Эта статья является кандидатом в добротные статьи

Бандитский криптоанализ: различия между версиями

Материал из Википедии — свободной энциклопедии
Перейти к навигации Перейти к поиску
Интерактивная навигация по истории
[непроверенная версия][непроверенная версия]
← Предыдущая правкаСледующая правка →
Содержимое удалено Содержимое добавлено
ВизуальныйВики-текст
Восстановил про xkcd. Сейчас добавлю вторичный АИ
→‎В культуре: Вторичный источник для xkcd
Строка 29: Строка 29:
== В культуре ==
== В культуре ==
Популярный веб-комикс [[xkcd]] в 538 серии ([http://xkcd.ru/538/ ru], [http://xkcd.com/538/ en])
Популярный веб-комикс [[xkcd]] в 538 серии ([http://xkcd.ru/538/ ru], [http://xkcd.com/538/ en])
иллюстрирует идею, что в криптосистеме часто слабым звеном является человек, который подвержен атаке с использования дешёвого гаечного ключа для получения пароля, хотя сами данные защищены надёжным вариантом алгоритма [[RSA]].
иллюстрирует идею, что в криптосистеме часто слабым звеном является человек, который подвержен атаке с использования дешёвого гаечного ключа для получения пароля, хотя сами данные защищены надёжным вариантом алгоритма [[RSA]]<ref>{{Книга|автор = Sebastian Pape|год = 2014-09-02|isbn = 9783658071165|страниц = 365|издательство = Springer|заглавие = Authentication in Insecure Environments: Using Visual Cryptography and Non-Transferable Credentials in Practise|ссылка = https://books.google.com/books?id=OcdpBAAAQBAJ|страницы = 46}}</ref>.


== Литература ==
== Литература ==

Версия от 09:11, 20 декабря 2015

Бандитский криптоанализ (вскрытие с покупкой ключа, шутл. терморектальный криптоанализШаблон:-1, также англ. Rubber-hose cryptanalysis — криптоанализ резиновым шлангом[1]) — метод криптоанализа, при котором «криптоаналитик» прибегает к шантажу, угрозам, пыткам, вымогательству, взяточничеству и т. д. Основным методом является анализ и использование т. н. «человеческого фактора» — наличия людей как составной части системы защиты информации.

Брюс Шнайер отмечает, что данный метод является мощным и, часто, самым эффективным методом криптоанализа.

Описание

Согласно «Международной Амнистии» и ООН, многие страны в мире постоянно пытают людей. Поэтому логично предположить, что по крайней мере некоторые из этих стран используют (или готовы использовать) некоторые формы Бандитского криптоанализа[2].

В силу специфики данного метода, в случае его применения время, необходимое для дешифрования сообщения не зависит от алгоритма шифрования и длины ключа.

На практике, психологическое принуждение может оказаться столь же эффективным, как физические пытки. Ненасильственные, но весьма пугающие методы включают в себя такую тактику, как угроза неблагоприятного уголовного наказания. Стимулом к сотрудничеству может быть некоторая форма сделки о признании вины, предлагающая понижение срока или сокращение списка уголовных обвинений против подозреваемого в обмен на полное сотрудничество с следствием. Кроме того, в некоторых странах угрозы могут основываться на преследовании в судебном порядке, как соучастников, близких родственников допрашиваемого лица (например, жены, детей или родителей), если они не сотрудничают[3][4].

Примеры использования

В России конца 30-х гг. XVIII в.

В 1738 г. главными противниками России на политической арене были Турция (на юге) и Швеция (на севере). Российский двор, обеспокоенный слухами о переговорах между ними, опасался образования их союза. Поэтому императрица Анна Иоанновна повелела принять все возможные меры для получения соответствующей информации. В то время, под началом командующего русскими войсками на юге - фельдмаршалом Б.К. Минихом служил полковник русской армии Х. фон Манштейн. В своих воспоминаниях он описывал следующее: «Предосторожности русского министерства, принимаемые против шведских интриг, доходили до самых насильственных мер и даже до смертоубийства на большой дороге... »[5].

Расследование кражи данных кредитных карт TJ Maxx 2005 г.

Порой преступники обращаются к шифрованию данных диска, чтобы скрыть доказательства своих преступлений. Правоохранительные расследования могут столкнуться с таким препятствием, когда компьютерно-технической экспертизе программного обеспечения не удаётся восстановить пароли шифрования, и остается единственный и проверенный метод: насилие. Более агрессивная форма поведения "Хороший полицейский, плохой полицейский", к которому турецкое правительство предположительно обратилось для того, чтобы узнать криптографические ключи одного из основных фигурантов в расследовании кражи кредитных карт TJ Maxx.

В 2005 года была совершена кража десятков миллионов номеров кредитных карт из незащищенной беспроводной сети магазинов TJ Maxx, которая привела к более чем 150 миллионов долларов в качестве убытка компании. Оба джентльмена стоящие за ограблением продали ворованную информацию о кредитных картах онлайн. В конце концов, украденные карточки достигли Максима Ястремского, гражданина Украины, и, по сообщениям СМИ, "главной фигуры в международной купле-продаже украденной информации кредитных карт."

Согласно комментариям, сделанных Говардом Коксом (Howard Cox), занимающим пост замначальника подразделения по компьютерным преступлениям в Министерстве юстиции США, во время закрытого заседания, после обнаружения шифрования диска, используемого Ястремским, и отказа сообщать пароль доступа к этим данным, Максим был "оставлен турецким правоохранительным органам", которые вероятно прибегли к физическому насилию, чтобы заполучить пароль от Украинского подозреваемого.

Не смотря на то, что информация подавалась аудитории в шутливой форме и без прямого упоминания методов допроса, из контекста было очевидно, каким способом арестованного удалось "убедить сотрудничать"[2][6].

Методы противодействия

Хотя этот термин звучит иронически, он серьёзно применяется в современных криптосистемах. Произвести атаку полным перебором на алгоритм шифрования или на используемый протокол, вероятно, будет намного сложнее и стоить намного дороже, чем просто узнать всю информацию у пользователей системы. Таким образом, многие криптосистемы и системы безопасности спроектированы так, чтобы свести уязвимость человека к минимуму. Например, в криптосистемах с открытым ключом у пользователя может быть открытый ключ для шифрования данных, но может не быть закрытого ключа для расшифрования. Здесь проблема заключается в том, что пользователь, возможно, не сможет убедить злоумышленника, что он сам не может расшифровать. Также примером служит двусмысленное шифрование. Двусмысленное шифрование разрешает прочитать зашифрованное сообщение несколькими осмысленными способами в зависимости от использованного ключа. Иными словами, оно скрывает наличие настоящего сообщения в отсутствие соответствующего ключа шифрования. Это дает пользователю шанс скрыть настоящее сообщение, даже если его вынудили раскрыть свой ключ[7].

В культуре

Популярный веб-комикс xkcd в 538 серии (ru, en) иллюстрирует идею, что в криптосистеме часто слабым звеном является человек, который подвержен атаке с использования дешёвого гаечного ключа для получения пароля, хотя сами данные защищены надёжным вариантом алгоритма RSA[8].

Литература

  • Шнайер Б. Криптоанализ // Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си = Applied Cryptography. Protocols, Algorithms and Source Code in C. — М.: Триумф, 2002. — С. 19—22. — 816 с. — 3000 экз. — ISBN 5-89392-055-4.
  • Бёрд Киви (2008-11-26). "При помощи палки и верёвки". Компьютерра. Дата обращения: 21 мая 2012.
  • Chris Soghoian. "Turkish police may have beaten encryption key out of TJ Maxx suspect http://www.cnet.com/news/turkish-police-may-have-beaten-encryption-key-out-of-tj-maxx-suspect/

См. также

Примечания

  1. От пытки, не оставляющей побоев, избиения резиновым шлангом.
  2. 1 2 Chris Soghoian (January 26, 2009). "Turkish police may have beaten encryption key out of TJ Maxx suspect". CNET.
  3. High Tech Today. Interview with author of PGP (Pretty Good Privacy) (англ.).
  4. UN News Service. Many countries still appear willing to use torture, warns UN human rights official (англ.).
  5. фон Манштейн Х.Г. Записки о России генерала Манштейна. — Санкт-Петербург: В.С. Балашева, 1875.
  6. Киви Берд. При помощи палки и верёвки (рус.). — 2008. — 26 ноября.
  7. Е. В. Морозова , Я. А. Мондикова , Н. А. Молдовян. Способы отрицаемого шифрования с разделяемым ключом (рус.). — 2013. — № 6(67).
  8. Sebastian Pape. Authentication in Insecure Environments: Using Visual Cryptography and Non-Transferable Credentials in Practise. — Springer, 2014-09-02. — С. 46. — 365 с. — ISBN 9783658071165.
Источник — https://ru.wikipedia.org/w/index.php?title=Бандитский_криптоанализ&oldid=75206845