КРИПТОГРАФИЯ И СТЕГАНОГРАФИЯ

Криптография и клептография.
Потайные ходы в алгоритме RSA

En Cryptography and В последнее время наблюдаются попытки государственных структур ряда ве-
дущих стран ослабить алгоритмы шифрования и стандарты безопасности
Kleptography. Backdoors
с целью облегчения работы спецслужб и правоохранительных органов в рам-
in the RSA Algorithm ках мер, предпринимаемых государством в ответ на рост террористической
опасности. В числе прочего следуют заявления об обязательном внедрении
A. E. Zhukov, лазеек в криптоалгоритмы, являющиеся государственными стандартами.
Chairman of the Board
Не касаясь этических, юридических, экономических и политических сторон,
«RusСrypto» Association
рассмотрим этот процесс с криптографической точки зрения: какие модели
aez_iu8@rambler.ru
и механизмы лежат в основе той или иной криптографической лазейки,
A. V. Markelova, можно ли ее обнаружить, кто может воспользоваться теми возможностями,
PhD (Phys./Math.), Technical Director которые она предоставляет?
Science and Technology Center
«AlphaProject»
Рассмотрение криптографических лазеек начнем с закладки Андерсона
a@safe-crypto.ru в генераторе ключей алгоритма RSA.

Recently, there have been attempts
by state structures of a number of
leading countries to weaken encryp-
tion algorithms and security stan-
dards in order to facilitate the work
of special services and law enforce-
ment agencies as part of measures
taken by the state in response to the
growing terrorist threat. Among other
things, follow statements about the
need for encryption standards with
a mandated backdoors for govern-
ment access.
Without regard to ethical, legal, eco-
nomic and political aspects, we will
consider this process from a crypto-
graphic point of view: which mathe-
matics underlie a particular crypto-
graphic backdoors, can we find it,
who can take advantage of the op-
portunities that it provides?
We'll begin the consideration of cryp-
tographic loopholes with the Ander-
son’s backdoor inserted into RSA
key generation algorithm.
Keywords: cryptographic back-
doors, kleptography, SETUP mech-
anism, RSA algorithm, Anderson’s
backdoor
Ключевые слова: криптографические лазейки, клептография, SETUP-механизм, алго-
ритм RSA, закладка Андерсона
Алексей Евгеньевич Жуков,
председатель совета
Ассоциация «РусКрипто»
aez_iu8@rambler.ru
Александра Викторовна Маркелова,
кандидат физико-математических наук,
технический директор
ООО «НТЦ Альфа-Проект»,
a@safe-crypto.ru
Сегодня стал уже привычным
термин «гражданская криптогра-
фия»1, обозначающий общедоступ-
ную криптографию, находящуюся
в сильном взаимодействии с эконо-
микой и финансами, формально не
подчиняющуюся спецслужбам и при-
званную, в противоположность крип-
тографии государственной, удовле-
1 Прилагательное «гражданская» юридического и политологического смысла здесь не
несет.
творять потребности частных орга-
низаций и лиц.
Гражданская криптография во-
шла в повседневный обиход, она ис-
пользуется:
● в мобильной телефонной связи;
● в банковской системе, в том числе
международными платежными си-
стемами (VISA, MasterCard и др.)
и при обмене электронными пла-
тежными документами в системе
расчетно-кассовых центров, систе-
мах дистанционного управления
расчетными счетами;
● при проведении операций на фон-
довом рынке;
● при предоставлении по каналам
связи в электронном виде налого-
вых деклараций, бухгалтерской от-
четности и др.;

74 Защита информации. INSIDE № 2'2019


● в бытовом программном обеспече-
нии (безопасная передача инфор-
мации по протоколу SSL/TLS в ин-
тернет-браузерах, шифрование
и ЭЦП в текстовом редакторе MS
Word и др.);
● в системах интернет-коммерции
и при обеспечении законности фи-
нансовых сделок (предотвращение
попыток мошенничества);
● в устройствах Интернета вещей
(Internet of Things, IoT) (обеспече-
ние взаимной аутентификации
и защиты каналов связи как в про-
мышленном секторе, так и в си-
стемах умных домов);
● в персональных компьютерах, пре-
вратившихся в неотъемлемый ат-
рибут нашей жизни, в результате
чего частным пользователям стали
доступны и даже необходимы ин-
струменты шифрования профес-
сионального качества и соответ-
ствующего уровня стойкости.
Криптография и политика
Современная криптография –
область на стыке математики, мате-
матической кибернетики и приклад-
ных инженерно-технических наук.
Но никакой раздел математики или
кибернетики не является столь свя-
занным с повседневной жизнью,
столь политизированным и, вслед-
ствие этого, столь подверженным
воздействию со стороны государст-
ва, как криптография. Во многом
это обусловливается как внешне-,
так и внутриполитическими при-
чинами.
Последнее время в СМИ регу-
лярно, с увеличивающейся частотой
появляются сообщения о лазейках
и потайных ходах в криптоалгорит-
мах. Раньше этот аспект деятельно-
сти был, по всеобщему мнению, ис-
ключительной прерогативой «пло-
хих парней», пытающихся похитить
ваши секреты (в том числе и фи-
нансовые). В частности, с этих по-
зиций был написан обзор [1]. Теперь
же все чаще появляются сообщения
о том, что со стороны государствен-
ных структур предпринимаются по-
пытки ослабить алгоритмы шиф-
рования и стандарты безопасности,
2 Более подробно об этом будет рассказано в следующих публикациях.
Защита информации. INSIDE № 2'2019
что разработкой лазеек и их внед-
рением в криптоалгоритмы тайно,
а порой и явно, занимается само го-
сударство.
Еще несколько десятилетий тому
назад в западной прессе появился
термин «криптовойны». Этим тер-
мином характеризуется то скрытая,
то явная борьба государства и граж-
данской криптографии, стремление
со стороны первого ограничить об-
щественность в доступе к крипто-
графическим средствам, обеспечи-
вающим высокий уровень защиты
информации. Среди причин, как
правило, при этом указывают на не-
допустимость попадания надежных
систем шифрования в руки терро-
ристов, организованной преступно-
сти или недружественных режимов.
Отсюда – неизбежные попытки влия-
ния, установления контроля за крип-
тографическими средствами, в том
числе и путем внедрения в крипто-
алгоритмы потайных ходов, лазеек,
закладок и т. п. каналов утечки ин-
формации.
Вопрос этот имеет давнюю исто-
рию (по-видимому, непосредственно
с момента появления гражданской
криптографии). Так, в США неодно-
кратно предпринимались действия
по введению законодательных огра-
ничений в данной области, в том
числе выдвигались требования це-
ленаправленно внедрять ослаблен-
ные криптоалгоритмы, чтобы го-
сударственные службы при необхо-
димости могли прочитать или про-
слушать зашифрованные сообще-
ния. В последнее время эта тенден-
ция стала еще более заметной.
Как уже было нами сказано, крип-
тография – весьма политизированная
область человеческой деятельности.
А одним из наиболее значимых яв-
лений международной и внутрипо-
литической жизни в начале ХХI века
стал терроризм – международный,
идеологический, религиозный, кри-
минальный, политический и т. д.
Очевидным становится как рост ин-
дивидуального террора, так и уве-
личение активности богатых и весь-
ма многочисленных террористиче-
ских организаций, называющих се-
бя «государствами» и действительно
КРИПТОГРАФИЯ И СТЕГАНОГРАФИЯ
обладающих возможностями, срав-
нимыми с возможностями государств
регионального масштаба.
С ростом терроризма общество
требует принятия мер, в том числе
и самых жестких. Государство «с удо-
вольствием» идет навстречу таким
пожеланиям. «Антитеррористиче-
ские» меры, принимаемые с его сто-
роны, касаются и вопросов крип-
тографии. Усиление вторжения го-
сударственных институтов, прежде
всего законодателей и спецслужб,
в гражданскую криптографию –
вполне ожидаемая реакция в данных
условиях. Все больше и больше офи-
циальных лиц заявляют о необхо-
димости принятия на официальном
государственном уровне решения
о внедрении уязвимостей в инфор-
мационные системы, сети и пользо-
вательские устройства, об обязатель-
ном размещении таковых в крипто-
алгоритмах, являющихся государст-
венными стандартами. В настоящее
время известно как минимум о двух
алгоритмах, снабженных потайным
ходом и утвержденных при этом
в США в качестве федеральных стан-
дартов – Skipjack (Clipper chip) [2]
и Dual_EC_DRBG (Dual Elliptic Curve
Deterministic Random Bit Generator) [3].
Последний был успешно продвинут
и в международные стандарты [4]2.
Криптография
и права человека
Попытки государства установить
тотальный контроль за криптогра-
фическими средствами, в том числе
путем внедрения в них потайных
каналов утечки информации, вы-
зывает естественную и противоречи-
вую реакцию со стороны граждан-
ского общества. Тем не менее, жизнь
ставит перед нами определенные
вызовы, на которые приходится так
или иначе отвечать. Не впадая в па-
фос слов относительно свобод и прав
человека, следует осознать, что перед
каждым из нас стоит трудный вы-
бор – гарантированное ограничение
свобод или возможная угроза де-
сяткам, сотням, а то и тысячам жиз-
ней. Однозначного решения – увы! –
не существует. Выбор очень непро-
75
 КРИПТОГРАФИЯ И СТЕГАНОГРАФИЯ
стой, и любое принятое решение вы-
зовет неоднозначные оценки.
Даже среди экспертов в области
криптографии мнения разделились,
хотя в своем большинстве крипто-
графическое сообщество настроено
против подобных мер. Объясняется
это не только либеральными на-
строениями, традиционно главен-
ствующими в умах (западной) ин-
теллигенции, неприятие этого пу-
ти имеет под собой и более серьез-
ную базу.
Главенствующая точка зрения та-
кова. Тотальный запрет на исполь-
зование гражданской криптографии
малореалистичен в силу целого ряда
экономических причин, а также прак-
тической невозможности полного
контроля над трафиком и приложе-
ниями, установленными на устрой-
ствах пользователей. Нельзя также
забывать и про неотъемлемое право
честных пользователей на защиту
своих данных.
Кроме того, возросшая актив-
ность спецслужб и прочих ведомств,
направленная на ослабление дей-
ствующих криптоалгоритмов, неве-
роятно опасна. Опасна не только ма-
ло контролируемой возможностью
доступа к информации любого граж-
данина (а не только преступника),
но и отсутствием каких-либо гаран-
тий того, куда и к кому эта инфор-
мация попадет. Ключи к потайному
ходу криптоалгоритма значительно
проще похитить и использовать,
чем другие типы оружия массового
поражения. Утечка ключей к лазейке
может произойти не в силу мате-
матических свойств используемых
алгоритмов, а будет обусловлена ре-
альными жизненными обстоятель-
ствами. Базы ГИБДД и МГТС, сво-
бодно продававшиеся на Горбушке,
тому пример. Утечка ключа – угроза
не только потери приватности для
отдельных личностей. В зависимо-
сти от области использования соот-
ветствующих криптоалгоритмов это
может стать угрозой, например, все-
му финансовому сектору экономи-
ки. Если же ослабленные алгоритмы
оставить только для обслуживания
мобильной связи и частной пере-
3 Термин появился благодаря работам Адама Янга и Моти Юнга. Корень «клепто» сразу же придает всему направлению отчетливо
негативную окраску.
76
писки – те, кому надо, научатся об-
ходиться без них.
Мы не изолированы
Все, о чем говорилось в преды-
дущем разделе, судя по всему, мо-
жет стать общемировой тенденцией,
с которой нельзя будет не считаться:
она неизбежно коснется и нас, по-
скольку мы живем не в изолиро-
ванном мире. В связи с этим авторы
планируют опубликовать цикл ста-
тей, посвященных клептографии3 –
деятельности по внедрению уязви-
мостей в криптографические систе-
мы и пользовательские устройства.
Не касаясь этических, юридиче-
ских, экономических и политических
сторон рассматриваемого явления,
рассмотрим его с криптографиче-
ской, а точнее – с математической
точки зрения: какие математические
модели и механизмы лежат в основе
той или иной клептографической
лазейки, можно ли ее обнаружить,
кто в состоянии воспользоваться те-
ми возможностями, которые она
предоставляет, и какие меры про-
тиводействия этой опасности суще-
ствуют – на все перечисленные здесь
вопросы мы и постараемся отве-
тить в статьях, которые планируется
опубликовать в ближайших номерах
журнала.
Немного о терминологии
Облегченный доступ ко всему
объему данных, имеющемуся в ин-
формационном пространстве, может
быть обеспечен либо за счет явного
ослабления механизмов защиты ин-
формационных систем и пользова-
тельских устройств, либо путем вве-
дения в структуру алгоритмов за-
маскированных лазеек. Нас будут
интересовать клептографические
лазейки – специальные видоизме-
нения, внесенные в «добропорядоч-
ный» с виду криптографический ал-
горитм с целью позволить разра-
ботчику лазейки получать секретную
информацию (чаще всего – о сек-
ретном ключе пользователя), но так,
что внешне работа «инфицирован-
ного» алгоритма ничем не отличается
от работы «неинфицированного».
К сожалению, сложившаяся, об-
щепризнанная терминология в этой
области пока отсутствует. Даже в анг-
лоязычной литературе, насчитываю-
щей несколько сотен работ, напи-
санных за несколько последних де-
сятилетий, и посвященных подоб-
ным закладкам, нет устоявшегося
мнения относительно того, как сле-
дует называть клептографические ла-
зейки. Тем не менее, большинство
авторов (и авторы данной статьи раз-
деляют это мнение) предлагают за-
крепить за клептографическими ла-
зейками термин «backdoors», оставив
термин «trapdoors» для обозначения
информации, позволяющей легко
обратить однонаправленную функ-
цию (trapdoor one-way function).
В русскоязычной литературе для
обозначения этих понятий исполь-
зуются и «закладки», и «лазейки»,
и «бэкдоры», и даже «потайные хо-
ды». Термин «закладка» зафиксиро-
ван в ГОСТ Р 51275-2006 [5]: «Про-
граммная закладка. Преднамеренно
внесенный в программное обеспечение
функциональный объект, который
при определенных условиях иниции-
рует реализацию недекларированных
возможностей программного обеспече-
ния». Как уже было отмечено, мы
будем рассматривать только клепто-
графические лазейки – они отли-
чаются от других видов закладок
(программных, аппаратных, алго-
ритмических и т. п.) тем, что при
их встраивании модифицируется ма-
тематическая структура инфицируе-
мого алгоритма. В отличие от клас-
сических недекларированных воз-
можностей ПО, клептографические
закладки, как правило, не изменяют
алгоритмов работы системы в целом
(то есть, не предоставляют наруши-
телю административных прав до-
ступа, не стирают пользовательские
данные, не проводят записи в файлы,
не отправляют e-mail и т. п.).
Более того, «инфицированные»
клептографическим бэкдором про-
токолы могут даже не быть недоку-
ментированной возможностью ПО:
в дальнейшем мы увидим, что не-
Защита информации. INSIDE № 2'2019

которые алгоритмы с лазейками яв-
лялись частью международных стан-
дартов, то есть были документиро-
ваны и использовались вполне ле-
гально.
В дальнейшем мы будем опус-
кать прилагательное «клептографи-
ческие», если не потребуется явного
указания на тип закладки, а терми-
ны «лазейки», «закладки» и «бэкдо-
ры» будем использовать как сино-
нимы.
Способы встраивания закладок
в криптографические алгоритмы
можно условно разделить на три
основные группы: слабые закладки,
передача информации по скрытым
каналам4, SETUP-механизмы [6].
Слабые закладки – это намерен-
ное ослабление алгоритма, позво-
ляющее узнать секретную пользова-
тельскую информацию на основе
открытой информации. Они всегда
обнаруживаются с помощью реверс-
инжиниринга. В ряде случаев слабые
закладки можно выявить, основы-
ваясь только на выходных (откры-
тых) данных алгоритма, с помощью
простых алгебраических проверок
или статистического анализа.
Наиболее интересными являются
так называемые SETUP-механизмы
(SETUP – Secretly Embedded Trapdoor
with Universal Protection – секретно
встроенная лазейка с универсальной
защитой) [7, 8]. Они видоизменяют
заданный криптографический алго-
ритм таким образом, что позволяют
производителю криптосистемы по-
лучать секретную информацию
пользователя (чаще всего – инфор-
мацию о его секретных ключах). В то
же время для любого наблюдателя,
отличного от разработчика, работа
модифицированного алгоритма не-
отличима от работы исходного. Мо-
дифицированные таким образом
криптосистемы называют также за-
раженными (или инфицированны-
ми) криптосистемами.
SETUP-механизмы могут быть
симметричными и асимметричны-
ми. По аналогии с симметричным
4 Канал называется скрытым (в английской терминологии – subliminal), если воспользоваться им может только обладатель соот-
ветствующей информации (секретного ключа от канала) [1, 17].
5 Предполагается, что читатель знаком с алгоритмом RSA. Описание этого алгоритма содержится в практически любой книге,
посвященной криптографии, и на нескольких сотнях сайтов криптографической тематики.
6 Здесь и далее RSA-N будет обозначать алгоритм RSA с N-битным модулем.
Защита информации. INSIDE № 2'2019
шифрованием в симметричных ла-
зейках ключ, встроенный в реализа-
цию, совпадает с ключом разработ-
чика лазейки, необходимым для по-
лучения доступа к скрытому каналу
(или же эти ключи легко вычислимы
друг из друга). С другой стороны,
ключ разработчика асимметричной
лазейки не может быть эффективно
вычислен по данным, встроенным
в реализацию инфицированного ал-
горитма. Другими словами, асим-
метричный SETUP-механизм оста-
ется защищенным даже в случае ре-
верс-инжиниринга и может быть ис-
пользован в системах с открытым
исходным кодом.
Лазейки в алгоритме RSA
Рассмотрение клептографических
закладок начнем с бэкдоров в алго-
ритме RSA5. Наиболее простая и наи-
более естественная идея – включение
закладки не в сам криптографиче-
ский алгоритм (алгоритм шифрова-
ния/расшифрования), а в алгоритм
генерации RSA-ключей.
Напомним, что генерация RSA-
ключей состоит из генерации RSA-
модуля n, являющегося произведе-
нием двух больших простых чисел
(то есть n = pq – для чего необходимо
сгенерировать простые числа p и q)
и получения пары чисел e и d, удов-
летворяющих условию
ed = 1modϕ(n),
где ϕ – функция Эйлера. Открытым
ключом является пара (n, e), секрет-
ным ключом – d. Знание p и q – со-
множителей, образующих число n –
позволяет по открытому ключу вы-
числить секретный ключ, то есть
полностью взломать систему. Разу-
меется, числа p и q выбираются та-
кими, что непосредственно факто-
ризовать (то есть разложить на мно-
жители) число n за разумное время
не представляется возможным. К вы-
бору чисел p и q предъявляется еще
целый ряд требований, служащих
для повышения стойкости алгоритма
КРИПТОГРАФИЯ И СТЕГАНОГРАФИЯ
по отношению к различным атакам,
но к механизму работы бэкдора эти
требования отношения не имеют.
Самая распространенная (и наи-
более естественная) идея для бэкдора
состоит в том, что в качестве про-
стых чисел для RSA-модуля выби-
раются простые числа, удовлетво-
ряющие какому-то дополнительно-
му условию, которое должно суще-
ственно облегчить для разработчика
задачу факторизации RSA-модуля.
В частности, тривиальным решени-
ем является генерация RSA-ключей,
при которой одно из простых чисел
выбирается из сравнительно неболь-
шого множества вариантов. Даже
если второе простое число для RSA-
модуля выбирается случайно, задача
факторизации RSA-модуля в этом
случае не представляет никакого
труда. Хотя, конечно, к категории
SETUP-механизмов предложенная
конструкция не относится.
Если генерация RSA-ключей де-
лается «честным» алгоритмом, вы-
бирающим случайные простые числа
из нужного диапазона, вероятность
того, что одно и то же простое число
появится несколько раз – ничтожно
мала.
Напомним, что для функции рас-
пределения простых чисел π(x), рав-
ной количеству простых чисел мень-
ших или равных x, верна аппрокси-
мация:
x .
π(x)
––––
ln(x)
Следовательно, количество про-
стых чисел размера 512 бит прибли-
зительно равно
2512 2511
10151.
––––– – –––––
ln2512 ln2511
Отсюда следует, что вероятность
сгенерировать RSA-модули с общим
простым делителем для RSA-10246
равна примерно 10–151. Однако ряд
исследований RSA-ключей, фигу-
рирующих в различных общедо-
ступных интернет-источниках, по-
казали, что некоторые простые чис-
ла входят в такое количество RSA-
77
 КРИПТОГРАФИЯ И СТЕГАНОГРАФИЯ
модулей, что невозможно говорить
об их случайном выборе.
В 2012 году две независимых ис-
следовательских группы проверили
качество RSA-ключей, используе-
мых в различных интернет-прото-
колах, таких как SSH, TLS, SSL и др.
Открытые ключи RSA, полученные
из собранных в Интернете сертифи-
катов, проверили методом попарного
вычисления наибольших общих де-
лителей. Данный алгоритм был оп-
тимизирован для массовой обработ-
ки ключей. В частности, вычисление
всех пар наибольших общих дели-
телей для 11 млн ключей RSA-1024 за-
няло менее двух часов. В результате
анализа 11 170 883 RSA-модулей было
получено 2314 различных простых
чисел, которые оказались делителями
16 717 различных RSA-модулей. Это
позволило получить секретные клю-
чи для 0,5 % хостов TLS и 0,03 % хо-
стов SSH [9]. Во втором исследова-
нии того же года авторам удалось
аналогичным методом факторизо-
вать 12720 ключей RSA-1024 [10].
Аналогичное исследование, про-
веденное в 2015 году [11], выявило
простой множитель, встречавшийся
в различных RSA-ключах 28 394 раза,
еще два – более 1000 раз, при этом
в общей сложности 1176 множите-
лей повторялись 100 или более раз
каждый.
Краткий обзор некоторых инци-
дентов, связанных со взломом RSA-
ключей в реальных криптографи-
ческих устройствах, можно прочи-
тать в [12]; там же популярно изло-
жены некоторые принципиальные
проблемы алгоритма RSA, довольно
часто приводящие к уязвимости его
ключевого генератора при исполь-
зовании в массовых системах.
Можно задаваться вопросом, име-
ем ли мы дело со специально разра-
ботанными «потайными ходами»
или с проявлением грубейшей не-
компетентности и пофигизма. Так
или иначе, для каждой тысячи про-
веренных модулей RSA в среднем
два являются небезопасными. Если
данные уязвимости были встроены
намерено, то стоит признать такое
решение крайне неудачным: при со-
7 https://factorable.net/.
8 То есть при реализации в виде модуля, защищенного от реверс-инжиниринга.
78
временном уровне развития техно-
логий взлом системы становится до-
ступен не только разработчику ла-
зейки (предположительно – спец-
службе), но и любому злоумышлен-
нику, обладающему минимальными
математическими знаниями и навы-
ками программирования. Во избе-
жание потенциальных проблем был
создан специальный сервис7, поз-
воляющий всем пользователям про-
верить свои модули.
Более «изысканным» решением
для получения лазейки с ключом яв-
ляется идея о том, чтобы в процессе
выработки RSA-ключей алгоритм
вырабатывал для RSA-модуля про-
стые числа специального вида. Это
позволило бы атакующему (то есть
разработчику, владеющему ключом
к лазейке) сравнительно легко фак-
торизовать получаемый RSA-модуль.
Рассмотрение таких потайных хо-
дов начнем с закладки Андерсона –
по всей видимости, первой лазейки
такого типа в алгоритме RSA.
Лазейки в алгоритме RSA:
закладка Андерсона
В 1993 году Росс Андерсон пред-
ложил следующий вариант заклад-
ки в генераторе RSA-ключей [13].
Рассмотрим 256-битные простые
числа для RSA-512. Пусть D – сек-
ретное 200-битное число, которое мы
будем называть ключом лазейки.
Для генерации ключей RSA ге-
нератор вырабатывает простые чис-
ла вида:
p = rpD + ap = r(ap, D)D + ap,
(1)
q = rq D + aq = r(aq, D)D + aq ,
––
где ap, aq <  D – 100-битные числа,
взаимно простые с D; r(a, D) – функ-
ция от двух переменных, возвра-
щающая 56-битное значение. Тогда
соответствующий RSA-модуль име-
ет вид:
n = pq = rprqD2 + (rpaq + rqap)D +
+ apaq. (2)
––
Поскольку ap, aq <  D, то про-
изведение apaq < D, а значит,
n modD = apaq.
Это число небольшое (200-бит-
ное), а значит, его легко фактори-
зовать. Следовательно, можно вы-
числить ap и aq, а затем – p и q. От-
метим, что для эффективной рабо-
ты лазейки желательно, чтобы числа
ap и aqбыли простыми. В противном
случае взлом алгоритма RSA также
будет произведен, но для этого по-
требуется перебрать различные ва-
рианты ap и aq на основе всевоз-
можных комбинаций делителей.
Такая закладка является симмет-
ричным SETUP-механизмом, то есть
она будет обеспечивать скрытность
соответствующего канала передачи
информации только при реализации
в системах типа «черный ящик»8.
Дополнительный, но весьма важ-
ный вопрос: как долго будет работать
такой генератор, поскольку очевидно,
что не все числа вида (1) являются
простыми? Ответ на него связан с вы-
числением значения π(X, D, a) – ко-
личества простых чисел, меньших X
и сравнимых с a по модулю D (для
взаимно простых a и D). Теорема
Дирихле гласит, что в каждой ариф-
метической прогрессии содержится
бесконечно много простых чисел, но
точных аппроксимаций, аналогич-
ных оценкам Чебышева для π(x) –
количества простых чисел меньших
x, на данный момент не существует.
При условии выполнения рас-
ширенной гипотезы Римана спра-
ведливы оценки:
—
π(x) = LiX +O( X ln2X)
и (3)
π(X, D, a) = ––––LiX (1 + O(ln–MX)),
ϕ(D)
ε
где D  X 1/2 – , ε > 0, M > 0, ϕ – функ-
ция Эйлера [14].
Напомним, что
x dt
LiX = li(X) – li (2) = 2 ––– ,
lnt
где li(X) – интегральный логарифм.
Член O(ln–M) в формуле (3) мож-
но заменить на меньшее значение
для D, являющегося степенью про-
стого числа [14], но поскольку в за-
кладке Андерсона используются до-
статочно большие значения D, то
условие D  X1/2 – ε не выполняется,
то есть мы не можем применить
формулу (3) и ее аналоги для ана-
Защита информации. INSIDE № 2'2019

литической оценки времени работы
алгоритма Андерсона. Тем не менее,
численные эксперименты показы-
вают, что даже на малоресурсной
платформе генератор такого вида
работает в среднем такое же время,
что и генератор, основанный на дат-
чике случайных чисел9.
В 1994 году закладку Андерсона
удалось взломать [15]: было проде-
монстрировано, что сторонний на-
рушитель может вычислить ключ
закладки D, зная всего лишь 14 раз-
личных открытых ключей, выра-
ботанных генератором Андерсона
с фиксированным значением D. Од-
нако на практике злоумышленник
не всегда имеет возможность полу-
чить достаточное количество от-
крытых ключей, особенно, если для
каждого экземпляра генератора ис-
пользуется свой ключ закладки.
Закладка Андерсона обобщается
на модуль произвольной длины [16].
Пусть мы рассматриваем ключи RSA
размера L бит. Тогда размер простых
чисел – L/2. Пусть D – число размера
3L/8 бит. Алгоритм генерации про-
стых чисел работает следующим об-
разом:
1)выработать простое число ap
размера L/8 бит;
2)вычислить (L/8)-битное число
t = r(ap, D);
3) вычислить p = tD + ap;
4) если битовый размер p боль-
ше L/2, то идти на шаг 1;
5)если p – простое, закончить
алгоритм;
6) вычислить t = t + 1;
7) если размер t больше L/8 бит,
то идти на шаг 1; иначе – идти на
шаг 3.
Этим же алгоритмом вырабаты-
вается q. Поскольку для таких p и q
соотношение (2) выполнено, то для
получения доступа к ключам поль-
зователя необходимо вычислить
остаток от деления RSA-модуля n на D
(это будет apaq), а затем разложить
на множители (L/4)-битное число
apaq. Например, для RSA-1024 требу-
ется разложить всего лишь 256-бит-
ное число, а для RSA-2048 – 512-бит-
ное, что выполнимо на современном
вычислительном уровне.
9 Было проверено методом модификации смарт-карточной ОС «Вигрид», реализованной на аппаратной платформе P5CC081.
https://cache.nxp.com/docs/en/data-sheet/P5CD016_021_041_Cx081_FAM_SDS.pdf.
Защита информации. INSIDE № 2'2019
Отметим также, что если отка-
заться от требования простоты чисел
ap и aq, то разложение nmodD на
множители будет выполняться бы-
стрее, но при этом больше времени
уйдет на перебор различных ком-
бинаций множителей при нахожде-
нии ap и aq. Тем не менее, можно
предположить, что для RSA-4096 та-
кой подход будет оправдан, так как
разложение 1024-битных чисел все
еще является достаточно сложной
вычислительной задачей, а наличие
делителей специального вида может
ее существенно упростить.
Заключение
Закладка Андерсона интересна
простотой исполнения и эффектив-
ностью: для ее встраивания не нужны
дополнительные вычислительные
мощности по сравнению с реализа-
цией «честного» генератора ключей,
при этом иногда она полностью ре-
шает клептографические задачи.
Остается только удивляться, что
при наличии подобных механизмов
на практике мы сталкиваемся с куда
более примитивными лазейками,
ослабляющими алгоритм RSA. Или
же закладка Андерсона и ей подоб-
ные тоже используются, но слиш-
ком хорошо спрятаны? С этим во-
просом мы попробуем разобраться
в последующих работах. ■ ная безопасность банков. – Принято в печать.
ЛИТЕРАТУРА
1. Жуков А. Е. Криптосистемы со встроенны-
ми лазейками // BYTE Россия. – 2007. – № 101. –
С. 45–51
2. National Institute of Standards and Technology.
Escrowed Encryption Standard. – NIST FIPS PUB
185, U.S. Department of Commerce. 1994.
3. National Institute of Standards and Technology.
Recommendation for Random Number Generation
Using Deterministic Random Bit Generators. –
NIST Special Publication 800-90A, Rev. 1., 2012.
First version June 2006, second version March 2007
[Электронный ресурс]. – Режим доступа:
http://csrc.nist.gov/publications/PubsSPs.html.
4. ISO/IEC 18031:2005. Information technology –
Security techniques – Random bit generation.
5. ГОСТ Р 51275-2006. Защита информации.
Объект информатизации. Факторы, воздей-
ствующие на информацию. Общие положения.
КРИПТОГРАФИЯ И СТЕГАНОГРАФИЯ
6. Маркелова А. В. Уязвимость ROCA и другие
возможности внедрения закладок в алгоритм
RSA // Всероссийская студенческая конферен-
ция «Студенческая научная весна»: сб. тезисов
докладов. – М.: МГТУ им. Н. Э. Баумана. –
2018. – С. 313–314.
7. Young A., Yung M. Kleptography: using Cryp-
tography against Cryptography // In Advances in
Cryptology – EuroCrypt’97. – Lecture Notes in Com-
puter Science, V. 1233. – Springer. 1998. P. 62–74.
8. Young A., Yung M. Monkey – Black-Box Sym-
metric Ciphers Designed for MONopolizing KEYs //
In Advances in Cryptology – FSE’98. – Lecture
Notes in Computer Science, V. 1372. – Springer.
1998. P. 122–133.
9. Heninger N., Durumeric Z., Wustrow E., Hal-
derman J. A. Mining Your Ps and Qs: Detection of
Widespread Weak Keys in Network Devices // In
Proceedings of the 21th USENIX Security Sympo-
sium, Bellevue, WA, USA. 2012. P. 205–220.
10. Lenstra A. K., Hughes J. P., Augier M., Bos J. W.,
Kleinjung T., Wachter C. Public Keys // In Advances
in Cryptology – Crypto 2012. – Lecture Notes in
Computer Science, V. 7417. – Springer-Verlag. 2012.
Р. 626–642.
11. Albrecht M. R., Papini D., Paterson K. G., Vil-
lanueva-Polanco R. Factoring 512-bit RSA Moduli
for Fun (and a Profit of $9,000). [Электронный
ресурс]. – Режим доступа:
https://martinralbrecht.files.wordpress.com/2015/03/
freak-scan1.pdf
12. Маркелова А. В. Об уязвимостях алгоритма
RSA. Будет ли внедряться российская крип-
тография в национальную систему платежных
карт (НСПК)? // BIS Journal – Информацион-
13. Anderson R. A practical RSA trapdoor // Elect-
ronics Letters. 1993. V. 29, № 11. P. 995.
14. Гриценко С. А., Шевцова М. В. О распреде-
лении простых чисел в арифметической про-
грессии, разность которой является степенью
фиксированного простого числа // Чебышев-
ский сб. – 2011. – Т. 12, вып. 1. – С. 60–78.
15. Kaliski B. S. Anderson’s RSA trapdoor can be
broken // Electronics Letters. – 1993. – V. 29. № 15.
P. 1387.
16. Kern D. Understanding and Implementing
Encryption Backdoors // CSC7002. Project Paper.
April 6, 2012 [Электронный ресурс]. – Режим
доступа:
http://cse.ucdenver.edu/dkern/CSC7002/paper.pdf.
17. ГОСТ Р 53113.1-2008. Защита информа-
ционных технологий и автоматизированных
систем от угроз информационной безопасно-
сти, реализуемых с использованием скрытых
каналов. Часть 1. Общие положения.
79