Jump to content
Калькуляторы

Безопасность данных: так ли надёжна криптография?

Материал:

Криптографические приложения, в связи с расширением объёмов виртуальной экономики, увеличения числа безналичных расчётов (в т.ч. разнообразные "электронные деньги") и т.п., применяются всё шире и поэтому проблемы, связанные с информационной безопасностью, будут привлекать всё большее внимание. Reuters пишет, что U.S. National Security Agency (NSA) заплатило 10 млн. долларов за возможность облегченного доступа к данным, зашифрованным с использованием стандартизированного в США алгоритма Dual EC DRBG, разработанного хорошо известной компанией RSA.

 

Полный текст

Share this post


Link to post
Share on other sites

Появилась в конце информация и про Россию

В статье не хватает картинки про Настеньку

Share this post


Link to post
Share on other sites

Ну и?)

 

1. Dual EC_DRBG - требование к сертификации FIPS. Те для работы ихних гос учреждений обязателен, как у нас ГОСТ.

 

2. Насколько я понял, а именно Dual EC_DRBG не интересовался, там существует некоторый секретный ключ, а в алгоритме используется для работы публичный. Зная секретный ключ можно относительно легко получать возможные варианты выдачи случайных чисел.

Те против сами сша это всё может долбануть намного сильнее если утечёт этот самый закрытый ключ. Какие то жалкие 521+- бит могут сказочно обогатить отдельных личностей :)

 

3. Есть ещё параметры эллиптических кривых для одноимённой крипты, начинаются с secp, например secp112r1....secp521r1.

В X9.62-1998 (который типа от ассоциации банкиров, аж 1998 года стандарт) говорится о минимально длине ключа в 160 бит. (там ещё много всего, очень подробный документ, лёгший в основу публикаций NIST)

Однако NIST до 2010 года содержал параметры secp112 и secp128, правда (как минимум в 2010) NIST писал там же в сносках что данные нуждающиеся в сохранности до 2010 года можно шифровать 112 бит ключём, до 2030 минимум 128 бит, до 2040 года 192 бита, до 2080 года - 256 и более бит.

Многие (почти все) параметры кривых из X9.62-1998 NIST включил в свои документы/стандарты.

Это всё означает что короткие ключи всё ещё вполне возможно и оправданно использовать во всяких коммуникациях для которых не важна длительная секурность, те какое то управление чем то: не важно что через пол года/неделю враг сможет узнать закрытый ключ и подделать/посмотреть команды, к тому времени инфа будет не актуальна, зато вычисления во время работы сильно проще. Те ограниченное применение.

 

4. В документах NIST чуть меньше требований к параметрам эллиптических кривых, в сравнении с X9.62-1998.

 

5. Немцы заплатили своим математикам и те нагенерировали свои параметры эллиптических кривых: brainpool* которые включены в RFC. Там же подробно расписанно как они их получали и ещё какой то матан. Там же предлагается несколько модифицированный вариант алгоритма и отдельно параметры для него.

 

6. В RFC есть и другие параметры эллиптических кривых.

 

7. Параметры кривых можно генерировать самостоятельно, и проверять чужие. Все критерии для проверки опубликованы.

 

8. Российский ГОСТ для эцп - практически тоже самое, только константы немного другие. А параметры кривых я вообще не нашёл, зажимают производители криптосредств :)

 

9. При подписывании документа в начале генерируется хэш содержимого, далее этот хэш (длинное число) скармливается алгоритму с эллиптическими кривыми.

Если хэш функция слабая то это ставит под сомнение всю ЭЦП.

Видимо в этом причина апгрейда ГОСТ для хэша.

 

10. Для интересующихся: алгоритм получения общего секретного ключа для двух участников из публичных ключей противополжной стороны и своего секретного ключа:

общий секретный ключ = (свой секретный ключ * чужой публичный ключ) = (чужой секретный ключ * свой публичный ключ) = (свой секретный ключ * чужой секретный ключ * точка G)

всё это потому что алгоритм получения публичного ключа: публичный ключ = (точка G * секретный ключ)

точка G - задана в параметрах выбранной эллиптической кривой

секретный ключ - обычно рандом, но можно писать туда и что то осмысленное, понимая что это приведёт к ослаблению

 

11. Вот кто мне кажется подозрительным - curve25519:

а. Очень мало работ по криптоанализу

б. Эталонные реализации на ассемблере

 

 

PS: кому интересно, ещё одна реализация на сях: http://netlab.linkpc...K/core/include/

PPS: 1. ГОСТа там нет: мне сходу не удалось найти параметры кривых и значения для проверки, кроме того для ГОСТа нужен ещё и хэш, а мне он не нужен пока...

2. После расчётов на стёке потока могут оставаться данные, вплоть до закрытых ключей. Это стоит учитывать либо переписать чтобы расчёты больших чисел производились в памяти обнуляемой после окончания расчётов. Я рассчитывал что подпись будет производится редко и на секурной машине, а валидация где попало. При валидации все данные и так открытые/доступные.

3. Про тайминг атаки я тоже в курсе, см п2.

Share this post


Link to post
Share on other sites

RECOMMENDED ELLIPTIC CURVES FOR FEDERAL GOVERNMENT USE

http://csrc.nist.gov/groups/ST/toolkit/documents/dss/NISTReCur.pdf

 

Recommendation for Random Number Generation Using Deterministic Random Bit Generators

http://csrc.nist.gov/publications/nistpubs/800-90A/SP800-90A.pdf

Там:

Dual Elliptic Curve Deterministic RBG (Dual_EC_DRBG) - стр.60

Constants for the Dual_EC_DRBG - стр.77

Дата публикации: январь 2012

 

А тут вроде как разъяснение "проблемы" NIST/RSA:

The Many Flaws of Dual_EC_DRBG

http://blog.cryptographyengineering.com/2013/09/the-many-flaws-of-dualecdrbg.html

Share this post


Link to post
Share on other sites
Чем плоха ситуация с подобными электронными документами? Да тем, что взломав единожды, невозможно установить факт взлома. Например, обладая данными других людей, можно клепать абсолютно легальные документики. Ну нет никакой возможности электронно отличить два докумнента друг от друга. В этом их серьезное отличие от бумажных. И это самый серьезный минус.

 

An attacker can efficiently factor at least 184 distinct 1024-bit RSA keys from Taiwan's national "Citizen Digital Certificate" database. The big story here is that these keys were generated by government-issued smart cards that were certified secure. The certificates had all the usual buzzwords: FIPS certification from NIST (U.S. government) and CSE (Canadian government), and Common Criteria certification from BSI (German government).

 

[The Ministry of the Interior Certificate Authority (MOICA) of Taiwan began deploying Citizen Digital Certificate smart cards in 2003. There are at least three different generations of MOICA smart cards: At first MOICA was using cards from Giesecke and Devrient. MOICA has never issued cards valid for more than eight years, so all of these cards will expire soon if they have not expired already. / Around 2006–2007 MOICA switched to Chunghwa Telecom, specifically the Chunghwa Telecom HICOS PKI smart card, using 1024-bit RSA keys. These cards are the subject of the SmartFacts research. / Around 2011 MOICA switched to a newer version of the Chunghwa Telecom HICOS PKI smart card, using 2048-bit RSA keys. (тут)]

 

These 184 keys include 103 keys that share primes and that are efficiently factored by a batch-GCD computation. This is the same type of computation that was used last year by two independent teams (USENIX Security 2012: Heninger, Durumeric, Wustrow, Halderman; Crypto 2012: Lenstra, Hughes, Augier, Bos, Kleinjung, Wachter) to factor tens of thousands of cryptographic keys on the Internet.

 

The remaining 81 keys do not share primes. Factoring these 81 keys requires taking deeper advantage of randomness-generation failures: first using the shared primes as a springboard to characterize the failures, and then using Coppersmith-type partial-key-recovery attacks. This is the first successful public application of Coppersmith-type attacks to keys found in the wild.

 

Сайтик подробнее: http://smartfacts.cr.yp.to/

smartfacts-20130916

Share this post


Link to post
Share on other sites

Чем плоха ситуация с подобными электронными документами? Да тем, что взломав единожды, невозможно установить факт взлома. Например, обладая данными других людей, можно клепать абсолютно легальные документики. Ну нет никакой возможности электронно отличить два докумнента друг от друга. В этом их серьезное отличие от бумажных. И это самый серьезный минус.

Это же фича ЭЦП? С момента потери секрета недействительными должны считаться все подписи, им сделанные. Те так и задумано.

 

 

These 184 keys include 103 keys that share primes and that are efficiently factored by a batch-GCD computation. This is the same type of computation that was used last year by two independent teams (USENIX Security 2012: Heninger, Durumeric, Wustrow, Halderman; Crypto 2012: Lenstra, Hughes, Augier, Bos, Kleinjung, Wachter) to factor tens of thousands of cryptographic keys on the Internet.

 

The remaining 81 keys do not share primes. Factoring these 81 keys requires taking deeper advantage of randomness-generation failures: first using the shared primes as a springboard to characterize the failures, and then using Coppersmith-type partial-key-recovery attacks. This is the first successful public application of Coppersmith-type attacks to keys found in the wild.

Те клонирование конкретного документа невозможно, но взяв большую базу, находится несколько штук, которые успешно клонируются?

Share this post


Link to post
Share on other sites
Это же фича ЭЦП? С момента потери секрета недействительными должны считаться все подписи, им сделанные. Те так и задумано.

Не вопрос.

 

Вопрос даже не в том когда этот чудесный момент произошел. Вопрос в том, когда это заметили и заметили ли вообще.

 

25.12.2013 Федеральный закон Российской Федерации от 21 декабря 2013 г. N 379-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации"

Сегодня "Российская газета" публикует закон, который вводит большие изменения в нотариальной жизни.

 

Закон вводит новые правила, касающиеся современных технологий. Теперь нотариусу можно принести и электронный документ, заверенный цифровой подписью. Такой файл вполне сойдет за обычную бумагу с печатью.

Share this post


Link to post
Share on other sites

Вопрос даже не в том когда этот чудесный момент произошел. Вопрос в том, когда это заметили и заметили ли вообще.

Угу, именно поэтому у тех, кто работает с криптухой профессионально их деятельность на 95% состоит из разных оргмероприятий. "Безопасность - это не состояние, а процесс" (с)

Share this post


Link to post
Share on other sites

А какой толк от орг.мероприятий, если железки/софт с "дырками"?

Или носитель тайны (недавний хлопец из "Росреестра") легко выезжают куда им надо?

 

Сколько раз уже здесь, на форуме, спрашивали и обсуждали как "выдрать" эл.подпись, чтобы пользоваться отдельно...

Edited by NN----NN

Share this post


Link to post
Share on other sites

А какой толк от орг.мероприятий, если железки/софт с "дырками"?

Видишь ли какое тут дело, дырки в железе и софте зачастую закрываются оргмерами. Обратное же в большинстве случаев неверно :)

 

Или носитель тайны (недавний хлопец из "Росреестра") легко выезжают куда им надо?

А вот это вообще не при делах, потому что в наступившем мире чтобы слить информацию вообще никуда выезжать не надо. Если кто-то имеет к ней легальный доступ и сбежал - то вопрос лишь в том, сколько он с собой унес. А вот если он тихо работает день за днем - это куда как опаснее :)

Share this post


Link to post
Share on other sites

Видишь ли какое тут дело, дырки в железе и софте зачастую закрываются оргмерами. Обратное же в большинстве случаев неверно :)

Тут ситуация такая, что эти оргмеры нужно населению целой страны объяснять.

И, кстати, после прочтения статей по ссылке я так и не понял, какая религия не позволила влить в карточку дополнительные биты энтропии из внешнего источника? Попросить человека немного покривляться перед камерой, схешировать ролик и результат генератору карточки в качестве дополнительных данных скормить, например.

Share this post


Link to post
Share on other sites

 

Тут ситуация такая, что эти оргмеры нужно населению целой страны объяснять.

Видишь ли, проблема в том, что без соблюдения достаточно сложного комплекса этих самых оргмер любая криптуха - это ловушка для лохов. И свитспот для тех, кто в теме.

 

"Знание опасно для того, кто им не обладает" (с) http://forensics.ru/InFuWo.htm

 

И кстати, опасность здесь происходит особенно из иллюзии надежности. Все знают, что банковские карты по определению не надежны, но поколениями кинутых и обманутых в целом вдолблены нехитрые правила безопасности. А здесь вроде как сугубо понадежней будет, а вот на деле...

Share this post


Link to post
Share on other sites

Видишь ли, проблема в том, что без соблюдения достаточно сложного комплекса этих самых оргмер любая криптуха - это ловушка для лохов. И свитспот для тех, кто в теме.

Возможно. Но сходи по ссылкам. Там проблема была в том, что тот генератор случайных чисел, что в чипе был, иногда сбоил и выдавал явно неслучайную (и повторяющуюся от карты

к карте) фигню. И как это преодолеть при помощи оргмер? Особенно тех, которые сам владелец может соблюдать.

 

И кстати, опасность здесь происходит особенно из иллюзии надежности. Все знают, что банковские карты по определению не надежны, но поколениями кинутых и обманутых в целом вдолблены нехитрые правила безопасности. А здесь вроде как сугубо понадежней будет, а вот на деле...

А на деле оказалось, что железо в напрочь засертифицированных чипах сбоит и генерирует совпадающие ключи. Если бы разработчики системы не полагались на сертифицированность чипа и добавили бы еще пару источников энтропии - проблемы бы не было. Есть еще, правда, подозрение, что это был запрещено делать как раз этими самыми оргмерами и правилами, что для сохранения сертифицированности соблюдать надо было.

Share this post


Link to post
Share on other sites

Есть еще, правда, подозрение, что это был запрещено делать как раз этими самыми оргмерами и правилами, что для сохранения сертифицированности соблюдать надо было.

Потому что кто-то хочет и рыбку съесть и на ... сесть. Чтобы как бы была и криптуха и возможность "кому надо" расшифровать :) По моему это наиболее логичное предположение.

 

А на деле оказалось, что железо в напрочь засертифицированных чипах сбоит и генерирует совпадающие ключи.

Вот потому-то в серьезных системах ключи генерятся только специально обученными людьми на специально обученных средствах :)

Share this post


Link to post
Share on other sites

Вот потому-то в серьезных системах ключи генерятся только специально обученными людьми на специально обученных средствах :)

Ага. Тут вот как раз и есть случай 'специально обученного средства' и специально обученного человека. Туда же ключ не сам человек вливал же. Наверняка был СБ-ник, который в закрыто наглухо комнате вставлял балванку карты в черный ящик. Проблема была как раз в том была, что сертифицированные (те реализованные и эксплуатируемые 'специально обученными людьми') процедуры не делали свою работу. А процедуры, выполняемые кучей любителей - делают. Ибо подобной ошибки на серверах с публичными ключами pgp не нашлось.

(В статье было упоминание, что это первый известный случай такой атаки из 'живой природы').

Share this post


Link to post
Share on other sites

Вопрос даже не в том когда этот чудесный момент произошел. Вопрос в том, когда это заметили и заметили ли вообще.

Хм, уговорили.

. Плакали наши секреты и подписи.

Share this post


Link to post
Share on other sites
Вот потому-то в серьезных системах ключи генерятся только специально обученными людьми на специально обученных средствах :)

Так в Тайваньском примере средства были сертифицированными, читай "специально обученными". И карточки выпускались государством, т.е. занимались этим (по крайней мере, предположительно) тоже "специально обученные люди".

А лажа прошла.

Понятно, что если бы были доп.орг.меры по проверке ключей на принадлежность к уязвимым, было бы сложнее взломать. Только вот набор классов уязвимых ключей расширяется в процессе криптоанализа алгоритмов и их реализаций. А ключи-ки то уже выпущены.

Проблема была как раз в том была, что сертифицированные (те реализованные и эксплуатируемые 'специально обученными людьми') процедуры не делали свою работу. А процедуры, выполняемые кучей любителей - делают. Ибо подобной ошибки на серверах с публичными ключами pgp не нашлось.

Из описания к фактически упоминаемому выше "Widespread Weak Keys in Network Devices" (https://factorable.net/):

In experiments with several popular open-source software components, we were able to reproduce these vulnerabilities and show how such weak keys can arise in practice. Most critically, we found that the Linux random number generator can produce predictable output at boot under certain conditions, although we also observed compromised keys on BSD and Windows-based systems.

И написано любителями, и используется ими. Даже гиками, можно сказать. А проблемы сохраняются.

 

Ну нет никакой возможности электронно отличить два докумнента друг от друга. В этом их серьезное отличие от бумажных. И это самый серьезный минус.

А поддельные бумажные документы отличаются от настоящих на раз-два?

 

И те, и другие подделки делаются очередными "специально обученными людьми".

 

Видишь ли какое тут дело, дырки в железе и софте зачастую закрываются оргмерами. Обратное же в большинстве случаев неверно :)

Тут ситуация такая, что эти оргмеры нужно населению целой страны объяснять.

И, кстати, после прочтения статей по ссылке я так и не понял, какая религия не позволила влить в карточку дополнительные биты энтропии из внешнего источника? Попросить человека немного покривляться перед камерой, схешировать ролик и результат генератору карточки в качестве дополнительных данных скормить, например.

Когда нужно заставить кого-то что-то сделать - это орг.меры.

Вы только что привели одну из них.

Share this post


Link to post
Share on other sites
Хм, уговорили. Смотрим сюда. Плакали наши секреты и подписи.

 

Нет. Это не то. Это сферические математики-теоретики мастурбируют фантазируют в вакууме "этот старый алгоритм может быть случайно раскрыт через год при стечении обстоятельств, давайте применим новый красивый алгоритм который будет раскрываться через стопицотлет".

 

А поддельные бумажные документы отличаются от настоящих на раз-два?

 

И те, и другие подделки делаются очередными "специально обученными людьми".

Поддельные документы отличаются от настоящих в достаточной степени. Я бы даже сказал радикально.

И ЕСЛИ будет проводится эеспертиза подделка будет выявлена.

 

У электронного документа (с скомпрометированным секретом) нет способов выявить его подлинность.

 

И тут играет роль цена вопроса - высококачественная подделка бумажного документа стоит заметных денег. Для каждого экземпляра.

 

Любой электронный документ легко можно "изготовить" на копеечном смартфоне. Массово.

Share this post


Link to post
Share on other sites

Из описания к фактически упоминаемому выше "Widespread Weak Keys in Network Devices" (https://factorable.net/):

In experiments with several popular open-source software components, we were able to reproduce these vulnerabilities and show how such weak keys can arise in practice. Most critically, we found that the Linux random number generator can produce predictable output at boot under certain conditions, although we also observed compromised keys on BSD and Windows-based systems.

И написано любителями, и используется ими. Даже гиками, можно сказать. А проблемы сохраняются.

Неа. Если статью прочитать, то видно, что эти 'certain conditions' - это большей частью когда во всяких железках типа роутеров ключ сразу после загрузки

сгенерирован, и энтропии еще не накопилось. А вот всякие руками сгенерированные pgp ключи - те нормальные получаются.

 

Нет. Это не то. Это сферические математики-теоретики мастурбируют фантазируют в вакууме "этот старый алгоритм может быть случайно раскрыт через год при стечении обстоятельств, давайте применим новый красивый алгоритм который будет раскрываться через стопицотлет".

Это вполне реальные (правда, достаточно сферические) математики-практики реально базу ключей прошерстили и нашли повторы.

Share this post


Link to post
Share on other sites
Поддельные документы отличаются от настоящих в достаточной степени. Я бы даже сказал радикально.

И ЕСЛИ будет проводится эеспертиза подделка будет выявлена.

Именно поэтому отличить поддельные картины не всегда возможно даже с привлечением сверхподготовленных экспертов. При этом в картинах можно придраться к любому участку, а в документах - только к местам подписей и печатей. Ну к особенностям шрифтов можно попробовать. Да и то...

У электронного документа (с скомпрометированным секретом) нет способов выявить его подлинность.

Прямых - нет. Только сравнением даты создания/получения и даты прекращения легального использования ключа.

И тут играет роль цена вопроса - высококачественная подделка бумажного документа стоит заметных денег. Для каждого экземпляра.

Любой электронный документ легко можно "изготовить" на копеечном смартфоне. Массово.

Утверждения не совсем корректны.

Да, изготовление каждого поддельного бумажного документа стоит дорого. Но для этого необходимы только исходный документ, оборудование и специалист.

Но и изготовление первого в серии поддельного электронного документа тоже стоит дорого. И для его "изготовления" необходимо потратить, кроме вышеперечисленного, заметное время. Которое, в виду ограничения на время действия ключа, может быть весьма ценно.

А ещё необходимо указанное вами же стечение обстоятельств. Которого может и не быть. А вот потом можно клепать, да. Если время будет.

Share this post


Link to post
Share on other sites
Это вполне реальные (правда, достаточно сферические) математики-практики реально базу ключей прошерстили и нашли повторы.

Шансы, что кто то, кроме сферических математиков, будет этим заниматься весьма и весьма иллюзорны.

 

Кроме того, эти математики шерстили базу сферических тестовых ключей. Базу реальных ключей одного конкретного банка, размера достаточного для анализа даже собрать затруднительно, определенно будет инсайдерский слив. И тут дешевле и проще либо пользоваться инсайдером по полной, либо на целевом компьютере пользоваться специальным ПО, и тогда и ключи не особо нужны.

 

Ясно что у другого банка будут другие ключи.

Share this post


Link to post
Share on other sites
Неа. Если статью прочитать, то видно, что эти 'certain conditions' - это большей частью когда во всяких железках типа роутеров ключ сразу после загрузки

сгенерирован, и энтропии еще не накопилось. А вот всякие руками сгенерированные pgp ключи - те нормальные получаются.

Неа-2.

Основной предмет исследования - железки, да. Но исследования иных систем, в том числе на базе открытых кодов, показали, что уязвимости те же. По меньше мере, так утверждают авторы в приведённом мною отрывке.

Share this post


Link to post
Share on other sites
Шансы, что кто то, кроме сферических математиков, будет этим заниматься весьма и весьма иллюзорны.

Эти сферические математики создали задел.

Другие сферические математики создадут конкретные методики либо за хорошие деньги, либо за идею.

А практики будут этим пользоваться. Стандартный путь технологий.

Кроме того, эти математики шерстили базу сферических тестовых ключей.

Как я понял, это вполне реальная база публичных ключей.

Базу реальных ключей одного конкретного банка, размера достаточного для анализа даже собрать затруднительно

Публичные ключи передаются по незащищённым каналам. В чём реальная сложность?

Ясно что у другого банка будут другие ключи.

Ключи каждый раз разные. Вопрос в том, насколько они уязвимы и уникальны.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this