Отрицаемое шифрование - Deniable encryption

В криптография и стеганография правдоподобно отрицательное шифрование описывает шифрование методы, при которых существование зашифрованного файла или сообщения отрицается в том смысле, что злоумышленник не может доказать, что простой текст данные существуют.[1]

Пользователи могут убедительно отрицать что данный фрагмент данных зашифрован или что они могут расшифровать данный фрагмент зашифрованных данных,[нужна цитата ] или что существуют определенные зашифрованные данные. Такие опровержения могут быть или не быть искренними. Например, может быть невозможно доказать, что данные зашифрованы без сотрудничества с пользователями. Если данные зашифрованы, пользователи действительно не смогут их расшифровать. Отрицательное шифрование служит для подрыва уверенности злоумышленника в том, что данные либо зашифрованы, либо лицо, владеющее ими, может их расшифровать и предоставить связанные простой текст.

Функция

Отрицательное шифрование делает невозможным доказательство существования сообщения открытого текста без надлежащего ключа дешифрования. Это можно сделать, разрешив расшифровку зашифрованного сообщения в различные разумные открытые тексты, в зависимости от ключ использовал. Это позволяет отправителю иметь правдоподобное отрицание если его принуждают отказаться от своего ключа шифрования. Понятие "отрицательное шифрование" использовалось Джулиан Ассанж и Ральф Вайнманн в Файловая система Rubberhose[2] и подробно исследован в статье Ран Канетти, Синтия Дворк, Мони Наор, и Рафаил Островский[3] в 1996 г.

Сценарий

Отклоняемое шифрование позволяет отправителю зашифрованного сообщения запретить отправку этого сообщения. Для этого требуется доверенная третья сторона. Возможный сценарий работает так:

  1. Боб подозревает свою жену Алиса занимается супружеской неверностью. В таком случае Алиса хочет пообщаться со своим тайным любовником Карлом. Она создает два ключа, один из которых должен храниться в секрете, другой - для принесения в жертву. Она передает секретный ключ (или оба) Карлу.
  2. Алиса составляет безобидное сообщение M1 для Карла (предназначенное для раскрытия Бобу в случае обнаружения) и компрометирующее любовное письмо M2 Карлу. Она создает зашифрованный текст C из обоих сообщений, M1 и M2, и отправляет его Карлу по электронной почте.
  3. Карл использует свой ключ для расшифровки M2 (и, возможно, M1, чтобы также прочитать фальшивое сообщение).
  4. Боб узнает об электронном письме, отправленном Карлу, становится подозрительным и заставляет Алису расшифровать сообщение.
  5. Алиса использует жертвенный ключ и раскрывает безобидное сообщение M1 Бобу. Поскольку Боб не может знать наверняка, что в C могут содержаться другие сообщения, он может предположить, что там находятся никаких других сообщений (альтернативно, Боб может быть изначально не знаком с концепцией правдоподобного шифрования и, следовательно, может не знать, что C даже может содержать более одного сообщения).

Другой возможный сценарий заключается в том, что Алиса отправляет один и тот же зашифрованный текст (некоторые секретные инструкции) Бобу и Карлу, которым она передала разные ключи. Боб и Карл должны получать разные инструкции и не должны читать инструкции друг друга. Боб сначала получит сообщение, а затем перешлет его Карлу.

  1. Алиса составляет зашифрованный текст из обоих сообщений, M1 и M2, и отправляет его Бобу по электронной почте.
  2. Боб использует свой ключ для расшифровки M1 и не может прочитать M2.
  3. Боб пересылает зашифрованный текст Карлу.
  4. Карл использует свой ключ для расшифровки M2 и не может прочитать M1.

Формы отрицательного шифрования

Обычно зашифрованные тексты расшифровываются до единственного открытого текста, который предполагается хранить в секрете. Однако одна из форм отрицательное шифрование позволяет пользователям расшифровать зашифрованный текст для создания другого (безобидного, но правдоподобного) открытого текста и правдоподобно заявить, что это именно то, что они зашифровали. Владелец зашифрованного текста не сможет отличить истинный открытый текст от открытого текста с ложным заявлением. В общем, расшифровывая один зашифрованный текст к множеству открытые тексты невозможно, если размер ключа не превышает простой текст,[4] поэтому для большинства целей это нецелесообразно.[5] Однако некоторые схемы позволяют расшифровке перехватывать открытые тексты, близкие к оригиналу в некоторой метрике (например, редактировать расстояние ).[6]

Современные методы отрицательного шифрования используют тот факт, что без ключа невозможно отличить зашифрованный текст от блочные шифры и данные, созданные криптографически безопасный генератор псевдослучайных чисел (шифр псевдослучайная перестановка свойства).[7]

Используется в сочетании с некоторыми приманка данные, которые пользователь, вероятно, хотел бы сохранить конфиденциальными, которые будут раскрыты злоумышленнику, утверждая, что это все, что есть. Это форма стеганография.

Если пользователь не предоставляет правильный ключ для действительно секретных данных, его расшифровка приведет к явно случайным данным, неотличимым от того, что там не было никаких конкретных данных.

Одним из примеров отрицательного шифрования является криптографическая файловая система в котором используется концепция абстрактных «слоев», где каждый уровень может быть расшифрован с помощью другого ключа шифрования. Дополнительно специальный "мякина слои "заполняются случайными данными для того, чтобы правдоподобное отрицание о существовании реальных слоев и их ключей шифрования. Пользователь может хранить файлы-приманки на одном или нескольких слоях, отрицая существование других, утверждая, что остальное пространство занято слоями мякины. Физически эти типы файловых систем обычно хранятся в одном каталоге, состоящем из файлов одинаковой длины с именами файлов, которые либо рандомизированный (если они принадлежат слоям половы), или криптографические хеши строк, идентифицирующих блоки. В отметки времени эти файлы всегда рандомизированы. Примеры этого подхода включают Файловая система Rubberhose и PhoneBookFS.

Другой подход, используемый некоторыми традиционными программное обеспечение для шифрования дисков suites создает второй зашифрованный объем в объеме контейнера. Том контейнера сначала форматируется, заполняя его зашифрованными случайными данными,[8] а затем инициализировать на нем файловую систему. Затем пользователь заполняет часть файловой системы законными, но выглядящими правдоподобными файлами-ловушками, которые, по-видимому, у пользователя есть стимул скрыть. Затем новый зашифрованный том (скрытый том) выделяется в свободном пространстве файловой системы контейнера, который будет использоваться для данных, которые пользователь действительно хочет скрыть. Поскольку злоумышленник не может отличить зашифрованные данные от случайных данных, используемых для инициализации внешнего тома, этот внутренний том теперь невозможно обнаружить.LibreCrypt[9] и BestCrypt может иметь много скрытых томов в контейнере; TrueCrypt ограничен одним скрытым томом.[10]

Обнаружение

Существование скрытых зашифрованных данных может быть выявлено по недостаткам реализации.[11] Это также может быть обнаружено с помощью так называемой «атаки с использованием водяных знаков», если используется неподходящий режим шифрования.[12]Существование данных может быть обнаружено по их «утечке» в незашифрованное дисковое пространство. [13] где это может быть обнаружено судебно-медицинский инструменты.[14]

Были высказаны сомнения относительно уровня правдоподобного отрицания «скрытых томов».[15] - содержимое «внешней» файловой системы контейнера должно быть «заморожено» в исходном состоянии, чтобы предотвратить повреждение скрытого тома пользователем (это можно определить по отметкам времени доступа и модификации), что может вызвать подозрение. Эту проблему можно устранить, указав системе не защищать скрытый том, хотя это может привести к потере данных.

Недостатки

Отрицательное шифрование подвергалось критике, поскольку оно не защищает пользователей от раскрытие ключей под принуждением или пытками. Обладание инструментами шифрования, которые нельзя отрицать, может привести к тому, что злоумышленники будут продолжать пытать пользователя даже после того, как пользователь раскрыл все свои ключи, потому что злоумышленники не могли знать, раскрыл ли пользователь свой последний ключ или нет.[16]

Отклоняемая аутентификация

Некоторые пакеты для передачи зашифрованных сообщений при передаче, такие как Сообщения без записи, предлагает отрицательная аутентификация что дает участникам правдоподобное отрицание их разговоров. Хотя отрицательная аутентификация технически не является «отрицательным шифрованием» в том смысле, что в шифровании сообщений не отрицается, ее отрицание относится к неспособности злоумышленника доказать, что участники беседовали или сказали что-либо конкретное.

Это достигается за счет того, что вся информация, необходимая для подделки сообщений, добавляется к зашифрованным сообщениям - если злоумышленник может создать в разговоре сообщения с цифровой аутентификацией (см. код аутентификации сообщения на основе хэша (HMAC)), он также умеет ковать сообщения в беседе. Используется вместе с совершенная прямая секретность чтобы гарантировать, что компрометация ключей шифрования отдельных сообщений не приведет к компрометации дополнительных разговоров или сообщений.

Программного обеспечения

  • OpenPuff, бесплатная стеганография с полуоткрытым исходным кодом для MS Windows.
  • EDS, мобильное приложение для шифрования, доступное для Android, включает шифрование правдоподобного отрицания.
  • Шпионаж, условно-бесплатная для Mac OS X.[17] Исходный код доступен исследователям безопасности.[18]
  • Fuyoal, инструмент с открытым исходным кодом, который обеспечивает правдоподобное отрицание, основанное на неразличимости зашифрованных файлов, содержащих и не содержащих скрытый контент.
  • LibreCrypt, Открытый исходный код прозрачное шифрование диска для КПК MS Windows и PocketPC, который обеспечивает как отказоустойчивое шифрование, так и правдоподобное отрицание.[8][19] Предлагает широкий спектр опций шифрования и не требует установки перед использованием, если у пользователя есть права администратора.
  • Сообщения без записи, криптографический метод, обеспечивающий истинное отрицание возможности обмена мгновенными сообщениями.
  • PhoneBookFS, еще одна криптографическая файловая система для Linux, обеспечивающая правдоподобное отрицание через мякину и слои. А ПРЕДОХРАНИТЕЛЬ реализация. Больше не поддерживается.
  • Резиновый шланг, несуществующий проект (последний выпуск в 2000 году, несовместим с современными дистрибутивами Linux)
  • StegFS, нынешний преемник идей, воплощенных в файловых системах Rubberhose и PhoneBookFS.
  • VeraCrypt (преемник снятого с производства TrueCrypt ), шифрование диска на лету программное обеспечение для Windows, Mac и Linux, обеспечивающее ограниченное отрицательное шифрование[20] и в некоторой степени (из-за ограничений на количество скрытых томов, которые могут быть созданы[10])правдоподобное отрицание, без необходимости установки перед использованием, если у пользователя есть полные права администратора.
  • Исчезнуть, исследовательский прототип реализации самоуничтожающегося хранилища данных.
  • ScramDisk 4 Linux, а бесплатно программное обеспечение набор инструментов для систем GNU / Linux, которые могут открывать и создавать scramdisk и контейнер truecrypt.
  • HushChat, инструмент чата с открытым исходным кодом, который обеспечивает надежное шифрование и правдоподобное отрицание.

Смотрите также

Рекомендации

  1. ^ Видеть http://www.schneier.com/paper-truecrypt-dfs.html. Проверено 26 июля 2013.
  2. ^ Видеть «Архивная копия». Архивировано из оригинал на 2010-09-15. Получено 2010-10-21.CS1 maint: заархивированная копия как заголовок (ссылка на сайт). Проверено 22 июля 2009.
  3. ^ Ран Канетти, Синтия Дворк, Мони Наор, Рафаил Островский (1996-05-10). «Отклоняемое шифрование» (PostScript). Достижения в криптологии - CRYPTO '97. Конспект лекций по информатике. 1294. С. 90–104. Дои:10.1007 / BFb0052229. ISBN  978-3-540-63384-6. Получено 2007-01-05.CS1 maint: несколько имен: список авторов (ссылка на сайт)
  4. ^ https://www.cs.purdue.edu/homes/ninghui/courses/555_Spring12/handouts/555_Spring12_topic03.pdf
  5. ^ Смит (2007-06-09). "Одноразовые блокноты".
  6. ^ Трахтенберг, Ари (март 2014 г.). Скажи, что это не так - реализация отказоустойчивого шифрования (PDF). Blackhat Asia. Сингапур.
  7. ^ Чакраборти, Дебруп; Родригес-Энрикес., Франсиско (2008). Четин Кая Коч (ред.). Криптографическая инженерия. п. 340. ISBN  9780387718170.
  8. ^ а б «LibreCrypt: прозрачное шифрование диска на лету для Windows. Совместимость с LUKS .: T-d-k / LibreCrypt». 2019-02-09.
  9. ^ «Документация LibreCrypt по правдоподобному отрицанию». 2019-02-09.
  10. ^ а б «TrueCrypt».
  11. ^ Адал Кирилюк (23.10.2003). «Недостаток поколения BestCrypt IV». Архивировано из оригинал на 2006-07-21. Получено 2006-08-23. Цитировать журнал требует | журнал = (Помогите)
  12. ^ [title =https://lists.gnu.org/archive/html/qemu-devel/2013-07/msg04229.html [Qemu-devel] Криптография QCOW2 и безопасная обработка ключей]
  13. ^ Зашифрованные жесткие диски могут быть небезопасными: исследователи обнаружили, что шифрование - это еще не все, на что оно претендует.
  14. ^ http://www.forensicfocus.com/index.php?name=Forums&file=viewtopic&t=3970 Есть ли способ узнать в Encase, есть ли скрытый том truecrypt? Если да, то как?
  15. ^ Правдоподобная поддержка отрицания ответственности LUKS
  16. ^ Джулиан Ассанж: физическое принуждение
  17. ^ Основные достижения в области отказоустойчивого шифрования достигаются в сфере шпионажа 3.6
  18. ^ Шпионаж 3 - Исходный код доступен специалистам по безопасности
  19. ^ Увидеть его раздел документации "Правдоподобное отрицание" )
  20. ^ TrueCrypt - Бесплатное программное обеспечение для шифрования дисков на лету с открытым исходным кодом для Windows Vista / XP, Mac OS X и Linux - Скрытый том

дальнейшее чтение