Simplemente como un asunto técnico, ¿es posible hacer implementaciones de cifrado de otra manera que contengan puertas traseras gubernamentales?

4

Para que quede claro desde el principio: creo que el rediseño del cifrado moderno para incluir "puertas traseras" gubernamentales es, en general, una idea bastante mala, por varias razones. Tampoco (FWIW) realmente creo que las leyes que ordenan que realmente se promulguen, cuando todo esté dicho y hecho (en los EE.UU., de todos modos). Pero mi pregunta no es la política o los aspectos políticos de debate de encriptación ; Se trata de un aspecto tecnológico para esto que es más interesante.

Dejando de lado si debería hacerlo, podría adaptar los principales estándares de cifrado actuales y amp; implementaciones para permitir que una tercera parte autorizada (por ejemplo, el gobierno de los EE. UU.) monitoree las comunicaciones cifradas entre la Parte A y la Parte B y descifre esas conversaciones sin , lo que hace que sea significativamente más fácil para otra persona no autorizada para hacerlo tambien?

En las últimas semanas he leído demasiadas afirmaciones para contar, básicamente, respondiendo: "No. No hay posibilidad". Pero generalmente no está claro si con esa respuesta se entiende que (a) tales modificaciones no se pueden realizar sin debilitar fundamentalmente el cifrado común, o (b) que la proeza técnica podría ser factible, pero el gobierno "autorizado" simplemente perdería el control inevitablemente. de cualquier secreto que posean y permita que los Bad Guys reinen libremente en contra de personal y amp; información de la organización.

Todavía recuerdo la debacle de la década de 1990, donde la NSA intentó comenzar a hacer esto en el strongzza / "chip clipper" iniciativa a través de un sistema de custodia de claves ; fue exactamente a ninguna parte fuera del uso del gobierno. Y, a mi entender, el depósito en garantía no sería lo suficientemente escalable para el uso de hoy de todos modos. Y ciertamente es fácil crear un cifrado de "puerta trasera" ... si no está preocupado por debilitamiento que cifrado frente a todos los atacantes . Pero si no son viables, ¿existen enfoques técnicos alternativos (ver las cosas desde un nivel de detalle técnico de 30,000 pies) que podrían usarse para crear sistemas / implementaciones de encriptación tan robustos como los actuales contra el descifrado de terceros "no autorizado"? ¿O es eso realmente - a nuestro conocimiento actual - imposible?

    
pregunta mostlyinformed 22.12.2015 - 05:17
fuente

2 respuestas

8

Claro. El depósito de claves funciona, y se entiende bien.

RSA ofreció una versión con su versión "empresarial" de PGP 6.0 hace aproximadamente 20 años. PGP utiliza cifrado híbrido, donde el mensaje se cifra con un cifrado simétrico y la clave del cifrado simétrico se cifra con una clave pública del destinatario. Su bloque de claves admite el cifrado de la clave simétrica con varias claves públicas, lo que permite que múltiples destinatarios no compartan una clave privada.

En ese producto, se implementó el depósito de claves con la introducción de una clave simétrica cifrada con clave pública adicional, donde el propietario del sistema PGP tenía la clave privada. Se creó aparentemente para las empresas que podrían necesitar descifrar un mensaje si el empleado legítimo estaba incapacitado o despedido. (La versión anterior sufrió una terrible vulnerabilidad porque el bloqueo de la clave no estaba protegido por un MAC, y un tercero malintencionado podría agregar silenciosamente su propia clave de custodia).

Suponiendo que podría imponer el depósito de claves a un organismo de estándares, sería posible crear un protocolo seguro que podría ser descifrado tanto por el sitio legítimo como por el titular de la clave privada. El uso de la custodia de claves podría ser implementado por dispositivos de seguridad de red ubicados en la red troncal, que podrían denegar las comunicaciones a menos que vieran una firma digital en el paquete de intercambio de claves que indicara que las claves de custodia de claves estaban en su lugar. Los productos como snort ya funcionan así hoy; solo necesitarían la información de firma del protocolo legítimo, y luego podrían enviar un paquete RST a cualquier intercambio de claves SSL o TLS que no cumpla.

El diablo estaría en los detalles, sin embargo. Nada detendría el doble cifrado, porque a los dispositivos de seguridad de red no se les podían confiar las claves necesarias para descifrar los paquetes para inspeccionarlos profundamente. Nada puede evitar la señalización preestablecida fuera de banda, como "una imagen de una tetera en el lado izquierdo de la mesa significa 'ataque al amanecer'". Intercambios de llaves a medida que no son detectables, ya que TLS iría y se iría a la velocidad de la luz. Darknet VPNs mostraría mensajes de enrutamiento alrededor de los firewalls federales. Los mecanismos de comunicaciones esteganográficas incrustarían mensajes ilícitos en flujos de videos de gatos y solicitudes de ping ICMP. La gestión y distribución de llaves sería una pesadilla. E imagina lo que pasaría con la seguridad de la nación si Edward Snowden Jr. decidiera publicar la clave maestra de la NSA, o si Robert Hansen Jr. entregaba la copia del FBI a los rusos.

Tales medidas pueden hacer que sea más difícil para las personas comunes usar el cifrado no predeterminado, y pueden exponer sus iMessages a la NSA de forma regular, pero apenas desacelerarán a las organizaciones criminales o terroristas. Y serían desafiados en la corte de inmediato: obligar a los usuarios a agregar el depósito de claves sería equivalente al discurso convincente del gobierno, que está prohibido por la Constitución en los EE. UU.

    
respondido por el John Deters 22.12.2015 - 06:03
fuente
2

No solo es posible, sino que sabemos que se ha hecho antes. Específicamente, el algoritmo Dual_EC_DRBG que se ha analizado ad naseum en los últimos años, es un ejemplo de un algoritmo criptográfico fuerte < a href="http://arstechnica.com/security/2015/01/nsa-official-support-of-backdoored-dual_ec_drbg-was-regrettable/"> que se ha confirmado que contiene una puerta trasera NSA que permite que la NSA (y solo la NSA) "rompa completamente cualquier instanciación de Dual_EC_DRBG".

Para citar de la entrada de Wikipedia:

  

Una de las debilidades identificadas públicamente fue el potencial del algoritmo para albergar una puerta trasera ventajosa para los diseñadores del algoritmo, la Agencia de Seguridad Nacional (NSA) del gobierno de los Estados Unidos, y nadie más. En 2013, The New York Times informó que los documentos en su poder pero que nunca se entregaron al público "parecen confirmar" que la puerta trasera era real, y que la NSA había insertado deliberadamente como parte del programa de descifrado Bullrun de la NSA.

Para obtener una mejor descripción de la naturaleza de esta puerta trasera, le indicaré un publicación de blog por Bruce Schneier en 2007 :

  

En una presentación informal (.pdf) en la conferencia CRYPTO 2007 en agosto, Dan Shumow y Niels Ferguson demostró que el algoritmo contiene una debilidad que solo se puede describir como una puerta trasera.

     

Así es como funciona: hay un montón de constantes (números fijos) en el estándar utilizado para definir la curva elíptica del algoritmo. Estas constantes se enumeran en el Apéndice A de la publicación NIST, pero en ninguna parte se explica de dónde provienen.

     

Lo que mostraron Shumow y Ferguson es que estos números tienen una relación con un segundo conjunto secreto de números que pueden actuar como una especie de llave maestra. Si conoce los números secretos, puede predecir la salida del generador de números aleatorios después de recopilar solo 32 bytes de su salida. Para expresarlo en términos reales, solo necesita supervisar una conexión de cifrado de Internet TLS para romper la seguridad de ese protocolo. Si conoce los números secretos, puede romper completamente cualquier instanciación de Dual_EC_DRBG.

     

Los investigadores no saben cuáles son los números secretos. Pero debido a la forma en que funciona el algoritmo, la persona que produjo las constantes podría saberlo; Tuvo la oportunidad matemática de producir las constantes y los números secretos en tándem.

    
respondido por el HopelessN00b 19.02.2016 - 05:53
fuente

Lea otras preguntas en las etiquetas