Алгоритмы шифрования надежны только в теории Содержание Источники

К вопросу о криптостойкости смарт - технологий

В Международном компьютерном еженедельнике Computerworld (Россия) была опубликована статья Элен Месмер с достаточно вызывающим названием «Алгоритмы шифрования надежны только в теории».

Прежде всего следует заметить, что статья носит явно тенденциозный характер. В ней речь идет на самом деле не столько об алгоритмах, сколько о протоколах, т.е. методах их применения. В целом же, статья направлена на дискредитацию смарт-технологий. Нагромождение отдельных фактов создает впечатление, что взломать систему защиты смарт-карт может любой желающий. В статье даже приводиться рекомендация под названием: «Как взломать систему защиты смарт-карт?» Для этого, со слов Элен Месмер, достаточно выполнить следующие действия:
1. Хакер добывает Smart Card.
2. Карта подвергается нагреванию или радиации, что приводит к изменению битовой структуры.
3. Новый вывод сравнивается математическими методами со старым - это дает возможность открывать содержащиеся внутри карты данные. В результате хакер получает доступ к электронной наличности.

С тем же успехом мы можем дать рекомендацию а-ля Элен Месмер для «джентльменов удачи»: Как ограбить банк?
1. Грабитель добывает сейф.
2. Сейф нагревается до белого каления и ... плавится.
3. «Новое содержимое» сравнивается со «старым» - это дает «возможность» грабителю получить доступ к наличности.

Курьёзная «процедура» - не правда ли?! А ведь разница всего лишь в том, что большинство людей может легко себе представить, что такое сейф, но в то же время это большинство совершенно не имеет представления о смарт-картах...

А теперь серьезно. На что опираются выводы Элен Месмер? Это прежде всего сообщение Ади Шамира и Эли Бихам от 18 октября 1996 под названием «Research announcement: A new cryptanalytic attack on DES» (адрес в Internet [http://jya.com/dfa.htm]). Эта работа в свою очередь базируется на статье D.Boneh, R.DeMillo и R.Lipton «On the Importance of Checking Computations», краткое содержание которой можно найти в [http://jya.com/belsecwp.htm]. В первой работе предлагается использование метода под названием «Differential Fault Analysis (DFA)» для извлечения полного ключа DES из так называемых «sealed tamperproof DES encryptor», которые используются в отдельных типах смарт-карт. Во второй освещается основная идея криптоанализа на базе fault- методов криптосистемы RSA. В основе, которых лежит анализ поведения системы после искусственного введения в нее ошибки. В этой работе особо подчеркивается, что атаки, описанные в ней, являются чисто теоретическими и, что лабораторные эксперименты не проводились.

Более того предлагаемый метод «работает» только для отдельных случаев. Как говорят сами авторы: «... мы предполагаем, что система использует RSA для генерации подписи наивным путем.» Этот путь заключается в использовании Китайской теоремы об остатках для ускорения процесса вычисления модульной экспоненты.

Eще одна работа в этой области опубликована 11 ноября 1996г. бельгийскими авторами Marc Joye и Jean-Jacques Quisquater, которая называется «Attacks on systems using Chinese remaindering». Её можно найти по адресу www.dice.ucl.ac.be/crypto/techreports.html. Само название статьи говорит о том, что в их методе также используется факт «слабины» систем, построенных на использовании Китайской теоремы об остатках.

Из всего сказанного следует лишь то, что для ускорения вычисления модульной экспоненты следует избегать использования Китайской теоремы об остатках. Можно найти целый ряд других работ, посвященных атакам на основе fault- методов, но при внимательном их изучении мы обнаруживаем, что в целом методы базируются на ряде предположений:
1. Нарушитель физически владеет защищенным устройством.
2. Он может многократно повторять эксперимент с одним и тем же исходным текстом и ключом.
3. Нарушитель может воздействовать на защищенное устройство с помощью ряда физических эффектов (таких как ионизация или микроволновая радиация), так что может внести с определенной вероятностью изменение одного из битов в регистрах устройства.

Не будем вдаваться в подробности математических методов извлечения ключа из защищенного устройства, поскольку они хорошо освещены в работах, на которые мы ссылаемся. Но, проанализируем выше перечисленные предположения с точки зрения нападения на различные типы смарт-карт. Если первое предположение может быть выполнено без особого труда, то два других для смарт-карт, применяемых в системах с большой величиной потерь от взлома (платежные, кредитные), являются больше теоретическими, чем практическими. Эти предположения скорее верны для карт, типа pay-TV и телефонных карт, для которых средняя величина потерь от взлома является достаточно низкой. Другими словами, трудно представить себе нарушителя, потратившего десятки тысяч долларов для взлома карты, с содержимым не более нескольких сотен долларов.

Что касается смарт-карт, с большой величиной потерь от взлома, то эти предположения, мягко говоря, надуманны. Прежде всего заметим, что ни одна «серьезная» смарт-карта не «позволит» многократно повторять эксперимент с неверными данными, т.е. при нескольких нарушениях она попросту «захлопнется». Такие принципы используются практически во всех смарт-картах, производимых для систем, где взлом может привести к большим потерям (например смарт-карты Payflex и Multyflex французской фирмы Schlumberger).

Далее заметим, что третье предположение по своей сути является «разрушающим» с точки зрения данных, хранящихся на смарт-карте, поскольку его трудно выполнить избирательно.

Кстати этот факт и подчеркивается в сообщении Ross Anderson, «A serious weakness of DES» от 2 ноября 1996 г. [http://jya.com/radfa.htm]. По его оценкам для извлечения одного ключа DES из смарт-карты с помощью обсуждаемого метода необходимо уничтожить порядка 100^28 карт. Там же Ross Anderson приводит рекомендации, учет которых позволяет предотвратить рассматриваемые атаки на DES ключи, находящиеся в защищённых устройствах типа смарт-карт.

И, наконец, в сообщении [http://jya.com/belsecwp.htm], о котором мы упоминали выше, так же содержатся рекомендации по предотвращению криптоанализа на основе fault - методов. Детальный анализ этих рекомендаций показывает, что если они учитываются для смарт-карт, то их взлом становится практически невозможным.
Напомним читателю, что все криптосистемы, применяемые на практике в настоящее время являются «практически» стойкими, что не мешает им успешно выполнять свои функции. А что касается «теоретически» стойких криптосистем, то они существуют (доказано К.Шенноном), но их обсуждение выходит за рамки этой статьи.

Хочется также отметить, что на «правильно» построенные системы в настоящее время не известно каких либо атак. Например, на систему цифровой подписи DSS - Digital Signature Standard, что отмечено в выше упомянутом сообщении. Естественно, что рекомендации ученых всего мира будут учитываться ведущими производителями смарт-карт, и поэтому их стойкость будет возрастать по мере появления новых методов криптоанализа. Это естественный процесс, не противоречащий общему закону развития природы.

Что касается случая с Netscape Navigator, приводимого Элен Месмер, то заметим, что практически все производители продуктов в США, использующих ту или иную технологию шифрования, поставлены Национальным Агентством Безопасности (NSA) и правительством США в неловкое положение. Это вызвано с одной стороны - запретом использования действительно стойких алгоритмов в продуктах, экспортируемых из США. С другой стороны - их критикуют за то, что их системы легко «ломаются»!

Поэтому, пока США будут придерживаться своей политики в области экспорта средств, содержащих криптоалгоритмы, остальной мир может довольствоваться разработками своих отечественных ученых и производителей.

Подведем некоторые итоги: Безусловно, смарт-технологии являются в настоящее время наиболее современными и защищенными из всех известных. И хотим мы этого, или не хотим- они все шире и шире будут внедряться в нашу жизнь. Понятно, что они все время будут совершенствоваться и идти в ногу с развитием науки и самых современных технологий производства. Поэтому любой пессимизм в этой области попросту неуместен.

Всем интересующимся проблемой рекомендуем ознакомится с информацией о ней в Internet, адреса приводим ниже:
 
http://www.dekart.com
http://jya.com/dfa.htm
http://jya.com/isghak.htm
http://jya.com/radfa.htm
http://jya.com/quikey.htm
http://jya.com/belsecwp.htm
http://jya.com/pkdfa.htm
http://jya.com/akdfa.txt
http://jya.com/quisee.htm
http://www.dice.ucl.ac.be/crypto/techreports.html

Анализ результатов Шамира и Бихама лишний раз показал справедливость диалектического принципа развития систем и технологий: хорошим криптоалгоритмам должны соответствовать не менее хорошие протоколы и их системные реализации. Всякие попытки удешевления системных реализаций за счет всевозможных усечений либо упрощения алгоритмов и протоколов неизбежно приводит к возрастанию риска их компрометации - дешёвых и одновременно качественных решений в природе не бывает.

Что же касается смарт-технологий, использующих хорошо зарекомендовавшие в теории и практике алгоритмы DES и RSA, то серьёзный анализ результатов Шамира и Бихама лишний раз показал их перспективность и могучий потенциал развития.

Алгоритмы шифрования надежны только в теории Содержание Источники

Hosted by uCoz