Ecco lo scenario:
Alice e Bob utilizzano la messaggistica Off-the-record per comunicare tramite IM. Hanno:
- crittografia
- Autenticazione
- Deniability
- Segreto perfetto in avanti
Comunicano dopo l'autenticazione, essendo ragionevolmente sicuri dell'identità degli altri. Ora una festa canaglia irrompe nella casa di Alice.
Alice sa che potrebbe volere costringerla a inviare messaggi, o semplicemente vuole inviare un segnale di soccorso. Digitando "Aiuto!" non farà molto bene, poiché gli attaccanti realizzeranno che il mondo esterno sa della sua angoscia.
Potresti immaginare che potrebbe digitare un messaggio di soccorso precedentemente negoziato ("e anche i fiori erano adorabili"), il che fa aprire al client di Bob un messaggio:
- Alice è in pericolo - non fidarti dei seguenti messaggi finché non avrai autenticato di nuovo la sua identità. Lei è costretta a mandarli.
Ma gli intrusi potrebbero costringerla via dal computer troppo velocemente. Potrebbero anche dettare messaggi a lei, rimuovendo la sua capacità di digitare la frase dei fiori.
In questo scenario, qual è un buon modo per attivare un segnale di soccorso?
Alcuni problemi abbiamo rilevato mentre ne parliamo :
-
I coercers non devono essere in grado di rilevare che Alice sta inviando un segnale di soccorso. Né guardandola, né analizzando il traffico di rete. Questo impedisce anche schemi complicati, come "avere tutte le lettere dell'alfabeto usate entro un minuto" (anche una violazione del Principio di Kerckhoffs ).
-
Il segnale deve essere progettato in modo tale da essere difficile da attivare per errore, dal momento che un falso segnale di pericolo impone (fastidiose e potenzialmente difettose) misure di rinegoziazione della fiducia. E dovrebbe essere un protocollo facile da usare .
Ipotesi:
- Il protocollo utilizzato per inviare messaggi tra Alice e Bob è un protocollo ben noto.
- L'avversario è fisicamente presente con Alice.
- L'avversario consentirà ad Alice di inviare un messaggio a meno che non pensi che Alice stia inviando un segnale di soccorso.
- Alice sarà sempre autorizzata a inviare il primo messaggio.
- L'avversario controllerà i messaggi sul canale.
- Alice potrà inviare solo alcuni messaggi.
- L'avversario determina il contenuto dei messaggi inviati da Alice, ma non il loro formato.
- L'avversario consentirà ad Alice di ricevere tutti i messaggi remoti.
- L'avversario non conosce la latenza di trasmissione tra Alice e Bob.
- Il canale è affidabile.