Криптография — Страница 11

30 июля, 201330 июля, 2014

Хакинг чипов Mifare

МАЛЕНЬКИЕ СЕКРЕТЫ БОЛЬШИХ ТЕХНОЛОГИЙ

(январь 2008)

Новая система проездных чип-карт, вводимая ныне в Голландии для универсальной оплаты проезда в общественном транспорте от автобусов и трамваев до железной дороги, оказалась намного менее защищенной, чем ожидалось.

На создание технологически продвинутой системы была затрачена внушительная сумма в 2 миллиарда евро, ощутимая даже для совсем небедных Нидерландов, однако уже три, по крайней мере, независимых исследования продемонстрировали очевидную небезопасность конечного продукта.

В целом новая система транспортных билетов, получившая название OV-chipkaart, построена на основе бесконтактных смарт-карт с RFID-чипом. Пассажир может купить или разовую картонную карточку на 1-2 поездки, или постоянную пластиковую карту для регулярной езды.

Для оплаты проезда карточку прикладывают к окошку-ридеру турникета как при входе, так и при выходе из транспорта, поскольку ридер проводит не только аутентификацию карты, но и снимает из памяти чипа разные суммы за разные поездки.

Разовая картонная и постоянная пластиковая карты построены на основе существенно разных технологий. Чип дешевой разовой карты, именуемой Mifare Ultralight, совсем прост по устройству и не имеет никакой криптографии вообще.

В постоянной пластиковой карте, или Mifare Classic, реализована существенно более серьезная защита информации. Но на деле, увы, куда менее безопасная, чем можно было бы ожидать при нынешнем уровне индустрии. Читать «Хакинг чипов Mifare» далее

27 июля, 201327 июля, 2013

Неслучайные случайности

(ноябрь 2007)

Одно из главных светил открытой криптографии, израильский профессор Ади Шамир (Adi Shamir, более всего знаменитый как «S» в криптосхеме RSA), опубликовал работу без преувеличения взрывного характера (Microprocessor Bugs Can Be Security Disasters).

Суть исследования сводится к тому, сколь гигантскую роль в стойкости компьютерных систем безопасности играет надежное выявление ошибок программирования, ибо даже мельчайший и почти незаметный баг может иметь роковые последствия.

Вместе с ростом строк кода в программах, усложняющейся оптимизацией операций и нарастающей длиной слова в процессорах, становится все более вероятным появление невыявленных ошибок в конечных продуктах, запускаемых в массовое производство.

Примером тому может служить случайное открытие в середине 1990-х – глубоко спрятавшийся «баг деления» в процессорах Pentium. Или совсем недавно обнаруженная ошибка умножения в программе Microsoft Excel.

В новой же статье Шамира показано, что если какая-нибудь спецслужба обнаружит (или тайно встроит) хотя бы лишь одну пару таких целых чисел, произведение которых в каком-нибудь популярном микропроцессоре вычисляется некорректно (даже в единственном бите низкого разряда), то последствия этой ошибки будут сокрушительными с точки зрения криптографии и защиты информации в компьютере.

Потому что тогда ЛЮБОЙ ключ в ЛЮБОЙ криптопрограмме на основе RSA, работающей на ЛЮБОМ из миллионов компьютеров с этим процессором, может быть тривиально взломан с помощью единственного сообщения специально подобранного вида. Читать «Неслучайные случайности» далее

23 июля, 201323 июля, 2013

Подбит на взлете

(январь 2010)

Ученые-криптографы из Израиля взломали шифр A5/3, также известный как KASUMI. Этот криптоалгоритм скоро может стать одним из самых распространенных на планете, поскольку является новым стандартом шифрования в сетях GSM.

Группа известных израильских криптографов (Orr Dunkelman, Nathan Keller, Adi Shamir) опубликовала в Сети препринт исследовательской статьи, демонстрирующей, что ими взломан шифр KASUMI. Этот важный криптоалгоритм также известен под названием A5/3, поскольку является официальным стандартом шифрования для сетей мобильной связи третьего поколения.

Согласно давно заведенной традиции, все криптоалгоритмы для шифрования коммуникаций в сетях сотовой связи GSM принято объединять единым «семейным» названием A5. Первые представители этого семейства были разработаны в конце 1980-х годов в условиях строгой секретности: более сильный алгоритм A5/1 для стран Западной Европы и шифр послабее A5/2 — как экспортный вариант для прочих рынков.

Конструкция шифров сохранялась в тайне до 1999 года, когда энтузиастами была инициативно проведена их обратная инженерная разработка по имеющимся на рынке телефонам.

Как только восстановленные криптосхемы были опубликованы и проанализированы независимыми специалистами, стало очевидно, что алгоритм A5/2 реально не предоставлял практически никакой защиты, а A5/1 вполне поддавался вскрытию разными методами и за приемлемое на практике время. Читать «Подбит на взлете» далее

23 июня, 201323 июля, 2013

GSM: Что показало вскрытие

Глава из книги «Гигабайты власти» (2004), скомпилированная на основе нескольких публикаций периода 1999-2003

Весной 2001 года на страницах респектабельных американских журналов New Yorker и New York Times Magazine стала появляться большая, размером во всю полосу реклама, отличавшаяся весьма необычным для столь коммерческого жанра содержанием. Над крупной фотографией сотового телефона была помещена надпись:

«Теперь оборудован для 3 сторон: вы; те кому вы звоните; правительство».

Это заявление — ни в коей мере не преувеличение, говорилось в дальнейшем тексте рекламы, поскольку оборотной стороной стремительного развития компьютерных коммуникаций стала для людей повышенная уязвимость их частной жизни. От звонков по сотовому телефону до электронной почты в Интернете — всюду право граждан на тайну личной информации находится ныне под угрозой.

В этом, собственно, и состоял основной посыл рекламного объявления, опубликованного Американским союзом гражданских свобод (American Civil Liberties Union, ACLU) в нескольких ведущих национальных изданиях США. Активисты ACLU убеждены и доказывают, опираясь на факты, что правительственные спецслужбы постоянно нарушают конституцию, защищающую граждан от несанкционированной правительственной слежки.

Правда, после 11 сентября 2001 разведывательные и правоохранительные органы получили массу дополнительных санкций на усиление электронной слежки, а вести разговоры о чрезмерном вторжении государства в тайну личной жизни стало как бы несвоевременно и «антипатриотично».

А потому после 2001 года в Интернете заметно сократился объем новой содержательной информации о серьезных и явно искусственно созданных слабостях в защите коммуникационных компьютерных программ или, к примеру, в популярнейшей системе сотовой телефонии GSM.

Про защиту GSM, впрочем, практически все наиболее существенное стало уже известно уже к 2000 году – несмотря на многолетние попытки окружить подробности схемы завесой секретности.

Либо ложь, либо некомпетентность

Для начала — две цитаты. Две диаметрально противоположные точки зрения, которые сразу же дадут читателю представление об остроте проблемы.

Вот что говорил в конце 1999 Джеймс Моран, директор подразделения, отвечающего в консорциуме GSM за безопасность и защиту системы от мошенничества:

«Никто в мире не продемонстрировал возможность перехвата звонков в сети GSM. Это факт… Насколько нам известно, не существует никакой аппаратуры, способной осуществлять такой перехват». [1]

А вот реакция Питера Гутмана, весьма известного хакера-криптографа из Оклендского университета (Новая Зеландия):

«Имея ситуацию, когда целый ряд компаний продает оборудование для перехвата GSM (причем делается это уже в течение определенного времени и с весьма открытой рекламой в Сети), этот директор по безопасности «либо лжет, либо некомпетентен, либо и то, и другое разом» (цитируя строку из книги Deep Crack). Интересно то, что сейчас все рекламирующие данное оборудование фирмы устроили ограниченный доступ на свои сайты, по-видимому, для поддержания мифа о том, что «не существует аппаратуры, способной осуществлять такой перехват»». [2]

Всю вторую половину 1990-х годов в Интернете и СМИ не раз вспыхивали дискуссии как вокруг самой защиты системы мобильной связи GSM, так и вокруг многочисленных случаев ее компрометации. Читать «GSM: Что показало вскрытие» далее

12 июня, 201330 июля, 2014

Ясно, что небезопасно

(Впервые опубликовано – март 2008)

Подробности о взломе секретной криптосхемы RFID-чипов Mifare.

В первых числах марта (2008) коллективом студентов и сотрудников исследовательской группы «Цифровая безопасность» в голландском университете Radboud, г. Неймеген, была выявлена серьезнейшая уязвимость в бесконтактных смарт-картах широко распространенного типа (см. И грянул гром).

Подобные устройства, иногда называемые проксимити-картами, построены на основе RFID-чипов, то есть микросхем радиочастотной идентификации.

На сегодняшний день пластиковые и картонные карточки с запрессованным в них RFID массово используются по всему миру в таких качествах, как пропуска для автоматизированного контроля доступа на охраняемые объекты, карты оплаты проезда в транспорте, цифровые кошельки для мелких покупок, дисконтные карты в сетях торговли и куча других самых разных приложений.

Голландцами же была взломана система защиты в чипах типа Mifare Classic, изготовляемых компанией NXP, в прошлом – полупроводниковым подразделением корпорации-гиганта Philips.

Разных типов чипы Mifare на нынешнем рынке бесконтактных карт занимают абсолютно доминирующее положение, причем на Mifare Classic, имеющие оптимальное соотношение цена / безопасность, приходится доля порядка 90%. В более же конкретных цифрах, общемировое число продаж этих карт в разных источниках оценивается количествами от 1 до 2 миллиардов штук.

В современной жизни Голландии карты Mifare Classic занимают вообще особое место, поскольку на их основе реализован гранд-проект OV-chipkaart – разворачиваемая ныне общенациональная система единой оплаты проезда в общественном транспорте от метро и автобусов до железных дорог.

Похожая ситуация характерна для многих мегаполисов планеты вроде Лондона, Гонконга или Милана. В Москве, в частности, карточки Mifare Classic – это не только проездные в метро, но еще и «социальная карта москвича», перезаряжаемые карточки студентов и школьников, проездные для электричек и так далее.

Еще более важно, возможно, то, что чипы Mifare Classic очень широко используются и в Голландии, и по всему миру в картах пропусков для прохода в здания корпораций и правительственных учреждений.

Все это означает, естественно, что слабости в защите подобной системы будут иметь весьма широкие и серьезные последствия. Если такую карту несложно клонировать, то в принципе становится, к примеру, возможен доступ на охраняемые объекты под видом чужой, украденной у кого-то личности. Читать «Ясно, что небезопасно» далее

10 июня, 20138 июля, 2015

Монументальное искусство криптографии

(Впервые опубликовано – декабрь 2006)

Неординарные произведения скульптора Джима Сэнборна, сумевшего изваять в них историю тайнописи и суть работы спецслужб.

Во внутреннем дворе большого комплекса зданий, образующих штаб-квартиру американского ЦРУ в Лэнгли, есть тихий живописный уголок с водоемом и возвышающимся над ним монументом весьма необычного вида. Отлитый из меди многотонный «бумажный свиток» испещрен рядами сотен и сотен букв, но как их ни читай, буквы эти так и не удастся сложить в осмысленные слова.

Ибо криптограмма, т.е. послание с тайным зашифрованным смыслом, — это сама суть произведения, созданного вашингтонским скульптором Джеймсом Сэнборном и получившего от него соответствующее имя Kryptos или «Сокрытое» в переводе с греческого.

Монумент Kryptos был установлен в Лэнгли осенью 1990 года и за прошедшее с той поры время успел стать одной из самых знаменитых в мире криптограмм — ибо по сию пору расшифровать тайное послание полностью и постичь заложенный в нем смысл никому еще так и не удалось. Читать «Монументальное искусство криптографии» далее

8 июня, 201316 июля, 2013

Просто праздник какой-то

(Впервые опубликовано – декабрь 2004)

Источники, заслуживающие доверия, сообщают, что в институте психиатрии им. Сербского начата регистрация участников Конгресса дешифровщиков забытых письменностей. Прибывшим предоставляются медицинские услуги по выявлению первых признаков лунатизма, проводятся реабилитационные мероприятия, связанные с синдромом терроризма, предоставляется бесплатное питание и спецпомещения для подготовки выступлений на Конгрессе. Уже прибыли: 3 Эванса, 4 Вентриса, 5 Роулинсонов, 4 Шампольона и ряд других не менее известных специалистов-дешифровщиков. (Сетевой фольклор)

FESTIVUS [лат.] —праздничный, веселый

Знаменитый Фестский диск с острова Крит вполне заслуженно и по праву может называться праздником для всех дешифровщиков забытых письменностей. Потому что шансы на тотальный успех здесь есть буквально у каждого.

Существенная разница лишь в том, кто и как этот тотальный успех понимает.

Специалисты-ученые, скажем, обычно знают, что из элементарных законов комбинаторики и математической лингвистики неизбежно следует вывод о невозможности однозначной корректной дешифровки коротких одиночных надписей, выполненных слоговым письмом. А потому профессиональные историки и лингвисты в первую очередь стараются отыскать максимально достоверные косвенные свидетельства в поддержку своего варианта расшифровки. Но пока, увы, подобных свидетельств, убедительных для всех или хотя бы для весомого научного большинства, найти так и не удалось.

Что же касается настырных любителей-дилетантов, то они, может, и слышали, что короткие надписи вроде Фестского диска допускают любую дешифровку на практически любом наперед заданном языке, но — как бы не верят. Иными словами, любители древних тайн относятся к своему хобби столь страстно, а найденный вариант прочтения лично им кажется столь убедительным, что никакие увещевания и доводы науки тут не срабатывают.

Поэтому одних только книг с абсолютно разными, никак не стыкующимися вариантами расшифровки надписей на диске изданы многие десятки. А уж веб-сайтов, посвященных новому и окончательному раскрытию этой загадки, в Сети можно найти если не тысячи, то сотни наверняка.

Наконец, для многих ученых и просто исследователей-энтузиастов Фестский диск стал своего рода интеллектуальной забавой. Суть развлечения сводится к тому, что спиральные цепочки пиктограмм на поверхности древней реликвии переводят — грамматически вполне корректно — на самые невообразимые языки: от современного русского или китайского до эсперанто. При желании там можно найти базовые теоремы евклидовой геометрии или древний астрономический календарь. А можно и небольшую программку для компьютера — если очень захотеть.

Но имеются, конечно, и абсолютно серьезные попытки дешифровки, обоснованные вполне достоверными фактами из древней истории средиземноморского региона. Чтобы суть этих результатов внятно здесь представить, необходимо хотя бы вкратце описать, что представляет собой Фестский диск. Читать «Просто праздник какой-то» далее

6 июня, 20136 июня, 2013

Хитрости крипторемесла

(Впервые опубликовано – декабрь 2007)

В теории хорошо известно, как делать сильные шифры. Однако в жизни криптография обычно оказывается слабой. Как это происходит.

Что такое «уязвимость»

Группой израильских криптографов из университетов Иерусалима и Хайфы (Benny Pinkas, Zvi Gutterman, Leo Dorrendorf), недавно была вскрыта схема работы генератора псевдослучайных чисел, используемого Microsoft во всех криптоприложениях операционной системы Windows 2000 [eprint.iacr.org/2007/419].

Знание работы этого алгоритма позволило исследователям проанализировать общую стойкость подсистемы защиты и выявить в ней серьезнейшую уязвимость.

В частности, было показано, что из-за слабой схемы генератора злоумышленники могут без проблем, всего по одному внутреннему состоянию алгоритма, предсказывать большое количество криптоключей, вырабатываемых в ОС. Причем не только ключей для будущих потребностей, но и уже сгенерированных в прошлом.

Система Windows 2000 по сию пору используется многими компаниями и организациями, оставаясь, согласно общим оценкам, второй по популярности ОС Microsoft после XP. Но когда разнеслась весть о слабостях в PRNG (от pseudo-random number generator), то всех, естественно, взволновал вопрос об уязвимости крипто в более новых системах, XP и Vista. А именно, можно ли и их атаковать аналогичным образом?

Первая реакция Microsoft на подобные вопросы была довольно уклончивой и сводилась к заверениям публики в том, что последние версии Windows «содержат разнообразные изменения и доработки в схеме генератора случайных чисел».

Но коль скоро уже вскрытую схему выявить в системе гораздо легче, чем неизвестную, в Microsoft все же решились сказать правду и чуть позже признали, что Windows XP тоже уязвима для атаки, описанной в работе Пинкаса, Гуттермана и Доррендорфа.

Что же касается систем Windows Vista, Windows Server 2003 SP2 и планируемой к скорому выпуску Windows Server 2008, то там, по свидетельству Microsoft, схема генерации псевдослучайных чисел работает иначе и поэтому обладает иммунитетом к подобному методу взлома.

Попутно тут же была предпринята попытка интерпретировать работу израильтян не как выявление серьезной и реальной угрозы для безопасности XP (о старой Win2000 речи вообще не идет), а как сугубо «теоретическую атаку». Ибо, по официальному мнению Microsoft, выявленный «баг» не отвечает определению «уязвимость», поскольку для эксплуатации слабостей в PRNG злоумышленник должен обладать правами администратора.

Или, цитируя дословно, «поскольку администраторы по определению имеют доступ ко всем файлам и ресурсам системы, это [восстановление внутреннего состояния PRNG и вычисление ключей] не является недопустимым раскрытием информации».

То, что множество уже известных вредоносных программ, вроде всяких червей и троянцев, умеет повышать свои привилегии до уровня администратора, здесь, очевидно, считается не относящимся к делу.

Однако, дабы публика не слишком уж волновалась, Microsoft пообещала залатать-таки выявленную проблему в PRNG – где-нибудь в первой половине следующего года, вместе с выходом третьего сервис-пака, Windows XP SP3.

Иначе говоря, проблему хотят представить как нечто маловажное и не особо серьезное. Однако реальная проблема тут, строго говоря, заключается в ином.

Дело в том, что базовые принципы, на основе которых должен работать криптографически качественный PRNG, прекрасно известны. Грамотному разработчику, можно сказать, проще выбрать известный хороший криптоалгоритм, нежели разрабатывать собственный плохой.

Однако в программных продуктах Microsoft криптография всегда оказывается существенно слабее, чем могла бы быть. И вовсе не секрет, почему так происходит. Увидеть это совсем несложно, если взглянуть на историю вопроса в ретроспективе. Читать «Хитрости крипторемесла» далее

26 мая, 201329 мая, 2013

Ключи, замки, отмычки

(Впервые опубликовано – ноябрь 2007)

Подавляющее большинство современных автомобилей уже при сборке на заводе принято оснащать электронными средствами защиты от угона. Если же такой системы в машине почему-то нет, то на рынке имеется немало устройств, которые обеспечат стандартный или продвинутый уровень охраны за дополнительные деньги.

Но сколь бы разнообразными ни казались марки автомобилей и защищающих их электронных систем безопасности, в основе своей практически все схемы защиты сводятся к двум базовым технологиям ― KeeLoq фирмы Microchip и DST от Texas Instruments.

Поэтому анализ стойкости лишь двух этих систем дает вполне объективное представление о реальной надежности нынешних противоугонных средств на основе микрокомпьютера и беспроводной связи.

КлючеЗамок: теория

Технология KeeLoq (близкий по смыслу перевод этой лингвоконструкции использован в подзаголовке) на сегодняшний день представляет собой наиболее распространенное в индустрии решение для бытовых систем охраны, связанных с дистанционным открыванием / закрыванием дверей (в гаражах, к примеру), с радиосигнализацией и ― самое главное ― с противоугонными средствами защиты в автомобилях.

В своем материальном виде KeeLoq выглядит как набор недорогих микросхем, выпускаемых американской компанией Microchip Technology и реализующих очень популярную на сегодня технологию динамически изменяющегося кода доступа (rolling code или, эквивалентно, hopping code).

По свидетельству специалистов, именно эти микросхемы встраиваются ныне в охранную электронику автомобилей на конвейерах известнейших автопредприятий вроде Chrysler, Daewoo, Fiat, General Motors, Honda, Jaguar, Toyota, Volkswagen, Volvo и так далее. Кроме того, имеются свидетельства, что эти же микросхемы используют в своих противоугонных системах Clifford, Shurlok и прочие компании, специализирующиеся на технологиях безопасности.

В сущности, наборы микросхем Microchip универсально подходят для всяких спаренных устройств в системах защищенного доступа. Но поясняют основные принципы их работы, как правило, на типичном примере противоугонной системы автомобиля, где пара устройств, состоящая из кодера и декодера, знакома уже практически всем. Читать «Ключи, замки, отмычки» далее

5 мая, 201323 июля, 2013

Хакер, слесарь, экстрасенс

(Впервые опубликовано – август 2007)

Многогранные таланты ученого, раскрытые благодаря методам криптоанализа

Большой предвыборный конфуз в Калифорнии, где по заказу властей штата несколько сильных хакерских команд в краткий срок проанализировали применяемые ныне системы электронных машин для голосования и показали чудовищную слабость каждой из них – это само по себе важное и достойное подробного разбора событие.

Но, кроме того, это еще и подходящий повод рассказать про Мэтта Блэйза (Matt Blaze), криптографа и профессора информатики Пенсильванского университета, возглавлявшего самую многочисленную из хакерских групп тестирования в Калифорнии.

Неудобный специалист

Персональный веб-сайт Блэйза имеет эффектный адрес www.crypto.com, уже по названию которого можно предположить, что его обладатель, не будучи богатым человеком, занимает, вероятно, не последнее место в мире криптографии. Или, по крайней мере, прописался в WWW очень давно. Оба эти предположения, в общем-то, близки к истине. Читать «Хакер, слесарь, экстрасенс» далее