Подсознательный канал

Скрытый криптографический канал

В криптографии подсознательные каналы — это скрытые каналы , которые можно использовать для тайного общения в обычном на первый взгляд общении по незащищенному каналу . ^[1] Подсознательные каналы в криптосистемах цифровой подписи были обнаружены в 1984 году Густавусом Симмонсом .

Симмонс описывает, как «проблему заключенных» можно решить с помощью подстановки параметров в алгоритмах цифровой подписи . ^[2]^[a]

Алгоритмы подписи, такие как ElGamal и DSA, имеют параметры, которые должны быть установлены с помощью случайной информации. Он показывает, как можно использовать эти параметры для отправки сообщения подсознательно. Поскольку процедура создания подписи алгоритма неизменна, подпись остается проверяемой и неотличимой от обычной подписи. Поэтому трудно обнаружить, используется ли подсознательный канал.

Подсознательные каналы можно разделить на широкополосные и узкополосные.
Широкополосные и узкополосные каналы могут существовать в одном и том же потоке данных.
Широкополосный канал использует почти все доступные биты, которые доступны для использования. Обычно это понимается как {≥50% но ≤90%} использование канала.
Каждый канал, использующий меньше бит, называется узкополосным каналом.
Дополнительные используемые биты необходимы для дальнейшей защиты, например, от выдачи себя за другое лицо .

Широкополосные и узкополосные каналы могут использовать различные параметры алгоритма. Узкополосный канал не может передавать максимальную информацию, но его можно использовать для отправки ключа аутентификации или потока данных.

Исследования продолжаются: дальнейшие разработки могут улучшить подсознательный канал, например, позволят установить широкополосный канал без необходимости заранее согласовывать ключ аутентификации. Другие разработки пытаются обойти весь подсознательный канал.

Примеры

Простым примером узкополосного подсознательного канала для обычного текста на человеческом языке было бы определение того, что четное количество слов в предложении связано с битом «0», а нечетное количество слов — с битом «1». Таким образом, вопрос «Привет, как дела?» будет посылать подсознательное сообщение «1».

Алгоритм цифровой подписи имеет один подсознательный широкополосный канал ^[3] и три подсознательных узкополосных канала ^[4].

При подписании параметр должен быть установлен случайным образом. Для широкополосного канала этот параметр вместо этого устанавливается с подсознательным сообщением . $к$ $м'$

Генерация ключей
1. выбрать премьер $p=2347$
2. выбрать премьер $q=23$
3. рассчитать генератор $г=266$
4. выберите ключ аутентификации и отправьте его получателю по защищенному каналу $x=1468$
5. вычислить открытый ключ mod $y=g^{x}$ $p=2100$
Подписание
1. выберите сообщение $m=1337$
2. (хэш-функция здесь заменена на уменьшение по модулю на 107) вычислить значение хэш-функции сообщения mod mod $H(m)$ $h=m$ $q=1337$ $107=53$
3. вместо случайного значения выбирается подсознательное сообщение $k=?$ $m'=17$
4. вычислить обратный модуль подсознательного сообщения $m'^{-1}=19$ $23$
5. рассчитать значение подписи мод мод мод мод $r=(g^{k}$ $p)$ $q=(266^{17}$ $2347)$ $23=12$
6. рассчитать значение подписи mod mod $s=k^{-1}*(h+x*r)$ $q=19*(53+1468*12)$ $23=3$
7. отправка сообщения с подписью тройной $(1337;12,3)$
Проверка
1. получатель получает сообщение тройное $(m;r,s)=(1337;12,3)$
2. вычислить хэш сообщения mod mod $h=H(m)$ $q=1337$ $107=53$
3. вычислить обратный модуль $w=s^{-1}$ $q=8$
4. рассчитать мод мод $u_{1}=(h*w)$ $q=53*8$ $23=10$
5. рассчитать мод мод $u_{2}=(r*w)$ $q=12*8$ $23=4$
6. рассчитать подпись мод мод мод мод $v=(g^{u_{1}}*y^{u_{2}}$ $p)$ $q=(266^{10}*2100^{4}$ $2347)$ $23=12$
7. поскольку подпись действительна $v=r$
Извлечение сообщения на стороне получателя
1. из тройного (1337; 12, 3)
2. извлечь сообщение мод $m'=8*(53+1468*12)$ $23=17$

Формула извлечения сообщения выводится путем транспонирования формулы расчета значения подписи. $s$

$s=m'^{-1}*(h+xr)$ мод $q$
$s*m'=h+xr$ мод $q$
$m'=s^{-1}*(h+xr)$ мод $q$

Пример: использование модуля n = pqr

В этом примере модуль RSA, предположительно имеющий вид n = pq, на самом деле имеет вид n = pqr для простых чисел p, q и r. Расчет показывает, что в сообщении с цифровой подписью можно скрыть ровно один дополнительный бит. Лекарство от этого было найдено криптологами из Centrum Wiskunde & Informatica в Амстердаме , которые разработали доказательство с нулевым разглашением того, что n имеет вид n = pq. ^{[ необходима цитата ]} Этот пример был частично мотивирован предложением The Empty Silo Proposal .

Пример - исследование RSA

Вот (реальный, рабочий) открытый ключ PGP (использующий алгоритм RSA), который был сгенерирован для включения двух подсознательных каналов - первый - это "ID ключа", который обычно должен быть случайным шестнадцатеричным, но ниже "скрыто" изменен, чтобы читать "C0DED00D". Второй - это представление открытого ключа в формате base64 - снова, как предполагается, это вся случайная тарабарщина, но было вставлено читаемое на английском сообщение "//This+is+Christopher+Drakes+PGP+public+key//Who/What+is+watcHIng+you//". Добавление обоих этих подсознательных сообщений было достигнуто путем вмешательства в генерацию случайных чисел во время фазы генерации ключа RSA.

Ключ PGP. RSA 2020/C0DED00D Печать: 250A 7E38 9A1F 8A86 0811 C704 AF21 222C  -----НАЧАЛО БЛОКА ОТКРЫТОГО КЛЮЧА PGP----- Версия: Частная  mQESAgAAAAAAAAEH5Ar//Это+Кристофер+Дрейкс+PGP+открытый+ключ// Кто/Что+наблюдает+за+тебой//Di0nAraP+Ebz+iq83gCa06rGL4+hc9Gdsq667x 8FrpohTQzOlMF1Mj6aHeH2iy7+OcN7lL0tCJuvVGZ5lQxVAjhX8Lc98XjLm3vr1w ZBa9slDAvv98rJ8+8YGQQPJsQKq3L3rN9kabusMs0ZMuJQdOX3eBRdmurtGlQ6AQ AfjzUm8z5/2w0sYLc2g+aIlRkedDJWAFeJwAVENaY0LfkD3qpPFIhALN5MEWzdHt Apc0WrnjJDby5oPz1DXxg6jaHD/WD8De0A0ARRAAAAAAAAAAAbQvQ2hyaXN0b3Bo ZXIgRHJha2UgPENocmlzdG9waGVyLkRyYWtlQFBvQm94LmNvbT60SE5ldFNhZmUg c2VjdXJpdHkgc29mdHdhcmUgZGlyZWN0b3IgQ2hyaXN0b3BoZXIgRHJha2UgPE5l dFNhZmVAUG9Cb3guY29tPokBEgMFEDPXgvkcP9YPwN7QDQEB25oH4wWEhg9cBshB i6l17fJRqIJpXKAz4Zt0CfAfXphRGXC7wC9bCYzpHZSerOi1pd3TpHWyGX3HjGEP 6hyPfMldN/sm5MzOqgFc2pO5Ke5ukfgxI05NI0+OKrfc5NQnDOBHcm47EkK9TsnM c3Gz7HlWcHL6llRFwk75TWwSTVbfURbXKx4sC+nNExW7oJRKqpuN0JZxQxZaELdg 9wtdArqW/SY7jXQn//YJV/kftKvFrA24UYLxvGOXfZXpP7Gl2CGkDI6fzism75ya xSAgn9B7BqQ4BLY5Vn+viS++6Rdavykyd8j9sDAK+oPz/qRtYJrMvTqBERN4C5uA IV88P1U= =/БРт -----КОНЕЦ БЛОКА ОТКРЫТОГО КЛЮЧА PGP-----

Улучшения

Модификация схемы подписи Брикелла и ДеЛаурентиса обеспечивает широкополосный канал без необходимости совместного использования ключа аутентификации. ^[5] Канал Ньютона не является подсознательным каналом, но его можно рассматривать как усовершенствование. ^[6]

Контрмеры

С помощью доказательства с нулевым разглашением и схемы обязательств можно предотвратить использование подсознательного канала. ^[7]^[8]

Следует отметить, что эта контрмера имеет 1-битный подсознательный канал. Причиной этого является проблема, заключающаяся в том, что доказательство может быть успешным или намеренно проваленным. ^[9]

Другая контрмера может обнаружить, но не предотвратить, подсознательное использование случайности. ^[10]

Примечания

^ Проблема заключенных Симмонса — это не то же самое, что дилемма заключенного . ^[1]

Ссылки

^ ab Густавус Дж. Симмонс. Проблема заключенных и подсознательный канал . В Advances in Cryptology – CRYPTO '83, страницы 51–67, Нью-Йорк, 1984. Lecture Notes in Computer Science, под ред. Д. Чаума.
^ Густавус Дж. Симмонс. Подсознательный канал и цифровые подписи . В Трудах семинара EUROCRYPT 84 по достижениям в криптологии – теория и применение криптографических методов, страницы 364–378, Нью-Йорк, штат Нью-Йорк, США, 1985. Springer-Verlag New York, Inc. doi :10.1007/3-540-39757-4_25
^ Густавус Дж. Симмонс. Подсознательная коммуникация проста с использованием DSA . В EUROCRYPT '93: Workshop on the theory and application of cryptographic techniques on Advances in cryptology, pages 218–232, Secaucus, NJ, USA, 1994. Springer-Verlag New York, Inc.
^ Густавус Дж. Симмонс. Подсознательный канал в алгоритме цифровой подписи США (DSA), в Трудах 3-го симпозиума по состоянию и прогрессу исследований в области криптографии ( SPRC '93 ), Рим, Италия, 15–16 февраля 1993 г.
^ Густавус Дж. Симмонс. Безопасный подсознательный канал (?) . В CRYPTO '85: Advances in Cryptology, страницы 33–41, Лондон, Великобритания, 1986. Springer-Verlag.
^ Росс Дж. Андерсон, Серж Воденай, Барт Пренель и Кайса Ниберг. The Newton Channel . В трудах Первого международного семинара по сокрытию информации, страницы 151–156, Лондон, Великобритания, 1996. Springer-Verlag.
^ Иво Десмедт. Злоупотребления в криптографии и как с ними бороться . В CRYPTO '88: Труды 8-й ежегодной международной криптологической конференции по достижениям в криптологии, страницы 375–389, Лондон, Великобритания, 1990. Springer-Verlag.
^ Иво Десмедт. «Аутентификация и подпись без подсознания». стр. 24 Кристофа Г. Гюнтера, редактора. «Достижения в криптологии — EUROCRYPT '88». 1988.
^ Десмедт, Иво (1996). «Протокол Симмонса не свободен от подсознательных каналов». Труды 9-го семинара IEEE Computer Security Foundations . С. 170–175 . CiteSeerX 10.1.1.56.4816 .
^ Чой, Йонг Юл; Голле, Филипп; Якобссон, Маркус (2006). «Цифровые подписи с защитой от несанкционированного доступа: защита органов сертификации от вредоносного ПО». Труды 2-го Международного симпозиума IEEE по надежным автономным и безопасным вычислениям . CiteSeerX 10.1.1.61.9340 .

Брюс Шнайер. Прикладная криптография , второе издание: протоколы, алгоритмы и исходный код на языке C, 2. Ред. Wiley Computer Publishing, John Wiley & Sons, Inc., 1995.

Внешние ссылки

Семинар: «Скрытые каналы и встроенная криминалистика»

[3] Проблема заключенных Симмонса — это не то же самое, что дилемма заключенного . ^[1]

[Simmons:PrisonersProblem-1] Густавус Дж. Симмонс. Проблема заключенных и подсознательный канал . В Advances in Cryptology – CRYPTO '83, страницы 51–67, Нью-Йорк, 1984. Lecture Notes in Computer Science, под ред. Д. Чаума.

[Simmons:SubliminalChannelAndDigitalSignatures-2] Густавус Дж. Симмонс. Подсознательный канал и цифровые подписи . В Трудах семинара EUROCRYPT 84 по достижениям в криптологии – теория и применение криптографических методов, страницы 364–378, Нью-Йорк, штат Нью-Йорк, США, 1985. Springer-Verlag New York, Inc. doi :10.1007/3-540-39757-4_25

[Simmons:EasyDSACom-4] Густавус Дж. Симмонс. Подсознательная коммуникация проста с использованием DSA . В EUROCRYPT '93: Workshop on the theory and application of cryptographic techniques on Advances in cryptology, pages 218–232, Secaucus, NJ, USA, 1994. Springer-Verlag New York, Inc.

[5] Густавус Дж. Симмонс. Подсознательный канал в алгоритме цифровой подписи США (DSA), в Трудах 3-го симпозиума по состоянию и прогрессу исследований в области криптографии ( SPRC '93 ), Рим, Италия, 15–16 февраля 1993 г.

[Simmons:ASecureChannel-6] Густавус Дж. Симмонс. Безопасный подсознательный канал (?) . В CRYPTO '85: Advances in Cryptology, страницы 33–41, Лондон, Великобритания, 1986. Springer-Verlag.

[NewtonChannel-7] Росс Дж. Андерсон, Серж Воденай, Барт Пренель и Кайса Ниберг. The Newton Channel . В трудах Первого международного семинара по сокрытию информации, страницы 151–156, Лондон, Великобритания, 1996. Springer-Verlag.

[Desmedt:AbusesFight-8] Иво Десмедт. Злоупотребления в криптографии и как с ними бороться . В CRYPTO '88: Труды 8-й ежегодной международной криптологической конференции по достижениям в криптологии, страницы 375–389, Лондон, Великобритания, 1990. Springer-Verlag.

[9] Иво Десмедт. «Аутентификация и подпись без подсознания». стр. 24 Кристофа Г. Гюнтера, редактора. «Достижения в криптологии — EUROCRYPT '88». 1988.

[Desmedt:SimmonsNotFree-10] Десмедт, Иво (1996). «Протокол Симмонса не свободен от подсознательных каналов». Труды 9-го семинара IEEE Computer Security Foundations . С. 170–175 . CiteSeerX 10.1.1.56.4816 .

[TamperEvident-11] Чой, Йонг Юл; Голле, Филипп; Якобссон, Маркус (2006). «Цифровые подписи с защитой от несанкционированного доступа: защита органов сертификации от вредоносного ПО». Труды 2-го Международного симпозиума IEEE по надежным автономным и безопасным вычислениям . CiteSeerX 10.1.1.61.9340 .