Dobbiamo prendere sul serio gli attacchi di sostituzione dell'algoritmo?

3

Il blog di Bruce Schneier ha attirato la mia attenzione sugli attacchi di sostituzione dell'algoritmo che potrebbero perdere chiavi simmetriche tramite IV o padding o altri canali nascosti, crittografati con chiavi escrow. La premessa principale è che i cryptolibraries (o HSM, o chip di crittografia) sono stati sovvertiti da una "benevola agenzia governativa".

Questa minaccia garantisce una revisione extra del software utilizzato in produzione, incluse librerie come OpenSSL / BouncyCastle, ecc.?

Possiamo garantire che non ci siano canali nascosti in IV o padding guardando il codice?

Archivio ePrint di Cryptology: Rapporto 2014/438 . Sicurezza della crittografia simmetrica contro la sorveglianza di massa. Mihir Bellare, Kenneth Paterson e Phillip Rogaway. 21 giugno 2014.

    
posta Deer Hunter 25.06.2014 - 23:01
fonte

1 risposta

3

Sì, dobbiamo prendere sul serio questi problemi. In tutta onestà, i crittografi sono da tempo a conoscenza di tali problemi e molti protocolli e crittografi sono progettati per ridurre almeno l'ambito dei canali nascosti.

In diversi contesti l'algoritmo sostituito sarà più o meno evidente:

  • Nel codice sorgente la perdita di dati sarebbe abbastanza ovvia. Di solito un campo che dovrebbe essere totalmente casuale potrebbe perdere dati chiave. Non ho eseguito personalmente una revisione di alcuna libreria, ma penso che sia improbabile che tale codice si inserisca nel repository ufficiale.

  • Nel codice compilato, la perdita di dati è ancora abbastanza ovvia, ma per trovarlo è necessario un auditor con più strumenti e competenze. Dubito che tale codice sarebbe nella versione ufficiale di una libreria binaria (come SSL di Microsoft) in quanto vi sono troppe possibilità di essere scoperti. Ma è un modo per installazioni particolari back-door, e mi aspetto che ciò accada.

  • Nelle impostazioni di una scatola nera (come una smart card o TPM) è praticamente impossibile individuare la perdita di dati.

Penso che il documento abbia una buona idea: rimuovere ogni casualità dai protocolli crittografici e rendere tutto deterministico e statico. Quanto è importante questo? Bene, considerando che la maggior parte dei sistemi operativi desktop sono a rischio enorme di malware, non è la priorità numero 1.

    
risposta data 26.06.2014 - 09:59
fonte

Leggi altre domande sui tag