Бандитский криптоанализ

Бандитский криптоанализ (вскрытие с покупкой ключа, шутл. терморектальный криптоанализ[1], также англ. Rubber-hose cryptanalysis — криптоанализ резиновым шлангом[2]) — метод криптоанализа, при котором «криптоаналитик» прибегает к шантажу, угрозам, пыткам, вымогательству, взяточничеству и т. д. Основным методом является анализ и использование т. н. «человеческого фактора» — наличия людей как составной части системы защиты информации.

Брюс Шнайер отмечает, что данный метод является мощным и часто самым эффективным методом криптоанализа.

Описание

Согласно заявлениям «Amnesty International» и ООН, многие страны в мире постоянно пытают людей. Поэтому логично предположить, что по крайней мере некоторые из этих стран используют (или готовы использовать) некоторые формы «бандитского криптоанализа»[3].

В силу специфики данного метода, в случае его применения время, необходимое для дешифрования сообщения, не зависит от алгоритма шифрования и длины ключа.

На практике, психологическое принуждение может оказаться столь же эффективным, как физические пытки. Ненасильственные, но весьма пугающие методы включают в себя такую тактику, как угроза неблагоприятного уголовного наказания. Стимулом к сотрудничеству может быть некоторая форма сделки о признании вины, предлагающая понижение срока или сокращение списка уголовных обвинений против подозреваемого в обмен на полное сотрудничество со следствием. Кроме того, в некоторых странах угрозы могут основываться на преследовании в судебном порядке, как соучастников, близких родственников допрашиваемого лица (например, жены, детей или родителей), если они не сотрудничают[4][5].

Примеры использования

В России конца 1730-х годов

В 1738 году главными политическими противниками России были Турция (на юге) и Швеция (на севере). Российский двор, обеспокоенный слухами о переговорах между ними, опасался образования их союза. Поэтому императрица Анна Иоанновна повелела принять все возможные меры для получения соответствующей информации. В то время под началом командующего русскими войсками на юге — фельдмаршала Б. К. Миниха — служил полковник русской армии Х. фон Манштейн. В своих воспоминаниях он описывал следующее: "Предосторожности русского министерства, принимаемые против шведских интриг, доходили до самых насильственных мер и даже до смертоубийства на большой дороге… "[6].

Расследование кражи данных кредитных карт TJ Maxx 2005 года

Порой преступники обращаются к шифрованию данных диска, чтобы скрыть доказательства своих преступлений. Правоохранительные расследования могут столкнуться с таким препятствием, когда компьютерно-технической экспертизе программного обеспечения не удаётся восстановить пароли шифрования, и остается единственный и проверенный метод: насилие. Например, форма поведения «хороший полицейский, плохой полицейский», к которой турецкое правительство предположительно обратилось для того, чтобы узнать криптографические ключи одного из основных фигурантов в расследовании кражи данных кредитных карт клиентов TJ Maxx.

В 2005 году была совершена кража десятков миллионов номеров банковских карт из незащищенной беспроводной сети магазинов TJ Maxx, которая привела к более чем 150 млн долларов убытка компании. Оба джентльмена, стоящие за ограблением, продали ворованную информацию о кредитных картах онлайн. В конце концов, украденные карточки достигли Максима Ястремского, гражданина Украины, и, по сообщениям СМИ, «главной фигуры в международной купле-продаже украденной информации кредитных карт».

Согласно комментариям, сделанных Говардом Коксом (Howard Cox), занимавшим пост замначальника подразделения по компьютерным преступлениям в Министерстве юстиции США, во время закрытого заседания, после обнаружения шифрования диска, используемого Ястремским, и отказа сообщать пароль доступа к этим данным, Максим был «оставлен турецким правоохранительным органам», которые, вероятно, прибегли к физическому насилию, чтобы заполучить пароль от украинского подозреваемого.

Несмотря на то, что информация подавалась аудитории в шутливой форме и без прямого упоминания методов допроса, из контекста было очевидно, каким способом арестованного удалось «убедить сотрудничать»[3][7].

Методы противодействия

Хотя этот термин звучит иронически, он серьёзно применяется в современных криптосистемах. Произвести атаку полным перебором на алгоритм шифрования или на используемый протокол, вероятно, будет намного сложнее и стоить намного дороже, чем просто узнать всю информацию у пользователей системы. Таким образом, многие криптосистемы и системы безопасности спроектированы так, чтобы свести уязвимость человека к минимуму. Например, в криптосистемах с открытым ключом у пользователя может быть открытый ключ для шифрования данных, но может не быть закрытого ключа для расшифрования. Здесь проблема заключается в том, что пользователь, возможно, не сможет убедить злоумышленника, что он сам не может расшифровать. Также примером служит двусмысленное шифрование. Двусмысленное шифрование разрешает прочитать зашифрованное сообщение несколькими осмысленными способами в зависимости от использованного ключа. Иными словами, оно скрывает наличие настоящего сообщения в отсутствие соответствующего ключа шифрования. Это дает пользователю шанс скрыть настоящее сообщение, даже если его вынудили раскрыть свой ключ[8].

В культуре

Популярный веб-комикс xkcd в 538-й серии[9] иллюстрирует идею, что в криптосистеме часто слабым звеном является человек, который подвержен атаке с использования дешёвого гаечного ключа для получения пароля, хотя сами данные защищены надёжным вариантом алгоритма RSA[10].

См. также

Примечания

  1. От нагретого паяльника, вставленного в задний проход, пытки, якобы распространённой в «лихие 90-е».
  2. От пытки, не оставляющей следов побоев, избиения резиновым шлангом.
  3. Chris Soghoian. Turkish police may have beaten encryption key out of TJ Maxx suspect, CNET (26 января 2009).
  4. Interview with author of PGP (Pretty Good Privacy) (англ.) // High Tech Today. — 1996. — 2 February.
  5. UN News Service. Many countries still appear willing to use torture, warns UN human rights official (англ.). — 2004. — 4 October.
  6. фон Манштейн Х. Г. Записки о России генерала Манштейна. СПб.: В. С. Балашева, 1875.
  7. Бёрд Киви. При помощи палки и верёвки // Компьютерра. — 2008. — 18 ноября (№ 43 (759)).
  8. Морозова Е. В., Мондикова Я. А., Молдовян Н. А. Способы отрицаемого шифрования с разделяемым ключом. — 2013. № 6 (67). Архивировано 22 декабря 2015 года.
  9. ru, en
  10. Sebastian Pape. Authentication in Insecure Environments: Using Visual Cryptography and Non-Transferable Credentials in Practise. — Springer, 2014. — С. 46. — 362 с. — ISBN 978-3-658-07116-5.

Литература

  • Шнайер Б. Криптоанализ // Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си = Applied Cryptography. Protocols, Algorithms and Source Code in C. М.: Триумф, 2002. — С. 19—22. — 816 с. 3000 экз. — ISBN 5-89392-055-4.
This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.