Puramente come una questione tecnica, è possibile realizzare implementazioni di crittografia altrimenti forti che contengano backdoor governativi?

4

Quindi, per essere chiari a prima vista: penso che riprogettare la crittografia moderna per includere "backdoor" governative sia, a conti fatti, un'idea abbastanza brutta, per qualsiasi numero di buone ragioni. Né (FWIW) in realtà penso che le leggi che prevedono che vengano effettivamente emanate, quando tutto è stato detto e fatto (negli Stati Uniti, comunque). Ma la mia domanda non è la politica o gli aspetti politici del dibattito sulla crittografia ; si tratta di un aspetto tecnologico a questo che è più interessante.

Accantonando se dovrebbe fare così, potrebbe adattare gli attuali principali standard di crittografia & implementazioni che consentano a una terza parte autorizzata (ad esempio, il governo degli Stati Uniti) di monitorare le comunicazioni crittografate tra la Parte A e la Parte B e decifrare quelle conversazioni senza rendendola necessariamente notevolmente più semplice per un'altra terza parte non autorizzata fare altrettanto?

Nelle scorse settimane ho letto troppe affermazioni per contare fondamentalmente rispondendo: "No. Nessuna possibilità". Ma di solito non è chiaro se con questa risposta si intende che (a) tali modifiche non possono essere apportate senza indebolire fondamentalmente la crittografia comune, o (b) che la prodezza tecnica potrebbe essere fattibile, ma il governo "autorizzato" perderebbe inevitabilmente il controllo di qualunque segreto possedessero e permetta ai cattivi di regnare liberamente contro i personali e informazioni org.

Ricordo ancora la debacle degli anni '90 in cui l'NSA ha cercato di iniziare a fare ciò nel strongzza / "chip clipper" iniziativa tramite un sistema di deposito chiavi ; è andato esattamente in nessun posto al di fuori dell'uso del governo. E a quanto mi risulta, il key escrow non sarebbe in realtà sufficientemente scalabile per l'uso oggi. E certamente è facile creare una crittografia "backdoor" ... se non sei preoccupato per indebolimento che crittografia contro ogni utente malintenzionato . Ma se questi non sono fattibili, esistono approcci tecnici alternativi (che guardano cose da un livello tecnico di 30.000 piedi) che potrebbero essere usati per creare sistemi / implementazioni di crittografia robusti come quelli attuali contro la decifrazione di terze parti "non autorizzata". O è davvero - per la nostra attuale conoscenza - impossibile?

    
posta mostlyinformed 22.12.2015 - 05:17
fonte

2 risposte

8

Certo. Key escrow funziona, ed è ben compreso.

RSA ha offerto una versione di esso con la sua versione "enterprise" di PGP 6.0 circa 20 anni fa. PGP utilizza la crittografia ibrida, in cui il messaggio viene crittografato con un codice simmetrico e la chiave della crittografia simmetrica viene quindi crittografata con una chiave pubblica del destinatario. Il loro blocco chiave supporta la crittografia della chiave simmetrica con più chiavi pubbliche, consentendo a più destinatari che non condividono una chiave privata.

In quel prodotto, il key escrow era implementato con l'introduzione di una chiave simmetrica crittografata con chiave pubblica in più, in cui la chiave privata era detenuta dal proprietario del sistema PGP. E 'stato apparentemente creato per le aziende che potrebbero aver bisogno di decifrare un messaggio se il dipendente legittimo è stato reso incapace o terminato. (La versione precedente soffriva di una terribile vulnerabilità in quanto il blocco chiave non era protetto da un MAC e una terza parte malintenzionata poteva aggiungere in silenzio la propria chiave di escrow.)

Presumendo che si possa imporre un impegno chiave su un corpo standard, sarebbe possibile creare un protocollo sicuro che possa essere decifrato sia dal sito legittimo che dal detentore della chiave privata. L'utilizzo del key escrow potrebbe essere applicato da appliance di sicurezza di rete backbone, che potrebbero negare le comunicazioni a meno che non vedessero una firma digitale sul pacchetto di scambio della chiave che indica che le chiavi di deposito delle chiavi erano a posto. I prodotti come lo sbuffo funzionano già così oggi; avrebbero solo bisogno delle informazioni sulla firma del protocollo legittimo e potrebbero quindi inviare un pacchetto RST a qualsiasi scambio di chiavi SSL o TLS che non fosse conforme.

Il diavolo sarebbe nei dettagli, però. Niente avrebbe fermato la doppia cifratura, perché le appliance di sicurezza della rete non potevano essere affidate con le chiavi necessarie per decriptare i pacchetti per ispezionarli in profondità. Nulla può impedire la segnalazione pre-arrangiata fuori banda, come "l'immagine di un bollitore sul lato sinistro del tavolo significa" attacco all'alba "." Scambi di chiavi personalizzati che non sono rilevabili in quanto TLS andrebbe e viene alla velocità della luce. Le VPN Darknet apparirebbero come messaggi di routing attorno ai firewall federali. I meccanismi di comunicazione steganografica includevano messaggi illeciti in streaming di video di gatti e richieste di ping ICMP. La gestione e la distribuzione chiave sarebbero un incubo. E immagina cosa succederebbe alla sicurezza della nazione se Edward Snowden Jr. decidesse di pubblicare la chiave principale della NSA, o Robert Hansen Jr. consegnasse la copia dell'FBI ai russi?

Tali misure potrebbero rendere più difficile per le persone comuni utilizzare la crittografia non predefinita, e potrebbero esporre i loro iMessage all'NSA su base regolare, ma rallenterebbero a malapena le organizzazioni criminali o terroristiche. E sarebbero stati contestati in tribunale immediatamente: costringere gli utenti ad aggiungere un key escrow sarebbe equivalente al discorso avvincente del governo, che è costituzionalmente proibito negli Stati Uniti.

    
risposta data 22.12.2015 - 06:03
fonte
2

Non solo è possibile, ma sappiamo che è stato fatto prima. In particolare, l'algoritmo Dual_EC_DRBG che è stato discusso ad naseum negli ultimi due anni, è un esempio di un strong algoritmo crittografico < a href="http://arstechnica.com/security/2015/01/nsa-official-support-of-backdoored-dual_ec_drbg-was-regrettable/"> che è stato confermato per contenere una backdoor NSA che consente all'NSA (e solo l'NSA) di "interrompere completamente qualsiasi istanza di Dual_EC_DRBG".

Per citare dalla voce di Wikipedia:

One of the weaknesses publicly identified was the potential of the algorithm to harbour a backdoor advantageous to the algorithm's designers—the United States government's National Security Agency (NSA)—and no-one else. In 2013, The New York Times reported that documents in their possession but never released to the public "appear to confirm" that the backdoor was real, and had been deliberately inserted by the NSA as part of the NSA's Bullrun decryption program.

Per ottenere una descrizione migliore della natura di questa backdoor, ti indicherò post sul blog di Bruce Schneier nel lontano 2007 :

In an informal presentation (.pdf) at the CRYPTO 2007 conference in August, Dan Shumow and Niels Ferguson showed that the algorithm contains a weakness that can only be described as a backdoor.

This is how it works: There are a bunch of constants -- fixed numbers -- in the standard used to define the algorithm's elliptic curve. These constants are listed in Appendix A of the NIST publication, but nowhere is it explained where they came from.

What Shumow and Ferguson showed is that these numbers have a relationship with a second, secret set of numbers that can act as a kind of skeleton key. If you know the secret numbers, you can predict the output of the random-number generator after collecting just 32 bytes of its output. To put that in real terms, you only need to monitor one TLS internet encryption connection in order to crack the security of that protocol. If you know the secret numbers, you can completely break any instantiation of Dual_EC_DRBG.

The researchers don't know what the secret numbers are. But because of the way the algorithm works, the person who produced the constants might know; he had the mathematical opportunity to produce the constants and the secret numbers in tandem.

    
risposta data 19.02.2016 - 05:53
fonte

Leggi altre domande sui tag