Odepřené šifrování

Aktuální verze stránky ještě nebyla zkontrolována zkušenými přispěvateli a může se výrazně lišit od verze recenzované 15. listopadu 2015; kontroly vyžadují 46 úprav .

Odepřené šifrování ( angl. deniable encryption , také nejednoznačné šifrování ) je metoda kryptografické transformace , při které jsou dvě nebo více různých zpráv zašifrovány společně na dvou nebo více různých klíčích [1] . Tato metoda poskytuje možnost věrohodného popření existence jedné nebo skupiny zpráv jako takových. Samotný termín „nejednoznačné šifrování“ byl vytvořen Julianem Assangem a Ralphem Weimannem při práci na Rubberhose [2] v letech 1997-2000.

Účel

Koncept deniable encryption bere v úvahu cíl poskytnout dostatečně vysokou sílu proti donucovacím útokům . V modelu takových útoků se předpokládá, že útočník má určitou páku na odesílatele, příjemce nebo správce šifrovaných informací a nutí je vydat klíč k jejich dešifrování . Odolnost vůči nátlakovým útokům je zajištěna tím, že alespoň jedna z přenášených zpráv není tajná a útočníkovi je poskytnut klíč, pomocí kterého dešifrování kryptogramu vede k prozrazení této zprávy. Zároveň je dešifrovací procedura provedena tak, že útočník nemá žádné rozumné argumenty, aby se domníval, že s kryptogramem byly spojeny nějaké další zprávy. Nejednoznačné šifrování umožňuje číst zašifrovanou zprávu několika smysluplnými způsoby v závislosti na použitém klíči . Jinými slovy, dává uživateli šanci skrýt tajnou zprávu, i když je nucen odhalit jeden z klíčů. [3]

Základním požadavkem na šifrovací algoritmy s vyloučením je zajištění ekvipravděpodobného vlivu bitů kryptogramu na bity dešifrovaného textu, což spočívá ve skutečnosti, že změna kteréhokoli bitu kryptogramu by měla vést k inverzi kteréhokoli bitu dešifrovaného textu. text s pravděpodobností dostatečně blízkou 0,5. [jeden]

Scénář

Možný scénář vypadá takto:

Alice je manželkou Boba, který ji podezřívá ze zrady. Chce doručit zprávu svému tajnému milenci Carlovi. Sestrojí 2 klíče: jeden pro zachování tajemství a druhý, který lze obětovat v kritické situaci. Pak dá skutečný klíč (nebo možná oba) Carlovi.
Poté napíše Carlovi neškodnou zprávu M1 o životě hlemýžďů – tuto zprávu lze ukázat Bobovi, pokud najde jejich korespondenci, stejně jako dopis M2 Carlovi, plný žhavých citů. Poté obě zprávy spojí a výsledný šifrovaný text pošle Carlovi.
Carl pomocí klíčů, které mu byly dány, dešifruje původní zprávu M2 a volitelně i M1.
Bob objeví zprávu, kterou Alice poslala Carlovi. V záchvatu žárlivosti donutí Alici, aby dopis rozluštila.
Alice obnoví otevřený text M1 pomocí obětního klíče. Bobovi se tak dostane do rukou nudný text o šnecích, a protože přítomnost dalšího klíče je utajena, domnívá se, že zpráva nenesla žádný podezřelý význam.

Alice také může poslat stejný kryptogram Bobovi i Carlovi. Ve stejnou dobu Bob, který dešifroval zprávu pomocí svého klíče, zjistí, že Karl na něj chce napsat výpověď . Dopis řekne Carlovi, že se Bob pokouší ukrást jeho peníze. Aliciny pokusy se mezi nimi pohádat nebudou odhaleny, dokud Bob a Carl nezjistí, že mají různé klíče. [jeden]

Implementace

Implementační algoritmy

Příklad 1

Implementace popíratelného šifrování se provádí [ 3] pomocí tajného klíče ve formě sady podklíčů a dvou prvočísel a ${\displaystyle K_{1},K_{2},K_{3},K_{4))$ $p_{1}$ $p_{2}$ $M(p_{1}>M)$ ${\overline {M}}(p_{2}>{\overline {M}})$ $C_{1}$ $C_{1}=M^{K_{1}}K_{2}mod{p_{1}}$ $C_{2}$ $C_{2}={\overline {M}}^{K_{3}}K_{4}mod{p_{2}}$

$\left\{{\begin{matrix}C=C_{1}mod{p_{1}}\\C=C_{2}mod{p_{2}}\end{matrix}}\right.$

které zapíšeme do tvaru

$\left\{{\begin{matrix}C=M^{K_{1}}K_{2}mod{p_{1}}\\C={\overline {M}}^{K_{3 }}K_{4}mod{p_{2}}\end{matrix}}\right.$

v souladu s čínskou větou o zbytku se řešení vypočítá podle následujícího vzorce:

$C=\left[M^{K_{1}}K_{2}p_{2}(p_{2}^{-1}mod{p_{1)))+{\overline {M}} ^{K_{3}}K_{4}p_{1}(p_{1}^{-1}mod{p_{2}})\right]mod{p_{1}p_{2}}$

Ať je zpráva určena k prozrazení během vynuceného útoku . Poté je útočníkovi předložena trojice hodnot jako šifrovací klíč . Dešifrování se provádí podle vzorce ${\overline {M))$ ${\displaystyle K_{3},K_{4},p_{2))$

${\overline {M}}=(CK_{4}^{-1})^{K_{3}^{-1}}mod{p_{2}}$ .

V posledním vzorci jsou reciproční hodnoty pro podklíče a vypočteny modulo a . Tajná zpráva M je dešifrována pomocí stejného vzorce, ale pomocí klíče, který má trojici hodnot : $K_{3}$ $K_{4}$ $p_{2}-1$ $p_{2}$ ${\displaystyle K_{1},K_{2},p_{1))$

$M=(CK_{2}^{-1})^{K_{1}^{-1}}mod{p_{1}}$

Příklad 2

Šifrovací klíč je sada podklíčů a dvou prvočísel a . Dvě zprávy jsou zašifrovány a generováním náhodných čísel a výpočtem hodnoty podle vzorce , výpočtem hodnoty podle vzorce a generováním kryptogramu , což je řešení srovnávacího systému , který obsahuje tři srovnání ${\displaystyle K_{1},K_{2},K_{3},K_{4))$ $p_{1}$ $p_{2}$ $M(p_{1}>M)$ ${\overline {M}}(p_{2}>{\overline {M}})$ $D$ $p_{3}$ $C_{1}$ $C_{1}=M^{K_{1}}K_{2}mod{p_{1}}$ $C_{2}$ $C_{2}={\overline {M}}^{K_{3}}K_{4}\mod {p_{2}}$ $C$

$C\equiv C_{1}mod{p_{1)),C\equiv C_{2}mod{p_{2)),C\equiv Dmod{p_{3))$ .

Tento systém lze zapsat jako

$\left\{{\begin{matrix}C\equiv M^{K_{1}}K_{2}mod{p_{1}}\\C\equiv {\overline {M}}^{K_ {3}}K_{4}mod{p_{2}}\\C\equiv Dmod{p_{3}}\end{matrix}}\right.$
V souladu s čínskou větou o zbytku se řešení tohoto systému srovnání vypočítá podle vzorce:

$C=\left[M^{K_{1}}K_{2}p_{2}p_{3}((p_{2}p_{3})^{-1}mod{p_{1} })+{\overline {M}}^{K_{3}}K_{4}p_{1}p_{3}((p_{1}p_{3})^{-1}mod{p_{2 }})+Dp_{1}p_{2}((p_{1}p_{2})^{-1}mod{p_{3}})\right]mod{p_{1}p_{2}p_ {3}}$

Při nuceném útoku je útočníkovi prezentována trojice hodnot jako šifrovací klíč , podle kterého se dešifrování provádí podle vzorce: ${\displaystyle K_{3},K_{4},p_{2))$

${\overline {M}}=(CK_{4}^{-1})^{K_{3}^{-1}}mod{p_{2}}$ .

Objev

Je zřejmé, že velikost kryptogramu nemůže být menší než součet velikostí společně zašifrovaných zpráv, proto jako známky přítomnosti dalších zpráv v kryptogramu mohou být známky rozdílu mezi kryptogramem a šifrovaným textem získaným je uvažováno pravděpodobnostní šifrování nekryté zprávy, ve kterém je velikost šifrovaného textu mnohem větší než velikost původní zprávy. Jinými slovy, napadený kryptogram mohl být získán pomocí pravděpodobnostního šifrování pomocí předloženého klíče. Z tohoto důvodu není důvod, aby útočník požadoval jakýkoli jiný klíč pro další dešifrování kryptogramu. [3]

Ve prospěch přítomnosti dalších zpráv v kryptogramu lze útočníkům předložit následující argumenty:

Neúplné použití kryptogramu v procesu dešifrování;
Přítomnost větví v proceduře dešifrování, řízené klíčem;
Známky třídění bitů kryptogramu v proceduře dešifrování;
Porušení jednotnosti procesu dešifrování pro všechny možné hodnoty tajného klíče;
Nerovnoměrný vliv bitů kryptogramu na bity dešifrovaného textu.

Velikost kryptogramu může být větší než velikost původního textu. Zároveň je útočník informován, že k vytvoření kryptogramu byla použita metoda pravděpodobnostního šifrování. Zvětšení velikosti šifrového textu je pro šifry tohoto typu typické.

Moderní metody nejednoznačného šifrování

Moderní metody nejednoznačného šifrování využívají pseudonáhodné permutační vlastnosti blokových šifer , což ztěžuje dokazování, že data nejsou jen nesmyslnou sadou bitů generovaných silným generátorem pseudonáhodné sekvence . Tato technologie je doplněna zpřístupněním některých klamavých údajů útočníkovi, podobných těm, které by se uživatel snažil skrýt. Tento druh nejednoznačného šifrování se někdy nazývá steganografické šifrování.

Příkladem jsou kryptografické souborové systémy , které používají abstraktní schéma „vrstvy“, přičemž každá následující vrstva vyžaduje jiný dešifrovací klíč. Kromě toho existují takzvané úrovně plev naplněné náhodnými daty, které působí proti detekci existence skutečných úrovní a také jejich klíčů. Uživatel může ukládat klamná data v několika úrovních s tím, že zbytek prostoru je použit jako úrovně plev. Fyzicky jsou data nejčastěji umístěna v jediném adresáři, rozděleném do souborů stejné délky s názvy buď vybranými náhodně (v případě úrovně plev) nebo představujícími výsledek kryptografické hashovací funkce pracující s identifikátory bloků. Časové parametry pro tyto soubory jsou vybírány náhodně. Příklady takových systémů jsou Rubberhose a PhoneBookFS .

Dalším přístupem používaným tradičními balíčky ochrany médií je vytvoření nového chráněného svazku uvnitř hlavního svazku. Proces začíná formátováním naplněním hlavního kontejneru změtí dat a následnou inicializací souborového systému. Poté je část souborového systému naplněna zabezpečenými daty podobnými tajným. Poté se někde ve zbývajícím prostoru vytvoří nový skrytý svazek , který se používá pro data, která chce uživatel skutečně skrýt. Protože protivník nedokáže rozlišit zašifrovaná data od náhodných zástupných dat, nebude schopen detekovat tento skrytý svazek na disku. Podezření však může vzbuzovat skutečnost, že obsah nezařazených dat se od doby vytvoření nezměnil, zejména doba, kdy byly soubory upraveny - to je děláno, aby nedošlo k poškození uživatelských dat. Řešením tohoto problému je říci systému, aby změnil obsah pahýlů. Je však třeba poznamenat, že tato operace je spojena s rizikem poškození dat uložených na disku. Programy jako FreeOTFE a BestCrypt umožňují vytvořit více skrytých oddílů na jednom disku, zatímco TrueCrypt je omezen na jeden.

Existenci skrytého svazku lze odhalit kvůli chybným implementacím, které závisí na předvídatelných kryptografických hodnotách [4] [5] , nebo pomocí některého právního nástroje schopného detekovat nenáhodná šifrovaná data. [6] [7] Bylo také navrženo, že existuje zranitelnost při testování pseudonáhodných sekvencí pomocí testu Chí-kvadrát (Pearsonův test): po každé změně musí být zašifrovaná data upravena tak, aby jejich distribuce věrohodně odpovídala náhodné rozdělení. [osm]

Odmítnuté šifrování bylo také kritizováno za to, že nedokázalo ochránit uživatele před ransomwarem. Samotná skutečnost, že vlastníte nástroje, které implementují metody odmítavého šifrování, může útočníka donutit pokračovat v hackování dat i poté, co mu uživatel poskytne heslo, které poskytuje přístup k některým falešným informacím. [9]

Nedostatečná kryptografická síla blokových šifer nebo generátor čísel může samozřejmě ohrozit bezpečnost takového souborového systému. Aby nevznikly pochybnosti o dostatečné kryptografické síle generátoru, je možné pseudonáhodná data zašifrovat pomocí jiného klíče než hlavní data, což povede k nerozeznání uložených informací a prázdného místa, protože není možné rozlišit šifrovaná data od jiných šifrovaných dat. A konečně stojí za zmínku, že nesprávné použití režimů šifrování může způsobit, že systém bude zranitelný, například vůči útokům na vodoznak . [deset]

Kontejnery bez podpisů

Některé kryptografické produkty (například TrueCrypt ) umožňují vytvářet šifrované kontejnery bez jakýchkoli podpisů. Takový kontejner obecně nemůže být spojen s konkrétním kryptografickým programem (protože obsah kontejneru vypadá jako souvislá náhodná sekvence dat).

Kontejnery bez podpisů nemohou programy jako file . Na druhou stranu absence jakýchkoli podpisů a vysoká entropie dat se již podepisuje na šifrovaných datech.

Skryté kontejnery

Některé produkty umožňují vytvářet kontejnery v rámci již existující pevné náhodné sekvence dat. TrueCrypt může například vytvořit kontejner uvnitř volného prostoru souborového systému jiného kontejneru (volný prostor souborového systému libovolného kontejneru TrueCrypt je zpočátku vyplněn náhodnými daty).

Skryté kontejnery lze v některých případech detekovat během fáze analýzy odstávkového systému, například:

V případě úniku informací o obsahu skrytého kontejneru do nešifrovaných souborových systémů:
- Úniky ve stránkovacím souboru, souboru hibernace a výpisech paměti (výpis zhroucení);
- Jiné úniky (např. do výpisů MRU);
V případě, že dojde k úniku kryptografických klíčů nebo hesel do odkládacího souboru, souboru hibernace a výpisů paměti;
Pokud existuje úplná nebo částečná kopie (několik kopií) externího kontejneru s klíčem / heslem;
V případě použití slabých klíčů/hesel pro skrytý kontejner.

Flexibilní šifrování [1]

Některé systémy, které šifrují zprávy za běhu, jako je OTRM , poskytují flexibilní šifrování, které umožňuje účastníkům rozhovoru odepřít jejich účast v konverzaci. Tento typ šifrování sice není ve své podstatě nejednoznačný, to znamená, že neumožňuje dešifrovat zprávy dvěma způsoby, zbavuje protivníka možnosti prokázat účast konkrétní osoby v konverzaci, stejně jako samotnou skutečnost výměny informací.

Toho je dosaženo přidáním informací nezbytných pro její padělání do zašifrované zprávy. Pokud je tedy protivník schopen vytvořit skutečnou zprávu pro danou konverzaci, bude automaticky schopen falšovat zprávy, což spolu s dokonalým dopředným utajením zaručuje bezpečnost konverzace, i když jsou klíče pro jednotlivé zprávy hrozí prozrazení .

Software

OpenPuff , bezplatný šifrovací software pro OS Windows.
BestCrypt , komerční aplikace pro šifrování disku za běhu pro Windows .
FreeOTFE , bezplatný software pro šifrování disku za běhu pro Windows a Pocket PC , který poskytuje nejednoznačnou funkci šifrování spolu s odmítnutím [11] . Má skvělou funkčnost a nevyžaduje instalaci.
Off-the-Record Messaging , kryptografický protokol pro odmítnutí sítí pro rychlé zasílání zpráv
StegFS Archivováno 7. srpna 2011 na Wayback Machine , šifrovacím souborovém systému zabezpečeném proti selhání pro Linux , nástupci nyní již zastaralých projektů PhoneBookFS a rubberhose
TrueCrypt , aplikace pro Windows, MAC OS a Linux, se schopností šifrovat disky za chodu, omezenou schopností nejednoznačného šifrování [12] a popíratelností [13] (s přihlédnutím k omezenému počtu skrytých oddílů na jednom svazku) . Také nevyžaduje instalaci.
Vanish - prototyp samodestrukčního paměťového média .
ScramDisk 4 Linux je bezplatný softwarový balík pro GNU/Linux, který může pracovat s kontejnery truecrypt a scramdisk .

Viz také

Poznámky

↑ 1 2 3 4 Cannetti R., Dwork C., Naor M. Deniable Encryption. — Pokroky v kryptologii. - CRYPTO, 1997. - S. 90-104.
↑ Rubberhose kryptograficky popřitelný transparentní systém šifrování disku Archivováno 2. září 2006.
↑ 1 2 3 A. R. Birichevsky., N. A. Moldavyan. Metoda popíratelného šifrování (ruština) : deník. - 2013. - č. 101(2) . - S. 18-21 . — ISSN 2703-2600 .
↑ Adal Chiriliuc. Chyba generace BestCrypt IV (neopr.) . - 2003. - 23. října. Archivováno z originálu 21. července 2006.
↑ Šifrované pevné disky nemusí být bezpečné: Výzkumníci zjistili, že šifrování není vše, za co se vydává. (nedostupný odkaz) . Získáno 14. dubna 2013. Archivováno z originálu 30. března 2013. (neurčitý)
↑ TrueCrypt je nyní detekovatelný . Získáno 14. dubna 2013. Archivováno z originálu 8. března 2012. (neurčitý)
↑ TCHunt, Vyhledat svazky TrueCrypt . Získáno 14. dubna 2013. Archivováno z originálu 3. dubna 2013. (neurčitý)
↑ MultiObfuscator – Manuál: Architektura a sebeobrana chí-kvadrát . Získáno 14. dubna 2013. Archivováno z originálu 15. května 2012. (neurčitý)
↑ Julian Assange: Fyzický nátlak . Získáno 14. dubna 2013. Archivováno z originálu 23. července 2013. (neurčitý)
↑ Adal Chiriliuc. Chyba generace BestCrypt IV (neopr.) . - 2003. - 23. října. Archivováno z originálu 21. července 2006.
↑ Věrohodná popření . Datum přístupu: 27. srpna 2011. Archivováno z originálu 24. ledna 2013. (neurčitý)
↑ TrueCrypt – bezplatný software pro šifrování disku on-the-fly s otevřeným zdrojem pro Windows Vista/XP, Mac OS X a Linux – skrytý svazek . Získáno 27. srpna 2011. Archivováno z originálu 15. října 2013. (neurčitý)
↑ TrueCrypt – bezplatný software pro šifrování disků s otevřeným zdrojem – dokumentace – věrohodné popření . Získáno 27. srpna 2011. Archivováno z originálu 16. dubna 2013. (neurčitý)

Literatura

Czeskis, A.; Svatý. Hilaire, DJ; Koscher, K.; Gribble, SD; Kohno, T.; Schneier, B. Defeating Encrypted and Deniable File Systems: TrueCrypt v5.1a and the Case of the Tattling OS and Applications (anglicky) : journal. - 3. Usenix Workshop o horkých tématech v oblasti bezpečnosti, 2008.
Canetti R., Dwork C. Naor M.; Deniable Encryption // Pokroky v kryptologii - CRYPTO 1997.
A. R. Birichevsky., N. A. Moldovyan Method of deniable encryption (rusky): časopis. - 2013. - č. 101(2). - S. 18-21.

Odkazy

Denied Encryption Archivováno 26. února 2010 na Wayback Machine
http://web.cs.ucla.edu/~rafail/PUBLIC/29.pdf Archivováno 15. září 2015 na Wayback Machine