Номер "ничего в рукаве" - Nothing-up-my-sleeve number - Wikipedia

В криптография, Ничего особенного в цифрах - любые числа, которые по своей конструкции не вызывают подозрений в отношении скрытых свойств. Они используются при создании криптографических функций, таких как хеши и шифры. Этим алгоритмам часто требуются рандомизированные константы для микширования или инициализации. Криптограф может пожелать выбрать эти значения таким образом, чтобы продемонстрировать, что константы были выбраны не для гнусной цели, например, для создания задняя дверь к алгоритму.[1] Эти опасения можно развеять, если использовать числа, созданные таким образом, что остается мало места для корректировки. Примером может служить использование начальных цифр номера π как константы.[2] Используя цифры π миллионы знаков после десятичной точки не будут считаться заслуживающими доверия, потому что разработчик алгоритма мог выбрать эту отправную точку, потому что она создала секретную уязвимость, которую разработчик впоследствии мог бы использовать.

Цифры в позиционные представления реальных чисел, таких как π, е, причем считается, что иррациональные корни появляются с одинаковой частотой (см. нормальный номер ). Такие числа можно рассматривать как противоположную крайность Случайные числа Чайтина – Колмогорова. в том, что они кажутся случайными, но имеют очень низкий информационная энтропия. Их использование мотивировано ранними спорами о правительстве США 1975 г. Стандарт шифрования данных, который подвергся критике из-за отсутствия объяснения констант, используемых в его S-коробка (хотя позже выяснилось, что они были тщательно отобраны для защиты от засекреченной тогда техники дифференциальный криптоанализ ).[3] Таким образом, возникла потребность в более прозрачном способе генерации констант, используемых в криптографии.

"Ничего в моем рукаве" - фраза, связанная с маги, которые иногда предваряют магический трюк, открывая рукава, чтобы показать, что внутри нет никаких предметов.

Примеры

  • Рон Ривест использовал тригонометрический синус функция для генерации констант для широко используемых MD5 хэш.[4]
  • Соединенные штаты. Национальное Агенство Безопасности использовал квадратные корни малых целых чисел для получения констант, используемых в его "алгоритме безопасного хеширования" SHA-1. В SHA-2 функции используют квадратные корни и кубические корни малых простые числа.[5]
    • В SHA-1 Алгоритм хеширования использует 0123456789ABCDEFFEDCBA9876543210F0E1D2C3 в качестве начального значения хеш-функции.
  • В Blowfish алгоритм шифрования использует двоичное представление π (без начальных 3), чтобы инициализировать его ключевой график.[2]
  • RFC 3526 описывает простые числа для обмен ключами в Интернете которые также генерируются из π.
  • В S-коробка из НовыйDES шифр получен из Декларация независимости США.[6]
  • В Кандидат AES DFC получает все свои произвольные константы, включая все записи S-блока, из двоичного разложения е.[7]
  • В ARIA ключевое расписание использует двоичное расширение 1 /π.[8]
  • Ключевой график RC5 шифр использует двоичные цифры из обоих е и Золотое сечение.[9]
  • В BLAKE хэш-функция, финалист в SHA-3 конкуренции, использует таблицу из 16 постоянных слов, которые являются ведущими 512 или 1024 битами дробная часть из π.
  • Ключевой график КАСУМИ cipher использует 0x123456789ABCDEFFEDCBA9876543210 для получения модифицированного ключа.
  • В Сальса20 Семейство шифров использует строку ASCII «развернуть 32-байтовый k» как константу в процессе инициализации блока.

Контрпримеры

  • В Стрибог S-блок хэш-функции, как утверждалось, генерировался случайным образом, но был реконструирован и, как было доказано, генерируется алгоритмически с некоторыми "загадочными" слабостями.[10]
  • Стандарт шифрования данных (DES) имеет константы, выданные АНБ. Они оказались далеко не случайными, но вместо того, чтобы быть задняя дверь они сделали алгоритм устойчивым к дифференциальный криптоанализ, метод, который в то время не был широко известен.[3]
  • Dual_EC_DRBG, а NIST -рекомендуемые криптографические генератор псевдослучайных битов, подверглись критике в 2007 году, потому что константы, рекомендованные для использования в алгоритме, могли быть выбраны таким образом, чтобы позволить их автору предсказывать будущие результаты по выборке прошлых сгенерированных значений.[1] В сентябре 2013 г. Нью-Йорк Таймс написал, что "внутренние служебные записки просочились бывшим подрядчиком АНБ, Эдвард Сноуден, предполагают, что АНБ сгенерировало один из генераторов случайных чисел, используемых в стандарте NIST 2006 г., называемый стандартом Dual EC DRBG, который содержит лазейку для АНБ ».[11]
  • Кривые P стандартизированы NIST для криптография на основе эллиптических кривых. Коэффициенты на этих кривых порождаются хеширование необъяснимый случайные семена, Такие как:
    • П-224: bd713447 99d5c7fc dc45b59f a3b9ab8f 6a948bc5.
    • П-256: c49d3608 86e70493 6a6678e1 139d26b7 819f7e90.
    • П-384: a335926a a319a27a 1d00896a 6773a482 7acdac73.

Хотя это и не связано напрямую, после того, как был обнаружен бэкдор в Dual_EC_DRBG, подозрительные аспекты констант кривой P NIST[12] привел к проблемам[13] что АНБ выбрало ценности, которые дали им преимущество в поиске[14] закрытые ключи.[15] С тех пор многие протоколы и программы начали использовать Подкрутка25519 в качестве альтернативы кривой NIST P-256.

Я больше не доверяю константам. Я считаю, что АНБ манипулировало ими через их отношения с промышленностью.

— Брюс Шнайер, АНБ взламывает большинство шифрования в Интернете (2013)

Ограничения

Бернстайн и соавторы демонстрируют, что использование чисел «ничего в рукаве» в качестве отправной точки в сложной процедуре создания криптографических объектов, таких как эллиптические кривые, может быть недостаточно для предотвращения вставки лазеек. Если в процедуре выбора объекта имеется достаточно настраиваемых элементов, набор возможных вариантов дизайна и очевидных простых констант может быть достаточно большим, чтобы поиск возможностей позволил создать объект с желаемыми свойствами бэкдора.[16]

Сноски

  1. ^ а б Брюс Шнайер (2007-11-15). «Разве АНБ заложило секретный бэкдор в новый стандарт шифрования?». Проводные новости.
  2. ^ а б Бумага Blowfish
  3. ^ а б Брюс Шнайер. Прикладная криптография, второе издание, John Wiley and Sons, 1996, стр. 278.
  4. ^ RFC 1321 Раздел 3,4
  5. ^ FIPS 180-2: Стандарт безопасного хеширования (SHS) (PDF, 236 кБ) - Текущая версия стандарта безопасного хеширования (SHA-1, SHA-224, SHA-256, SHA-384 и SHA-512), 1 августа 2002 г., с поправками от 25 февраля 2004 г.
  6. ^ Редакция NEWDES, Роберт Скотт, 1996 г.
  7. ^ Анри Гилбер; М. Жиро; П. Хугворст; Ф. Нойлхан; Т. Порнин; Г. Пупар; Дж. Стерн; С. Воденэ (19 мая 1998 г.). «Декоррелированный быстрый шифр: кандидат в AES» (PDF /PostScript ). Цитировать журнал требует | журнал = (помощь)
  8. ^ А. Бирюков, К. Де Канньер, Ж. Лано, Б. Пренил, С. Б. Орс (7 января 2004 г.). «Анализ безопасности и производительности ARIA» (PostScript ). Версия 1.2 - Заключительный отчет. Katholieke Universiteit Leuven. Цитировать журнал требует | журнал = (помощь)CS1 maint: несколько имен: список авторов (связь)
  9. ^ Ривест, Р. Л. (1994). «Алгоритм шифрования RC5» (PDF). Труды Второго международного семинара по быстрому шифрованию программного обеспечения (FSE) 1994e. С. 86–96.
  10. ^ Бирюков Алексей; Перрен, Лео; Удовенко, Алексей (2016). «Обратный инжиниринг S-box Streebog, Kuznyechik и STRIBOBr1 (Полная версия)». Цитировать журнал требует | журнал = (помощь)
  11. ^ Перлрот, Николь (10 сентября 2013 г.). «Правительство объявляет о шагах по восстановлению доверия к стандартам шифрования». Нью-Йорк Таймс. Получено 11 сентября, 2013.
  12. ^ https://safecurves.cr.yp.to/
  13. ^ Максвелл, Грегори (8 сентября 2013 г.). "[tor-talk] NIST одобрил криптовалюту в Tor?". Получено 2015-05-20.
  14. ^ «SafeCurves: жесткость». safecurves.cr.yp.to. Получено 2015-05-20.
  15. ^ «АНБ больше всего взламывает шифрование в Интернете - Шнайер о безопасности». www.schneier.com. Получено 2015-05-20.
  16. ^ Как манипулировать стандартами кривых: белая бумага для черной шляпы Дэниел Дж. Бернштейн, Тунг Чоу, Читчанок Чуэнгсатиансуп, Андреас Ху Улсинг, Эран Ламбудж, Таня Ланге, Рубен Нидерхаген и Кристин ван Вредендал, 27 сентября 2015 г., по состоянию на 4 июня 2016 г.

Рекомендации

  • Брюс Шнайер. Прикладная криптография, второе издание. Джон Вили и сыновья, 1996.
  • Эли Бихам, Ади Шамир, (1990). Дифференциальный криптоанализ DES-подобных криптосистем. Достижения в криптологии - CRYPTO '90. Springer-Verlag. 2–21.