа, например, если узнать секретную пользова-
Одним из наиболее значимых [1]. Теперь же регулярно возни- это лазейка в Connected Car, тельскую информацию
явлений международной и внут- кает вопрос о легитимизации позволяющая получить удален- на основе открытой инфор-
риполитической жизни в начале подобных мер со стороны госу- ное управление автомобилем. мации.
ХХI в. стал терроризм. В связи дарства. Жизнь ставит вызовы, В любом случае тотальный
с ростом террористических на которые приходится отвечать запрет на использование граж-
угроз общество требует приня- так или иначе. Уровень терро- данского шифрования малореа-
тия мер, в том числе и самых ризма растет, и общество тре- листичен в силу целого ряда
жестких. Государство "с удо- бует принятия ответных мер. экономических причин, а также
вольствием" идет навстречу Не впадая в пафос слов о сво- практической невозможности
таким пожеланиям. Антитерро- бодах и правах человека, сле- полного контроля над трафиком
ристические меры, предприни- дует осознать, что перед всеми и приложениями, установлен-
маемые со стороны государст- (и в том числе перед нами) ными на устройствах пользова-
ва, касаются и вопросов крип- стоит трудный выбор – гаран- телей. Нельзя также забывать
тографии. тированное ограничение свобод и про неотъемлемое право чест-
Усиление вторжения госу- или возможная угроза десят- ных пользователей на защиту
дарства в гражданскую крипто- кам, сотням, а то и тысячам своих данных.
графию – вполне ожидаемая жизней. Однозначного решения –
и неизбежная реакция госу- увы! – не существует. Выбор Криптография и будущее Скрытый канал (Covert
дарственных институтов, и преж- очень непростой, и любое реше- Все это, судя по всему, может Channel): непредусмотрен-
де всего законодателей и спец- ние вызовет неоднозначные стать (обще)мировой тенденци- ный разработчиком систе-
служб. Все больше и больше оценки. ей с которой нельзя будет не мы информационных техно-
официальных лиц заявляют о Даже среди экспертов в обла- считаться. Мы живем не в изо- логий и автоматизирован-
необходимости принятия на сти криптографии мнения раз- лированном мире, и эти тен- ных систем коммуникацион-
официальном государственном делились, хотя в своем боль- денции неизбежно коснутся ный канал, который может
уровне решения о внедрении шинстве криптографическое и нас. быть применен для наруше-
уязвимостей в информационные сообщество настроено против Современная криптография – ния политики безопасности.
системы, сети и пользователь- подобных мер. Объясняется это область на стыке математики,
ские устройства, об обязатель- не только либеральными математической кибернетики и
ном внедрении лазеек в крип- настроениями, традиционно гла- прикладных инженерно-техни-
тоалгоритмы, являющиеся госу- венствующими в умах (запад- ческих наук. И никакой раздел
дарственными стандартами. ной) интеллигенции, это неприя- математики или кибернетики
В настоящее время известно тие имеет под собой и более не является столь связанным
как минимум о двух алгоритмах, серьезную базу. с повседневной жизнью, столь
снабженных потайным ходом и Возросшая активность спец- политизированным и, вслед-
утвержденных при этом в США служб и прочих ведомств по ствие этого, столь подвержен-
в качестве федеральных стан- ослаблению действующих крип- ным воздействию со стороны
дартов – Skipjack (Clipper chip) тоалгоритмов невероятно опас- государства, как криптография.
[2] и Dual_EC_DRBG (Dual Elliptic на. Опасна не только мало конт- Вероятно, поэтому в криптогра-
Curve Deterministic Random Bit ролируемой возможностью фические споры зачастую втя-
Generator) [3]. Последний был доступа к корреспонденции всех
успешно продвинут в междуна- граждан, а не только террори-
родные стандарты4 [4]. стов, но и тем, что нет никаких Усиление вторжения государства в гражданскую
гарантий того, куда и кому пой- криптографию – вполне ожидаемая и неизбежная
Криптография и общество дет эта информация. Ключи к реакция государственных институтов, и прежде
Последнее время в СМИ все потайному ходу криптоалгорит- всего законодателей и спецслужб. Все больше и
чаще появляются сообщения о ма значительно проще похитить больше официальных лиц заявляют о необходимости
лазейках и потайных ходах в и использовать, чем другие принятия на официальном государственном уровне
криптоалгоритмах. Раньше этот типы оружия массового пора- решения о внедрении уязвимостей в
аспект деятельности был, по жения (базы ГИБДД и МГТС, информационные системы, сети и пользовательские
всеобщему мнению, исключи- свободно продававшиеся на устройства, об обязательном внедрении лазеек в
тельной прерогативой "плохих Горбушке, тому пример). Лазей- криптоалгоритмы, являющиеся государственными
парней", пытающихся похитить ки, призванные защитить нас стандартами.
ваши секреты (в том числе и от терроризма, могут сами стать

4
Более подробно об этом будет рассказано в следующих работах.

• 37
gykov 3/5/19 6:09 PM Page 38

ТЕХНОЛОГИИ

гиваются люди, совершенно опасности, в том числе про- о той конкретной реализации
далекие от математики (напри- граммно и аппаратно реализо- криптографического алгоритма,
мер, вопрос о том, возможно ванные криптографические которая находится в его распо-
ли – и как – читать сообщения алгоритмы, которые для поль- ряжении. Насколько в действи-
защищенных чатов мессендже- зователей зачастую представ- тельности она его защищает?
ра Telegram, не обсуждал только ляются как черные ящики. Это Насколько легко производите-
ленивый). Эти люди зачастую или аппаратные устройства лям программных продуктов и
предлагают не самые адекват- шифрования, логика которых аппаратных модулей безопас-
ные (с точки зрения криптогра- реализована на низком уровне, ности встроить лазейку в свою
фии) решения. Так, например, или пакеты программ, часто продукцию так, что она оста-
При анализе работы уже упомянутый в начале статьи без наличия исходных текстов. нется незамеченной, но в то же
клептографических систем Род Розенштейн считает, что Конкретную структуру алгорит- время позволит производителю
традиционно выделяют сле- вопросы доступа спецслужб ма сложно отследить даже в нарушить конфиденциальность
дующих трех участников [1]: к зашифрованной информации программных продуктах при пользователя?
● разработчик – обладает можно решить по аналогии отсутствии текстов исходных Итак, основными вопросами,
информацией о лазейке, с системой распространения программ. И даже в тех случаях, возникающими при пользова-
владеет секретным клю- лицензионных ключей и ключей когда спецификация становится нии криптографическими чер-
чом к лазейке, не владеет обновления программного обес- доступной для пользователя, ными ящиками, являются:
секретным ключом поль- печения. И тут снова можно последний весьма редко про- 1. Предоставляет ли данная
зователя; вспомнить и про Горбушку, веряет соответствие имеюще- реализация алгоритма недоку-
● пользователь – владеет и про торрент-трекеры5. гося в его распоряжении про- ментированные возможности и,
секретным ключом поль- А существуют ли надежные дукта официальной документа- в частности, содержит ли она
зователя, в случае успеш- методы обеспечения эксклю- ции. Таким образом, пользова- незаявленные включения, поз-
ного реверс-инжиниринга зивного доступа спецслужб к тели зачастую получают лишь воляющие реализовать недо-
обладает информацией пользовательской информации иллюзию защиты. Используя кументированные возможно-
о лазейке, но не владеет при сохранении достаточного алгоритм, все детали работы сти?
ее секретным ключом; уровня стойкости от стороннего которого известны только его 2. Имеет ли место утечка сек-
● злоумышленник – в слу- нарушителя? Авторы планируют разработчику, пользователь ретной информации?
чае успешного реверс- посвятить этому вопросу цикл располагает единственной 3. Возникает ли риск для
инжиниринга обладает статей. В них будут рассмотре- гарантией стойкости – утвер- пользователя в случае успеш-
информацией о лазейке, ны различные аспекты клепто- ждением самого разработчика ного реверсинжиниринга дан-
но не владеет ее секрет- графии6 – деятельности по о надежности алгоритма. В то ного продукта третьей сторо-
ным ключом, а также внедрению уязвимостей в мате- же время разработчики готовых ной?
секретным ключом поль- матическую структуру крипто- продуктов объективно имеют
зователя. графических систем и пользо- возможность встроить лазейки Встроенные каналы утечки
вательских устройств. в реализуемые криптографиче- информации (лазейки)
Не касаясь этических, юри- ские алгоритмы по своей ли Облегченный доступ ко всем
дических, экономических и инициативе, по чьему-либо данным, имеющимся в инфор-
политических сторон этого явле- заказу или по указанию мационном пространстве,
Пользователи зачастую ния, рассмотрим его с крипто- "сверху". может быть обеспечен либо за
получают лишь иллюзию графической, а точнее – с мате- Другой способ подтверждения счет явного ослабления меха-
защиты. Используя алго- матической точки зрения: какие безопасности кода – сертифи- низмов защиты информацион-
ритм, все детали работы математические модели и меха- кация (например, на соответ- ных систем и пользовательских
которого известны только низмы лежат в основе меха- ствие Common Criteria или на устройств, либо путем введения
его разработчику, пользова- низма той или иной клептогра- соответствие отраслевым стан- в структуру алгоритмов замас-
тель располагает единствен- фической лазейки, можно ли дартам, таким как EMV для бан- кированных лазеек. По своей
ной гарантией стойкости – обнаружить лазейку, кто может ковских карт) – к сожалению, сути лазейки являются встроен-
утверждением самого раз- воспользоваться теми возмож- тоже не всегда безупречен. При- ными каналами утечки инфор-
работчика о надежности ностями, которые она предо- чина в том, что зачастую, хотя мации. Модифицированные
алгоритма. В то же время ставляет, и какие меры проти- международные сертифика- таким образом криптосистемы
разработчики готовых про- водействия существуют, – со ционные лаборатории и являют- называют также зараженными
дуктов объективно имеют всем этим мы и постараемся ся формально независимыми, (или инфицированными) крип-
возможность встроить разобраться в статьях, которые но реально их деятельность все тосистемами.
лазейки в реализуемые планируется опубликовать в равно подчиняется локальному К сожалению, сложившейся,
криптографические алгорит- ближайших выпусках журнала. законодательству в области общепризнанной терминологии
мы по своей ли инициативе, информационной безопасности, в этой области пока нет. Даже
по чьему-либо заказу или по Проблема т.е. спецслужбе той страны, где в англоязычной литературе,
указанию "сверху". существования лазеек лаборатория расположена. насчитывающей несколько
в криптографических Таким образом, сертифика- сотен работ, написанных за
системах ция может защитить от недоб- несколько последних десяти-
Окружающая нас информа- росовестного разработчика, но летий и посвященных заклад-
ционная среда включает раз- не гарантирует отсутствия пра- кам-лазейкам, нет устоявше-
нообразные программно-аппа- вительственных закладок. гося мнения относительно того,
ратные средства для решения В итоге вопрос состоит в том, как следует называть крипто-
задач информационной без- что может сказать пользователь графические лазейки. Тем не

5
Напоминаем, что многие торрент-трекеры в РФ заблокированы Роскомнадзором за нарушение
авторских прав, но технические способы обхода блокировок существуют (авторы статьи не одобряют
подобные методы, т.к. это нарушает российское законодательство).
6
Термин появился благодаря работам А. Янга и М. Юнга (Adam Young, Moti Yung).

38 •
gykov 3/5/19 6:10 PM Page 39

КРИПТОГРАФИЯ www.itsec.ru

менее большинство авторов


(и авторы данной статьи раз-
деляют это мнение) предлагают
закрепить за криптографиче-
скими лазейками термин Back-
doors, оставив термин Trap-
doors для обозначения инфор-
мации, позволяющей легко
обратить однонаправленную
функцию (Trapdoor one-Way
Function).

Программная закладка
В русскоязычной литературе
для обозначения этих понятий
используются и "закладки", и
"лазейки", и "бэкдоры", и даже
"потайные ходы". Термин
"закладка" зафиксирован
в ГОСТ Р 51275–2006 [5]: про-
граммная закладка – предна-
меренно внесенный в программ-
ное обеспечение функциональ-
ный объект, который при опре-
деленных условиях инициирует
реализацию недекларирован-
ных возможностей программ-
ного обеспечения.
В данной статье авторы будут
использовать и "лазейки", и
"закладки", и "бэкдоры" как
синонимы.
Для построения или обнару- Современная криптография – область на стыке математики, математической
жения лазеек необходимо отве- кибернетики и прикладных инженерно-технических наук. И никакой раздел математики
тить на следующие вопросы. или кибернетики не является столь связанным с повседневной жизнью, столь
1. Какая информация выда- политизированным и, вследствие этого, столь подверженным воздействию со стороны
ется с устройства? государства, как криптография.
2. Может ли устройство
содержать скрытый канал утеч- чаев слабые закладки можно чально не предполагался для
ки информации? выявить, основываясь только передачи информации в элек-
3. Если может, то какова на выходных (открытых) данных тронной системе обработки
пропускная способность этого алгоритма, с помощью простых данных. На практике к таким
канала? алгебраических проверок или каналам относят не только
4. Что можно скрыть в выда- статистического анализа. Под- нестандартные каналы пере- Для построения или
ваемой информации, не мешая робнее о теоретических спосо- дачи информации, но и обнаружения лазеек необхо-
при этом нормальной работе бах построения слабых закла- нестандартные способы пере- димо ответить на следую-
устройства? док можно прочитать в [11], а о дачи информации по легаль- щие вопросы.
5. Какие дополнительные дан- некоторых реальных случаях ным каналам. Примером тако- 1. Какая информация
ные необходимо знать, чтоб обнаружения подобных уязви- го канала является передача выдается с устройства?
извлечь из выдаваемой инфор- мостей (на примере алгоритма информации с помощью млад- 2. Может ли устройство
мации скрытые в ней данные? RSA) – в [10]. ших битов пикселей в файле содержать скрытый канал
(То есть что является ключом к с изображением. утечки информации?
лазейке?) Скрытые каналы Выбранная терминология 3. Если может, то какова
Вопрос о существовании представляется не совсем пропускная способность
Слабые закладки лазеек в криптографическом удачной. Как отмечено в [1], этого канала?
Способы встраивания закла- алгоритме тесно связан с поня- называть эти каналы скрыты- 4. Что можно скрыть
док в криптографические алго- тием скрытого канала передачи ми, тайными (hidden, covert) в выдаваемой информации,
ритмы можно условно разде- информации. можно только при условии, не мешая при этом нормаль-
лить три основных группы: сла- В соответствии с ГОСТ что об их существовании ниче- ной работе устройства?
бые закладки, передача инфор- Р 53113.1–2008 [9] скрытый го не известно. В противном 5. Какие дополнительные
мации по скрытым каналам, канал (Covert Channel) – непред- случае третье лицо, имеющее данные необходимо знать,
SETUP-механизмы [6]. усмотренный разработчиком информацию об этих каналах, чтоб извлечь из выдаваемой
Слабые закладки – это наме- системы информационных тех- в ряде случаев будет получать информации скрытые в ней
ренное ослабление алгоритма, нологий и автоматизированных всю информацию, проходя- данные?
позволяющее узнать секретную систем коммуникационный щую по ним, и даже иметь
пользовательскую информацию канал, который может быть при- возможность изменять эту
на основе открытой информа- менен для нарушения политики информацию по своему усмот-
ции. безопасности. рению. Поэтому, на наш
Слабые закладки всегда То есть канал называется взгляд, такие каналы уместнее
обнаруживаются с помощью скрытым, если он специально называть нестандартными или
реверсинжиниринга. В ряде слу- не проектировался и изна- нелегальными.

• 39
gykov 3/5/19 6:10 PM Page 40

ТЕХНОЛОГИИ

основными вопросами, возникающими при существование скрытого канала мацией о лазейке, но не владеет
пользовании криптографическими черными ящиками, передачи информации; знание ее секретным ключом;
являются: этой структуры позволяет полу- ● злоумышленник – в случае
1. Предоставляет ли данная реализация алгоритма чать секретную информацию успешного реверс-инжиниринга
недокументированные возможности и, в частности, (например, о секретном ключе). обладает информацией о лазей-
содержит ли она незаявленные включения, Без знания лазейки алгоритм ке, но не владеет ее секретным
позволяющие реализовать недокументированные кажется надежным. ключом, а также секретным
возможности? Наибольший интерес среди ключом пользователя.
2. Имеет ли место утечка секретной информации? них представляют клептогра- Предполагается, что зло-
3. Возникает ли риск для пользователя в случае фические лазейки, названные умышленник успешно применил
успешного реверсинжиниринга данного продукта в [7], [8] SETUP-механизмами реверс-инжиниринг к одному
третьей стороной? (SETUP – Secretly Embedded или нескольким устройствам
Trapdoor with Universal Protec- (но не к данному) и получил
tion – секретно встроенная код и содержимое их энергоне-
Мы также будем рассматри- лазейка с универсальной защи- зависимой памяти. Предпола-
вать другой вид скрытых кана- той) – специальные видоизме- гается также, что злоумышлен-
лов, называемых в английской нения, внесенные в "добропо- ник имеет доступ ко всей пуб-
терминологии Subliminal7. рядочный" криптографический личной информации, включая
К этому виду относятся скрытые алгоритм с целью позволить общедоступные алгоритмы,
каналы передачи информации, разработчику лазейки получать открытые ключи, зашифрован-
воспользоваться которыми секретную информацию (чаще ные тексты, подписи и т.д. При
может только обладатель соот- всего о секретном ключе поль- этом в [11] выделяется два типа
ветствующей информации зователя), но так, что внешне злоумышленника.
(ключа к скрытому каналу) [1]. работа "инфицированного" Отличительный злоумышлен-
Будем называть такие каналы алгоритма не отличается от ник. Его цель в том, чтобы отли-
защищенными скрытыми кана- работы "неинфицированного". чить честную реализацию от
лами. Они отличаются от других видов нечестной.
Пропускная способность закладок (программных, аппа- Злоумышленник-криптоана-
скрытого канала – это количе- ратных, алгоритмических и т.п.) литик. Его цель состоит в том,
ство информации, которое тем, что при их встраивании чтобы сломать безопасность
может быть передано по скры- модифицируется математиче- данного устройства, которое
тому каналу в единицу времени ская структура инфицируемого никогда не подвергалось
или относительно какой-либо алгоритма. В отличие от клас- реверс-инжинирии. Это может
другой шкалы измерения [9]. сических недекларированных включать нахождение закрыто-
Это определение корректно для возможностей ПО, клептогра- го пользовательского ключа,
обоих видов скрытых каналов фические закладки, как прави- дешифрование шифрования с
(Covert и Subliminal). Мы будем ло, не изменяют алгоритмы открытым ключом, подделку
оценивать пропускную способ- работы системы в целом (т.е. подписи и т.д.
ность скрытого канала относи- не предоставляют нарушителю Принимая во внимание тен-
тельно количества информации, административные права досту- денции последних лет, ролевую
передаваемой по основному па, не стирают пользователь- модель можно видоизменить,
каналу. ские данные, не проводят запи- добавив нового участника –
си в файлы, не отправляют e- спецслужбу и ограничив уро-
mail и т.п.). вень знания разработчика [10].
Пропускная способность скрытого канала – это Более того, инфицированные В этой новой модели вместе с
количество информации, которое может быть клептографическим бэкдором "пользователем" и "злоумыш-
передано по скрытому каналу в единицу времени или протоколы могут даже не быть ленником" действуют:
относительно какой-либо другой шкалы измерения недокументированной возмож- ● спецслужба – обладает
[9]. Это определение корректно для обоих видов ностью ПО; в дальнейшем мы информацией о лазейке, вла-
скрытых каналов (Covert и Subliminal). увидим, что некоторые алго- деет секретным ключом к
ритмы с лазейками были лазейке, не владеет секретным
частью международных стан- ключом пользователя;
Например, если пропускная дартов, т.е. были документиро- ● разработчик – обладает
способность равна 1/2, то это ваны и использовались вполне информацией о лазейке, вла-
означает, что на n бит, пере- легально. деет открытым ключом лазейки,
данных по основному каналу, При анализе работы клепто- не владеет секретным ключом
мы можем передать n/2 бит графических систем традицион- к лазейке, не владеет секрет-
информации по скрытому но выделяют следующих трех ным ключом пользователя.
каналу. участников [1]: Спецслужба выдает разра-
● разработчик – обладает ботчику инструкции по реали-
Криптоалгоритмы информацией о лазейке, вла- зации лазейки и открытый ключ,
с лазейками. деет секретным ключом к с помощью которого будут шиф-
SETUP-механизмы лазейке, не владеет секретным роваться выдаваемые через
Криптоалгоритм с лазейкой ключом пользователя; лазейку пользовательские дан-
(Backdoor, Trapdoor) – это алго- ● пользователь – владеет сек- ные. Разработчик знает весь
ритм, который содержит неко- ретным ключом пользователя, механизм работы, но не знает
торую скрытую структуру в случае успешного реверс- секретного ключа, поэтому при
(лазейку), обеспечивающую инжиниринга обладает инфор- использовании не сможет полу-

7
Subliminal – подсознательный (англ.) – термин из психоанализа. Неудачность использования
в данном контексте такого термина с точки зрения русского языка – очевидна.

40 •
gykov 3/5/19 6:10 PM Page 41

КРИПТОГРАФИЯ www.itsec.ru

чить доступ к пользовательским данное значение легко восста- [2] National Institute of Stan-
данным (т.е. пользователь навливается, т.е. оно не являет- dards and Technology. Escrowed
защищен не только от сторон- ся секретом и доступно любому Encryption Standard.– NIST FIPS
него нарушителя, но и от раз- наблюдателю, включая зло- PUB 185, U.S. Department of
работчика). Злоумышленник до умышленника. Commerce, 1994.
проведения реверс-инжинирин- Нетрудно заметить, что salt [3] National Institute of Stan-
га обладает меньшими возмож- можно использовать в качестве dards and Technology. Recom-
ностями, чем разработчик. скрытого канала передачи дан- mendation for Random Number
SETUP-механизмы могут ных, поскольку никаких ограниче- Generation Using Deterministic
быть симметричными и асим- ний на это значение нет и ника- Random Bit Generators.– NIST
метричными. По аналогии с ких дополнительных проверок Special Publication 800-90A, Rev. 1,
симметричным шифрованием в оно проходить не должно. 2012. First version June 2006,
симметричных лазейках ключ, Если передаваемая инфор- second version March 2007, SETUP-механизмы могут
встроенный в реализацию, сов- мация передается через salt в http://csrc.nist.gov/publications/ быть симметричными и
падает с ключом автора лазей- открытом виде, то это можно PubsSPs.html#800-90A. асимметричными. По анало-
ки, необходимым для получения рассматривать как аналог сла- [4] ISO/IEC 18031:2005. Infor- гии с симметричным шиф-
доступа к скрытому каналу (или бой закладки. То есть любой mation technology – Security tech- рованием в симметричных
же эти ключи легко вычислимы сторонний нарушитель получает niques – Random bit generation. лазейках ключ, встроенный
друг из друга). С другой сторо- тот же доступ к информации [5] ГОСТ Р 51275–2006. Защи- в реализацию, совпадает
ны, ключ разработчика асим- скрытого канала, что и разра- та информации. Объект инфор- с ключом автора лазейки,
метричной лазейки не может ботчик лазейки. матизации. Факторы, воздей- необходимым для получения
быть эффективно вычислен по Если вместо salt передавать ствующие на информацию. доступа к скрытому каналу
данным, встроенным в реали- значение (salt)’ = E(m’), где m’– Общие положения. (или же эти ключи легко
зацию инфицированного алго- передаваемая секретно инфор- [6] Маркелова А.В. Уязви- вычислимы друг из друга).
ритма. После обнаружения в мация, а E– функция шифрова- мость ROCA и другие возмож- С другой стороны, ключ раз-
реализации алгоритма асим- ния, то получается лазейка с ности внедрения закладок в работчика асимметричной
метричного SETUP-механизма защитой (с ключом). алгоритм RSA. Всероссийская лазейки не может быть
и выяснения его особенностей, Если при этом E – симмет- студенческая конференция эффективно вычислен по
например, при помощи реверс- ричное шифрование, то это сим- "Студенческая научная весна": данным, встроенным в реа-
инжиниринга и пользователи, и метричная лазейка. В таком сборник тезисов докладов. – лизацию инфицированного
злоумышленники (все, за случае лазейка защищена толь- МГТУ им. Н.Э. Баумана, 2018. – алгоритма. После обнаруже-
исключением владельца ключа ко от стороннего нарушителя, С. 313–314. ния в реализации алгоритма
к асимметричной лазейке) не не имеющего возможности про- [7] Young A., Yung M. Kleptog- асимметричного SETUP-
могут определить как уже вести реверс-инжиниринг. raphy: using Cryptography against механизма и выяснения его
использованные, так и будущие Если же E – асимметричное Cryptography // In book: EURO- особенностей, например,
секретные ключи пользователя. шифрование, то мы построили CRYPT’97. (Series: Lecture Notes при помощи реверс-инжини-
В этом смысле асимметричный асимметричную закладку, защи- in Computer Science). Springer, ринга и пользователи, и зло-
SETUP-механизм обеспечивает щенную и от стороннего наблю- 1998. – Vol.1233. – Pp. 62–74. умышленники (все, за
"криптостойкость" системы по дателя, и от злоумышленника, [8] Young A., Yung M. Monkey – исключением владельца
отношению ко всем нарушите- который провел реверс-инжи- Black-Box Symmetric Ciphers ключа к асимметричной
лям, кроме спецслужбы (в том ниринг, и от разработчика (в Designed for MONopolizing KEYs // лазейке) не могут опреде-
числе и по отношению к разра- случае, если ключ расшифро- In book: FSE’98. (Series: Lecture лить как уже использован-
ботчику) и может использовать- вания известен только спец- Notes in Computer Science). Springer, ные, так и будущие секрет-
ся даже в системах с открытым службе). 1998. – Vol.1372. – Pp. 122–133. ные ключи пользователя.
исходным кодом. Отметим также, что если [9] ГОСТ Р 53113.1–2008. В этом смысле асимметрич-
Рассмотрим различные виды функция E обеспечивает доста- Защита информационных тех- ный SETUP-механизм обес-
закладок на простом примере. точно хорошую статистику на нологий и автоматизированных печивает "криптостойкость"
Читателю наверняка знаком выходе, то случайное значение систем от угроз информацион- системы по отношению
алгоритм подписи RSA8. Как salt и вычисленное значение ной безопасности, реализуемых ко всем нарушителям,
известно, перед формировани- (salt)’ полиномиально нераз- с использованием скрытых кроме спецслужбы (в том
ем подписи данные обычно личимы, т.е. закладка устойчива каналов. Часть 1. Общие поло- числе и по отношению
хэшируются. А поскольку раз- даже против отличительного жения. к разработчику) и может
мер хэша зачастую меньше раз- злоумышленника. [10] Маркелова А.В. Скрытые использоваться даже
мера открытого модуля RSA, то Данный пример, конечно же, каналы и лазейки с универ- в системах с открытым
результат хэширования допол- является очень упрощенным и сальной защитой в асиммет- исходным кодом.
няется некоторыми фиксиро- предназначен главным образом ричных криптоалгоритмах //
ванными или случайными бай- для иллюстрации темы. А более Отчет по научно-исследователь-
тами. интересные и изощренные ской работе. – МГТУ
Так, например, в стандарте закладки мы обсудим в после- им. Н.Э. Баумана, 2018. – 50 c.
PKCS#1 [12] описан метод дующих работах. [11] Young A., Yung M. Mali-
выравнивания RSASSA-PSS, cious Cryptography. Exposing
при котором в качестве вырав- Литература Cryptovirology. Wiley Publishing,
нивающих данных используется [1] Жуков А.Е. Криптосистемы Inc. 2004.
некоторая случайная строка и со встроенными лазейками // [12] PKCS #1 v2.1: RSA Cryp-
некоторые преобразования этой BYTE Россия. – 2007. – № 101. – tography Standard. RSA Labora-
строки. При проверке подписи С. 45–51. tories. DRAFT 1 – September 17,
1999. ●

8
Необходимую информацию можно найти практически в любой Ваше мнение и вопросы
присылайте по адресу
книге, посвященной криптографии, а также на нескольких сотнях
is@groteck.ru
сайтов с криптографической тематикой

• 41