Бандитский криптоанализ: различия между версиями
[непроверенная версия] | [непроверенная версия] |
Восстановил про xkcd. Сейчас добавлю вторичный АИ |
→В культуре: Вторичный источник для xkcd |
||
Строка 29: | Строка 29: | ||
== В культуре == |
== В культуре == |
||
Популярный веб-комикс [[xkcd]] в 538 серии ([http://xkcd.ru/538/ ru], [http://xkcd.com/538/ en]) |
Популярный веб-комикс [[xkcd]] в 538 серии ([http://xkcd.ru/538/ ru], [http://xkcd.com/538/ en]) |
||
иллюстрирует идею, что в криптосистеме часто слабым звеном является человек, который подвержен атаке с использования дешёвого гаечного ключа для получения пароля, хотя сами данные защищены надёжным вариантом алгоритма [[RSA]]. |
иллюстрирует идею, что в криптосистеме часто слабым звеном является человек, который подвержен атаке с использования дешёвого гаечного ключа для получения пароля, хотя сами данные защищены надёжным вариантом алгоритма [[RSA]]<ref>{{Книга|автор = Sebastian Pape|год = 2014-09-02|isbn = 9783658071165|страниц = 365|издательство = Springer|заглавие = Authentication in Insecure Environments: Using Visual Cryptography and Non-Transferable Credentials in Practise|ссылка = https://books.google.com/books?id=OcdpBAAAQBAJ|страницы = 46}}</ref>. |
||
== Литература == |
== Литература == |
Версия от 09:11, 20 декабря 2015
Бандитский криптоанализ (вскрытие с покупкой ключа, шутл. терморектальный криптоанализШаблон:-1, также англ. Rubber-hose cryptanalysis — криптоанализ резиновым шлангом[1]) — метод криптоанализа, при котором «криптоаналитик» прибегает к шантажу, угрозам, пыткам, вымогательству, взяточничеству и т. д. Основным методом является анализ и использование т. н. «человеческого фактора» — наличия людей как составной части системы защиты информации.
Брюс Шнайер отмечает, что данный метод является мощным и, часто, самым эффективным методом криптоанализа.
Описание
Согласно «Международной Амнистии» и ООН, многие страны в мире постоянно пытают людей. Поэтому логично предположить, что по крайней мере некоторые из этих стран используют (или готовы использовать) некоторые формы Бандитского криптоанализа[2].
В силу специфики данного метода, в случае его применения время, необходимое для дешифрования сообщения не зависит от алгоритма шифрования и длины ключа.
На практике, психологическое принуждение может оказаться столь же эффективным, как физические пытки. Ненасильственные, но весьма пугающие методы включают в себя такую тактику, как угроза неблагоприятного уголовного наказания. Стимулом к сотрудничеству может быть некоторая форма сделки о признании вины, предлагающая понижение срока или сокращение списка уголовных обвинений против подозреваемого в обмен на полное сотрудничество с следствием. Кроме того, в некоторых странах угрозы могут основываться на преследовании в судебном порядке, как соучастников, близких родственников допрашиваемого лица (например, жены, детей или родителей), если они не сотрудничают[3][4].
Примеры использования
В России конца 30-х гг. XVIII в.
В 1738 г. главными противниками России на политической арене были Турция (на юге) и Швеция (на севере). Российский двор, обеспокоенный слухами о переговорах между ними, опасался образования их союза. Поэтому императрица Анна Иоанновна повелела принять все возможные меры для получения соответствующей информации. В то время, под началом командующего русскими войсками на юге - фельдмаршалом Б.К. Минихом служил полковник русской армии Х. фон Манштейн. В своих воспоминаниях он описывал следующее: «Предосторожности русского министерства, принимаемые против шведских интриг, доходили до самых насильственных мер и даже до смертоубийства на большой дороге... »[5].
Расследование кражи данных кредитных карт TJ Maxx 2005 г.
Порой преступники обращаются к шифрованию данных диска, чтобы скрыть доказательства своих преступлений. Правоохранительные расследования могут столкнуться с таким препятствием, когда компьютерно-технической экспертизе программного обеспечения не удаётся восстановить пароли шифрования, и остается единственный и проверенный метод: насилие. Более агрессивная форма поведения "Хороший полицейский, плохой полицейский", к которому турецкое правительство предположительно обратилось для того, чтобы узнать криптографические ключи одного из основных фигурантов в расследовании кражи кредитных карт TJ Maxx.
В 2005 года была совершена кража десятков миллионов номеров кредитных карт из незащищенной беспроводной сети магазинов TJ Maxx, которая привела к более чем 150 миллионов долларов в качестве убытка компании. Оба джентльмена стоящие за ограблением продали ворованную информацию о кредитных картах онлайн. В конце концов, украденные карточки достигли Максима Ястремского, гражданина Украины, и, по сообщениям СМИ, "главной фигуры в международной купле-продаже украденной информации кредитных карт."
Согласно комментариям, сделанных Говардом Коксом (Howard Cox), занимающим пост замначальника подразделения по компьютерным преступлениям в Министерстве юстиции США, во время закрытого заседания, после обнаружения шифрования диска, используемого Ястремским, и отказа сообщать пароль доступа к этим данным, Максим был "оставлен турецким правоохранительным органам", которые вероятно прибегли к физическому насилию, чтобы заполучить пароль от Украинского подозреваемого.
Не смотря на то, что информация подавалась аудитории в шутливой форме и без прямого упоминания методов допроса, из контекста было очевидно, каким способом арестованного удалось "убедить сотрудничать"[2][6].
Методы противодействия
Хотя этот термин звучит иронически, он серьёзно применяется в современных криптосистемах. Произвести атаку полным перебором на алгоритм шифрования или на используемый протокол, вероятно, будет намного сложнее и стоить намного дороже, чем просто узнать всю информацию у пользователей системы. Таким образом, многие криптосистемы и системы безопасности спроектированы так, чтобы свести уязвимость человека к минимуму. Например, в криптосистемах с открытым ключом у пользователя может быть открытый ключ для шифрования данных, но может не быть закрытого ключа для расшифрования. Здесь проблема заключается в том, что пользователь, возможно, не сможет убедить злоумышленника, что он сам не может расшифровать. Также примером служит двусмысленное шифрование. Двусмысленное шифрование разрешает прочитать зашифрованное сообщение несколькими осмысленными способами в зависимости от использованного ключа. Иными словами, оно скрывает наличие настоящего сообщения в отсутствие соответствующего ключа шифрования. Это дает пользователю шанс скрыть настоящее сообщение, даже если его вынудили раскрыть свой ключ[7].
В культуре
Популярный веб-комикс xkcd в 538 серии (ru, en) иллюстрирует идею, что в криптосистеме часто слабым звеном является человек, который подвержен атаке с использования дешёвого гаечного ключа для получения пароля, хотя сами данные защищены надёжным вариантом алгоритма RSA[8].
Литература
- Шнайер Б. Криптоанализ // Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си = Applied Cryptography. Protocols, Algorithms and Source Code in C. — М.: Триумф, 2002. — С. 19—22. — 816 с. — 3000 экз. — ISBN 5-89392-055-4.
- Бёрд Киви (2008-11-26). "При помощи палки и верёвки". Компьютерра. Дата обращения: 21 мая 2012.
- Chris Soghoian. "Turkish police may have beaten encryption key out of TJ Maxx suspect http://www.cnet.com/news/turkish-police-may-have-beaten-encryption-key-out-of-tj-maxx-suspect/
См. также
Примечания
- ↑ От пытки, не оставляющей побоев, избиения резиновым шлангом.
- ↑ 1 2 Chris Soghoian (January 26, 2009). "Turkish police may have beaten encryption key out of TJ Maxx suspect". CNET.
- ↑ High Tech Today. Interview with author of PGP (Pretty Good Privacy) (англ.).
- ↑ UN News Service. Many countries still appear willing to use torture, warns UN human rights official (англ.).
- ↑ фон Манштейн Х.Г. Записки о России генерала Манштейна. — Санкт-Петербург: В.С. Балашева, 1875.
- ↑ Киви Берд. При помощи палки и верёвки (рус.). — 2008. — 26 ноября.
- ↑ Е. В. Морозова , Я. А. Мондикова , Н. А. Молдовян. Способы отрицаемого шифрования с разделяемым ключом (рус.). — 2013. — № 6(67).
- ↑ Sebastian Pape. Authentication in Insecure Environments: Using Visual Cryptography and Non-Transferable Credentials in Practise. — Springer, 2014-09-02. — С. 46. — 365 с. — ISBN 9783658071165.
Статья является кандидатом в добротные статьи с 5 декабря 2015. |