web-dev-qa-db-ja.com

純粋に技術的な問題として、政府のバックドアを含む強力な暗号化実装を作成することは可能ですか?

つまり、現在の暗号化を政府の「バックドア」を含むように再設計することは、いくつもの正当な理由があるため、結局のところ、かなり悪い考えだと思います。また、(FWIW)すべてが発言され、(米国内でとにかく)実行された場合、実際に施行される法律を義務づけるとは思いません。しかし、私の質問は 暗号化の議論 ;のポリシーや政治的側面ではありません。より興味深いのは、これに対する技術的な側面についてです。

する必要があるかどうかを別にしておく、そうする(---)、できる現在の主要な暗号化規格と実装を適合させて、1つの承認済みサードパーティ(例:米国政府)パーティーAとパーティーBの間の暗号化された通信を監視し、それらの会話を復号化せずに別の許可されていないサードパーティにとって非常に簡単そうするためのパーティー?

過去1週間で、基本的に「いいえ、チャンスはありません」と答えるのに数えるほど多くのステートメントを読みました。しかし、その回答が(a)一般的な暗号化を根本的に弱めることなしにそのような変更を行うことができないか、または(b)技術的偉業は実行可能かもしれないが、「承認された」政府が必然的に制御を失うことを意味するかどうかは、通常は不明確です彼らが持っていたどんな秘密でも、Bad Guysが個人情報と組織情報に対して自由に支配できるようにします。

NSAが Fortezza/"clipper chip" initiative( key escrow system;それは政府の使用の外にはまったく行きませんでした。そして私の理解では、とにかく今日の使用のためにkey escrowは本当に十分にスケーラブルではありません。心配する必要はありません その暗号化とすべての攻撃者を弱める 。しかし、それらが実行可能でない場合は、作成に使用できる代替の技術的アプローチ(30,000フィートレベルの技術的詳細から見て)があります。暗号化システム/実装は、「許可されていない」サードパーティの復号化に対して現在のものと同じくらい堅牢です。

4
mostlyinformed

承知しました。キーエスクローは機能し、それはよく理解されています。

RSAは、約20年前にPGP 6.0の「エンタープライズ」バージョンを備えたバージョンを提供しました。 PGPはハイブリッド暗号化を使用します。メッセージは対称暗号で暗号化され、次に対称暗号の鍵が受信者の公開鍵で暗号化されます。それらのキーブロックは、複数の公開キーによる対称キーの暗号化をサポートし、秘密キーを共有しない複数の受信者を許可します。

その製品では、秘密キーがPGPシステムの所有者によって保持されていた追加の公開キー暗号化対称キーの導入により、キーエスクローが実装されました。これは、正当な従業員が無力化または解雇された場合にメッセージを復号化する必要がある企業向けに作成されたものです。 (以前のバージョンには、キーブロックがMACで保護されておらず、悪意のあるサードパーティが独自にエスクローキーを静かに追加できるという、ひどい脆弱性がありました。)

標準化団体にキーエスクローを課すことができると仮定すると、正当なサイトと秘密キーの所有者の両方が解読できる安全なプロトコルを作成することが可能です。キーエスクローの使用は、バックボーンに配置されたネットワークセキュリティアプライアンスによって強制される可能性があり、キーエスクローキーが配置されていることを示すキー交換パケットにデジタル署名が表示されない限り、通信を拒否する可能性があります。 snortのような製品はすでにこのように機能しています。正当なプロトコルの署名情報が必要なだけで、準拠していないSSLまたはTLS鍵交換にRSTパケットを送信できます。

悪魔は、しかし、詳細になります。ネットワークセキュリティアプライアンスは、パケットを復号化して詳細に検査するために必要なキーを信頼することができなかったため、二重暗号化が停止することはありませんでした。 「テーブルの左側にあるやかんの絵は「夜明けの攻撃」を意味する」のように、事前に準備された帯域外信号を妨げるものはありません。 TLSが光の速度で行き来するため検出できないカスタムキー交換。 Darknet VPNは、連邦政府のファイアウォールを迂回してルーティングメッセージをポップアップします。ステガノグラフィック通信メカニズムは、猫のビデオとICMP ping要求のストリームに不正なメッセージを埋め込みます。キーの管理と配布は悪夢になります。また、エドワードスノーデンジュニアがNSAのマスターキーを公開することを決定した場合、またはロバートハンセンジュニアがFBIのコピーをロシア人に渡した場合、国の安全はどうなるのかを想像してみてください。

このような対策により、一般の人々がデフォルト以外の暗号化を使用することが困難になり、iMessageがNSAに定期的に公開される可能性がありますが、犯罪組織やテロ組織の動作が遅くなることはほとんどありません。彼らはすぐに法廷で異議を申し立てられます。ユーザーに主要なエスクローを追加するように強制することは、合衆国では憲法で禁止されている政府の説得力のある演説に等しいでしょう。

8
John Deters

それが可能であるだけでなく、それが以前に行われたことを知っています。 具体的には、過去数年間で論議されてきたDual_EC_DRBGアルゴリズム は、含まれていることが確認されている強力な暗号化アルゴリズム の例です。 NSAバックドア NSA(andonlyNSA)は、「Dual_EC_DRBGのインスタンス化を完全に解除」します。

ウィキペディアのエントリーから引用するには:

公に特定された弱点の1つは、アルゴリズムの設計者(米国政府の国家安全保障局(NSA))にとって有利なバックドアを隠蔽するアルゴリズムの可能性であり、他には誰もいません。 2013年、ニューヨークタイムズは、所持しているが公開されていないドキュメントがバックドアが本物であり、NSAの一部として意図的に挿入されていたNSAのBullrun復号化プログラム。

このバックドアの性質をより詳しく説明するために、2007年のBruce Schneierによる ブログ投稿 を紹介します。

8月のCRYPTO 2007カンファレンスでの 非公式プレゼンテーション (.pdf)で、Dan ShumowとNiels Fergusonは、アルゴリズムにはバックドアとしてしか説明できない弱点が含まれていることを示しました。

これがどのように機能するかです。アルゴリズムの楕円曲線を定義するために使用される標準には、定数(固定数)がたくさんあります。これらの定数はNIST出版物の付録Aにリストされていますが、どこから来たのかはどこにも説明されていません。

ShumowとFergusonが示したのは、これらの数値が、一種のスケルトンキーとして機能できる2番目の秘密の数値セットと関係があるということです。秘密の番号がわかっている場合は、乱数ジェネレーターの出力を32バイトだけ収集すると、その出力を予測できます。これを実際に見ると、1つのTLSインターネット暗号化接続を監視するだけで、そのプロトコルのセキュリティを破ることができます。シークレット番号がわかっている場合は、Dual_EC_DRBGのインスタンス化を完全に解除できます。

研究者たちは秘密の数字が何であるかを知りません。しかし、アルゴリズムの仕組みにより、定数を作成した人は知っているかもしれません。彼には定数と秘密の数をタンデムに生成する数学的機会がありました。

2
HopelessN00b