В криптографии и стеганографии правдоподобно отвергнутое шифрование описывает методы шифрования, при которых существование зашифрованного файла или сообщения отрицается в том смысле, что злоумышленник не может доказать, что данные в виде открытого текста существуют. [1]
Пользователи могут убедительно отрицать, что данная часть данных зашифрована, или что они могут расшифровать данную часть зашифрованных данных, [ необходима цитата ] или что существуют определенные зашифрованные данные. Такие опровержения могут быть или не быть искренними. Например, может быть невозможно доказать, что данные зашифрованы без сотрудничества с пользователями. Если данные зашифрованы, пользователи действительно не смогут их расшифровать. Отклоняемое шифрование подрывает уверенность злоумышленника в том, что данные либо зашифрованы, либо лицо, владеющее ими, может их расшифровать и предоставить связанный открытый текст .
Функция
Отрицательное шифрование делает невозможным доказательство существования сообщения в виде открытого текста без надлежащего ключа дешифрования. Это можно сделать, разрешив расшифровку зашифрованного сообщения в различные разумные открытые тексты, в зависимости от используемого ключа . Это позволяет отправителю иметь правдоподобное отрицание, если он будет вынужден отказаться от своего ключа шифрования. Понятие «отрицательное шифрование» было использовано Джулианом Ассанжем и Ральфом Вайнманном в файловой системе Rubberhose [2] и подробно исследовано в статье Рана Канетти , Синтии Дворк , Мони Наор и Рафаила Островски [3] в 1996 году.
Сценарий
Отклоняемое шифрование позволяет отправителю зашифрованного сообщения запретить отправку этого сообщения. Для этого требуется доверенная третья сторона. Возможный сценарий работает так:
- Боб подозревает, что его жена Алиса участвует в супружеской неверности. В таком случае Алиса хочет пообщаться со своим тайным любовником Карлом. Она создает два ключа, один из которых должен храниться в секрете, а другой - для принесения в жертву. Она передает секретный ключ (или оба) Карлу.
- Алиса составляет безобидное сообщение M1 для Карла (предназначенное для раскрытия Бобу в случае обнаружения) и компрометирующее любовное письмо M2 Карлу. Она составляет зашифрованный текст C из обоих сообщений, M1 и M2, и отправляет его Карлу по электронной почте.
- Карл использует свой ключ для расшифровки M2 (и, возможно, M1, чтобы также прочитать фальшивое сообщение).
- Боб узнает об электронном письме, отправленном Карлу, становится подозрительным и заставляет Алису расшифровать сообщение.
- Алиса использует жертвенный ключ и показывает безобидное сообщение M1 Бобу. Так как невозможно для Боба , чтобы знать наверняка , что там могут быть и другие сообщения , содержащиеся в C, он мог бы предположить , что нет никаких других сообщений ( в качестве альтернативы, Боб может не быть знакомы с концепцией правдоподобной шифрования , в первую очередь, и , таким образом , может не знать, что C может содержать более одного сообщения).
Другой возможный сценарий заключается в том, что Алиса отправляет один и тот же зашифрованный текст (некоторые секретные инструкции) Бобу и Карлу, которым она передала разные ключи. Боб и Карл должны получать разные инструкции и не должны читать инструкции друг друга. Боб сначала получит сообщение, а затем перешлет его Карлу.
- Алиса составляет зашифрованный текст из обоих сообщений, M1 и M2, и отправляет его Бобу по электронной почте.
- Боб использует свой ключ для расшифровки M1 и не может прочитать M2.
- Боб пересылает зашифрованный текст Карлу.
- Карл использует свой ключ для расшифровки M2 и не может прочитать M1.
Формы отрицательного шифрования
Обычно зашифрованные тексты расшифровываются до единственного открытого текста, который должен храниться в секрете. Однако одна форма отрицательного шифрования позволяет пользователям расшифровать зашифрованный текст для создания другого (безобидного, но правдоподобного) открытого текста и правдоподобно утверждать, что это именно то, что они зашифровали. Владелец зашифрованного текста не сможет отличить истинный открытый текст от открытого текста с фиктивным требованием. В общем, дешифрование один шифротекста к нескольким текстам не представляется возможным , если ключ не является столь же большим , как открытый текст , [4] , так что это не практично для большинства целей. [5] Тем не менее, некоторые схемы позволяют дешифровке перехитрить открытые тексты, которые близки к оригиналу по некоторым показателям (например, расстоянию редактирования ). [6]
Современные методы отрицательного шифрования используют тот факт, что без ключа невозможно отличить зашифрованный текст от блочных шифров и данных, генерируемых криптографически безопасным генератором псевдослучайных чисел ( свойства псевдослучайной перестановки шифра ). [7]
Это используется в сочетании с некоторыми ложными данными, которые пользователь, вероятно, хотел бы сохранить в тайне, которые будут раскрыты злоумышленнику, утверждая, что это все, что есть. Это форма стеганографии .
Если пользователь не предоставляет правильный ключ для действительно секретных данных, его расшифровка приведет к явно случайным данным, неотличимым от того, что там не сохранились какие-либо конкретные данные.
Одним из примеров отрицательного шифрования является криптографическая файловая система, которая использует концепцию абстрактных «слоев», где каждый уровень может быть расшифрован с помощью другого ключа шифрования. Кроме того, специальные « слои мусора » заполняются случайными данными, чтобы иметь правдоподобное отрицание существования реальных слоев и их ключей шифрования. Пользователь может хранить файлы-приманки на одном или нескольких слоях, отрицая существование других, утверждая, что остальное пространство занято слоями мякины. Физически эти типы файловых систем обычно хранятся в одном каталоге, состоящем из файлов одинаковой длины с именами файлов, которые либо рандомизированы (в случае, если они принадлежат слоям мусора), либо криптографическими хэшами строк, идентифицирующих блоки. В временные метки этих файлов всегда случайным образом . Примеры этого подхода включают файловую систему Rubberhose и PhoneBookFS .
Другой подход, используемый некоторыми стандартными пакетами программного обеспечения для шифрования дисков, - это создание второго зашифрованного тома внутри тома контейнера. Том контейнера сначала форматируется, заполняя его зашифрованными случайными данными [8], а затем инициализируя на нем файловую систему. Затем пользователь заполняет часть файловой системы законными, но выглядящими правдоподобными файлами-ловушками, которые, по-видимому, у пользователя есть стимул скрыть. Затем в свободном пространстве файловой системы контейнера выделяется новый зашифрованный том (скрытый том), который будет использоваться для данных, которые пользователь действительно хочет скрыть. Поскольку злоумышленник не может отличить зашифрованные данные от случайных данных, используемых для инициализации внешнего тома, этот внутренний том теперь невозможно обнаружить. LibreCrypt [9] и BestCrypt могут иметь много скрытых томов в контейнере; TrueCrypt ограничен одним скрытым томом. [10]
Обнаружение
Наличие скрытых зашифрованных данных может быть выявлено по недостаткам в реализации. [11] Это также может быть обнаружено с помощью так называемой «атаки с использованием водяных знаков», если используется неподходящий режим шифрования. [12] Существование данных может быть обнаружено по их «утечке» в незашифрованное дисковое пространство [13], где они могут быть обнаружены с помощью средств судебной экспертизы . [14]
Высказывались сомнения относительно уровня правдоподобного отрицания «скрытых томов» [15] - содержимое «внешней» файловой системы контейнера должно быть «заморожено» в исходном состоянии, чтобы предотвратить повреждение скрытого тома пользователем (это может быть обнаруженным по отметкам времени доступа и модификации), что может вызвать подозрение. Эту проблему можно устранить, указав системе не защищать скрытый том, хотя это может привести к потере данных.
Недостатки
Отрицательное шифрование подвергалось критике за то, что оно не защищает пользователей от раскрытия ключей под принуждением или пытками . Обладание инструментами шифрования, которые нельзя отрицать, может привести к тому, что злоумышленники будут продолжать пытать пользователя даже после того, как пользователь раскрыл все свои ключи, поскольку злоумышленники не могли знать, раскрыл ли пользователь свой последний ключ или нет. [16]
Отклоняемая аутентификация
Некоторые пакеты для передачи зашифрованных сообщений при передаче, такие как Off-the-Record Messaging , предлагают отказоустойчивую аутентификацию, которая дает участникам правдоподобную возможность отрицания их разговоров. Хотя отвергающая аутентификация технически не является «отвергающим шифрованием» в том смысле, что в шифровании сообщений не отказывается, ее отрицание относится к неспособности злоумышленника доказать, что участники беседовали или сказали что-либо конкретное.
Это достигается за счет того, что вся информация, необходимая для подделки сообщений, добавляется к зашифрованным сообщениям - если злоумышленник может создавать цифровые аутентичные сообщения в разговоре (см. Код аутентификации сообщений на основе хэша (HMAC)), он также может чтобы подделывать сообщения в разговоре. Это используется в сочетании с идеальной прямой секретностью, чтобы гарантировать, что компрометация ключей шифрования отдельных сообщений не приведет к компрометации дополнительных разговоров или сообщений.
Программное обеспечение
- OpenPuff , бесплатная стеганография с полуоткрытым исходным кодом для MS Windows.
- Скрытый инструмент шифрования с открытым исходным кодом, обеспечивающий надежные возможности шифрования. Предлагает двоичные файлы для macOS, Linux и Windows.
- EDS , мобильное приложение для шифрования данных, доступное для Android, включает шифрование правдоподобного отрицания.
- Espionage , условно-бесплатное ПО для Mac OS X. [17] Исходный код доступен исследователям безопасности. [18]
- Fuyoal , инструмент с открытым исходным кодом, который обеспечивает правдоподобное отрицание, основанное на неразличимости зашифрованных файлов, которые содержат и не содержат скрытый контент.
- LibreCrypt , прозрачное шифрование диска с открытым исходным кодом для КПК MS Windows и PocketPC, обеспечивающее как надежное, так и правдоподобное отрицание . [8] [19] Предлагает широкий спектр опций шифрования и не требует установки перед использованием, если у пользователя есть права администратора.
- Обмен сообщениями вне записи , криптографический метод, обеспечивающий реальную отказоустойчивость для обмена мгновенными сообщениями.
- PhoneBookFS , еще одна криптографическая файловая система для Linux, обеспечивающая правдоподобное отрицание через мякину и слои. FUSE реализации. Больше не поддерживается.
- Rubberhose , несуществующий проект (последний выпуск в 2000 году, несовместим с современными дистрибутивами Linux)
- StegFS , нынешний преемник идей, воплощенных в файловых системах Rubberhose и PhoneBookFS.
- VeraCrypt (преемник прекращенной TrueCrypt ), программное обеспечение для шифрования дисков на лету для Windows, Mac и Linux, обеспечивающее ограниченное шифрование, которое нельзя отрицать [20], и в некоторой степени (из-за ограничений на количество скрытых томов, которые могут быть созданы [10] ) правдоподобное отрицание , без необходимости установки перед использованием, пока пользователь имеет полные права администратора.
- Vanish , исследовательский прототип реализации самоуничтожающегося хранилища данных.
- ScramDisk 4 Linux , бесплатный программный набор инструментов для систем GNU / Linux, который может открывать и создавать scramdisk и контейнер truecrypt.
- HushChat , инструмент чата с открытым исходным кодом, который обеспечивает надежное шифрование и правдоподобное отрицание .
Смотрите также
- Перетирание и веяние
- Отклоняемая аутентификация
- dm-crypt
- Ключевой закон о раскрытии информации
- Правдоподобное отрицание - Аспект управления и коммуникации
- Криптоанализ с резиновым шлангом - Извлечение криптографических секретов с помощью принуждения или пыток
- Стеганография - Скрытие сообщений в других сообщениях
- Расстояние уникальности - длина зашифрованного текста, необходимая для однозначного взлома шифра.
Рекомендации
- ^ См. Http://www.schneier.com/paper-truecrypt-dfs.html . Проверено 26 июля 2013.
- ^ См. «Архивная копия» . Архивировано из оригинала на 2010-09-15 . Проверено 21 октября 2010 .CS1 maint: заархивированная копия как заголовок ( ссылка ). Проверено 22 июля 2009.
- ^ Ран Канетти, Синтия Дворк, Мони Наор, Рафаил Островски (1996-05-10). «Отклоняемое шифрование» (PostScript) . Достижения в криптологии - CRYPTO '97 . Конспект лекций по информатике. 1294 . С. 90–104. DOI : 10.1007 / BFb0052229 . ISBN 978-3-540-63384-6. Проверено 5 января 2007 .CS1 maint: несколько имен: список авторов ( ссылка )
- ^ https://www.cs.purdue.edu/homes/ninghui/courses/555_Spring12/handouts/555_Spring12_topic03.pdf
- ^ Смит (2007-06-09). «Одноразовые блокноты» .
- ^ Трахтенберг, Ари (март 2014 г.). Скажи, что это не так - реализация отрицательного шифрования (PDF) . Blackhat Asia . Сингапур.
- ^ Чакраборти, Дебруп; Родригес-Энрикес., Франсиско (2008). Четин Кая Коч (ред.). Криптографическая инженерия . п. 340. ISBN 9780387718170.
- ^ а б «LibreCrypt: прозрачное шифрование диска на лету для Windows. Совместимость с LUKS .: Tdk / LibreCrypt» . 2019-02-09.
- ^ «Документация LibreCrypt по правдоподобному отрицанию» . 2019-02-09.
- ^ а б «TrueCrypt» .
- ^ Адал Кирилюк (23.10.2003). «Недостаток поколения BestCrypt IV» . Архивировано из оригинала на 2006-07-21 . Проверено 23 августа 2006 . Цитировать журнал требует
|journal=
( помощь ) - ^ [title = https://lists.gnu.org/archive/html/qemu-devel/2013-07/msg04229.html [Qemu-devel] Криптография QCOW2 и безопасная обработка ключей]
- ^ Зашифрованные жесткие диски могут быть небезопасными: исследователи обнаружили, что шифрование - это еще не все, на что оно претендует.
- ^ http://www.forensicfocus.com/index.php?name=Forums&file=viewtopic&t=3970 Есть ли способ узнать в Encase, есть ли скрытый том truecrypt? Если да, то как?
- ^ Правдоподобная поддержка отрицания ответственности LUKS
- ↑ Джулиан Ассанж: Физическое принуждение
- ^ Основные достижения в области отказоустойчивого шифрования достигаются в Espionage 3.6
- ^ Шпионаж 3 - Исходный код, доступный специалистам по безопасности
- ^ См. Раздел документации "Правдоподобное отрицание" )
- ^ TrueCrypt - Бесплатное программное обеспечение для шифрования дисков на лету с открытым исходным кодом для Windows Vista / XP, Mac OS X и Linux - Скрытый том
дальнейшее чтение
- Czeskis, A .; Сент-Илер, ди-джей; Koscher, K .; Гриббл, SD; Коно, Т .; Шнайер, Б. (2008). «Взлом зашифрованных и защищенных файловых систем: TrueCrypt v5.1a и случай с ОС и приложениями Tattling» (PDF) . 3-й семинар по актуальным вопросам безопасности . USENIX.
- Ховладер, Джейдип; Басу, Сайкат (2009). «Схема шифрования с открытым ключом на стороне отправителя». Труды Международной конференции по достижениям новейших технологий в области связи и вычислений . IEEE. DOI : 10,1109 / ARTCom.2009.107 .
- Ховладер, Джейдип; Наир, Вивек; Басу, Сайкат (2011). «Отклоняемое шифрование вместо неприменимого канала для предотвращения принуждения». Proc. Достижения в сетях и коммуникациях . Коммуникации в информатике и информатике. 132 . Springer. С. 491–501. DOI : 10.1007 / 978-3-642-17878-8_50 .