рефераты конспекты курсовые дипломные лекции шпоры

Реферат Курсовая Конспект

CLIPPER

CLIPPER - раздел Компьютеры, Схемы идентификации Микросхема Clipper (Известная Также Как Myk-78T) - Это Разработанная В Nsa, У...

Микросхема Clipper (известная также как MYK-78T) - это разработанная в NSA, устойчивая к взлому мик­росхема, предназначенная для шифрования переговоров голосом. Это одна из двух схем, реализующих прав и-тельственный Стандарт условного шифрования (Escrowed Encryption Standard, EES) [1153]. VLSI Technologies, Inc. изготовила микросхему, a Mykotronx, Inc. запрограммировала ее. Сначала все микросхемы Clipper будут входить в Безопасное телефонное устройство Model 3600 AT&T (см. раздел 24.18). Микросхема реализует алго­ритм шифрования Skipjack (см. раздел 13.12,), разработанный NSA секретный алгоритм с шифрованием сек­ретным ключом, только в режиме OFB.

Самым противоречивым моментом микросхемы Clipper, и EES в целом, является протокол условного вруче­ния ключей (см. раздел 4.14). У каждой микросхемы есть специальный, ненужный для сообщений, ключ . Этот ключ используется для шифрования копии ключа сообщений каждого пользователя . В ходе процесса синхрони­зации передающая микросхема Clipper генерирует и посылает принимающей Поле доступа для выполнения з а-кона (Law Enforcement Access Field, LEAF). LEAF содержит копию текущего сеансового ключа, зашифрованно­го специальным ключом (называемым ключом модуля).Это позволяет правительственным прослушивателям получить сеансовый ключ и раскрыть открытый текст разговора.

По словам директора NIST [812]:

Предусматривается, что система "с условно врученным ключом" обеспечит использование микросхемы Clipper для защиты законопослушных американцев. В каждом устройстве, содержащем микросхему будет два уникальных "ключа", два числа, которые понадобятся уполномоченным правительственным органам для д е-шифрирования сообщений, зашифрованных устройством . При изготовлении устройства оба ключа будут поме­щены порознь в двух базах данных " условно врученных ключей", контролируемых Генеральным прокурором . Доступ к этим ключам будет разрешен только правительственным чиновникам с законным разрешением по д-ключить подслушивающее устройство.


Правительство также собирается поощрять широкое распространение таких телефонных аппаратов, но никто не знает, что может произойти с базами данных условно врученных ключей.

Помимо политических аспектов, стоит поговорить и о внутренней структуре LEAF [812, 1154, 1594, 459, 107, 462]. LEAF - это строка, включающая достаточно информации, чтобы при обеспечении правопорядка мож­но было раскрыть сеансовый ключ К, при условии, что два условно получивших ключи учреждениябудут действовать сообща. LEAF содержит 32-битовый идентификатор модуля U, уникальный для каждой микросхе­мы Clipper. Оно также содержит текущий 80-битовый сеансовый ключ, зашифрованный уникальным ключом модуля микросхемы Kv, и 16-битовую контрольную сумму С, называемую идентификатором условного вруче­ния. Контрольная сумма представляет собой функцию сеансового ключа, IV и возможно другой информации. Эти три поля шифруются фиксированным общим ключом KF, общим для всех взаимодействующих микросхем Clipper. Общий ключ, используемые режимы шифрования, детали контрольной суммы и точная структура LEAF засекречены. Возможно это поле похоже на что-то подобное:

EKf(EKu(Ks,U,Q)

Kv вводится в микросхемы Clipper при изготовлении. Этот ключ затем разделяется (см. раздел 3.5) и хра­нится в двух базах данных условно врученных ключей, охраняемых двумя различными учреждениями.

Чтобы Ева могла извлечь Ks из LEAF, она должна сначала расшифровать LEAF ключом KF и получить U. Затем она должна получить постановление суда для каждого из учреждений условного вручения, каждое из ко­торых возвращает половину Kv для данного U. Ева выполняет XOR обеих половин и получает Kv, затем она использует Ки для получения Ks, иК,-ддя подслушивания разговора.

Контрольная сумма должна помешать нарушению этой схемы, принимающая микросхема Clipper не может выполнить дешифрирование, если контрольная сумма неправильна. Однако существует лишь 216 возможных значений контрольной суммы, и фальшивое LEAF с правильной контрольной суммой, но неправильным клю­чом, может быть найдено примерно за 42 минуты [187]. Но это не очень поможет подслушать разговор, веду­щийся с помощью Clipper. Так как протокол обмена ключами не является частью микросхемы Clipper, 42-минутное вскрытие грубой силой должно быть выполнено после обмена ключами, оно не может быть выполн е-но до телефонного звонка. Такое вскрытие может работать при передаче факсов или при использовании карто ч-ки Fortezza (см. раздел 24.17).

Предположительно микросхема Clipper должна противостоять инженерному вскрытию, выполненному "изощренным, хорошо" [1154], но по слухам в Sandia National Laboratories успешно провели исследование од­ной из микросхем. Даже если эти слухи ложны, я подозреваю, что самым крупным мировым производителям такое инженерное вскрытие вполне по силам, и его срок является только вопросом ресурсов и морали .

С этой темой связано множество вопросов о тайне личности. Многочисленные группы защиты гражданских свобод ведут активную компанию против любого механизма условного вручения ключей, который даст прав и-тельству право подслушивать граждан. Вся подлость в том, что, ходя эта схема никогда не проходила через Конгресс, NIST опубликовал EES в качестве FIPS [1153], обойдя болезненный законодательный процесс. Сей­час все выглядит, как если бы EES тихо и медленно умирал, но стандарты способны продолжать свою ползучую деятельность.

В 22-й перечислены различные организации, участвующие в этой программе . Как насчет идеи, чтобы оба учреждения условного вручения относились только к исполнительной ветви власти? Что вы скажете об учре ж-дениях условного вручения, которые по сути ничего не знают о заявках на подслушивание и могут только слепо одобрять их? И что насчет идее о принятии правительством секретного алгоритма в качестве коммерческого стандарта?

Табл. 24-2.
_____________________ Организации, участвующие в EES._____________________

Министерство юстиции - Спонсор системы, владелец общего ключа

NIST - Руководство программой, хранитель условно врученной части ключа

FBI - Пользователь-дешифровщик, владелец общего ключа

Министерство финансов - Хранитель условно врученной части ключа

NSA - Разработчик программы_____________________________________________

В любом случае, использование Clipper породит немало проблем при обращении в суд. Не забывайте, Clip­per работает только в режиме OFB. Что бы вам иное не говорили, этот режим не обеспечивает целостности или проверке подлинности. Предположим, что Алиса предстала перед судом, и частью доказательств является тел е-фонный разговор, зашифрованный микросхемой Clipper. Алиса утверждает, что она никогда не звонила, и голос - не ее. Алгоритм сжатия речи настолько плох, что опознать голос Алисы трудно , но обвинение утверждает, что, так как расшифровать разговор можно только с помощью условно врученного ключа Алисы, этот звонок был


сделан с ее телефона.

Алиса заявляет, что разговор был подделан в соответствии с [984, 1339]: даны шифротекст и открытый текст, объединив их с помощью XOR, можно получить ключевой поток. Затем этот ключевой поток можно объ­единить с помощью XOR с абсолютно другим открытым текстом, получая фальшивый шифротекст, который затем может быть преобразован в фальшивый открытый текст, который подается на дешифратор микросхемы . Правдив он или нет, этот довод может легко посеять сомнение в жюри присяжных, которые не сочтут телефо н-ный разговор доказательством.

Другой способ вскрытия, называемый Втискиванием (Squeeze), позволяет Алисе выдать себя за Боба. Вот как это происходит [575]: Алиса звонит Бобу, используя Clipper. Она сохраняет копию его LEAF вместе с сеан­совым ключом. Затем она звонит Кэрол (про которую известно, что ее подслушивают). При установке ключа Алиса делает сеансовый ключ идентичным тому, который она использовала для разговора с Бобом. Для этого потребуется взломать телефон, но это нетрудно. Затем вместо того, чтобы послать свое LEAF, она посылает LEAF Боба. Это правильное LEAF, поэтому телефон Кэрол ничего не заметит. Теперь она может говорить Кэ­рол все, что захочет - когда полиция расшифрует LEAF, она обнаружит, что оно принадлежит Бобу. Даже если Алисе не удастся выдать себя за Боба, ему придется доказывать свою невиновность в суде, что вполне может оправдать применение подобной схемы.

Органы охраны правопорядка Соединенных Штатов не должны тратить свое время, занимаясь сбором и н-формации в уголовных расследованиях, которую нельзя использовать в суде . Даже если условное вручение ключей и являлось бы неплохой идеей, Clipper - это не лучший способ реализации этой идеи.

24.17 CAPSTONE

Capstone (известный также как MYK-80) - это другая разработанная NSA СБИС, реализующая Стандарт ус­ловного шифрования правительства США [1153]. Capstone реализует следующие функции [1155, 462]:

— Алгоритм Skipjack в любом из четырех основных режимов: ЕСВ, СВС, CFB и OFB.

— Алгоритм обмена ключами (Key Exchange Algorithm, KEA) на базе открытых ключей, скорее всего Dif-fie-Hellman.

— Алгоритм цифровой подписи (Digital Signature Algorithm, DSA). *

— Алгоритм безопасного хэширования (Secure Hash Algorithm, SHA). j

— Алгоритм возведения в степень для общего назначения.

— Генератор случайных чисел с использованием истинно шумового источника .

Capstone обеспечивает криптографические возможности, необходимые для безопасной электронной торговли и других компьютерных приложений. Первым применением Capstone является карточка PCMCIA, названная Fortezza. (Сначала она называлась Tessera, пока на это не пожаловалась компания Tessera, Inc..)

NSA изучило возможность удлинения контрольной суммы LEAF в Capstone в версиях для карточек для того, чтобы помешать ранее рассмотренному вскрытию LEAF. Вместо этого была добавлена возможность выполнять перезапуск карточки после 10 неправильных LEAF. Меня это не впечатлило - время поиска правильного LEAF только на 10 процентов, до 46 минут.

24.18 Безопасный телефон AT&T MODEL 3600 TELEPHONE SECURITY DEVICE
(TSD)

Безопасный телефон AT&T (Telephone Security Device, TSD) - это телефон с микросхемой Clipper. На самом деле существует четыре модели TSD. Одна содержит микросхему Clipper, другая - экспортируемый фирменный алгоритм шифрования AT&T третья - фирменный алгоритм для использования внутри страны плюс экспорт и-руемый алгоритм, а четвертая включает Clipper, внутренний и экспортируемый алгоритмы.

Для каждого телефонного звонка TSD используют отличный сеансовый ключ. Пара TSD генерирует сеансо­вый ключ с помощью схемы обмена ключами Diffie-Hellman, независящей от микросхемы Clipper. Так как Dif-fie-Hellman не включает проверки подлинности, TSD использует два метода для предотвращения вскрытия "человекв середине".

Первым является экран. TSD хэширует сеансовый ключ и выводит хэш-значение на маленьком экране в в и-де четырех шестнадцатиричных цифр. Собеседники проверяют, что на их экраны выведены одинаковые цифры . Качество голоса достаточно хорошо, чтобы они могли узнать друг друга по голосу .

Все же Ева может вскрыть эту схему. Пусть ей удалось вклиниться в линию между Бобом и Алисой . Она ис­пользует TSD на линии с Алисой и модифицированный TSD на линии с Бобом. Посередине она сопрягает два


телефонных звонка. Алиса пытается сделать разговор безопасным. Она обычным образом генерирует ключ, но общается с Евой, выдающей себя за Боба. Ева раскрывает ключ и с помощью модифицированного TSD делает так, чтобы ключ, который она сгенерировала для Боба, имел такое же хэш-значение . Это вскрытие на вид не очень реально, но для его предотвращения в TSD используется блокировка.

TSD генерирует случайные числа, используя источник шума и хаотичный усилитель с цифровой обратной связью. Он генерирует битовый поток, который пропускается через постотбеливающий фильтр на базе цифр о-вого процессора.

Несмотря на все это в справочном руководстве TSD нет ни слова о безопасности. На самом деле там напис а-но[70]:

AT&T не гарантирует, что TSD защитит от вскрытия зашифрованной передачи правительственным учреждением, его агентами или третьей стороной. Более того, AT&T не гарантирует, что TSD защитит от вскрытия передаваемой информации с помощью методов, обходящих шифрование.


– Конец работы –

Эта тема принадлежит разделу:

Схемы идентификации

На сайте allrefs.net читайте: Схемы идентификации...

Если Вам нужно дополнительный материал на эту тему, или Вы не нашли то, что искали, рекомендуем воспользоваться поиском по нашей базе работ: CLIPPER

Что будем делать с полученным материалом:

Если этот материал оказался полезным ля Вас, Вы можете сохранить его на свою страничку в социальных сетях:

Все темы данного раздела:

FEIGE-FIAT-SHAMIR
Схема цифровой подписи и проверки подлинности, разработанная Амосом Фиатом (Amos Fiat) и Ади Ша-миром (Adi Shamir), рассматривается в [566, 567]. Уриель Фейге (Uriel Feige), Фиат и Шамир модифициро

Улучшения
В протокол можно встроить идентификационные данные. Пусть / - это двоичная строка, представляющая идентификатор Пегги: имя, адрес, номер социального страхования, размер головного убора, любимый сор

GUILLOU-QUISQUATER
Feige-Fiat-Shamir был первым практическим протоколом идентификации. Он минимизировал вычисления, увеличивая число итераций и аккредитаций на итерацию. Для ряда реализаций, например, для интеллектуа

Несколько подписей
Что если несколько человек захотят подписать один и тот же документ ? Проще всего, чтобы они подписали его порознь, но рассматриваемая схема подписи делает это лучше . Пусть Алиса и Боб подписывают

Протокол проверки подлинности
(1) Пегги выбирает случайное число г, меньшее q, и вычисляет х = d mod/;. Эти вычисления являются пред­варительными и могут быть выполнены задолго до появления Виктора .

Протокол цифровой подписи
Алгоритм Schnorr также можно использовать и в качестве протокола цифровой подписи сообщения М. Пара ключей используется та же самая, но добавляется однонаправленная хэш-функция ЩМ).

Патенты
Schnorr запатентован в Соединенных Штатах [1398] и многих других странах. В 1993 году РКР приобрело обще мировые права на этот патент (см. раздел 25.5). Срок действия патента США истекает 19 феврал

DIFFIE-HELLMAN
Diffie-Hellman, первый в истории алгоритм с открытым ключом, был изобретен 1976 году [496]. Его безо­пасность опирается на трудность вычисления дискретных логарифмов в конечном поле (в сравнении с

Расширенный Diffie-Hellman
Diffie-Hellman также работает в коммутативных кольцах [1253]. 3. Шмули (Z. Shmuley) и Кевин МакКерли (Kevin McCurley) изучили вариант алгоритма, в котором модуль является составным числом [1441, 10

Обмен ключом без обмена ключом
Если у вас сообщество пользователей, каждый может опубликовать открытый ключ , Х= gx mod и, в общей базе данных. Если Алиса захочет установить связь с Бобом, ей понадобится только

Патенты
Алгоритм обмена ключами Diffie-Hellman запатентован в Соединенных Штатах [718] и Канаде [719]. Груп­па, называющаяся Public Key Partners (PKP, Партнеры по открытым ключам), получила вместе с другим

Базовый протокол ЕКЕ
Алиса и Боб (два пользователя, клиент и сервер, или кто угодно) имеют общий пароль Р. Используя сле­дующий протокол, они могут проверить подлинность друг друга и генерировать общий сеансовый

Реализация ЕКЕ с помощью ElGamal
Реализация ЕКЕ на базе алгоритма ElGamal проста, можно даже упростить основной протокол. Используя обозначения из раздела 19.6, g ир служат частями открытого ключа, общими для всех пользоват

Реализация ЕКЕ с помощью Diffte-Hellman
При использовании протокола Diffie-Hellman К генерируется автоматически. Окончательный протокол еще проще. Значения g и п определяются для всех пользователей сети. (1)

Усиление ЕКЕ
Белловин (Bellovin) и Мерритт (Merritt) предложили улучшение запросно-ответной части алгоритма, которое позволяет избежать возможного вскрытия при обнаружении криптоаналитиком ста рого значения

Расширенный ЕКЕ
Протокол ЕКЕ страдает одним серьезным недостатком: он требует, чтобы обе стороны знали Р. В большин­стве систем авторизации доступа хранятся значения однонаправленной хэш-функции паролей пол

Применения ЕКЕ
Белловин и Мерритт предлагают использовать этот протокол для безопасной телефонной связи [109]: Предположим, что развернута сеть шифрующих телефонных аппаратов . Если кто-нибудь хочет восп

Распределение ключей для конференции
Этот протокол позволяет группе из п пользователей договориться о секретном ключе, используя только н е-секретные каналы. Группа использует два общих больших простых числа р и q,

Tateboyashi-Matsuzaki-Newman
Этот протокол распределения ключей подходит для использования в сетях [1521]. Алиса хочет с помощью Трента, KDC, генерировать ключ для сеанса связи с Бобом. Всем участникам известен открытый ключ Т

Asmuth-Bloom
В этой схеме используются простые числа [65]. Для (от, и)-пороговой схемы выбирается большое простое числом, большее М. Затем выбираются числа, меньшие р - dh d2, .

Karnin-Greene-Hellman
В этой схеме используется матричное умножение [818]. Выбирается и+1 от-мерных векторов, V0, Vu . . . Vn, так, что ранг любой матрицы размером от*от, образова

Более сложные пороговые схемы
В предыдущих примерах показаны только простейшие пороговые схемы : секрет делится на п теней так, что­бы, объединив любые от из них, можно было раскрыть секрет. На базе этих алгоритмов можно

Ong-Schnorr-Shamir
Этот подсознательный канал (см. раздел 4.2), разработанный Густавусом Симмонсом (Gustavus Simmons) [1458, 1459, 1460], использует схему идентификации Ong-Schnorr-Shamir (см. раздел 20.5). Как и в о

Уничтожение подсознательного канала eDSA
Подсознательный канал опирается на то, что Алиса может выбирать к для передачи подсознательной ин­формации. Чтобы сделать подсознательный канал невозможным, Алисе не должно

Другие схемы
Подсознательный канал можно организовать для любой схемы подписи [1458, 1460, 1406]. Описание прото­кола встраивания подсознательного канала в схемы Fiat-Shamir и Feige-Fiat-Shamir вместе с возможн

Бросание "честной"монеты с помощью целых чисел Блюма
В протоколе бросания монеты можно использовать челые числа Блюма . (1) Алиса генерирует целое число Блюма п, случайное х, взаимно простое с п, х0 = х2

Доказательство с нулевым знанием для дискретного логарифма
Пегги хочет доказать Виктору, что ей известно х, являющееся решением Ax = B (jaod p) тпер - простое число, а х - произвольное число, взаимно простое

Доказательство с нулевым знанием для возможности вскрыть RSA
Алиса знает закрытый ключ Кэрол. Может быть она взломала RSA, а может она взломала дверь квартиры Кэрол и выкрала ключ. Алиса хочет убедить Боба, что ей известен ключ Кэрол. Однако она не хочет ни

Доказательство с нулевым знанием того, что п является числом Блюма
Пока неизвестно никаких действительно практичных доказательств того, что п =pq, где р и q - простые чис­ла, конгруэнтные 3 по модулю 4. Однако если п имеет форму

MITRENET
Одной из самых ранних реализаций криптографии с открытыми ключами была экспериментальная система MEMO (MITRE Encrypted Mail Office, Шифрованное почтовое отделение). MITRE - это была команда умных п

STU-III
STU обозначает "Secure Telephone Unit" (Безопасный телефонный модуль), разработанный в NSA безопас­ный телефон. По размерам и форме этот модуль почти такой же, как и обычный телефон, и мо

KERBEROS
Kerberos представляет собой разработанный для сетей TCP/IP протокол проверки подлинности с доверенной третьей стороной. Служба Kerberos, работающая в сети, действует как доверенный посредник, обесп

Модель Kerberos
Базовый протокол Kerberos был схематично описан в разделе 3.3. В модели Kerberos существуют располо­женные в сети объекты - клиенты и серверы. Клиентами могут быть пользователи, но могут и независи

Как работает Kerberos
Вэтом разделе рассматривается Kerberos версии 5. Ниже я обрисую различия между версиями 4 и 5 . Прото­кол Kerberos прост (см. 23rd). Клиент запрашивает у Kerberos мандат на обращен

Сообщения Kerberos версии 5
В Kerberos версии 5 используется пять сообщений (см. 23-й): 1. Клиент-Kerberos: c,tgs 2. Kerberos-клиент: {Kc>tgs}Kc, {Tc>tgs

Получение первоначального мандата
У клиента есть часть информации, доказывающей его личность - его пароль . Понятно, что не хочется за­ставлять клиента передавать пароль по сети. Протокол Kerberos минимизирует вероятность компромет

Получение серверных мандатов
Клиенту требуется получить отдельный мандат для каждой нужной ему услуги . TGS выделяет мандаты для отдельных серверов. Когда клиенту нужен мандат, которого у него пока нет, он посылает за

Kerberos версии 4
В предыдущих разделах рассматривался Kerberos версии 5. Версия 4 немного отличается сообщениями и конструкцией мандатов и удостоверений. В Kerberos версии 4 используются следующие пять сообщений:

Безопасность Kerberos
Стив Белловин (Steve Bellovin) и Майкл Мерритт (Michael Merritt) проанализировали некоторые потенци­альные уязвимые места Kerberos [108]. Хотя эта работа была написана про протоколы версии 4, многи

KRYPTOKNIGHT
KryptoKnight (КриптоРыцарь) является системой проверки подлинности и распределения ключей, разраб о-танной в IBM. Это протокол с секретным ключом, использующий либо DES в режиме СВС (см. раздел 9.3

Сертификаты
Наиболее важной частью Х.509 используемая им структура сертификатов открытых ключей. Имена всех пользователей различны. Доверенный Орган сертификации (Certification Authority, CA) присваивает каждо

Протоколы проверки подлинности
Алисе нужно связаться с Бобом. Сначала она извлекает из базы данных последовательность сертифика­цииот Алисы до Боба и открытый ключ Боба. В этот момент Алиса может инициировать од

Документы РЕМ
РЕМ определяется в следующих четырех документах: — RFC 1421: Часть I, Процедуры шифрования и проверки подлинности сообщений . В этом документе опре­деляются процедуры шифрования и проверки

Сертификаты
РЕМ совместим со схемой проверки подлинности, описанной в [304], см. также [826]. РЕМ представляет со­бой надмножество Х.509, определяя процедуры и соглашения для инфраструктуры управления ключами,

Сообщения РЕМ
Сердцем РЕМ является формат сообщений. На 20-й показано зашифрованное сообщение при симметричном управлении ключами. На 19-й показано подписанное и зашифрованное сообщение при управлении ключами на

Коммерческая программа сертификации компьютерной безопасности
Коммерческая программа сертификации компьютерной безопасности (Commercial COMSEC Endorsement Program (CCEP)), кодовое имя Overtake, - это предложение, сделанное NSA в 1984 году и призванное облегчи

ISO/IEC 9979
В середине 80-х ISO стандартизировать DES, который уже использовался в качестве FIPS и стандарта ANSI. После некоторой политической возни ISO решило не стандартизировать криптографические алгоритмы

ISCMEC 9979
Регистрационный номерНазвание 1 B-CRYPT 2 IDEA 3 LUC 25.10 Профессиональные и промышленные группы, а также группы защитни­ков гражданских свобод

ПослесловиеМэттаБлейза
Одним из самых опасных моментов криптологии (и, следовательно, данной книги ), является то, что вам поч­ти удается измерить ее. Знание длины ключей, способов разложения на множители и криптоаналити

Хотите получать на электронную почту самые свежие новости?
Education Insider Sample
Подпишитесь на Нашу рассылку
Наша политика приватности обеспечивает 100% безопасность и анонимность Ваших E-Mail
Реклама
Соответствующий теме материал
  • Похожее
  • Популярное
  • Облако тегов
  • Здесь
  • Временно
  • Пусто
Теги