Kielletty salaus

Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 15. marraskuuta 2015 tarkistetusta versiosta . tarkastukset vaativat 46 muokkausta .

Denied encryption ( eng. deniable encryption , myös ambiguous encryption ) on kryptografinen muunnosmenetelmä , jossa kaksi tai useampi eri viesti salataan yhdessä kahdella tai useammalla eri avaimella [1] . Tämä menetelmä tarjoaa mahdollisuuden yhden tai viestiryhmän olemassaoloon sellaisenaan. Julian Assange ja Ralph Weimann keksivät termin "epäselvä salaus" työskennellessään Rubberhosen [2] parissa vuosina 1997-2000.

Tarkoitus

Kiellettävän salauksen käsitteen tavoitteena on tarjota riittävän korkea vahvuus pakottavia hyökkäyksiä vastaan . Tällaisten hyökkäysten mallissa oletetaan, että hyökkääjällä on jonkin verran vaikutusvaltaa salatun tiedon lähettäjään, vastaanottajaan tai säilyttäjään, ja se pakottaa heidät antamaan avaimen salauksen purkamiseksi . Pakkohyökkäysten vastustuskyky varmistetaan sillä, että ainakin yksi lähetetyistä viesteistä ei ole salainen ja hyökkääjälle on annettu avain, jolla kryptogrammin salauksen purku johtaa tämän viestin paljastamiseen. Samalla salauksen purku suoritetaan siten, että hyökkääjällä ei ole järkeviä perusteita uskoa, että kryptogrammiin on liitetty joitain muita viestejä. Epäselvä salaus mahdollistaa salatun viestin lukemisen useilla mielekkäillä tavoilla käytetystä avaimesta riippuen . Toisin sanoen se antaa käyttäjälle mahdollisuuden piilottaa salainen viesti, vaikka hänen on pakko paljastaa jokin avaimista. [3]

Kiellettävien salausalgoritmien olennainen vaatimus on varmistaa kryptogrammibittien yhtäläinen todennäköisyys puretun tekstin bitteihin, mikä koostuu siitä, että kryptogrammin minkä tahansa bitin muutoksen tulee johtaa minkä tahansa salatun bitin kääntämiseen. tekstiä, jonka todennäköisyys on riittävän lähellä 0,5. [yksi]

Skenaario

Mahdollinen skenaario näyttää tältä:

Alice on Bobin vaimo, joka epäilee häntä petoksesta. Hän haluaa välittää viestin salaiselle rakastajalleen Carlille. Hän rakentaa 2 avainta: toisen pitää salassa ja toisen, joka voidaan uhrata kriittisessä tilanteessa. Sitten hän antaa oikean avaimen (tai ehkä molemmat) Carlille.
Tämän jälkeen hän kirjoittaa Carlille vaarattoman viestin M1 etanoiden elämästä - tämä viesti voidaan näyttää Bobille, jos hän löytää heidän kirjeenvaihtonsa, sekä kirjeen M2 Carlille, täynnä kuumia tunteita. Sitten hän yhdistää nämä kaksi viestiä ja lähettää tuloksena saadun salakirjoituksen Carlille.
Carl purkaa hänelle annettujen avainten avulla alkuperäisen viestin M2 ja valinnaisesti M1.
Bob löytää viestin, jonka Alice lähetti Carlille. Kateuskohtauksessa hän pakottaa Alicen tulkitsemaan kirjeen.
Alice palauttaa M1- selkotekstin uhrautuvan avaimen avulla. Niinpä Bobin käsiin putoaa tylsä teksti etanoista, ja koska toisen avaimen olemassaolo pidetään salassa, hän uskoo, ettei viestillä ollut mitään epäilyttävää merkitystä.

Alice voi myös lähettää saman kryptogrammin sekä Bobille että Carlille. Samaan aikaan Bob, purettuaan viestin salauksen avaimellaan, saa selville, että Karl haluaa kirjoittaa hänestä irtisanomisen . Kirje kertoo Carlille, että Bob yrittää varastaa hänen rahansa. Alice yrittää riita heidän välillään ei paljasteta ennen kuin Bob ja Carl saavat selville, että heillä on erilaiset avaimet. [yksi]

Toteutus

Toteutusalgoritmit

Esimerkki 1

Kiellettävä salaus toteutetaan [ 3 ] käyttämällä salaista avainta aliavainjoukon ja kahden alkuluvun muodossa . ${\displaystyle K_{1},K_{2},K_{3},K_{4))$ $p_{1}$ $p_{2}$ $M(p_{1}>M)$ ${\overline {M}}(p_{2}>{\overline {M}})$ $C_{1}$ $C_{1}=M^{K_{1}}K_{2}mod{p_{1}}$ $C_{2}$ $C_{2}={\overline {M}}^{K_{3}}K_{4}mod{p_{2}}$

$\left\{{\begin{matrix}C=C_{1}mod{p_{1}}\\C=C_{2}mod{p_{2}}\end{matrix}}\right.$

jonka kirjoitamme muotoon

$\left\{{\begin{matrix}C=M^{K_{1}}K_{2}mod{p_{1}}\\C={\overline {M}}^{K_{3 }}K_{4}mod{p_{2}}\end{matrix}}\right.$

Kiinan jäännöslauseen mukaisesti ratkaisu lasketaan seuraavalla kaavalla:

$C=\left[M^{K_{1}}K_{2}p_{2}(p_{2}^{-1}mod{p_{1)))+{\overline {M}} ^{K_{3}}K_{4}p_{1}(p_{1}^{-1}mod{p_{2}})\right]mod{p_{1}p_{2}}$

Olkoon viesti tarkoitettu julkistettavaksi pakottavan hyökkäyksen aikana . Sitten hyökkääjälle esitetään arvotripletti salausavaimena . Salauksen purku suoritetaan kaavan mukaan ${\overline {M))$ ${\displaystyle K_{3},K_{4},p_{2))$

${\overline {M}}=(CK_{4}^{-1})^{K_{3}^{-1}}mod{p_{2}}$ .

Viimeisessä kaavassa aliavaimien ja käänteisarvot lasketaan modulo ja vastaavasti. Salaisen viestin M salaus puretaan käyttämällä samaa kaavaa, mutta käyttämällä avainta, joka on kolminkertainen arvo : $K_{3}$ $K_{4}$ $p_{2}-1$ $p_{2}$ ${\displaystyle K_{1},K_{2},p_{1))$

$M=(CK_{2}^{-1})^{K_{1}^{-1}}mod{p_{1}}$

Esimerkki 2

Salausavain on joukko aliavaimia ja kaksi alkulukua ja . Kaksi viestiä salataan ja generoimalla satunnaislukuja ja laskemalla arvo kaavalla , laskemalla arvo kaavalla ja luomalla kryptogrammi , joka on ratkaisu kolme vertailua sisältävästä vertailujärjestelmästä ${\displaystyle K_{1},K_{2},K_{3},K_{4))$ $p_{1}$ $p_{2}$ $M(p_{1}>M)$ ${\overline {M}}(p_{2}>{\overline {M}})$ $D$ $p_{3}$ $C_{1}$ $C_{1}=M^{K_{1}}K_{2}mod{p_{1}}$ $C_{2}$ $C_{2}={\overline {M}}^{K_{3}}K_{4}\mod {p_{2}}$ $C$

$C\equiv C_{1}mod{p_{1)),C\equiv C_{2}mod{p_{2)),C\equiv Dmod{p_{3))$ .

Tämä järjestelmä voidaan kirjoittaa muodossa

$\left\{{\begin{matrix}C\equiv M^{K_{1}}K_{2}mod{p_{1}}\\C\equiv {\overline {M}}^{K_ {3}}K_{4}mod{p_{2}}\\C\equiv Dmod{p_{3}}\end{matrix}}\right.$
Kiinan jäännöslauseen mukaisesti tämän vertailujärjestelmän ratkaisu lasketaan kaavalla:

$C=\left[M^{K_{1}}K_{2}p_{2}p_{3}((p_{2}p_{3})^{-1}mod{p_{1} })+{\overline {M}}^{K_{3}}K_{4}p_{1}p_{3}((p_{1}p_{3})^{-1}mod{p_{2 }})+Dp_{1}p_{2}((p_{1}p_{2})^{-1}mod{p_{3}})\right]mod{p_{1}p_{2}p_ {3}}$

Pakottavassa hyökkäyksessä hyökkääjälle esitetään kolminkertainen arvo salausavaimena , jonka mukaan salauksen purku suoritetaan kaavan mukaan: ${\displaystyle K_{3},K_{4},p_{2))$

${\overline {M}}=(CK_{4}^{-1})^{K_{3}^{-1}}mod{p_{2}}$ .

Discovery

On selvää, että kryptogrammin koko ei voi olla pienempi kuin yhteen salattujen viestien kokojen summa, joten merkkinä muiden viestien olemassaolosta kryptogrammissa on merkkejä kryptogrammin ja salatekstin välisestä erosta. kattamattoman viestin probabilistinen salaus, jossa salatekstin koko on paljon suurempi kuin alkuperäisen viestin koko, otetaan huomioon. Toisin sanoen hyökätty kryptogrammi olisi voitu saada käyttämällä todennäköisyyspohjaista salausta esitetyllä avaimella. Tämän vuoksi hyökkääjällä ei ole mitään syytä vaatia muuta avainta kryptogrammin salauksen purkamiseen. [3]

Hyökkääjille voidaan esittää seuraavat perustelut lisäviestien läsnäolon puolesta kryptogrammissa:

Salauksen epätäydellinen käyttö salauksenpurkuprosessissa;
Haarojen läsnäolo salauksenpurkumenettelyssä avaimella ohjattuna;
Merkkejä kryptogrammibittien lajittelusta salauksenpurkumenettelyssä;
Salauksen purkuprosessin yhtenäisyyden rikkominen salaisen avaimen kaikkien mahdollisten arvojen osalta;
Salauskoodibittien epätasainen vaikutus salatun tekstin bitteihin.

Salauskuvan koko voi olla suurempi kuin alkuperäisen tekstin koko. Samaan aikaan hyökkääjälle kerrotaan, että kryptogrammin luomiseen käytettiin todennäköisyyspohjaista salausmenetelmää. Salatekstin koon kasvu on tyypillistä tämän tyyppisille salakirjoille.

Nykyaikaiset menetelmät moniselitteiseen salaukseen

Nykyaikaiset moniselitteisen salauksen menetelmät käyttävät hyväkseen lohkosalausten näennäissatunnaisia permutaatioominaisuuksia , mikä tekee vaikeaksi todistaa, että data ei ole vain järjetön bittijoukko, jonka on luonut vahva pseudosatunnaissekvenssigeneraattori . Tätä tekniikkaa täydennetään paljastamalla hyökkääjälle harhaanjohtavia tietoja, jotka ovat samanlaisia kuin mitä käyttäjä yrittäisi piilottaa. Tällaista moniselitteistä salausta kutsutaan joskus steganografiseksi salaukseksi.

Esimerkkinä ovat kryptografiset tiedostojärjestelmät, jotka käyttävät abstraktia "kerrosmallia", jolloin jokainen peräkkäinen kerros vaatii eri salauksenpurkuavaimen. Lisäksi on olemassa niin sanottuja akanatasoja, jotka on täytetty satunnaisella tiedolla estämään todellisten tasojen ja niiden avainten olemassaolon havaitsemista. Käyttäjä voi tallentaa harhaanjohtavaa tietoa useille tasoille väittäen, että loput tilasta käytetään akanoiden tasoina. Fyysisesti tiedot sijaitsevat useimmiten yhdessä hakemistossa, jaettuna samanpituisiin tiedostoihin, joiden nimet valitaan joko satunnaisesti (akanatason tapauksessa) tai edustavat lohkotunnisteita käsittelevän kryptografisen hajautusfunktion tulosta . Näiden tiedostojen aikaparametrit valitaan satunnaisesti. Esimerkkejä tällaisista järjestelmistä ovat Rubberhose ja PhoneBookFS .

Toinen perinteisten mediasuojauspakettien käyttämä lähestymistapa on luoda uusi suojattu taltio päälevyn sisään. Prosessi alkaa formatoimalla, täyttämällä pääsäiliö tietosekalla ja alustamalla sitten tiedostojärjestelmä. Sen jälkeen osa tiedostojärjestelmästä on täytetty salaisella, salaisella tiedolla. Sitten jonnekin jäljellä olevaan tilaan luodaan uusi piilotettu taltio , jota käytetään tiedoille, jotka käyttäjä todella haluaa piilottaa. Koska vastustaja ei voi erottaa salattua tietoa satunnaisista paikkamerkkitiedoista, se ei pysty havaitsemaan tätä piilotettua asemaa levyllä. Epäilyksiä voi kuitenkin herättää se, että luokittelemattomien tietojen sisältö ei ole muuttunut luomishetkestä lähtien, erityisesti tiedostojen muokkausajankohta - tämä tehdään käyttäjätietojen vahingoittumisen estämiseksi. Ratkaisu tähän ongelmaan on käskeä järjestelmää muuttamaan tynkien sisältöä. On kuitenkin syytä huomata, että tämä toiminto liittyy levylle tallennettujen tietojen vahingoittumisriskiin. Ohjelmat, kuten FreeOTFE ja BestCrypt , antavat sinun luoda useita piilotettuja osioita yhdelle levylle, kun taas TrueCrypt on rajoitettu yhteen.

Piilotetun taltion olemassaolo voidaan havaita virheellisistä toteutuksista, jotka riippuvat ennustettavissa olevista salausarvoista [4] [5] , tai jollakin laillisella työkalulla, joka pystyy havaitsemaan ei-satunnaisia salattuja tietoja. [6] [7] On myös ehdotettu, että näennäissatunnaisten sekvenssien testaamisessa khin neliötestillä (Pearsonin testi) on haavoittuvuus: jokaisen muutoksen jälkeen salattua dataa on muutettava siten, että sen jakauma vastaa uskottavasti satunnainen jakautuminen. [kahdeksan]

Kiellettyä salausta on myös kritisoitu siitä, ettei se ole pystynyt suojaamaan käyttäjiä kiristysohjelmilta. Jo se tosiasia, että hallussa on työkaluja, jotka toteuttavat kiellettävän salauksen menetelmiä, voi pakottaa hyökkääjän jatkamaan tietojen hakkerointia, vaikka käyttäjä olisi antanut hänelle salasanan, joka mahdollistaa pääsyn joihinkin vääriin tietoihin. [9]

Tietenkin lohkosalausten tai numerogeneraattorin riittämätön kryptografinen vahvuus voi vaarantaa tällaisen tiedostojärjestelmän turvallisuuden. Jotta vältytään epäilyiltä generaattorin riittävästä kryptografisesta vahvuudesta, on mahdollista salata näennäissatunnainen data eri avaimella kuin päädata, mikä johtaa tallennetun tiedon ja tyhjän tilan erottamattomuuteen, koska se on mahdotonta erottaa salattua tietoa muista salatuista tiedoista. Ja lopuksi, on syytä huomata, että salaustilojen virheellinen käyttö voi tehdä järjestelmän haavoittuvaksi esimerkiksi vesileimahyökkäyksille . [kymmenen]

Säiliöt ilman allekirjoituksia

Jotkin kryptografiset tuotteet (kuten TrueCrypt ) antavat sinun luoda salattuja säilöjä ilman allekirjoituksia. Tällaista säilöä ei yleensä voida yhdistää tiettyyn salausohjelmaan (koska kontin sisältö näyttää jatkuvalta satunnaiselta datasarjalta).

Ohjelmat, kuten tiedosto , eivät pysty havaitsemaan säiliöitä, joissa ei ole allekirjoituksia . Toisaalta allekirjoitusten puuttuminen ja korkea dataentropia on jo merkki salatusta tiedosta.

Piilotetut kontit

Joidenkin tuotteiden avulla voit luoda säilöjä jo olemassa olevaan kiinteään satunnaiseen tietosarjaan. Esimerkiksi TrueCrypt voi luoda säilön toisen säilön tiedostojärjestelmän vapaaseen tilaan (mikä tahansa TrueCrypt-säilön tiedostojärjestelmän vapaa tila täytetään aluksi satunnaisilla tiedoilla).

Piilotetut säiliöt voidaan joissain tapauksissa havaita sammutusjärjestelmän analyysivaiheessa, esimerkiksi:

Jos piilotetun säilön sisällöstä vuotaa tietoja salaamattomiin tiedostojärjestelmiin:
- Vuotoja sivutustiedostossa, lepotilatiedostossa ja muistivedosten (crash dump);
- Muut vuodot (esim. MRU:n luetteloihin);
Jos salausavaimia tai salasanoja vuotaa sivutustiedostoon, lepotilatiedostoon ja muistivedoksiin;
Jos ulkoisesta säiliöstä on täydellinen tai osittainen kopio (useita kopioita) avaimella / salasanalla;
Jos käytetään heikkoja avaimia/salasanoja piilotetussa säiliössä.

Joustava salaus [1]

Jotkut järjestelmät, jotka salaavat viestejä lennossa, kuten OTRM , tarjoavat joustavan salauksen, jonka avulla keskustelukumppanit voivat kieltää osallistumisensa keskusteluun. Vaikka tämäntyyppinen salaus ei ole pohjimmiltaan moniselitteinen, eli se ei salli viestien salauksen purkamista kahdella tavalla, se riistää vastustajalta mahdollisuuden todistaa tietyn henkilön osallistuminen keskusteluun sekä tietojenvaihdon tosiasia.

Tämä saavutetaan lisäämällä salattuun viestiin sen väärentämiseen tarvittavat tiedot. Siten, jos vastustaja pystyy luomaan todellisen viestin tiettyyn keskusteluun, hän pystyy automaattisesti väärentämään viestejä, jotka yhdessä täydellisen välityssalaisuuden kanssa takaavat keskustelun turvallisuuden, vaikka yksittäisten viestien avaimet olisivat paljastamisen vaarassa .

Ohjelmisto

OpenPuff , ilmainen salausohjelmisto Windows-käyttöjärjestelmälle.
BestCrypt , kaupallinen nopean levyn salaussovellus Windowsille .
FreeOTFE , ilmainen nopean levyn salausohjelmisto Windowsille ja Pocket PC :lle , joka tarjoaa moniselitteisen salaustoiminnon sekä kieltäytymisen [11] . Siinä on erinomaiset toiminnot, eikä se vaadi asennusta.
Off-the-Record Messaging , salausprotokolla pikaviestiverkkojen kieltämiseen
StegFS Arkistoitu 7. elokuuta 2011 Wayback Machinessa , vikaturvallisessa salaustiedostojärjestelmässä Linuxille , nyt vanhentuneen PhoneBookFS- ja kumiletkuprojektien seuraaja
TrueCrypt , sovellus Windowsille, MAC OS :lle ja Linuxille, jolla on kyky salata levyjä lennossa, rajoitettu kyky moniselitteiseen salaukseen [12] ja esto [13] (ottaen huomioon rajoitetun määrän piilotettuja osioita yhdellä taltiolla) . Se ei myöskään vaadi asennusta.
Vanish - itsetuhoavan tallennusvälineen prototyyppi .
ScramDisk 4 Linux on ilmainen ohjelmistopaketti GNU/Linuxille, joka voi toimia truecrypt- ja scramdisk -säilöjen kanssa .

Katso myös

Muistiinpanot

↑ 1 2 3 4 Cannetti R., Dwork C., Naor M. Deniable Encryption. — Kryptologian edistyminen. - CRYPTO, 1997. - S. 90-104.
↑ Rubberhose kryptografisesti kiellettävä läpinäkyvä levyn salausjärjestelmä Arkistoitu 2. syyskuuta 2006.
↑ 1 2 3 A.R. Birichevsky, N.A. Moldavyan. Kiellettävän salauksen menetelmä (venäjäksi) : päiväkirja. - 2013. - Nro 101(2) . - S. 18-21 . — ISSN 2703-2600 .
↑ Adal Chiriliuc. BestCrypt IV sukupolven virhe (uuspr.) . - 2003 - 23. lokakuuta. Arkistoitu alkuperäisestä 21. heinäkuuta 2006.
↑ Salatut kiintolevyt eivät välttämättä ole turvallisia: Tutkijat havaitsevat, että salaus ei ole kaikki mitä se väittää olevansa. (linkki ei saatavilla) . Haettu 14. huhtikuuta 2013. Arkistoitu alkuperäisestä 30. maaliskuuta 2013. (määrätön)
↑ TrueCrypt on nyt havaittavissa . Haettu 14. huhtikuuta 2013. Arkistoitu alkuperäisestä 8. maaliskuuta 2012. (määrätön)
↑ TCHunt, etsi TrueCrypt-levyjä . Haettu 14. huhtikuuta 2013. Arkistoitu alkuperäisestä 3. huhtikuuta 2013. (määrätön)
↑ MultiObfuscator - Manual: Arkkitehtuuri ja chi-neliön itsepuolustus . Haettu 14. huhtikuuta 2013. Arkistoitu alkuperäisestä 15. toukokuuta 2012. (määrätön)
↑ Julian Assange: Fyysinen pakko . Haettu 14. huhtikuuta 2013. Arkistoitu alkuperäisestä 23. heinäkuuta 2013. (määrätön)
↑ Adal Chiriliuc. BestCrypt IV sukupolven virhe (uuspr.) . - 2003 - 23. lokakuuta. Arkistoitu alkuperäisestä 21. heinäkuuta 2006.
↑ Uskottava kieltäminen . Käyttöpäivä: 27. elokuuta 2011. Arkistoitu alkuperäisestä 24. tammikuuta 2013. (määrätön)
↑ TrueCrypt - Ilmainen avoimen lähdekoodin on-The-Fly Disk Encryption -ohjelmisto Windows Vista/XP-, Mac OS X- ja Linux -käyttöjärjestelmille - Hidden Volume . Haettu 27. elokuuta 2011. Arkistoitu alkuperäisestä 15. lokakuuta 2013. (määrätön)
↑ TrueCrypt - Ilmainen avoimen lähdekoodin levysalausohjelmisto - Dokumentaatio - Uskottava kieltäminen . Haettu 27. elokuuta 2011. Arkistoitu alkuperäisestä 16. huhtikuuta 2013. (määrätön)

Kirjallisuus

Czeskis, A.; St. Hilaire, DJ; Koscher, K.; Gribble, SD; Kohno, T.; Schneier, B. Salattujen ja estettyjen tiedostojärjestelmien voittaminen: TrueCrypt v5.1a ja Tattling-käyttöjärjestelmän ja -sovellusten tapaus (englanniksi) : Journal. - Kolmas Usenix-työpaja turvallisuuden kuumista aiheista, 2008.
Canetti R., Dwork C. Naor M.; Kiellettävä salaus // Advances in Cryptology - CRYPTO 1997.
A. R. Birichevsky., N. A. Moldovyan Kiellettävän salauksen menetelmä (venäjä): lehti. - 2013. - nro 101(2). - S. 18-21.

Linkit

Denied Encryption Arkistoitu 26. helmikuuta 2010 Wayback Machinessa
http://web.cs.ucla.edu/~rafail/PUBLIC/29.pdf Arkistoitu 15. syyskuuta 2015 Wayback Machinessa