Popíratelné šifrování - Deniable encryption

V kryptografii a steganografii věrohodně popíratelné šifrování popisuje šifrovací techniky, kde je existence šifrovaného souboru nebo zprávy popíratelná v tom smyslu, že protivník nemůže prokázat, že data ve formátu prostého textu existují.

Uživatelé mohou přesvědčivě popřít, že je daná část dat šifrována nebo že jsou schopni dešifrovat danou část zašifrovaných dat nebo že existují některá specifická šifrovaná data. Takové zamítnutí může, ale nemusí být pravé. Například může být nemožné prokázat, že jsou data šifrována bez spolupráce uživatelů. Pokud jsou data šifrována, uživatelé je skutečně nemohou dešifrovat. Odepíratelné šifrování slouží k oslabení důvěry útočníka, ať už jde o šifrovaná data, nebo o to, že je osoba, která je vlastní, je dokáže dešifrovat a poskytnout související prostý text .

Funkce

Popíratelné šifrování znemožňuje prokázat existenci zprávy ve formátu prostého textu bez správného dešifrovacího klíče. To lze provést tak, že zašifrovaná zpráva bude dešifrována na různé citlivé prosté texty v závislosti na použitém klíči . To umožňuje odesílateli věrohodnou popíratelnost, pokud je nucen vzdát se svého šifrovacího klíče. Pojem „popíratelné šifrování“ použili Julian Assange a Ralf Weinmann v souborovém systému Rubberhose a podrobně jej prozkoumali noviny Ran Canetti , Cynthia Dwork , Moni Naor a Rafail Ostrovsky v roce 1996.

Scénář

Odepíratelné šifrování umožňuje odesílateli šifrované zprávy odmítnout odeslání této zprávy. To vyžaduje důvěryhodnou třetí stranu. Možný scénář funguje takto:

  1. Bob má podezření, že jeho manželka Alice cizoloží. V takovém případě chce Alice komunikovat se svým tajným milencem Carlem. Vytvoří dva klíče, jeden má být utajen a druhý má být obětován. Předá tajný klíč (nebo obojí) Carlovi.
  2. Alice sestrojí pro Carla neškodnou zprávu M1 (která má být odhalena Bobovi v případě odhalení) a usvědčující milostný dopis M2 Carlovi. Z obou zpráv, M1 a M2, vytvoří šifrovací text C a pošle jej e-mailem Carlovi.
  3. Carl pomocí svého klíče dešifruje M2 (a případně M1, aby si přečetl i falešnou zprávu).
  4. Bob se dozví o e -mailu Carlovi, stane se podezřelým a donutí Alice dešifrovat zprávu.
  5. Alice použije obětní klíč a odhalí Bobovi neškodnou zprávu M1. Vzhledem k tomu, že je nemožné, aby Bob, abyste měli jistotu, že mohou existovat další zprávy obsažené v jazyce C, by mohl předpokládat, že tam nejsou žádné další zprávy (alternativně Bob nemusí být obeznámeni s konceptem hodnověrné šifrování na prvním místě, a tudíž nemusí vědět, že je dokonce možné, že C obsahuje více než jednu zprávu).

Další možný scénář zahrnuje Alice, která posílá stejný šifrový text (některé tajné pokyny) Bobovi a Carlovi, kterým předala různé klíče. Bob a Carl mají dostávat různé pokyny a nesmí si navzájem číst pokyny. Bob nejprve obdrží zprávu a poté ji přepošle Carlovi.

  1. Alice vytvoří šifrový text z obou zpráv, M1 a M2, a pošle jej e -mailem Bobovi.
  2. Bob používá svůj klíč k dešifrování M1 a není schopen číst M2.
  3. Bob předá Carlovi šifrový text.
  4. Carl používá svůj klíč k dešifrování M2 a není schopen číst M1.

Formy popíratelného šifrování

Šifrovací texty se obvykle dešifrují na jeden prostý text, který má být utajen. Jedna forma popíratelného šifrování však umožňuje svým uživatelům dešifrovat šifrový text za vzniku jiného (neškodného, ​​ale věrohodného) prostého textu a věrohodně tvrdit, že šifruje právě to. Držitel šifrovaného textu nebude schopen rozlišovat mezi skutečným prostým textem a falešným nárokováním holého textu. Obecně není možné dešifrovat jeden šifrový text na více otevřených textů, pokud klíč není tak velký jako prostý text , takže to pro většinu účelů není praktické. Některá schémata však umožňují dešifrování k dekódování holých textů, které jsou v některých metrikách blízké originálu (například vzdálenost úprav ).

Moderní popíratelné šifrovací techniky využívají skutečnosti, že bez klíče je nemožné rozlišit šifrový text od blokových šifer a data generovaná kryptograficky zabezpečeným generátorem pseudonáhodných čísel ( vlastnosti pseudonáhodné permutace šifry ).

To se používá v kombinaci s některými návnadovými daty, která by uživatel pravděpodobně chtěl zachovat v tajnosti a která budou odhalena útočníkovi s tvrzením, že to je vše, co existuje. Jedná se o formu steganografie .

Pokud uživatel nedodá správný klíč pro skutečně tajná data, jeho dešifrování bude mít za následek zjevně náhodná data, nerozeznatelná od toho, že tam nemají uložena žádná konkrétní data.

Jedním příkladem popíratelného šifrování je kryptografický souborový systém, který využívá koncept abstraktních „vrstev“, kde lze každou vrstvu dešifrovat pomocí jiného šifrovacího klíče. Navíc jsou speciální „ vrstvy plev “ naplněny náhodnými daty, aby bylo možné věrohodně popřít existenci skutečných vrstev a jejich šifrovacích klíčů. Uživatel může ukládat soubory návnad na jednu nebo více vrstev, přičemž popírá existenci dalších a tvrdí, že zbytek prostoru zabírají vrstvy plev. Fyzicky jsou tyto typy souborových systémů obvykle uloženy v jednom adresáři, který se skládá ze souborů stejné délky s názvy souborů, které jsou buď randomizované (v případě, že patří do vrstev plev), nebo kryptografických hash řetězců identifikujících bloky. Tyto časové značky těchto souborů jsou vždy náhodné. Mezi příklady tohoto přístupu patří souborový systém Rubberhose a PhoneBookFS .

Další přístup, který používají některé konvenční softwarové sady pro šifrování disků, je vytvoření druhého šifrovaného svazku v kontejnerovém svazku. Objem kontejneru se nejprve naformátuje tak, že se naplní zašifrovanými náhodnými daty a poté se na něm inicializuje souborový systém. Uživatel pak naplní část souborového systému legitimními, ale věrohodně vypadajícími návnadovými soubory, které by se zdálo, že má uživatel motivaci skrývat. Dále je nový šifrovaný svazek (skrytý svazek) přidělen ve volném prostoru kontejnerového souborového systému, který bude použit pro data, která chce uživatel skutečně skrýt. Protože protivník nemůže rozlišovat mezi šifrovanými daty a náhodnými daty použitými k inicializaci vnějšího svazku, tento vnitřní svazek je nyní nezjistitelný. LibreCrypt a BestCrypt mohou mít v kontejneru mnoho skrytých svazků; TrueCrypt je omezen na jeden skrytý svazek.

Detekce

Existenci skrytých zašifrovaných dat mohou odhalit chyby v implementaci. Může to také odhalit takzvaný „útok vodoznaku“, pokud je použit nevhodný šifrovací režim. Existenci dat lze odhalit tím, že „uniknou“ do nešifrovaného místa na disku, kde je mohou detekovat forenzní nástroje.

Byly vzneseny pochybnosti o úrovni věrohodné popíratelnosti ve „skrytých svazcích“ - obsah souborového systému „vnějšího“ kontejneru musí být „zmrazen“ v počátečním stavu, aby uživatel nemohl poškodit skrytý svazek (lze to zjistit z časová razítka přístupu a úprav), což by mohlo vzbuzovat podezření. Tento problém lze odstranit pokynem systému, aby nechránil skrytý svazek, ačkoli by to mohlo mít za následek ztrátu dat.

Nevýhody

Popíratelné šifrování bylo kritizováno, protože přímo nebrání uživatelům před odhalením klíčů pod nátlakem nebo mučením . Držení popíratelných šifrovacích nástrojů by mohlo vést útočníky k pokračování v mučení uživatele, i když uživatel odhalil všechny své klíče, protože útočníci nemohli vědět, zda uživatel odhalil svůj poslední klíč nebo ne. Znalost této skutečnosti však může uživatele odradit od odhalení jakýchkoli klíčů, protože útočníci nikdy nebudou schopni prokázat útočníkovi, že odhalili svůj poslední klíč.

Popíratelná autentizace

Některé sady šifrovaných zpráv v přenosu, například Off-the-Record Messaging , nabízejí odmítnutelné ověřování, které dává účastníkům věrohodnou popíratelnost jejich konverzací. Přestože popíratelná autentizace není technicky „popíratelné šifrování“ v tom, že šifrování zpráv není popřeno, její popíratelnost se týká neschopnosti protivníka prokázat, že účastníci měli rozhovor nebo cokoli konkrétního řekli.

Toho je dosaženo tím, že ke šifrovaným zprávám jsou připojeny všechny informace potřebné k padělání zpráv-pokud je protivník schopen v konverzaci vytvářet digitálně autentické zprávy (viz ověřovací kód na základě hash (HMAC)), je také schopen k vytváření zpráv v konverzaci. To se používá ve spojení s dokonalým utajením dopředu, aby se zajistilo, že kompromitace šifrovacích klíčů jednotlivých zpráv neohrozí další konverzace nebo zprávy.

Software

  • OpenPuff , freeware polo-open-source steganografie pro MS Windows.
  • LibreCrypt , open source transparentní šifrování disku pro PDA MS Windows a PocketPC, které poskytuje jak popíratelné šifrování, tak věrohodné popírání . Nabízí rozsáhlou škálu možností šifrování a není nutné jej instalovat před použitím, pokud má uživatel práva správce.
  • Off-the-Record Messaging , kryptografická technika poskytující skutečnou popíratelnost pro rychlé zasílání zpráv.
  • Rubberhose , zaniklý projekt (poslední vydání v roce 2000, není kompatibilní s moderními distribucemi Linuxu)
  • StegFS , současný nástupce myšlenek ztělesněných souborovými systémy Rubberhose a PhoneBookFS.
  • VeraCrypt (nástupce ukončeného TrueCrypt ), šifrovací software disku za běhu pro Windows, Mac a Linux poskytující omezené popíratelné šifrování a do určité míry (kvůli omezení počtu skrytých svazků, které lze vytvořit) věrohodnou popíratelnost , bez nutnosti instalace před použitím, pokud má uživatel plná práva správce.
  • Vanish , výzkumná prototypová implementace autodestrukčního úložiště dat.

Viz také

Reference

Další čtení