Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > Backdoor ve standardních veřejných algoritmech a další poznámky
listopad 03
Backdoor ve standardních veřejných algoritmech a další poznámky

Kamarád mi poslal následující odkaz. Nesnažím se na něho reagovat, jenom jsem si tam všiml zmínek ke kvěma klasickým teoriím. Pořád se vynořují různé spekulace o tom, jestli standardní veřejné algoritmy jako je AES a ECxxx a různé generátory náhodných čísel apod. neobsahují backdoor (zadní vrátka), která tam NSA vnesla, aby se do toho později dostala. Druhá obvyklá spekulace hovoří o tom, že existují nějaké "tajné" algoritmy, které se používají na nějaké "ultra top secret" věci apod.

Odpověď první

Blbost. Nikdo si nedovolí do algoritmu, který si standardizoval pro svoje vlastní použití, vnášet backdoor, protože existuje riziko, že si toho někdo všimne. Uvědomte si, že standardními algoritmy nejsou šifrovány jen aktuální přenosy a aktuální data, ale miliardy záloh a vůbec latentních uložených dat, která by se musela přešifrovat, pokud by se to provalilo. Nehledě na to, že počítáme s tím, že protivník si prostě jenom už pár let ukládá všechny naše zašifrované přenosy, aby si to přečetl později, až to půjde lépe.

Jednoduše - pokud někdo dokáže při aktuálních matematických znalostech vymyslet algoritmus se zadními vrátky, proč by to nedokázal jednoduše objevit někdo jiný s aktuálními matematickými znalostmi?

Jistě existuje vždycky riziko, že někdo objeví movou matematickou metodu, jak rychle krekovat i algoritmus bez předchozího backdooru, ale to vyžaduje nejprve posun na vyšší úroveň matematických znalostí, což je řádově větší problém.

Odpověď druhá

Blbost. Samozřejmě se používají "tajné" algoritmy, ale to je vždycky jen určitý folklór pro nějaký široce známý a prověřený algoritmus při nejlepším. Nikdo si nedovolí používat algoritmus, který si sám vymyslel a validovalo ho několik kusů jeho vlastních kryptologů oproti tisícům u veřejných algoritmů. Vždycky je riziko, že si prostě kluci ušatí nevšimli nějaké blbiny, takže to pak nějaké děcko v afganistánu přečte od oka.

Druhý důvod je ještě mnohem prozajičtější. Člověk má samozřejmě pocit, že "top secret" je tak maximálně pět dokumentů, jedním z nichž je ultra tajná mega atomovka, která se dá transportovat v análním otvoru a ještě to optimalizuje stolici, takže k tomu má přístup tak maximálně americkej prezident a jeho prověřenej rektolog. Nesmysl.

Top secret jsou milióny dokumentů, pokud ne miliardy a přístup k nim má desetitisíce lidí, pokud ne milióny (viz. například tady) - prostě nejen ti tři vědci a prezident přichází do kontaktu s top secret daty. Máte adminy, techniky, dodavatele, uklízečky a servisáky. Každý voják co má satelitní komunikátor má v ruce krypto software.

A tihle všichni potřebují, aby s těmi daty mohli pracovat. Musí mít operační systémy, musí mít aplikace. Všechny tyhle aplikace musí vyvíjet normální firmy od kterých se to nakupuje. Ty normální firmy musí vyvíjet na základě standardů a běžných knihoven, protože to je potom prostě a jednoduše levnější. Jinak by NSA musela validovat a hlavně platit dvacetkrát víc za každou super aplikaci, která umí ten jejich megatajnej algoritmus na objednávání obědů na každým atomovým křižníku.

A teď to hlavní kouzlo - a protože těch aplikací je tolik, tak by bylo tolik dodavatelů, že by se z těch super tajnejch algoritmů stejně velice brzo staly totálně veřejné.

Rovná se

Vláda potřebuje standardní otevřené algoritmy bez zadních vrátek. Standardy jsou pro lidi. Lidi fungují v řádech let minimálně, spíše v řádech pětiletek a mnohem déle. S tím se počítá a proto jsou standardy dělány na mnoho let dopředu.

Pokud se zjistí nějaká skutečná díra, tak se standardy změní. A tak dokud se nezmění NIST comparable algorithm strength, tak já budu pořád považovat SHA-1 za 80bitovou bezpečnost a ECDSA 256 za 128bitovou bezpečnost a DH/ECDH 2048/224 za 112bitovou bezpečnost. Tak jak tomu je už 8 let.

A já jdu v klidu spinkat.

Comments

Re: Backdoor ve standardních veřejných algoritmech a další poznámky

> Nikdo si nedovolí do algoritmu, který si standardizoval pro svoje vlastní použití, vnášet backdoor, protože existuje riziko, že si toho někdo všimne

Ano, tento argument se zdá být "zdravým selským rozumem" a používají ho i Koblitz a Menezes. Nicméně, jak dále argumentují sami, je známý protipříklad - backdoornutý Dual EC DRBG (v standardu NIST SP 800-90A).

> Top secret jsou milióny dokumentů, pokud ne miliardy a přístup k nim má desetitisíce lidí, pokud ne milióny

To je známé a je to "antifeatura" celého systému, proto mají problém s únikem dokumentů.

> já budu pořád považovat SHA-1 za 80bitovou bezpečnost

To už dávno neplatí, asi tak 10 let - https://www.iacr.org/archive/crypto2005/36210017/36210017.pdf
Ondrej Mikle on 14.11.2015 23:29

Re: Backdoor ve standardních veřejných algoritmech a další poznámky

ad Dual EC - nevím o tom, že by někdo přiznal, že to byl záměrný backdoor. Nemohlo jít prostě jenom o to, že již v procesu standardizace došlo ke zjištění díry?

To je asi tak stejné, jako by někdo mohl tvrdit, že SHA-1 měla záměrný backdoor od samého začátku, když na to někdo přišel cca 5 let po jejím vystandardizování, ne? Navíc SHA-1 je postavená na již dlouho předtím "pomluvených" MDx algoritmech, takže zase se nabízí teorie "backdoor".

Jak by to asi NSA udělala s tím záměrným backdoorem - jakože "tak tady máme vládní standard, ale prosím, v USA ho raději nepoužívejte?" :-)

ondass on 15.11.2015 8:29

Re: Backdoor ve standardních veřejných algoritmech a další poznámky

ad Xiaoyun/Yiqun/Hongbo - jasně, ale to je přesně ten výzkum, na základě kterého to NIST přestandardizoval, což od té doby naposledy 2012 aktualizoval a pořád je to 80bitová bezpečnost, protože NIST comparable algorithm strength je "comparable", nikoliv "absolute". Já netvrdím, že SHA-1 je super bezpečná, ale viz. můj další článek, https://www.sevecek.com/Lists/Posts/Post.aspx?ID=530 (zde i vysvětlení, co je "porovnatelná" a "absolutní" bezpečnost), praktická bezpečnost je něco trošku jiného, než teoretická průstřelnost některých (byť širokých) případů.

ale díky, doplnil jsem ten pojem "porovnatelnosti" do toho článku o SHA-1, aby to bylo preciznější.
ondass on 15.11.2015 8:45

Add Comment

Sorry comments are disable due to the constant load of spam *


Omlouvám se, ale příval spamu nelze kontrolovat, takže mi prosím pošlete email, pokud máte nějaký dotaz, nebo připomínku.

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments