С тех пор как стало известно о масштабной слежке со стороны АНБ и других спецслужб, был поднят вопрос: как же им удается ее осуществлять?

Как же им удается взламывать криптографическую защиту, получая, таким образом, возможность расшифровывать передаваемые данные?

Группа криптографов и IT-экспертов из крупнейших научных учреждений полагает, что она нашла ответ на этот вопрос, внимательно изучив информацию из документов Эдварда Сноудена и проанализировав протокол Диффи — Хеллмана.

По их мнению, узким местом этого протокола является реализация обмена ключами, а именно тот факт, что для генерации одноразовых ключей шифрования используются простые числа, находящиеся в открытом доступе.

Команда из 14 криптографов поделилась своими соображениями в докладе «Несовершенная прямая секретность: почему протокол Диффи — Хеллмана не работает на практике» (Imperfect Forward Secrecy: How Diffie-Hellman Fails in Practice), представленном на конференции ACM по вопросам безопасности компьютеров и средств связи. В научном труде говорится, что организации, имеющие бюджеты и ресурсы, сопоставимые с АНБ, могут создать специализированное аппаратное обеспечение, которое со временем позволит им получить «промежуточные» данные, на основе которых можно будет разработать метод расшифровки индивидуальных зашифрованных соединений.

«Результатом подобных вычислений будет не криптографический ключ, а данные о математической структуре, обусловившей выбор конкретного простого числа, используемого протоколом Диффи — Хеллмана, — заявил Алекс Халдерман, профессор информатики и инженерии из Мичиганского университета и один из соавторов доклада. — Если можно так выразиться, это позволит вам взломать простое число. После этого взлом конкретных соединений, использующих это число, не составит труда».

По словам академика, простые числа являются наиболее вероятной мишенью, поскольку они не генерируются случайным образом, а выбираются на основе предыдущего опыта или рекомендаций к существующим стандартам. В комментарии Threatpost Халдерман отметил, что разведуправлению, подобному АНБ, понадобится вложить сотни миллионов долларов в разработку и создание специализированного вычислительного оборудования, способного на такие вычисления.

«Отдача от подобных вложений колоссальна, — уверяет эксперт. — Примерно через год ваша машина выдаст некий результат, с помощью которого можно будет очень быстро взламывать шифрование отдельных соединений. Весь этот огромный объем вычислений, предметом которых является простое число, позволит получить промежуточный продукт атаки — информацию о математической структуре простого числа. Расходы на создание компьютера окупятся, если в конечном счете вы получаете возможность быстро и дешево взламывать триллионы различных соединений».

Исследователи подчеркивают, что выбор простого числа из готового набора вполне приемлем в рамках конкретной разработки, но является катастрофическим с точки зрения безопасности и конфиденциальности.

«Основной урок, который можно извлечь из нашего исследования, в том, что некоторые фундаментальные понятия криптоанализа по-разному воспринимаются сообществом математиков, создающих криптографические алгоритмы, и людьми, применяющими их на практике, — полагает Халдерман. — Мы рассматриваем вещи, хорошо известные в определенных исследовательских кругах, но этим исследователям неведомо, как в реальности используется алгоритм Диффи — Хеллмана. Им невдомек, что в реальности многие простые числа зачастую не только дублируются, но также не способны обеспечить должную криптографическую стойкость».

Согласно выводам исследователей, взлом широко используемого 1024-битного простого числа представляет опасность для 66% VPN-соединений, работающих по протоколу IPsec. Он актуален также для 26% SSH- и 18% HTTPS-соединений на сайтах с миллионной аудиторией.

Как стало известно из документов Сноудена, АНБ и так имеет возможность и желание заниматься пассивным перехватом интернет-трафика, к примеру коллекционировать фрагменты шифрованных VPN-коммуникаций. По словам Халдермана, атакующий может пересылать собранный трафик на специализированный суперкомпьютер, который будет заниматься математическими вычислениями до тех пор, пока не получит ключ.

«Главная загадка в том, каким образом они пытаются взломать криптографию, так как стандартные криптосистемы, используемые в Сети и VPN, созданы с таким расчетом, что даже при наличии суперкомпьютера их невозможно будет взломать, — заявляет эксперт. — По всей видимости, существует общее слабое место, о котором ИБ-комьюнити пока ничего не известно. Результат нашего исследования — это возможное объяснение большой проблемы, провоцирующей использование вычислительных мощностей для массового взлома криптографической защиты».

Согласно Сноудену, из черного бюджета АНБ около $1 млрд ежегодно уходит на внедрение в компьютерные сети и сотни миллионов — на схожие проекты, так что агентство теоретически располагает всеми необходимыми ресурсами для осуществления описанной исследователями атаки.

По мнению Халдермана, на полное решение этой проблемы могут уйти годы, так как потенциально уязвимых протоколов великое множество.

«Уязвимость присутствует не в каком-то конкретном протоколе, а является свойством математической основы алгоритма Диффи — Хеллмана, который используется почти во всех ключевых криптографических протоколах, — заявил эксперт. — Подобный дефект невозможно исправить за ночь. Проблема в том, что, согласно стандартам, на которых основаны такие протоколы, как IPsec VPN, все должны использовать определенные простые числа, и такое повальное использование ослабляет их силу. К сожалению, обновление существующих стандартов и реализаций в данном случае может растянуться на долгие годы».

Категории: Аналитика, Главное