Отрицаемое шифрование

Методы шифрования, при которых злоумышленник не может доказать, что открытые текстовые данные существуют

В криптографии и стеганографии правдоподобно отрицаемое шифрование описывает методы шифрования , при которых существование зашифрованного файла или сообщения отрицается в том смысле, что злоумышленник не может доказать, что данные открытого текста существуют. ^[1]

Пользователи могут убедительно отрицать, что данная часть данных зашифрована, или что они могут расшифровать данную часть зашифрованных данных, или что существуют некоторые конкретные зашифрованные данные. ^[2] Такие отрицания могут быть или не быть подлинными. Например, может быть невозможно доказать, что данные зашифрованы без сотрудничества пользователей. Если данные зашифрованы, пользователи действительно могут не иметь возможности расшифровать их. Отрицаемое шифрование служит для подрыва уверенности злоумышленника либо в том, что данные зашифрованы, либо в том, что лицо, владеющее ими, может расшифровать их и предоставить связанный с ними открытый текст .

В своей ключевой статье 1996 года Ран Канетти , Синтия Дворк , Мони Наор и Рафаил Островский представили концепцию отрицаемого шифрования — криптографического прорыва, который обеспечивает конфиденциальность даже при принуждении. Эта концепция позволяет участникам зашифрованной коммуникации правдоподобно отрицать истинное содержание своих сообщений. Их работа закладывает основополагающие принципы отрицаемого шифрования, иллюстрируя его важную роль в защите конфиденциальности от принудительного раскрытия. Это исследование стало краеугольным камнем для будущих достижений в криптографии, подчеркивая важность отрицаемого шифрования для поддержания безопасности связи. ^[3] Понятие было использовано Джулианом Ассанжем и Ральфом Вайнманном в файловой системе Rubberhose. ^{[4] [2]}

Функция

Отрицаемое шифрование делает невозможным доказать происхождение или существование открытого текстового сообщения без надлежащего ключа дешифрования. Это может быть сделано путем разрешения расшифровывать зашифрованное сообщение в различные разумные открытые тексты в зависимости от используемого ключа . Это позволяет отправителю иметь правдоподобное отрицание, если он вынужден будет предоставить свой ключ шифрования.

Сценарий

В некоторых юрисдикциях законы предполагают, что операторы-люди имеют доступ к таким вещам, как ключи шифрования. Примером может служить Закон Великобритании о регулировании следственных полномочий ^[5] [ ^6] , который делает преступлением невыдачу ключей шифрования по требованию должностного лица правительства, уполномоченного этим законом. Согласно Министерству внутренних дел , бремя доказывания того, что обвиняемый владеет ключом, лежит на обвинении; более того, закон содержит защиту для операторов, которые потеряли или забыли ключ, и они не несут ответственности, если будет сочтено, что они сделали все возможное, чтобы восстановить ключ. ^{[5] [6]}

В криптографии криптоанализ с использованием резинового шланга — это эвфемизм , обозначающий извлечение криптографических секретов (например, пароля к зашифрованному файлу) из человека с помощью принуждения или пыток ^[7] — например, избиения человека резиновым шлангом , отсюда и название — в отличие от математической или технической криптоаналитической атаки .

Впервые этот термин был использован в группе новостей sci.crypt в сообщении, опубликованном 16 октября 1990 года Маркусом Дж. Ранумом , в котором он намекал на телесные наказания :

...метод криптоанализа с использованием резинового шланга. (при котором резиновый шланг с силой и часто прикладывается к подошвам ног до тех пор, пока не будет обнаружен ключ к криптосистеме, процесс, который может занять на удивление короткое время и является весьма недорогим с точки зрения вычислений). ^[8]

Отрицаемое шифрование позволяет отправителю зашифрованного сообщения отрицать отправку этого сообщения. Для этого требуется доверенная третья сторона. Возможный сценарий работает следующим образом:

1. Боб подозревает, что его жена Элис занимается прелюбодеянием. В связи с этим Элис хочет связаться со своим тайным любовником Карлом. Она создает два ключа, один из которых должен храниться в тайне, а другой — быть принесенным в жертву. Она передает секретный ключ (или оба) Карлу.
2. Алиса создает безобидное сообщение M1 для Карла (которое должно быть раскрыто Бобу в случае обнаружения) и компрометирующее любовное письмо M2 Карлу. Она создает шифротекст C из обоих сообщений, M1 и M2, и отправляет его Карлу.
3. Карл использует свой ключ для расшифровки M2 (а возможно, и M1, чтобы прочитать поддельное сообщение).
4. Боб узнаёт об электронном письме Карлу, начинает что-то подозревать и заставляет Элис расшифровать сообщение.
5. Алиса использует жертвенный ключ и раскрывает Бобу безобидное сообщение M1. Поскольку Боб не может знать наверняка, что в C могут быть другие сообщения, он может предположить, что других сообщений нет .

Другой сценарий предполагает, что Алиса отправляет тот же самый шифртекст (некоторые секретные инструкции) Бобу и Карлу, которым она передала разные ключи. Боб и Карл должны получить разные инструкции и не должны иметь возможности прочитать инструкции друг друга. Боб первым получит сообщение, а затем перешлет его Карлу.

1. Алиса составляет зашифрованный текст из обоих сообщений, M1 и M2, и отправляет его по электронной почте Бобу.
2. Боб использует свой ключ для расшифровки M1 и не может прочитать M2.
3. Боб пересылает зашифрованный текст Карлу.
4. Карл использует свой ключ для расшифровки M2 и не может прочитать M1.

Формы отрицаемого шифрования

Обычно шифротексты расшифровываются в один открытый текст, который должен храниться в секрете. Однако одна из форм отрицаемого шифрования позволяет своим пользователям расшифровывать шифротекст, чтобы создать другой (безобидный, но правдоподобный) открытый текст и правдоподобно утверждать, что это то, что они зашифровали. Владелец шифротекста не сможет отличить настоящий открытый текст от открытого текста с поддельным заявлением. В общем, один шифротекст не может быть расшифрован во все возможные открытые тексты, если только ключ не такой же большой, как открытый текст , поэтому в большинстве случаев нецелесообразно, чтобы шифротекст вообще не раскрывал никакой информации о своем открытом тексте. ^[9] Однако некоторые схемы позволяют расшифровывать, чтобы обманывать открытые тексты, которые близки к оригиналу по некоторой метрике (например, по расстоянию редактирования ). ^[10]

Современные методы отрицаемого шифрования используют тот факт, что без ключа невозможно отличить зашифрованный текст от блочных шифров и данных, сгенерированных криптографически безопасным генератором псевдослучайных чисел (свойства псевдослучайной перестановки шифра ) ^[11] .

Это используется в сочетании с некоторыми ложными данными, которые пользователь, вероятно, хотел бы сохранить в тайне, и которые будут раскрыты злоумышленнику, утверждающему, что это все, что есть. Это форма стеганографии . ^{[ необходима цитата ]}

Если пользователь не предоставит правильный ключ для действительно секретных данных, их расшифровка приведет к получению, по-видимому, случайных данных, неотличимых от тех, которые не хранили никаких конкретных данных. ^{[ необходима цитата ]}

Примеры

Слои

Одним из примеров отрицаемого шифрования является криптографическая файловая система , которая использует концепцию абстрактных «слоев», где каждый слой может быть расшифрован с помощью другого ключа шифрования. ^{[ требуется цитата ]} Кроме того, специальные « слои chaff » заполняются случайными данными, чтобы иметь правдоподобное отрицание существования реальных слоев и их ключей шифрования. ^{[ требуется цитата ]} Пользователь может хранить файлы-приманки на одном или нескольких слоях, отрицая существование других, утверждая, что остальное пространство занято слоями chaff. ^{[ требуется цитата ]} Физически эти типы файловых систем обычно хранятся в одном каталоге, состоящем из файлов одинаковой длины с именами файлов, которые либо рандомизированы (в случае, если они принадлежат слоям chaff), либо представляют собой криптографические хеши строк, идентифицирующих блоки. ^{[ необходима цитата ]} Временные метки этих файлов всегда рандомизированы. ^{[ необходима цитата ]} Примерами такого подхода является файловая система Rubberhose.

Rubberhose (также известный по кодовому имени разработки Marutukku) ^[12] — это отрицаемая программа шифрования, которая шифрует данные на устройстве хранения и скрывает зашифрованные данные. Существование зашифрованных данных может быть проверено только с помощью соответствующего криптографического ключа. Он был создан Джулианом Ассанжем как инструмент для правозащитников, которым необходимо было защищать конфиденциальные данные в полевых условиях, и был первоначально выпущен в 1997 году. ^[12]

Название Rubberhose — шутливая отсылка к термину шифропанков «резиновый шланговый криптоанализ», в котором ключи шифрования получаются с помощью насилия.

Он был написан для ядра Linux 2.2, NetBSD и FreeBSD в 1997–2000 годах Джулианом Ассанжем , Сьюлетт Дрейфус и Ральфом Вайнманном. Последняя доступная версия, все еще находящаяся в стадии альфа, — v0.8.3. ^[13]

Объемы контейнеров

Другой подход, используемый некоторыми обычными программными пакетами для шифрования дисков , заключается в создании второго зашифрованного тома внутри тома контейнера. Том контейнера сначала форматируется путем заполнения его зашифрованными случайными данными ^[14] , а затем инициализации на нем файловой системы. Затем пользователь заполняет часть файловой системы легитимными, но правдоподобно выглядящими файлами-обманками, которые, как может показаться, пользователь хочет скрыть. Затем в свободном пространстве файловой системы контейнера выделяется новый зашифрованный том (скрытый том), который будет использоваться для данных, которые пользователь на самом деле хочет скрыть. Поскольку злоумышленник не может отличить зашифрованные данные от случайных данных, используемых для инициализации внешнего тома, этот внутренний том теперь необнаружим. LibreCrypt ^[15] и BestCrypt могут иметь много скрытых томов в контейнере; TrueCrypt ограничен одним скрытым томом ^{[16] .}

Другое программное обеспечение

• OpenPuff , бесплатная стеганография с полуоткрытым исходным кодом для MS Windows.
• LibreCrypt — прозрачное шифрование дисков с открытым исходным кодом для MS Windows и карманных компьютеров PocketPC, которое обеспечивает как отрицаемое шифрование, так и правдоподобное отрицание . ^{[14] [17]} Предлагает широкий спектр вариантов шифрования и не требует установки перед использованием, если у пользователя есть права администратора.
• Неофициальный обмен сообщениями — криптографический метод, обеспечивающий полную отрицаемость при обмене мгновенными сообщениями.
• StegFS — текущий преемник идей, воплощенных в файловых системах Rubberhose и PhoneBookFS.
• VeraCrypt (преемник прекращенного TrueCrypt ), программное обеспечение для шифрования дисков «на лету» для Windows, Mac и Linux, обеспечивающее ограниченное отрицаемое шифрование ^[18] и в некоторой степени (из-за ограничений на количество скрытых томов, которые могут быть созданы ^[16] ) правдоподобное отрицание , без необходимости установки перед использованием, если у пользователя есть полные права администратора.
• Vanish — исследовательский прототип реализации самоуничтожающегося хранилища данных.

Обнаружение

Существование скрытых зашифрованных данных может быть обнаружено из-за недостатков в реализации. ^{[19] [ самостоятельно опубликованный источник ]} Также это может быть обнаружено с помощью так называемой атаки с водяными знаками, если используется неподходящий режим шифрования. ^[20] Существование данных может быть обнаружено путем их «утечки» в незашифрованное дисковое пространство ^[21] , где их можно обнаружить с помощью криминалистических инструментов. ^{[22] [ самостоятельно опубликованный источник ]}

Были высказаны сомнения относительно уровня правдоподобного отрицания в «скрытых томах» ^{[23] [ самостоятельно опубликованный источник ]} – содержимое «внешней» файловой системы контейнера должно быть «заморожено» в своем первоначальном состоянии, чтобы предотвратить повреждение пользователем скрытого тома (это можно обнаружить по временным меткам доступа и изменения), что может вызвать подозрения. Эту проблему можно устранить, указав системе не защищать скрытый том, хотя это может привести к потере данных. ^{[ необходима цитата ]}

Недостатки

Обладание отрицаемыми инструментами шифрования может привести к тому, что злоумышленники продолжат пытать пользователя даже после того, как пользователь раскрыл все свои ключи, поскольку злоумышленники не могут знать, раскрыл ли пользователь свой последний ключ или нет. Однако знание этого факта может лишить пользователей стимула раскрывать какие-либо ключи изначально, поскольку они никогда не смогут доказать злоумышленнику, что они раскрыли свой последний ключ. ^[24]

Отрицаемая аутентификация

Некоторые пакеты зашифрованных сообщений в пути, такие как Off-the-Record Messaging , предлагают отрицаемую аутентификацию , которая дает участникам правдоподобное отрицание их разговоров. Хотя отрицаемая аутентификация технически не является «отрицаемым шифрованием», поскольку шифрование сообщений не отрицается, ее отрицаемость относится к неспособности противника доказать, что участники вели разговор или сказали что-то конкретное.

Это достигается тем, что вся информация, необходимая для подделки сообщений, добавляется к зашифрованным сообщениям — если злоумышленник способен создавать цифровые аутентичные сообщения в разговоре (см. код аутентификации сообщений на основе хэша (HMAC)), он также может подделывать сообщения в разговоре. Это используется в сочетании с совершенной прямой секретностью , чтобы гарантировать, что компрометация ключей шифрования отдельных сообщений не поставит под угрозу дополнительные разговоры или сообщения.

Смотрите также

• Отсев и просеивание  – Криптографическая техника
• Отрицаемая аутентификация  — аутентификация сообщений между группой участников, где сами участники могут быть уверены в подлинности сообщений, но это не может быть доказано третьей стороне после события.Pages displaying wikidata descriptions as a fallback
• dm-crypt  – Программа для шифрования дисков
• Закон о раскрытии ключей  – Закон, требующий от отдельных лиц передавать криптографические ключи правоохранительным органам.
• Правдоподобное отрицание  – Возможность отрицать ответственность
• Стеганография  – Сокрытие сообщений в других сообщениях
• Расстояние уникальности  – длина шифртекста, необходимая для однозначного взлома шифра.

Ссылки

1. См. http://www.schneier.com/paper-truecrypt-dfs.html Архивировано 27.06.2014 на Wayback Machine . Получено 26.07.2013.
2. Chen, Chen; Chakraborti, Anrin; Sion, Radu (2020). «INFUSE: Невидимая правдоподобно отрицаемая файловая система для флэш-памяти NAND». Труды по технологиям улучшения конфиденциальности . 2020 (4): 239–254. doi : 10.2478/popets-2020-0071 . ISSN  2299-0984. Архивировано из оригинала 2023-02-08 . Получено 2024-04-02 .
3. Ран Канетти, Синтия Дворк, Мони Наор, Рафаил Островский (1996-05-10). "Deniable Encryption" (PostScript) . Достижения в криптологии – CRYPTO '97 . Конспект лекций по информатике. Том 1294. С. 90–104. doi :10.1007/BFb0052229. ISBN 978-3-540-63384-6. Архивировано из оригинала 2020-08-24 . Получено 2007-01-05 .{{cite book}}: CS1 maint: multiple names: authors list (link)
4. См . "Rubberhose cryptographically deniable transparent disk cryptographically discryptible disk cryptographically discryption system". Архивировано из оригинала 2010-09-15 . Получено 2010-10-21 .. Получено 22 июля 2009 г.
5. "The RIP Act". The Guardian . Лондон. 25 октября 2001 г. Архивировано из оригинала 28 марта 2023 г. Получено 19 марта 2024 г.
6. "Законопроект о регулировании следственных полномочий; на сессии 1999-2000 гг., интернет-публикации, другие законопроекты, находящиеся на рассмотрении парламента". Палата лордов. 9 мая 2000 г. Архивировано из оригинала 8 ноября 2011 г. Получено 5 января 2011 г.
7. Шнайер, Брюс (27 октября 2008 г.). «Rubber-Hose Cryptanalysis». Шнайер о безопасности . Архивировано из оригинала 30 августа 2009 г. Получено 29 августа 2009 г.
8. Ranum, Marcus J. (16 октября 1990 г.). "Re: Криптография и закон..." Группа новостей : sci.crypt. Usenet:  [email protected]. Архивировано из оригинала 2 апреля 2024 г. Получено 11 октября 2013 г.
9. Шеннон, Клод (1949). «Теория связи в секретных системах» (PDF) . Bell System Technical Journal . 28 (4): 659–664. doi :10.1002/j.1538-7305.1949.tb00928.x. Архивировано (PDF) из оригинала 2022-01-14 . Получено 2022-01-14 .
10. Трахтенберг, Ари (март 2014 г.). Say it Ain't So - An Implementation of Deniable Encryption (PDF) . Blackhat Asia. Сингапур. Архивировано (PDF) из оригинала 21.04.2015 . Получено 06.03.2015 .
11. Чакраборти, Дебруп; Родригес-Энрикес, Франциско (2008). Четин Кая Коч (ред.). Криптографическая инженерия. Спрингер. п. 340. ИСБН 9780387718170. Архивировано из оригинала 2024-04-02 . Получено 2020-11-18 .
12. "Rubberhose cryptographically deniable transparent disk cryptographically discryption system". marutukku.org . Архивировано из оригинала 16 июля 2012 . Получено 12 января 2022 .
13. "Rubberhose cryptographically deniable transparent disk cryptographically discryptible disk cryptographically discryption system". marutukku.org . Архивировано из оригинала 16 июля 2012 . Получено 12 января 2022 .
14. "LibreCrypt: Прозрачное шифрование диска "на лету" для Windows. Совместимо с LUKS.: Tdk/LibreCrypt". GitHub . 2019-02-09. Архивировано из оригинала 2019-12-15 . Получено 2015-07-03 .
15. "LibreCrypt documentation on Plausible Deniability". GitHub . 2019-02-09. Архивировано из оригинала 2019-12-15 . Получено 2015-07-03 .
16. "TrueCrypt". Архивировано из оригинала 2012-09-14 . Получено 2006-02-16 .
17. См. раздел документации «Правдоподобное отрицание» (архив 2019-12-15 на Wayback Machine ).
18. "TrueCrypt - Бесплатное программное обеспечение с открытым исходным кодом для шифрования дисков "на лету" для Windows Vista/XP, Mac OS X и Linux - Скрытый том". Архивировано из оригинала 2013-10-15 . Получено 2006-02-16 .
19. Адал Кирилюк (2003-10-23). ​​"BestCrypt IV generation flaw". Архивировано из оригинала 2006-07-21 . Получено 2006-08-23 . {{cite journal}}: Цитировать журнал требует |journal=( помощь )
20. [title=https://lists.gnu.org/archive/html/qemu-devel/2013-07/msg04229.html Архивировано 2016-07-02 на Wayback Machine [Qemu-devel] Криптография QCOW2 и безопасная обработка ключей]
21. "Зашифрованные жесткие диски могут быть небезопасны: исследователи обнаружили, что шифрование — это не то, за что его выдают". Архивировано из оригинала 2013-03-30 . Получено 2011-10-08 .
22. http://www.forensicfocus.com/index.php?name=Forums&file=viewtopic&t=3970 Архивировано 05.09.2014 на Wayback Machine Есть ли способ узнать в Encase, есть ли скрытый том truecrypt? Если да, то как?
23. "Правдоподобная поддержка отрицания LUKS". Архивировано из оригинала 21.10.2019 . Получено 03.07.2015 .
24. "Джулиан Ассанж: Физическое принуждение". Архивировано из оригинала 2013-07-23 . Получено 2011-10-08 .

Дальнейшее чтение

• Czeskis, A.; St. Hilaire, DJ; Koscher, K.; Gribble, SD; Kohno, T.; Schneier, B. (2008). «Обход зашифрованных и отрицаемых файловых систем: TrueCrypt v5.1a и случай с Tattling OS и приложениями» (PDF) . 3-й семинар по актуальным темам в области безопасности . USENIX.
• Howlader, Jaydeep; Basu, Saikat (2009). "Sender-Side Public Key Deniable Encryption Scheme". Труды Международной конференции по достижениям в области новейших технологий в области связи и вычислений . IEEE. doi :10.1109/ARTCom.2009.107.
• Хаулэдер, Джейдип; Наир, Вивек; Басу, Сайкат (2011). «Отрицаемое шифрование вместо неперехватываемого канала для предотвращения принуждения». Proc. Advances in Networks and Communications . Communications in Computer and Information Science. Vol. 132. Springer. pp. 491–501. doi :10.1007/978-3-642-17878-8_50.