Архив рубрики: Тестирование

Ключевые слабости

(Февраль 2012)

Циники от криптографии всегда говорили: если в столь широко и повсеместно распространенной криптосистеме, как RSA, до сих пор не нашли дефектов, ослабляющих схему, – значит, просто плохо искали. Теперь вот поискали как следует – и действительно нашли…

В августе нынешнего (2012) года, как обычно, в калифорнийском городке Санта-Барбара пройдет международная криптографическая конференция CRYPTO 2012, дающая своего рода срез текущего состояния дел в этой области прикладной математики. И хотя до начала мероприятия остаются еще чистых полгода, уже сегодня можно с уверенностью сказать, какая из тем обсуждения будет среди самых горячих.

Прогнозировать это несложно, потому что одна из исследовательских работ (eprint.iacr.org/2012/064.pdf), намеченных для доклада на  CRYPTO, опубликована уже сейчас и сразу же вызвала заметный резонанс. Ибо то, что там исследователям – команде криптографов из Европы и США – удалось нарыть, для большинства специалистов от академической науки оказалось, выражаясь поделикатнее, сильной неожиданностью.

Как отреагировали на новость криптографы из секретных спецслужб, в СМИ, конечно же, не сообщают. Однако крайне маловероятно, что и там реакция была аналогичной.

Читать далее Ключевые слабости

Из хроники хайтек-паспортизации

Подборка кратких новостей за период 2004-2006 гг. — о хитростях и проколах в повсеместном внедрении новых удостоверений личности с чипами и биометрией.

passports-w-biometr

Все страньше и страньше

(Сентябрь 2004)

Эпопея с обязательным включением биометрической идентифицирующей информации в документы всех лиц, пересекающих границы США, получила новый, несколько неожиданный оборот. Госдепартамент США завершил в августе рассмотрение всех вариантов «биометрической» модификации новых американских загранпаспортов и принял решение в пользу наименее надежного из всех вариантов – опознания личности по лицу.

Читать далее Из хроники хайтек-паспортизации

Имито-не-стойкость

(Май 2011)

Подделка фотодокументов существует примерно столько же, сколько технология фотографии. Криптографическая наука позволяет эффективно отличать подлинник от подделки. Но, увы, пока только в теории.

moon_s

Когда по миру разнеслась весть об убийстве «главного террориста планеты», то очень скоро в интернете стала мелькать одна и та же фотография – окровавленный бен Ладен с огнестрельной дырой в голове. И хотя было известно, что власти США никаких фотоснимков мертвого Усамы не предъявляли, эта фотография появилась на главных страницах множества сетевых СМИ и известных газет-таблоидов, вроде Daily Mail, Times of London, Telegraph, Sun и Daily Mirror. Даже солидное новостное агентство Associated Press не удержалось и тоже опубликовало было этот снимок, однако очень скоро его удалило, так как не удалось подтвердить подлинность фотографии.

Что, собственно, и неудивительно, поскольку фотодокумент оказался стопроцентной подделкой и, как быстро выяснилось, гулял по интернету уже по меньшей мере года два. Насколько удалось установить, впервые это фото опубликовала ближневосточная онлайновая газета themedialine.org в последних числах апреля 2009 года. Редакция газеты, впрочем, тогда честно предупредила читателей, что не может гарантировать подлинность данного фотодокумента.

Ну а через некоторое время ушлые исследователи отыскали все концы и наглядно продемонстрировали, что «мертвый Усама» – это сконструированная с помощью фотошопа комбинация из двух фотографий разных людей: на одной (тогда еще) живой бен Ладен, а на другой труп неизвестного, действительно застреленного человека.

Практика подделки фотографических снимков существует, вероятно, примерно столько же лет, сколько и сама технология фотографии. Подобно тому, как художники всегда занимались приукрашиванием лиц, фигур или обстановки по запросам заказчиков картин, так и мастера фотографии довольно быстро начали осваивать техники манипуляций с фотоизображениями.

Сначала просто ретушь и процарапывание негативов. Затем полное удаление элементов изображения или добавление новых деталей с помощью фотомонтажа. Появление цифровой фотографии ничего принципиально нового здесь не привнесло, разве что очень существенно облегчилась работа по модификации снимков.

abbey_ro

Читать далее Имито-не-стойкость

Мусор науки, или Другая сторона криминалистики

(Ноябрь 2016)

Средства массовой информации, кино и ТВ-сериалы порождают у публики представления о могуществе так называемой «криминалистической науки». Но если копнуть эту область чуть поглубже, то выясняются странные вещи…

0-forensic

(1) Что происходит?

В сентябре 2016 года весьма солидный окологосударственный орган США, носящий название Президентский консультативный совет по науке и технике (или кратко PCAST), опубликовал в высшей степени сердитый аналитический отчет, целиком посвященный криминалистике (PDF).

Документ имеет объем свыше 170 страниц и озаглавлен учеными-экспертами в подчеркнуто нейтральных тонах: «Криминалистическая наука в уголовных судах: Обеспечение научной обоснованности для методов сравнения характеристик». Но если начать вникать в содержание и выводы отчета, то довольно быстро становится ясной простая вещь: хотя в криминалистике и принято видеть комплекс научных дисциплин, однако именно с тем, что делает данное занятие наукой – с научной обоснованностью базовых методов экспертизы – здесь имеются очень и очень большие проблемы…

Читать далее Мусор науки, или Другая сторона криминалистики

Экологически чистый шифр

(Октябрь 2000)

Государственным криптостандартом США будет алгоритм из Бельгии. Отчего же так приятно это слышать? (Финальная – четвертая – часть эпоса о конкурсе AES. Ранее было тут: ч.1, ч.2, ч.3)

rijndael-aes

Вот и завершился «конкурс AES» — объявленное в январе 1997 года международное состязание по выбору шифра для нового криптостандарта США на замену DES. Практически все люди, либо непосредственно принимавшие участие в AES-процессе, либо наблюдавшие за ним со стороны, отмечают воистину беспрецедентный характер этого мероприятия.

Поражала и небывалая открытость организаторов, Национального института стандартов и технологий (НИСТ) США, и постоянная готовность к тесному сотрудничеству с мировым криптографическим сообществом. И непременный юмор, сопровождавший AES-конкурс буквально на всех организационных мероприятиях.

Нельзя не вспомнить, как летом 1998 года Майлз Смид, один из главных в НИСТ инициаторов всего этого процесса, открывал первый раунд конкурса на новый криптостандарт. В своей речи он представил аудитории следующий «Общий алгоритм перехода от DES к AES»:

1. Убедить руководство НИСТ в том, что DES уже недостаточно безопасен;
2. Убедить руководство НИСТ в том, что «тройной DES» недостаточно хорош, чтобы стать AES;
3. Призвать лучших криптографов мира предложить свои алгоритмы;
4. Призвать лучших криптографов мира проанализировать эти алгоритмы;
5. Избежать ареста за нарушение экспортных законов;
6. Молиться о консенсусе;
7. Если же все это дело не пройдет, то приравнять AES = DES.

На дворе ныне осень 2000 года. С удовлетворением можно констатировать, что затея НИСТ удалась на славу. Никто не арестован, консенсус достигнут, все шесть этапов прошли успешно и вполне достойный преемник для DES найден. Название, правда, у бельгийского шифра-победителя странноватое – Rijndael, но и это, так сказать, «киргуду» – шутка веселых фламандских парней.

Читать далее Экологически чистый шифр

Конференция AES3 [продолжение истории]

(Май 2000)

Третья часть цикла о процессе принятия всеобщего криптостандарта AES (начало см. тут: часть 1; часть 2).

stand-crypto

Летом нынешнего (2000) года должен завершиться второй круг конкурса шифров-кандидатов на AES — новый криптографический стандарт, призванный защищать конфиденциальную информацию по крайней мере в течение нескольких первых десятилетий XXI века.

Организатором конкурса является Национальный институт стандартов и технологий (НИСТ) США, с самого начала придавший процессу международный масштаб. Для подведения промежуточных итогов конкурса 13-14 апреля в нью-йоркском отеле «Хилтон» устраивалась «Третья конференция кандидатов на AES» или просто AES3.

Мероприятие это прошло по сути дела незамеченным средствами массовой информации. Причина тому понятна — сенсаций не было, писать неинтересно. Но это все же как посмотреть.

На данном форуме решался весьма важный для всего компьютерного мира вопрос: какой из блочных криптоалгоритмов на сегодняшний день выглядит самым сильным в мире. Поскольку ответ на этот вопрос далеко неочевиден даже для ведущих специалистов, имеет смысл познакомиться с результатами конференции AES, где уже традиционно собирается элита мировой криптографии.

Читать далее Конференция AES3 [продолжение истории]

Смарт-карты: что показало вскрытие

(Сентябрь 2003)

Обзор методов взлома «самой безопасной» компьютерной технологии – как финал большой трехчастевой подборки материалов о защите платного ТВ (другие части см. тут: текст 1, текст 2).

camtamper

Индустрия смарт-карт переживает ныне период мощного расцвета. В 2002 году по всему миру было продано чуть меньше 2 миллиардов интеллектуальных карточек со встроенным микрочипом, а в ближайшие годы ожидается рост этих цифр в разы.

Причины тому просты, коль скоро области применения смарт-карт все время расширяются: от телефонной карты до жетона аутентификации пользователя ПК, от «электронного кошелька» для хранения цифровых наличных и до цифрового паспорта-идентификатора граждан.

Массовое внедрение смарт-карт в повседневную жизнь сопровождается непременными заверениями официальных представителей индустрии о том, что чип-карты – это наиболее безопасная из существующих на сегодня технологий, их, де, очень сложно, практически невозможно вскрывать. Однако так ли обстоят дела на самом деле?

Типичная смарт-карта – это 8-битный микропроцессор, постоянное запоминающее устройство или (ROM), оперативная память (RAM), электрически перепрограммируемая память (EEPROM или FLASH, где, в частности хранится криптографический ключевой материал), последовательные вход и выход. Все это хозяйство размещается в одном чипе, заключенном в корпус – обычно, пластиковую карту размером с кредитку.

Нравится это кому-то или нет, но вскрытие смарт-карт – явление весьма давнее и распространенное повсеместно. Как свидетельствуют специалисты, примерно с 1994 года практически все типы смарт-карточных чипов, использовавшихся, к примеру, в европейских, а затем в американских и азиатских системах платного ТВ, были успешно вскрыты кракерами методами обратной инженерной разработки.

Скомпрометированные секреты карт – схема и ключевой материал – затем продавались на черном рынке в виде нелегальных клон-карт для просмотра закрытых ТВ-каналов без оплаты компании-вещателю. Меньше освещенной в прессе остается такая деятельность, как подделка телефонных смарт-карт или электронных кошельков, однако известно, что и в этой области далеко не все в порядке с противодействием взлому.

Индустрии приходится регулярно заниматься обновлением технологий защиты процессора смарт-карт, кракеры в ответ разрабатывают более изощренные методы вскрытия, так что это состязание еще далеко не закончено.

Смарт-карты в своих потенциальных возможностях имеют целый ряд очень важных преимуществ в сравнении с другими технологиями. Обладая собственным процессором и памятью, они могут участвовать в криптографических протоколах обмена информацией, и, в отличие от карточек с магнитной полоской, здесь хранимые данные можно защищать от неавторизованного доступа.

Беда лишь в том, что реальная стойкость этой защиты очень часто переоценивается. Далее будет представлен краткий обзор наиболее важных технологий, используемых при вскрытии смарт-карт.

Эта информация важна для любого человека, желающего получить реальное представление о том, как происходит вскрытие защищенных устройств и каких затрат это стоит. Естественно, тщательное изучение применяемых методов вскрытия позволяет вырабатывать адекватные контрмеры и создавать намного более эффективную защиту смарт-карт.

Читать далее Смарт-карты: что показало вскрытие