Шифровальная машина Enigma. Ходят слухи, что это первое из устройств, куда внедрило бэкдор АНБ. Это произошло после WWII в сотрудничестве с фирмой-производителем Crypto AG. С тех пор внедрение таких бэкдоров стало чуть ли не стандартной практикой для американских разведчиков
Многие говорят о всемогуществе американских спецслужб: мол, они делают аппаратные закладки в CPU (чипы Clipper) и оставляют бэкдоры в стандартах шифрования на этапе создания этих стандартов, как было с алгоритмом Dual_EC_DRBG, принятым NIST в качестве стандарта ГСЧ. Документы Сноудена показали, что АНБ заплатило RSA за включение этого ГСЧ в своё программное обеспечение.
Но в реальности даже их влияние не безгранично. Если верить источнику WikiTribune из Международной организации по стандартизации (ISO), в апреле этого года развернулась целая дискуссия между специалистами из международной группы экспертов по безопасности ISO и сотрудниками Агентства национальной безопасности США (АНБ), которые представили новые блочные шифры для Интернета вещей.
Источник сообщил, что окончательное голосование по предложению АНБ состоялось в китайском Ухане, где 16?20 апреля 2018 года проходило 26-е заседание рабочих групп ISO/IEC JTC 1/SC 27 по стандартам безопасности. Эксперты из нескольких стран, включая союзников США, проголосовали отрицательно по предложению американской делегации.
Такое решение экспертов объясняется «отказом американской делегации, которая включала представителей АНБ, предоставить стандартный уровень технической информации для продолжения [рассмотрения их заявки]».
Источник сообщил, что финальному голосованию предшествовали споры в течение нескольких недель, но АНБ не предоставило необходимых технических подробностей по алгоритмам, обычных для подобных процессов. То есть комитет был готов рассмотреть их шифры наравне с любыми другими, но АНБ просто заявило «Верьте нам», на что комитет не согласился. Вероятно, с учётом всей предыдущей истории АНБ.
Речь идёт о семействах блочных шифров Simon и Speck.
Блочный шифр — разновидность симметричного шифра. Теоретически, концепция позволяет достичь определённого уровня безопасности комбинированием простых в исполнении операций подстановки (substitution) и перестановки (permutation).
Общая схема работы блочного шифра
Основные алгоритмы современных блочных шифров разработала компания IBM в работе над блочным шифром «Люцифер», выпущенного в 1970 году. В 1977 году на его базе был разработан шифр DES (Data Encryption Standard), принятый в качестве стандарта NIST в 1981 году. Наконец, в 2002 году стандартом объявили шифр «Рэндал» (Rijndael), также известный как Advanced Encryption Standard (AES).
Подстановочно-перестановочная сеть блочного шифра «Рэндал» (AES), принятого в качестве стандарта NIST в 2002 году
Созданные в 2013 году Simon и Speck от АНБ — семейства легковесных блочных шифров, адаптированные для Интернета вещей, то есть для устройств с очень слабыми процессорами и очень маленьким количеством памяти. Simon адаптирован для аппаратной реализации, а Speck — для программной. Детальную информацию о шифрах можно найти в официальном репозитории АНБ на Github.
Стандарт ISO для криптографии в устройствах Интернета вещей принят в 2012 году и предусматривает использование двух легковесных блочных шифров Present и Clefia. В 2014 году АНБ предложило добавить в стандарт и свои шифры Simon и Speck. Прошло четыре года, но АНБ так и не опубликовало принятые в таких случаях анализ безопасности и описание алгоритмов. Авторы шифра подготовили вот такой документ (это самое детальное описание, что удалось найти). Но документ, очевидно, не удовлетворил экспертов ISO. Вероятно, описание не включает некоей важной информации о деталях подстановочно-перестановочной сети Simon и Speck.
ISO устанавливает согласованные стандарты для широкого спектра продуктов, сервисов и измерений практически во всех отраслях, включая технологии, производство, продукты питания, сельское хозяйство и здравоохранение. В данном случае соответствующий комитет рассматривал рекомендованную технологию шифрования, которая «улучшает защиту в устройствах Интернета вещей». К ним относятся многие устройства, в том числе различные домашние приборы: умные колонки, холодильники, системы освещения и отопления, а также носимые гаджеты.
По словам источника, АНБ настаивало на принятии этих стандартов в качестве рекомендации ISO, чтобы получить на них одобрение NIST, после чего они станут стандартом для всех американских государственных агентств и связанных с ними компаний.
Данное голосование — очередная неудачная попытка АНБ продвинуть эти шифры в качестве стандартов ISO. В прошлый раз их отвергли на сентябрьском заседании. Во время текущего обсуждения в апреле опять вспоминали историю Dual_EC_DRBG и цитировали документы Сноудена. Некоторые делегаты выразили общее недоверие АНБ. Например, израильский делегат Орр Дункельман сказал: «Я не доверяю разработчикам. В АНБ довольно много людей, которые думают, что их работа — подрывать стандарты. Моя же работа — защищать стандарты».
Учитывая сложившуюся репутацию, АНБ будет трудно утвердить свои алгоритмы в качестве стандартов.
АКЦИЯ GMO GlobalSign Russia
Дополнительную информацию вы можете получить, связавшись с менеджером GlobalSign по телефону: +7 (499) 678 2210, либо заполнив форму на сайте с указанием промо-кода.
Комментарии (31)
sena
04.06.2018 12:55АНБ будет трудно утвердить свои алгоритмы в качестве стандартов
Вот так нахрапом, в открытую и бесплатно? АНБ придётся раскошелиться.
Kondra007
04.06.2018 13:05Речь идёт о семействах блочных шифров Simon и Speck.
Но при этом поддержка Speck добавлена в ядро Linux 4.17. Странно.
nikitasius
04.06.2018 14:13gpg тоже предлагает пачку шифров для ECC для тех, кто 25519 не пользуется. В то же время предлагает и сам 25519, которым все нормальные люди пользуются.
Уверен, что на госуровне, могут быть требования "только NIST P-384", тем самым этот софт может там работать (если пройдет контроль, как опенсорс).
То, что в линуксе есть разные шифры — это хорошо. Платформу можно использовать на широком круге задач. Это же не суперзащищенная система в конце концов, в тех могут и повырезать принципа ради.
Please select which elliptic curve you want: (1) Curve 25519 (3) NIST P-256 (4) NIST P-384 (5) NIST P-521 (6) Brainpool P-256 (7) Brainpool P-384 (8) Brainpool P-512 (9) secp256k1 Your selection?
Old_Chroft
04.06.2018 13:27Шифр Simon — как иронично. Именно так в фильме «Восход Меркурия» зовут мальчика, который взломал супер-пупер секретный шифр АНБ. Видать, у них там с чувством юмора полный порядок.
FYR
04.06.2018 14:03Пчелы против меда? Они бы еще с ФСБ России свой алгоритм предложили.
а то как сеансы связи кофеварок с тостером читат станут?
ну как сказать… Вот есть у вас какой нибудь «смарт-датчик» узнающий вас по «фотографии»… что мешает ему сливать фотографии всех кого у вас в комнате узнает…barbanel
04.06.2018 15:00+3Они бы еще с ФСБ России свой алгоритм предложили.
Скорее как раз наоборот, ФСБ скажет: либо вы внедряете наш шифр «Иван» в свои продукты, либопшли к чертовой материизвольте покинуть пределы России.
Shchvova
04.06.2018 18:37+1Военные и прочие ведомства США тратят деньги налогоплательщиков и в замен часто выдают полезные вещи. Например Интернет, GPS, Нейлон, Гортекс, промышленный пенициллин и многие другие.
Не стоит забывать что сегодняшний стандарт де-факто AES является таким потому что его благословили в очень схожих обстоятельствах.areht
04.06.2018 20:01-1> Например Интернет, GPS, Нейлон, Гортекс, промышленный пенициллин и многие другие.
(что-то я не уверен, что это изобрели именно ведомства, ну да ладно)
Давайте не смешивать то, что они делают «для себя», и что потом коммерциализируют (вы же помните, что в GPS для гражданки было менее точным?).
Вот странна сама конструкция «АНБ что-то предлагает ISO» — зачем АНБ лезть в международные стандарты? Это НАСА международным сотрудничеством занимается, а у АНБ цели другие.striver
05.06.2018 10:41вы же помните, что в GPS для гражданки было менее точным?
Честно сказать, в универе был «образец» системы GPS- мониторинга за автомобилем… отклонение в 50м — было нормой. Сейчас, при нормальном приемнике, а не китайском 10-ти летней давности, точность до 1 метра.areht
05.06.2018 10:47+1Проблема не в приемнике, до 2000г сигнал со спутника загрубляли
striver
05.06.2018 11:36Это было после 2000-го года, а приемник — это проблема. На практике проверено. Есть значительная разница в точности и соответственно в нарисованных треках.
areht
05.06.2018 17:46«если проблема решается деньгами, то это не проблема, а расходы»
striver
05.06.2018 19:15С таким подходом, на планете Земля вообще не должно быть проблем.
areht
05.06.2018 20:14Пока за вами не летает волшебная коробочка с купюроприемником, которая реализует режим «по щучьему веленью» — проблемы у вас точно будут.
Да и потом минобороны США могут быть против отключения загрубления (а у них волшебные коробочки не хуже).
CryptoPirate
05.06.2018 10:44AES выиграл соревнование, это алгоритм анализировали сотни учёных в течение нескольких лет перед стандардизацией, его предложили учёные, а не АНБ.
На мой взгляд история туту другая, не как с Simon и Speck.
smer44
05.06.2018 04:47-1блин после того как давно изобрели, математически доказали и используют нормальные современные методы криптографии АНБ поднимает какой то кал мамонта
achekalin
В свою очередь, о чем думал АНБ, когда ронял свою репутацию ниже некуда? Впрочем, не напрямую, а через третьи руки все равно постараются добиться своего — а то как сеансы связи кофеварок с тостером читат станут?
awesomer
Это делается так:
Руководство сказало — надо, а то лишим премии, уволим, отпуск зимой и т.п. и пр.
Конечному исполнителю до репутации конторы в целом — редко есть дело.
stack_trace
А ещё слушать вас через микрофоны, наблюдать за вами через камеры, узнавать ваши пароли с помощью вами же поставленных камер.
achekalin
Это я и имел в виду. Просто на ресурсе смайлики использовать прямо запрещено, написал без него. И, да, разговор про вычислительно- и энергоэкономный алгоритм никогда не был всуе, но становится куда более актуален с приходом IoT.
Хотя, по-честному, даже имеющихся алгоритмов, случись им быть аппаратно реализованными, хватит с лихвой. Просто АНБ решила под шумок «помочь» — себе и другим.
ToSHiC
Про тостеры — это вы сейчас так шутите, а вот если бы стандарты приняли, то вы бы сами через несколько лет говорили, что вот мол, есть надёжные и проверенные Simon и Speck, которыми и надо шифровать ценные данные.
Криптография — это математика, и примерно 0% программистов в состоянии убедиться, что в алгоритме нет багов или закладок, зато 100% пользуются готовыми реализациями. Не смог сейчас найти статью, которая отлично показывает этот факт, но суть такая: в одной программе значение одной из констант (кажется, p, которое должно быть большим простым числом, и (p-1)/2 тоже должно быть простым), хранилось в массиве в виде uint16_t[]. Программист, который коммитил код, вбил каждое значение uint16_t задом наперёд, в итоге число стало не совсем простым. Скорее всего, он это сделал по-ошибке, но мог и специально, потому что техника добавления бэкдоров заключается именно в том, что простое число является произведением двух более коротких, но всё ещё очень больших простых чисел, значения которых знает только автор бэкдора. Если бы значения константы случайно не перепроверили, то кто знает, сколько ещё лет она бы такой оставалась?
Xalium
Не понял. Простое число — это же число, делящееся без остатка только на 1 и само себя. Откуда там «двух более коротких», кроме 1?
storoj
как я понял, в этом и есть суть техники: финальная константа – гигантское "псевдо-простое" число, проверить которое наверное не так-то легко. Вместо по-настоящему простого числа используется кривое число, являющееся произведением двух других настоящих простых чисел, тоже больших, чтобы их поиск в "большом" числе всё ещё занимал значительное время.
ToSHiC
Именно.