Вы находитесь на странице: 1из 6

КРИПТОГРАФИЯ И СТЕГАНОГРАФИЯ

Криптография и клептография.
Потайные ходы в алгоритме RSA

En Cryptography and В последнее время наблюдаются попытки государственных структур ряда ве-
дущих стран ослабить алгоритмы шифрования и стандарты безопасности
Kleptography. Backdoors
с целью облегчения работы спецслужб и правоохранительных органов в рам-
in the RSA Algorithm ках мер, предпринимаемых государством в ответ на рост террористической
опасности. В числе прочего следуют заявления об обязательном внедрении
A. E. Zhukov, лазеек в криптоалгоритмы, являющиеся государственными стандартами.
Chairman of the Board
Не касаясь этических, юридических, экономических и политических сторон,
«RusСrypto» Association
рассмотрим этот процесс с криптографической точки зрения: какие модели
aez_iu8@rambler.ru
и механизмы лежат в основе той или иной криптографической лазейки,
A. V. Markelova, можно ли ее обнаружить, кто может воспользоваться теми возможностями,
PhD (Phys./Math.), Technical Director которые она предоставляет?
Science and Technology Center
«AlphaProject»
Рассмотрение криптографических лазеек начнем с закладки Андерсона
a@safe-crypto.ru в генераторе ключей алгоритма RSA.

Recently, there have been attempts Ключевые слова: криптографические лазейки, клептография, SETUP-механизм, алго-
by state structures of a number of ритм RSA, закладка Андерсона
leading countries to weaken encryp-
tion algorithms and security stan-
dards in order to facilitate the work
of special services and law enforce- Алексей Евгеньевич Жуков, творять потребности частных орга-
ment agencies as part of measures председатель совета низаций и лиц.
taken by the state in response to the Ассоциация «РусКрипто» Гражданская криптография во-
growing terrorist threat. Among other aez_iu8@rambler.ru шла в повседневный обиход, она ис-
things, follow statements about the
Александра Викторовна Маркелова,
пользуется:
need for encryption standards with
кандидат физико-математических наук, ● в мобильной телефонной связи;
a mandated backdoors for govern-
технический директор ● в банковской системе, в том числе
ment access.
ООО «НТЦ Альфа-Проект», международными платежными си-
Without regard to ethical, legal, eco-
nomic and political aspects, we will a@safe-crypto.ru стемами (VISA, MasterCard и др.)
consider this process from a crypto- и при обмене электронными пла-
graphic point of view: which mathe- тежными документами в системе
matics underlie a particular crypto- Сегодня стал уже привычным расчетно-кассовых центров, систе-
graphic backdoors, can we find it, термин «гражданская криптогра- мах дистанционного управления
who can take advantage of the op- фия»1, обозначающий общедоступ- расчетными счетами;
portunities that it provides? ную криптографию, находящуюся ● при проведении операций на фон-
We'll begin the consideration of cryp- в сильном взаимодействии с эконо- довом рынке;
tographic loopholes with the Ander- микой и финансами, формально не ● при предоставлении по каналам
son’s backdoor inserted into RSA подчиняющуюся спецслужбам и при- связи в электронном виде налого-
key generation algorithm.
званную, в противоположность крип- вых деклараций, бухгалтерской от-
Keywords: cryptographic back- тографии государственной, удовле- четности и др.;
doors, kleptography, SETUP mech-
anism, RSA algorithm, Anderson’s 1 Прилагательное «гражданская» юридического и политологического смысла здесь не
backdoor несет.

74 Защита информации. INSIDE № 2'2019


КРИПТОГРАФИЯ И СТЕГАНОГРАФИЯ

● в бытовом программном обеспече- что разработкой лазеек и их внед- обладающих возможностями, срав-
нии (безопасная передача инфор- рением в криптоалгоритмы тайно, нимыми с возможностями государств
мации по протоколу SSL/TLS в ин- а порой и явно, занимается само го- регионального масштаба.
тернет-браузерах, шифрование сударство. С ростом терроризма общество
и ЭЦП в текстовом редакторе MS Еще несколько десятилетий тому требует принятия мер, в том числе
Word и др.); назад в западной прессе появился и самых жестких. Государство «с удо-
● в системах интернет-коммерции термин «криптовойны». Этим тер- вольствием» идет навстречу таким
и при обеспечении законности фи- мином характеризуется то скрытая, пожеланиям. «Антитеррористиче-
нансовых сделок (предотвращение то явная борьба государства и граж- ские» меры, принимаемые с его сто-
попыток мошенничества); данской криптографии, стремление роны, касаются и вопросов крип-
● в устройствах Интернета вещей со стороны первого ограничить об- тографии. Усиление вторжения го-
(Internet of Things, IoT) (обеспече- щественность в доступе к крипто- сударственных институтов, прежде
ние взаимной аутентификации графическим средствам, обеспечи- всего законодателей и спецслужб,
и защиты каналов связи как в про- вающим высокий уровень защиты в гражданскую криптографию –
мышленном секторе, так и в си- информации. Среди причин, как вполне ожидаемая реакция в данных
стемах умных домов); правило, при этом указывают на не- условиях. Все больше и больше офи-
● в персональных компьютерах, пре- допустимость попадания надежных циальных лиц заявляют о необхо-
вратившихся в неотъемлемый ат- систем шифрования в руки терро- димости принятия на официальном
рибут нашей жизни, в результате ристов, организованной преступно- государственном уровне решения
чего частным пользователям стали сти или недружественных режимов. о внедрении уязвимостей в инфор-
доступны и даже необходимы ин- Отсюда – неизбежные попытки влия- мационные системы, сети и пользо-
струменты шифрования профес- ния, установления контроля за крип- вательские устройства, об обязатель-
сионального качества и соответ- тографическими средствами, в том ном размещении таковых в крипто-
ствующего уровня стойкости. числе и путем внедрения в крипто- алгоритмах, являющихся государст-
алгоритмы потайных ходов, лазеек, венными стандартами. В настоящее
закладок и т. п. каналов утечки ин- время известно как минимум о двух
Криптография и политика формации. алгоритмах, снабженных потайным
Современная криптография – Вопрос этот имеет давнюю исто- ходом и утвержденных при этом
область на стыке математики, мате- рию (по-видимому, непосредственно в США в качестве федеральных стан-
матической кибернетики и приклад- с момента появления гражданской дартов – Skipjack (Clipper chip) [2]
ных инженерно-технических наук. криптографии). Так, в США неодно- и Dual_EC_DRBG (Dual Elliptic Curve
Но никакой раздел математики или кратно предпринимались действия Deterministic Random Bit Generator) [3].
кибернетики не является столь свя- по введению законодательных огра- Последний был успешно продвинут
занным с повседневной жизнью, ничений в данной области, в том и в международные стандарты [4]2.
столь политизированным и, вслед- числе выдвигались требования це-
ствие этого, столь подверженным ленаправленно внедрять ослаблен-
воздействию со стороны государст- ные криптоалгоритмы, чтобы го-
Криптография
ва, как криптография. Во многом сударственные службы при необхо-
и права человека
это обусловливается как внешне-, димости могли прочитать или про- Попытки государства установить
так и внутриполитическими при- слушать зашифрованные сообще- тотальный контроль за криптогра-
чинами. ния. В последнее время эта тенден- фическими средствами, в том числе
Последнее время в СМИ регу- ция стала еще более заметной. путем внедрения в них потайных
лярно, с увеличивающейся частотой Как уже было нами сказано, крип- каналов утечки информации, вы-
появляются сообщения о лазейках тография – весьма политизированная зывает естественную и противоречи-
и потайных ходах в криптоалгорит- область человеческой деятельности. вую реакцию со стороны граждан-
мах. Раньше этот аспект деятельно- А одним из наиболее значимых яв- ского общества. Тем не менее, жизнь
сти был, по всеобщему мнению, ис- лений международной и внутрипо- ставит перед нами определенные
ключительной прерогативой «пло- литической жизни в начале ХХI века вызовы, на которые приходится так
хих парней», пытающихся похитить стал терроризм – международный, или иначе отвечать. Не впадая в па-
ваши секреты (в том числе и фи- идеологический, религиозный, кри- фос слов относительно свобод и прав
нансовые). В частности, с этих по- минальный, политический и т. д. человека, следует осознать, что перед
зиций был написан обзор [1]. Теперь Очевидным становится как рост ин- каждым из нас стоит трудный вы-
же все чаще появляются сообщения дивидуального террора, так и уве- бор – гарантированное ограничение
о том, что со стороны государствен- личение активности богатых и весь- свобод или возможная угроза де-
ных структур предпринимаются по- ма многочисленных террористиче- сяткам, сотням, а то и тысячам жиз-
пытки ослабить алгоритмы шиф- ских организаций, называющих се- ней. Однозначного решения – увы! –
рования и стандарты безопасности, бя «государствами» и действительно не существует. Выбор очень непро-

2 Более подробно об этом будет рассказано в следующих публикациях.

Защита информации. INSIDE № 2'2019 75


КРИПТОГРАФИЯ И СТЕГАНОГРАФИЯ

стой, и любое принятое решение вы- писки – те, кому надо, научатся об- ного» алгоритма ничем не отличается
зовет неоднозначные оценки. ходиться без них. от работы «неинфицированного».
Даже среди экспертов в области К сожалению, сложившаяся, об-
криптографии мнения разделились, щепризнанная терминология в этой
хотя в своем большинстве крипто- Мы не изолированы области пока отсутствует. Даже в анг-
графическое сообщество настроено Все, о чем говорилось в преды- лоязычной литературе, насчитываю-
против подобных мер. Объясняется дущем разделе, судя по всему, мо- щей несколько сотен работ, напи-
это не только либеральными на- жет стать общемировой тенденцией, санных за несколько последних де-
строениями, традиционно главен- с которой нельзя будет не считаться: сятилетий, и посвященных подоб-
ствующими в умах (западной) ин- она неизбежно коснется и нас, по- ным закладкам, нет устоявшегося
теллигенции, неприятие этого пу- скольку мы живем не в изолиро- мнения относительно того, как сле-
ти имеет под собой и более серьез- ванном мире. В связи с этим авторы дует называть клептографические ла-
ную базу. планируют опубликовать цикл ста- зейки. Тем не менее, большинство
Главенствующая точка зрения та- тей, посвященных клептографии3 – авторов (и авторы данной статьи раз-
кова. Тотальный запрет на исполь- деятельности по внедрению уязви- деляют это мнение) предлагают за-
зование гражданской криптографии мостей в криптографические систе- крепить за клептографическими ла-
малореалистичен в силу целого ряда мы и пользовательские устройства. зейками термин «backdoors», оставив
экономических причин, а также прак- Не касаясь этических, юридиче- термин «trapdoors» для обозначения
тической невозможности полного ских, экономических и политических информации, позволяющей легко
контроля над трафиком и приложе- сторон рассматриваемого явления, обратить однонаправленную функ-
ниями, установленными на устрой- рассмотрим его с криптографиче- цию (trapdoor one-way function).
ствах пользователей. Нельзя также ской, а точнее – с математической В русскоязычной литературе для
забывать и про неотъемлемое право точки зрения: какие математические обозначения этих понятий исполь-
честных пользователей на защиту модели и механизмы лежат в основе зуются и «закладки», и «лазейки»,
своих данных. той или иной клептографической и «бэкдоры», и даже «потайные хо-
Кроме того, возросшая актив- лазейки, можно ли ее обнаружить, ды». Термин «закладка» зафиксиро-
ность спецслужб и прочих ведомств, кто в состоянии воспользоваться те- ван в ГОСТ Р 51275-2006 [5]: «Про-
направленная на ослабление дей- ми возможностями, которые она граммная закладка. Преднамеренно
ствующих криптоалгоритмов, неве- предоставляет, и какие меры про- внесенный в программное обеспечение
роятно опасна. Опасна не только ма- тиводействия этой опасности суще- функциональный объект, который
ло контролируемой возможностью ствуют – на все перечисленные здесь при определенных условиях иниции-
доступа к информации любого граж- вопросы мы и постараемся отве- рует реализацию недекларированных
данина (а не только преступника), тить в статьях, которые планируется возможностей программного обеспече-
но и отсутствием каких-либо гаран- опубликовать в ближайших номерах ния». Как уже было отмечено, мы
тий того, куда и к кому эта инфор- журнала. будем рассматривать только клепто-
мация попадет. Ключи к потайному графические лазейки – они отли-
ходу криптоалгоритма значительно чаются от других видов закладок
проще похитить и использовать,
Немного о терминологии (программных, аппаратных, алго-
чем другие типы оружия массового Облегченный доступ ко всему ритмических и т. п.) тем, что при
поражения. Утечка ключей к лазейке объему данных, имеющемуся в ин- их встраивании модифицируется ма-
может произойти не в силу мате- формационном пространстве, может тематическая структура инфицируе-
матических свойств используемых быть обеспечен либо за счет явного мого алгоритма. В отличие от клас-
алгоритмов, а будет обусловлена ре- ослабления механизмов защиты ин- сических недекларированных воз-
альными жизненными обстоятель- формационных систем и пользова- можностей ПО, клептографические
ствами. Базы ГИБДД и МГТС, сво- тельских устройств, либо путем вве- закладки, как правило, не изменяют
бодно продававшиеся на Горбушке, дения в структуру алгоритмов за- алгоритмов работы системы в целом
тому пример. Утечка ключа – угроза маскированных лазеек. Нас будут (то есть, не предоставляют наруши-
не только потери приватности для интересовать клептографические телю административных прав до-
отдельных личностей. В зависимо- лазейки – специальные видоизме- ступа, не стирают пользовательские
сти от области использования соот- нения, внесенные в «добропорядоч- данные, не проводят записи в файлы,
ветствующих криптоалгоритмов это ный» с виду криптографический ал- не отправляют e-mail и т. п.).
может стать угрозой, например, все- горитм с целью позволить разра- Более того, «инфицированные»
му финансовому сектору экономи- ботчику лазейки получать секретную клептографическим бэкдором про-
ки. Если же ослабленные алгоритмы информацию (чаще всего – о сек- токолы могут даже не быть недоку-
оставить только для обслуживания ретном ключе пользователя), но так, ментированной возможностью ПО:
мобильной связи и частной пере- что внешне работа «инфицирован- в дальнейшем мы увидим, что не-

3 Термин появился благодаря работам Адама Янга и Моти Юнга. Корень «клепто» сразу же придает всему направлению отчетливо
негативную окраску.

76 Защита информации. INSIDE № 2'2019


КРИПТОГРАФИЯ И СТЕГАНОГРАФИЯ

которые алгоритмы с лазейками яв- шифрованием в симметричных ла- по отношению к различным атакам,
лялись частью международных стан- зейках ключ, встроенный в реализа- но к механизму работы бэкдора эти
дартов, то есть были документиро- цию, совпадает с ключом разработ- требования отношения не имеют.
ваны и использовались вполне ле- чика лазейки, необходимым для по- Самая распространенная (и наи-
гально. лучения доступа к скрытому каналу более естественная) идея для бэкдора
В дальнейшем мы будем опус- (или же эти ключи легко вычислимы состоит в том, что в качестве про-
кать прилагательное «клептографи- друг из друга). С другой стороны, стых чисел для RSA-модуля выби-
ческие», если не потребуется явного ключ разработчика асимметричной раются простые числа, удовлетво-
указания на тип закладки, а терми- лазейки не может быть эффективно ряющие какому-то дополнительно-
ны «лазейки», «закладки» и «бэкдо- вычислен по данным, встроенным му условию, которое должно суще-
ры» будем использовать как сино- в реализацию инфицированного ал- ственно облегчить для разработчика
нимы. горитма. Другими словами, асим- задачу факторизации RSA-модуля.
Способы встраивания закладок метричный SETUP-механизм оста- В частности, тривиальным решени-
в криптографические алгоритмы ется защищенным даже в случае ре- ем является генерация RSA-ключей,
можно условно разделить на три верс-инжиниринга и может быть ис- при которой одно из простых чисел
основные группы: слабые закладки, пользован в системах с открытым выбирается из сравнительно неболь-
передача информации по скрытым исходным кодом. шого множества вариантов. Даже
каналам4, SETUP-механизмы [6]. если второе простое число для RSA-
Слабые закладки – это намерен- модуля выбирается случайно, задача
ное ослабление алгоритма, позво- Лазейки в алгоритме RSA факторизации RSA-модуля в этом
ляющее узнать секретную пользова- Рассмотрение клептографических случае не представляет никакого
тельскую информацию на основе закладок начнем с бэкдоров в алго- труда. Хотя, конечно, к категории
открытой информации. Они всегда ритме RSA5. Наиболее простая и наи- SETUP-механизмов предложенная
обнаруживаются с помощью реверс- более естественная идея – включение конструкция не относится.
инжиниринга. В ряде случаев слабые закладки не в сам криптографиче- Если генерация RSA-ключей де-
закладки можно выявить, основы- ский алгоритм (алгоритм шифрова- лается «честным» алгоритмом, вы-
ваясь только на выходных (откры- ния/расшифрования), а в алгоритм бирающим случайные простые числа
тых) данных алгоритма, с помощью генерации RSA-ключей. из нужного диапазона, вероятность
простых алгебраических проверок Напомним, что генерация RSA- того, что одно и то же простое число
или статистического анализа. ключей состоит из генерации RSA- появится несколько раз – ничтожно
Наиболее интересными являются модуля n, являющегося произведе- мала.
так называемые SETUP-механизмы нием двух больших простых чисел Напомним, что для функции рас-
(SETUP – Secretly Embedded Trapdoor (то есть n = pq – для чего необходимо пределения простых чисел π(x), рав-
with Universal Protection – секретно сгенерировать простые числа p и q) ной количеству простых чисел мень-
встроенная лазейка с универсальной и получения пары чисел e и d, удов- ших или равных x, верна аппрокси-
защитой) [7, 8]. Они видоизменяют летворяющих условию мация:
заданный криптографический алго- x .
ed = 1modϕ(n), π(x)  ––––
ритм таким образом, что позволяют ln(x)
производителю криптосистемы по- где ϕ – функция Эйлера. Открытым Следовательно, количество про-
лучать секретную информацию ключом является пара (n, e), секрет- стых чисел размера 512 бит прибли-
пользователя (чаще всего – инфор- ным ключом – d. Знание p и q – со- зительно равно
мацию о его секретных ключах). В то множителей, образующих число n –
2512 2511  10151.
же время для любого наблюдателя, позволяет по открытому ключу вы- ––––– – –––––
отличного от разработчика, работа числить секретный ключ, то есть ln2512 ln2511
модифицированного алгоритма не- полностью взломать систему. Разу- Отсюда следует, что вероятность
отличима от работы исходного. Мо- меется, числа p и q выбираются та- сгенерировать RSA-модули с общим
дифицированные таким образом кими, что непосредственно факто- простым делителем для RSA-10246
криптосистемы называют также за- ризовать (то есть разложить на мно- равна примерно 10–151. Однако ряд
раженными (или инфицированны- жители) число n за разумное время исследований RSA-ключей, фигу-
ми) криптосистемами. не представляется возможным. К вы- рирующих в различных общедо-
SETUP-механизмы могут быть бору чисел p и q предъявляется еще ступных интернет-источниках, по-
симметричными и асимметричны- целый ряд требований, служащих казали, что некоторые простые чис-
ми. По аналогии с симметричным для повышения стойкости алгоритма ла входят в такое количество RSA-

4 Канал называется скрытым (в английской терминологии – subliminal), если воспользоваться им может только обладатель соот-
ветствующей информации (секретного ключа от канала) [1, 17].
5 Предполагается, что читатель знаком с алгоритмом RSA. Описание этого алгоритма содержится в практически любой книге,
посвященной криптографии, и на нескольких сотнях сайтов криптографической тематики.
6 Здесь и далее RSA-N будет обозначать алгоритм RSA с N-битным модулем.

Защита информации. INSIDE № 2'2019 77


КРИПТОГРАФИЯ И СТЕГАНОГРАФИЯ

модулей, что невозможно говорить временном уровне развития техно- Это число небольшое (200-бит-
об их случайном выборе. логий взлом системы становится до- ное), а значит, его легко фактори-
В 2012 году две независимых ис- ступен не только разработчику ла- зовать. Следовательно, можно вы-
следовательских группы проверили зейки (предположительно – спец- числить ap и aq, а затем – p и q. От-
качество RSA-ключей, используе- службе), но и любому злоумышлен- метим, что для эффективной рабо-
мых в различных интернет-прото- нику, обладающему минимальными ты лазейки желательно, чтобы числа
колах, таких как SSH, TLS, SSL и др. математическими знаниями и навы- ap и aqбыли простыми. В противном
Открытые ключи RSA, полученные ками программирования. Во избе- случае взлом алгоритма RSA также
из собранных в Интернете сертифи- жание потенциальных проблем был будет произведен, но для этого по-
катов, проверили методом попарного создан специальный сервис7, поз- требуется перебрать различные ва-
вычисления наибольших общих де- воляющий всем пользователям про- рианты ap и aq на основе всевоз-
лителей. Данный алгоритм был оп- верить свои модули. можных комбинаций делителей.
тимизирован для массовой обработ- Более «изысканным» решением Такая закладка является симмет-
ки ключей. В частности, вычисление для получения лазейки с ключом яв- ричным SETUP-механизмом, то есть
всех пар наибольших общих дели- ляется идея о том, чтобы в процессе она будет обеспечивать скрытность
телей для 11 млн ключей RSA-1024 за- выработки RSA-ключей алгоритм соответствующего канала передачи
няло менее двух часов. В результате вырабатывал для RSA-модуля про- информации только при реализации
анализа 11 170 883 RSA-модулей было стые числа специального вида. Это в системах типа «черный ящик»8.
получено 2314 различных простых позволило бы атакующему (то есть Дополнительный, но весьма важ-
чисел, которые оказались делителями разработчику, владеющему ключом ный вопрос: как долго будет работать
16 717 различных RSA-модулей. Это к лазейке) сравнительно легко фак- такой генератор, поскольку очевидно,
позволило получить секретные клю- торизовать получаемый RSA-модуль. что не все числа вида (1) являются
чи для 0,5 % хостов TLS и 0,03 % хо- Рассмотрение таких потайных хо- простыми? Ответ на него связан с вы-
стов SSH [9]. Во втором исследова- дов начнем с закладки Андерсона – числением значения π(X, D, a) – ко-
нии того же года авторам удалось по всей видимости, первой лазейки личества простых чисел, меньших X
аналогичным методом факторизо- такого типа в алгоритме RSA. и сравнимых с a по модулю D (для
вать 12720 ключей RSA-1024 [10]. взаимно простых a и D). Теорема
Аналогичное исследование, про- Дирихле гласит, что в каждой ариф-
веденное в 2015 году [11], выявило Лазейки в алгоритме RSA: метической прогрессии содержится
простой множитель, встречавшийся
закладка Андерсона бесконечно много простых чисел, но
в различных RSA-ключах 28 394 раза, В 1993 году Росс Андерсон пред- точных аппроксимаций, аналогич-
еще два – более 1000 раз, при этом ложил следующий вариант заклад- ных оценкам Чебышева для π(x) –
в общей сложности 1176 множите- ки в генераторе RSA-ключей [13]. количества простых чисел меньших
лей повторялись 100 или более раз Рассмотрим 256-битные простые x, на данный момент не существует.
каждый. числа для RSA-512. Пусть D – сек- При условии выполнения рас-
Краткий обзор некоторых инци- ретное 200-битное число, которое мы ширенной гипотезы Римана спра-
дентов, связанных со взломом RSA- будем называть ключом лазейки. ведливы оценки:
ключей в реальных криптографи- Для генерации ключей RSA ге- —
π(x) = LiX +O( X ln2X)
ческих устройствах, можно прочи- нератор вырабатывает простые чис- и (3)
тать в [12]; там же популярно изло- ла вида: π(X, D, a) = ––––LiX (1 + O(ln–MX)),
жены некоторые принципиальные ϕ(D)
p = rpD + ap = r(ap, D)D + ap, ε
проблемы алгоритма RSA, довольно (1) где D  X 1/2 – , ε > 0, M > 0, ϕ – функ-
q = rq D + aq = r(aq, D)D + aq ,
часто приводящие к уязвимости его ция Эйлера [14].
––
ключевого генератора при исполь- где ap, aq <  D – 100-битные числа, Напомним, что
зовании в массовых системах. взаимно простые с D; r(a, D) – функ- x dt
LiX = li(X) – li (2) = 2 ––– ,
Можно задаваться вопросом, име- ция от двух переменных, возвра- lnt
ем ли мы дело со специально разра- щающая 56-битное значение. Тогда где li(X) – интегральный логарифм.
ботанными «потайными ходами» соответствующий RSA-модуль име- Член O(ln–M) в формуле (3) мож-
или с проявлением грубейшей не- ет вид: но заменить на меньшее значение
компетентности и пофигизма. Так для D, являющегося степенью про-
n = pq = rprqD2 + (rpaq + rqap)D +
или иначе, для каждой тысячи про- стого числа [14], но поскольку в за-
+ apaq. (2)
веренных модулей RSA в среднем кладке Андерсона используются до-
––
два являются небезопасными. Если Поскольку ap, aq <  D, то про- статочно большие значения D, то
данные уязвимости были встроены изведение apaq < D, а значит, условие D  X1/2 – ε не выполняется,
намерено, то стоит признать такое то есть мы не можем применить
n modD = apaq.
решение крайне неудачным: при со- формулу (3) и ее аналоги для ана-

7 https://factorable.net/.
8 То есть при реализации в виде модуля, защищенного от реверс-инжиниринга.

78 Защита информации. INSIDE № 2'2019


КРИПТОГРАФИЯ И СТЕГАНОГРАФИЯ

литической оценки времени работы Отметим также, что если отка- 6. Маркелова А. В. Уязвимость ROCA и другие
алгоритма Андерсона. Тем не менее, заться от требования простоты чисел возможности внедрения закладок в алгоритм
численные эксперименты показы- ap и aq, то разложение nmodD на RSA // Всероссийская студенческая конферен-
вают, что даже на малоресурсной множители будет выполняться бы- ция «Студенческая научная весна»: сб. тезисов
платформе генератор такого вида стрее, но при этом больше времени докладов. – М.: МГТУ им. Н. Э. Баумана. –
работает в среднем такое же время, уйдет на перебор различных ком- 2018. – С. 313–314.
что и генератор, основанный на дат- бинаций множителей при нахожде- 7. Young A., Yung M. Kleptography: using Cryp-
чике случайных чисел9. нии ap и aq. Тем не менее, можно tography against Cryptography // In Advances in
В 1994 году закладку Андерсона предположить, что для RSA-4096 та- Cryptology – EuroCrypt’97. – Lecture Notes in Com-
удалось взломать [15]: было проде- кой подход будет оправдан, так как puter Science, V. 1233. – Springer. 1998. P. 62–74.
монстрировано, что сторонний на- разложение 1024-битных чисел все 8. Young A., Yung M. Monkey – Black-Box Sym-
рушитель может вычислить ключ еще является достаточно сложной metric Ciphers Designed for MONopolizing KEYs //
закладки D, зная всего лишь 14 раз- вычислительной задачей, а наличие In Advances in Cryptology – FSE’98. – Lecture
личных открытых ключей, выра- делителей специального вида может Notes in Computer Science, V. 1372. – Springer.
ботанных генератором Андерсона ее существенно упростить. 1998. P. 122–133.
с фиксированным значением D. Од- 9. Heninger N., Durumeric Z., Wustrow E., Hal-
нако на практике злоумышленник derman J. A. Mining Your Ps and Qs: Detection of
не всегда имеет возможность полу- Заключение Widespread Weak Keys in Network Devices // In
чить достаточное количество от- Закладка Андерсона интересна Proceedings of the 21th USENIX Security Sympo-
крытых ключей, особенно, если для простотой исполнения и эффектив- sium, Bellevue, WA, USA. 2012. P. 205–220.
каждого экземпляра генератора ис- ностью: для ее встраивания не нужны 10. Lenstra A. K., Hughes J. P., Augier M., Bos J. W.,
пользуется свой ключ закладки. дополнительные вычислительные Kleinjung T., Wachter C. Public Keys // In Advances
Закладка Андерсона обобщается мощности по сравнению с реализа- in Cryptology – Crypto 2012. – Lecture Notes in
на модуль произвольной длины [16]. цией «честного» генератора ключей, Computer Science, V. 7417. – Springer-Verlag. 2012.
Пусть мы рассматриваем ключи RSA при этом иногда она полностью ре- Р. 626–642.
размера L бит. Тогда размер простых шает клептографические задачи. 11. Albrecht M. R., Papini D., Paterson K. G., Vil-
чисел – L/2. Пусть D – число размера Остается только удивляться, что lanueva-Polanco R. Factoring 512-bit RSA Moduli
3L/8 бит. Алгоритм генерации про- при наличии подобных механизмов for Fun (and a Profit of $9,000). [Электронный
стых чисел работает следующим об- на практике мы сталкиваемся с куда ресурс]. – Режим доступа:
разом: более примитивными лазейками, https://martinralbrecht.files.wordpress.com/2015/03/
1)выработать простое число ap ослабляющими алгоритм RSA. Или freak-scan1.pdf
размера L/8 бит; же закладка Андерсона и ей подоб- 12. Маркелова А. В. Об уязвимостях алгоритма
2)вычислить (L/8)-битное число ные тоже используются, но слиш- RSA. Будет ли внедряться российская крип-
t = r(ap, D); ком хорошо спрятаны? С этим во- тография в национальную систему платежных
3) вычислить p = tD + ap; просом мы попробуем разобраться карт (НСПК)? // BIS Journal – Информацион-
4) если битовый размер p боль- в последующих работах. ■ ная безопасность банков. – Принято в печать.
ше L/2, то идти на шаг 1; 13. Anderson R. A practical RSA trapdoor // Elect-
5)если p – простое, закончить ЛИТЕРАТУРА ronics Letters. 1993. V. 29, № 11. P. 995.
алгоритм; 1. Жуков А. Е. Криптосистемы со встроенны- 14. Гриценко С. А., Шевцова М. В. О распреде-
6) вычислить t = t + 1; ми лазейками // BYTE Россия. – 2007. – № 101. – лении простых чисел в арифметической про-
7) если размер t больше L/8 бит, С. 45–51 грессии, разность которой является степенью
то идти на шаг 1; иначе – идти на 2. National Institute of Standards and Technology. фиксированного простого числа // Чебышев-
шаг 3. Escrowed Encryption Standard. – NIST FIPS PUB ский сб. – 2011. – Т. 12, вып. 1. – С. 60–78.
Этим же алгоритмом вырабаты- 185, U.S. Department of Commerce. 1994. 15. Kaliski B. S. Anderson’s RSA trapdoor can be
вается q. Поскольку для таких p и q 3. National Institute of Standards and Technology. broken // Electronics Letters. – 1993. – V. 29. № 15.
соотношение (2) выполнено, то для Recommendation for Random Number Generation P. 1387.
получения доступа к ключам поль- Using Deterministic Random Bit Generators. – 16. Kern D. Understanding and Implementing
зователя необходимо вычислить NIST Special Publication 800-90A, Rev. 1., 2012. Encryption Backdoors // CSC7002. Project Paper.
остаток от деления RSA-модуля n на D First version June 2006, second version March 2007 April 6, 2012 [Электронный ресурс]. – Режим
(это будет apaq), а затем разложить [Электронный ресурс]. – Режим доступа: доступа:
на множители (L/4)-битное число http://csrc.nist.gov/publications/PubsSPs.html. http://cse.ucdenver.edu/dkern/CSC7002/paper.pdf.
apaq. Например, для RSA-1024 требу- 4. ISO/IEC 18031:2005. Information technology – 17. ГОСТ Р 53113.1-2008. Защита информа-
ется разложить всего лишь 256-бит- Security techniques – Random bit generation. ционных технологий и автоматизированных
ное число, а для RSA-2048 – 512-бит- 5. ГОСТ Р 51275-2006. Защита информации. систем от угроз информационной безопасно-
ное, что выполнимо на современном Объект информатизации. Факторы, воздей- сти, реализуемых с использованием скрытых
вычислительном уровне. ствующие на информацию. Общие положения. каналов. Часть 1. Общие положения.

9 Было проверено методом модификации смарт-карточной ОС «Вигрид», реализованной на аппаратной платформе P5CC081.
https://cache.nxp.com/docs/en/data-sheet/P5CD016_021_041_Cx081_FAM_SDS.pdf.

Защита информации. INSIDE № 2'2019 79