CC BY-NC-ND
18
Технологии
Н.Р. Мартынов, О.В. Казарин
ПОДПОРОГОВЫЕ КАНАЛЫ И МЕТОДЫ ЗАЩИТЫ ОТ ИХ СОЗДАНИЯ В СХЕМАХ ИНТЕРАКТИВНОЙ ИДЕНТИФИКАЦИИ
Статья посвящена анализу свойств подпороговых каналов. Показывается возможность существования широкополосных подпороговых каналов в схемах электронной подписи из отечественных стандартов ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012 и схемах интерактивной идентификации пользователя. Особое внимание уделяется принципам формирования широкополосных подпороговых каналов и методам защиты от их создания.
Подпороговые каналы можно рассматривать и как стеганографиче-ские каналы, создаваемые в различных криптографических конструкциях, где их некоторые случайные параметры заменяются на подпороговые сообщения, специально создаваемые потенциальными нарушителями.
Ключевые слова: подпороговый канал, широкополосный подпорого-вый канал, схема электронной подписи, схема интерактивной идентификации.
Впервые понятие подпорогового канала (subliminal channel) было введено в 1983 г. Г.Дж. Симмонсом1. Позднее он показал, что в протоколе электронной подписи Эль-Гамаля возможно введение подпорогового сообщения. Посредством такого канала злоумышленник, например нечестный сотрудник банка, может выдавать своему сообщнику, имеющему доступ к банковским коммуникациям, оперативную финансовую информацию. При этом выдаваемые сообщения имеют на первый взгляд вполне достоверный вид.
Кроме того, при помощи подпорогового канала злоумышленники, получившие доступ к сетевым коммуникациям, могут обмени-
© Мартынов Н.Р., Казарин О.В., 2014
ваться между собой оперативной информацией, которая является недоступной для служб безопасности сети2.
Подпороговые каналы
Обозначим через Б участника протокола электронной подписи, который подписывает сообщения и посылает их вместе с подписями другому участнику, обозначаемому через Я. Участник протокола Я осуществляет проверку подлинности подписей. Предположим, что Б хочет использовать протокол для тайной передачи информации своему сообщнику Я' в качестве которого может выступать как Я, так и внешний наблюдатель, перехватывающий подписанные сообщения. При этом предполагается, что передаваемая таким образом информация и сам факт такой передачи не могут быть раскрыты с помощью общедоступных сведений. Способ, который позволяет Б это сделать с достаточно большой вероятностью, и является подпо-роговым каналом.
В качестве одного из возможных злоупотреблений, основанных на использовании подпороговых каналов, Г.Дж. Симмонс предлагал следующий сценарий. Предположим, что некоторый центр (например, правительственная организация) использует протокол электронной подписи для выдачи документов (удостоверений личности, водительских прав и т. п.). Подпись на таком документе должна содержать только ту информацию, которая свидетельствует, что документ действительно был выдан данным центром. Но при наличии подпорогового канала центр может сообщать своим секретным агентам дополнительную информацию о владельце документа (информацию о благосостоянии, политической неблагонадежности, другие персональные данные).
Возможен и другой сценарий использования подпорогового канала. В некотором коммерческом центре (например, банке) находится компьютер с конфиденциальной информацией. На компьютере работает ограниченный круг допущенных лиц, которые регулярно отправляют подписанные сообщения, скажем, в филиал. Тогда один из допущенных сотрудников может использовать под-пороговый канал для передачи конфиденциальной информации своему сообщнику. Здесь важно подчеркнуть, что подпороговый канал позволяет наладить оперативную и регулярную передачу конфиденциальной информации.
Выделяют две разновидности подпороговых каналов. Широкополосный канал позволяет передавать вместе с каждым подписан-
ным сообщением длинное (состоящее из большого числа битов) подпороговое сообщение (т. е. сообщение для R), но, вообще говоря, требует, чтобы R'знал секретный ключ участника S. Узкополосный канал не требует знания участником R ' секретного ключа участника S, но позволяет передавать лишь короткие подпороговые сообщения (порядка нескольких битов), поскольку для реализации схемы необходимо инвертировать некоторую одностороннюю функцию.
В 1993 г. Г.Дж. Симмонс показал, что в американском алгоритме стандарта на электронную цифровую подпись DSA существует широкополосный подпороговый канал. Дальнейшие рассуждения с незначительными изменениями применимы и для алгоритма отечественного стандарта на электронную подпись ГОСТ Р 34.10-94 (их можно распространить с небольшими изменениями и на стандарты ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012).
Пусть подпороговые сообщения отождествлены с элементами Z* \ {1}. Чтобы передать подпороговое сообщение х Е Z* \ {1} вместе с подписью для сообщения m (все обозначения, кроме касающихся непосредственно подпорогового канала, даны в соответствии с ГОСТ Р 34.10-94), участник S выбирает k в процедуре выработки подписи не случайным, а равным х. Если получившиеся при этом r = f(x) и s = [xh(m) + xr](mod q) (ГОСТ) или s = [%1(h(m) + xr)] (mod q) (DSA) не равны 0 (что выполняется с высокой вероятностью), то S отправляет сообщение m с подписью (r, s) участнику R. Если R' знает секретный ключ x участника S, то получив (m, r, s), он может найти х, получив его из формулы для s, т. е. х = (s - xr)h(m)-1(mod q) (ГОСТ) или х ■ [(h(m) + xr)s"1](mod q) (DSA).
Создание широкополосного подпорогового канала в схемах интерактивной идентификации
Создание широкополосного подпорогового канала возможно не только в схемах электронной подписи, но и в схемах интерактивной идентификации пользователя. На примере схем интерактивной идентификации3 далее показывается, как реализовать подпороговый канал в них.
Схемы интерактивной идентификации, рассматриваемые в данной работе, позволяют обеспечить надежный доступ абонентов некоторой информационной системы к различного рода удаленным ресурсам. В таких системах субъект доступа гарантированно доказывает администратору системы (объекту доступа) наличие у него
секретных реквизитов, не раскрывая никакой сколько-нибудь значимой информации об этих реквизитах.
Данная схема предусматривает наличие третьего необходимого элемента - центра распределения ключей (ЦРК), который осуществляет основные управляющие функции по установлению защищенных соединений в системе.
Описание схемы интерактивной идентификации. Центр распределения ключей выбирает простые числа р, д и г такие, что дг | р - 1, где размерности этих чисел в битах составляет |д| > 256, |г| > 256 и р| > 1024, затем находит такое ё Е 2, что ё = 1(mod д), ё * 1. Р
Абонент системы (обозначим его через Р) приходит для регистрации в ЦРК и вместе с ЦРК выбирает секретный ключ х Е 2 , а также соответствующий ему открытый ключ у = gx(mod р). Далее для этого абонента ЦРК составляет идентификационную строку I, состоящую из имени, адреса, уровня полномочий и т. п. Затем для у и I генерируется цифровая подпись ЦРК 5. Абоненту выдаются: подпись 5, ключи х и у, строка I и простое д.
Процесс интерактивной идентификации, в котором абонент Р сначала будет доказывать администратору, что 5 есть подпись ЦРК, а затем, что он имеет в наличии секретный ключ х без раскрытия самого секретного значения х, начинается с отсылки подписи 5 и значений I, у администратору V. Администратор V с помощью открытого ключа ЦРК верифицирует идентификационную строку I и открытый ключ у абонента Р. Схема подписи в данном случае может быть любой из известных.
Протокол IIP
Интерактивная часть протокола выполняется в l циклах по i:
1. Абонент P выбирает случайное k . Е RZq и вычисляет r. = gki (mod p), значение r. отсылается администратору.
2. Администратор Vвыбирает е.Е R{1,...,2^— 1}, где t - некоторый параметр безопасности и выдает е. абоненту P.
3. Абонент P вычисляет s. = [xr. + kiei](mod q) и отсылает s. администратору.
4. Администратор Vосуществляет контроль: gs = yr rei (modp). Если проверки на шаге 4 во всех l циклах завершены корректно,
то процесс идентификации абонента системы завершен успешно, в противном случае администратор сигнализирует в службу безопасности о попытке несанкционированного доступа.
Примечание 1. Обозначение k Е K означает случайный и равновероятный выбор элемента k из всех элементов множества K.
Описание схемы интерактивной идентификации с введенным подпороговым каналом. Пусть P является зарегистрированным абонентом системы. В то же время он может быть и злоумышленником, если пытается использовать параметры схемы интерактивной идентификации для отсылки подпороговых сообщений своему сообщнику.
Соглашения в данном случае точно такие же, как и в предыдущей схеме. Без потери общности, пусть l = 1. Предположим, что подпороговые сообщения отождествлены с элементами Z* \ {1}. Чтобы передать подпороговое сообщение 2, абонент P выбирает k в процедуре выработки r не случайным, а равным 2.
1. Абонент P вычисляет r = g2(mod p), где 2 - подпороговое сообщение, и значение r отсылается администратору.
2. Администратор V выбирает e Е R{1, ..., 21 -1} выдает его абоненту P.
3. Абонент P вычисляет s = [xr + 2e](mod q) и отсылает s администратору.
Сообщник абонента P, зная секретный ключ x и получив s, подключившись к коммуникациям сети между администратором V и абонентом P, может найти 2 следующим образом: 2 = (s - xr)e-1(mod q). В то время как администратор V, выполнив проверку g = yr re (modp) , этого не заметит.
Методы защиты от введения подпороговых каналов
Метод основывается на введении в схемы специального программно-технического устройства (специальной программы), именуемого охранным, которое предположительно является доверенным. Такое устройство позволяет защищаться от злоумышленников, которые пытаются использовать случайные параметры схемы для генерации подпороговых сообщений.
Отметим здесь также, что данный метод работает не только против нечестного абонента P и его сообщника, но и против нечестного администратора, который пытается использовать случайную строку запроса для отсылки подпорогового сообщения своему сообщнику.
Обозначим через G абонента системы, функционирующего как охранное устройство, через P и V - честных абонентов системы, а
через Р* и V* - абонентов, пытающихся послать подпороговые сообщения, своим сообщникам. Все коммуникации от абонента к администратору и обратно проходят через С. Обозначение означает, что абонент С сформировал параметр ^ вместо параметра п, которым обмениваются абонент и администратор (или, по крайней мере, они подразумевают, что обмениваются у).
Пусть Пр обозначает некоторый универсальный алгоритм (алгоритм противника) для нечестных абонентов системы, посредством которого они пытаются создавать подпороговые сообщения в схеме интерактивной идентификации.
Протокол IIP3
1. Абонент P вычисляет r = gk(mod p), где k Е RZq и отправляет r абоненту G.
1*. Абонент P вычисляет r = gk(mod p), где k = Пр(г') и отправляет r абоненту G (пытается обмануть G).
2. Абонент G вычисляет а = r^modp) = gkd(modp), где d Е RZq и отправляет a(r) абоненту P и администратору V.
3. Администратор Vпо получении a(r) высылает е Е R{1, ..., 2t-1}, где t - некоторый параметр безопасности, абоненту P. По пути е принудительно поступает к абоненту G.
3*. Администратор V по получении a(r), используя алгоритм Пр, встраивает подпороговое сообщение z'' в е: е = Пр(г"). По пути е принудительно поступает к абоненту G.
4. Абонент G преобразует: в = ed(mod q), после чего b выдается P.
5. Абонент P вычисляет s = [(xa + ke)](mod q) и доказывает абоненту G, что он использовал вместо r и е значения a(r) и в(е).
Делает он это (проводит доказательства) посредством выполнения интерактивного протокола доказательства (с нулевым разглашением) равенства gs = y ar^(mod p), в основе которого лежит протокол доказательства равенства двух дискретных логарифмов4.
Если доказательства прошли успешно, тогда абонент P (или абонент G) отсылает s администратору V.
5*. Абонент P пытается провести доказательства так, чтобы обмануть G, а затем отправить в значении s какое-либо подпороговое сообщение z'".
6. Администратор V может проверить: gs = y a(r)[a(r)]e (mod p).
Примечание 2. Частью алгоритма Пр может быть, например, абсолютно стойкий шифр Вернама. Такой сценарий выглядит вполне
убедительным, так как подпороговые сообщения достаточно короткие (в вышеприведенных схемах они ограничены длиной модуля) и такой ресурсозатратный шифр можно использовать для получения криптограммы для подпорогового сообщения.
Замечания по безопасности схемы. При обсуждении безопасности данной схемы мы оставляем открытыми вопросы доказательства следующих трех утверждений (кроме первого, доказательство которого очевидно).
1) Если абонент P и администратор Vявляются честными, тогда последний примет доказательства первого с вероятностью 1 (свойство полноты протокола интерактивной идентификации).
2) Если абонент P не знает секретного ключа x (т. е. он P"), то тогда, что бы ни предпринимал P*, он не сможет обмануть администратора V с вероятностью, близкой к 1 (свойство корректности протокола).
3) Если абонент P и администратор V отклоняются от протокола (т. е. они P* и V), тогда по имеющимся a и b :
во-первых, нечестный администратор V (т. е. V*) не может получить никакой полезной для себя информации о значении x (свойство нулевого разглашения5 протокола);
во-вторых, сообщник, прослушивающий каналы связи между абонентами P, G и V, не может получить сколько-нибудь полезной для себя информации о подпороговых сообщениях, генерируемых P и V (свойство надежности охранного устройства).
В целом одним из необходимых условий для доказательства стойкости протокола IIPG является стойкость протокола IIP как интерактивной системы доказательств с нулевым разглашением, которая, в свою очередь, может быть доказана стандартным обра-зом6. Необходимым условием для доказательства свойства защищенности от создания подпорогового канала в этом протоколе также является (физическая) надежность используемого охранного устройства G.
Для доказательства общей стойкости трехстороннего (транзитивного) интерактивного протокола IIPG для различных моделей противника скорее всего придется использовать более сложный математический аппарат. В данном случае предлагается использовать гибридную модель Канетти - hybrid UC-модель (universally composable model)7. Стойкость протоколов в такой гибридной UC-модели доказывается в соответствии с теоремой о стойкости композиции безопасных многосторонних последовательных протоколов.
Заключение
Подпороговые каналы, по существу, являются стеганографи-ческими каналами. Такие криптографические конструкции, как схемы электронной подписи или аутентификации пользователя позволяют строить стеганографические каналы, существование которых, сделав предположение о криптографической стойкости таких схем, невозможно обнаружить в принципе.
Тем не менее разработанные методы могут с успехом применяться для защиты схем интерактивной идентификации удаленного абонента системы, а также схем электронной подписи от создания (но не обнаружения) в них подпороговых каналов. Кроме того, данный метод защиты от формирования широкополосных подпо-роговых каналов в схемах интерактивной идентификации может применяться и в других конструкциях, например, в различных интерактивных протоколах аутентификации сообщений и ключевого обмена, где в качестве параметров протокола используются некоторые случайные последовательности.
Примечания
См.: Simmons G.J. The Prisoners' Problem and Subliminal Channel // Proceedings of International Conference on Advances in Cryptology - CRYPTO'83. N. Y.: Plenum Press, 1984. P. 51-67; Ыет. The Subliminal Channel and Digital Signatures // Lecture Notes in Computer Science - Eurocrypt'84. 1984. Vol. 209. P. 364-378. См.: Казарин О.В., Курило А.П., Ухлинов Л.М. Метод защиты от создания под-пороговых каналов в телекоммуникационных системах // Сборник докладов Международной конференции «Нейронные технологии обработки информации» IP+NN'96. 1996. C. 98-99.
См.: Казарин О.В., Ухлинов Л.М. Интерактивная система доказательств для интеллектуальных средств контроля доступа к информационно-вычислительным ресурсам // Автоматика и телемеханика. 1993. № 11. С. 167-175; Казарин О.В. Эффективные схемы интерактивной идентификации для систем распознавания «свой - чужой» // Вопросы защиты информации. 1995. № 3 (30). С. 54-57. См.: Казарин О.В. Конвертируемые и селективно конвертируемые схемы подписи с верификацией по запросу // Автоматика и телемеханика. 1998. № 6. С. 178-188. См.: Варновский Н.П. Криптография и теория сложности // Введение в криптографию / Под. общ. ред. В.В. Ященко. М.: МЦНМО, 2012. С. 27-43; Казарин О.В. Методология защиты программного обеспечения. М.: МЦНМО, 2009. 464 с. См.: Казарин О.В. Эффективные схемы интерактивной идентификации... См.: CanettiR. Universally Composable Security: a New Paradigm for Cryptographic Protocols // Lecture Notes in Computer Science. 42nd Foundation of Computer Sciences Conference. 2001. P. 136-145.
4
5
