Бандитский криптоанализ

Материал из Википедии — свободной энциклопедии
Перейти к: навигация, поиск

Бандитский криптоанализ (вскрытие с покупкой ключа, шутл. терморектальный криптоанализ[1], также англ. Rubber-hose cryptanalysis — криптоанализ резиновым шлангом[2]) — метод криптоанализа, при котором «криптоаналитик» прибегает к шантажу, угрозам, пыткам, вымогательству, взяточничеству и т. д. Основным методом является анализ и использование т. н. «человеческого фактора» — наличия людей как составной части системы защиты информации.

Брюс Шнайер отмечает, что данный метод является мощным и, часто, самым эффективным методом криптоанализа.

Описание[править | править вики-текст]

Согласно заявлениям «Amnesty International» и ООН, многие страны в мире постоянно пытают людей. Поэтому логично предположить, что по крайней мере некоторые из этих стран используют (или готовы использовать) некоторые формы Бандитского криптоанализа[3].

В силу специфики данного метода, в случае его применения время, необходимое для дешифрования сообщения не зависит от алгоритма шифрования и длины ключа.

На практике, психологическое принуждение может оказаться столь же эффективным, как физические пытки. Ненасильственные, но весьма пугающие методы включают в себя такую тактику, как угроза неблагоприятного уголовного наказания. Стимулом к сотрудничеству может быть некоторая форма сделки о признании вины, предлагающая понижение срока или сокращение списка уголовных обвинений против подозреваемого в обмен на полное сотрудничество с следствием. Кроме того, в некоторых странах угрозы могут основываться на преследовании в судебном порядке, как соучастников, близких родственников допрашиваемого лица (например, жены, детей или родителей), если они не сотрудничают[4][5].

Примеры использования[править | править вики-текст]

В России конца 30-х гг. XVIII в.[править | править вики-текст]

В 1738 г. главными противниками России на политической арене были Турция (на юге) и Швеция (на севере). Российский двор, обеспокоенный слухами о переговорах между ними, опасался образования их союза. Поэтому императрица Анна Иоанновна повелела принять все возможные меры для получения соответствующей информации. В то время, под началом командующего русскими войсками на юге - фельдмаршалом Б.К. Минихом служил полковник русской армии Х. фон Манштейн. В своих воспоминаниях он описывал следующее: «Предосторожности русского министерства, принимаемые против шведских интриг, доходили до самых насильственных мер и даже до смертоубийства на большой дороге... »[6].

Расследование кражи данных кредитных карт TJ Maxx 2005 г.[править | править вики-текст]

Порой преступники обращаются к шифрованию данных диска, чтобы скрыть доказательства своих преступлений. Правоохранительные расследования могут столкнуться с таким препятствием, когда компьютерно-технической экспертизе программного обеспечения не удаётся восстановить пароли шифрования, и остается единственный и проверенный метод: насилие. Более агрессивная форма поведения "Хороший полицейский, плохой полицейский", к которому турецкое правительство предположительно обратилось для того, чтобы узнать криптографические ключи одного из основных фигурантов в расследовании кражи кредитных карт TJ Maxx.

В 2005 года была совершена кража десятков миллионов номеров кредитных карт из незащищенной беспроводной сети магазинов TJ Maxx, которая привела к более чем 150 миллионов долларов в качестве убытка компании. Оба джентльмена стоящие за ограблением продали ворованную информацию о кредитных картах онлайн. В конце концов, украденные карточки достигли Максима Ястремского, гражданина Украины, и, по сообщениям СМИ, "главной фигуры в международной купле-продаже украденной информации кредитных карт."

Согласно комментариям, сделанных Говардом Коксом (Howard Cox), занимающим пост замначальника подразделения по компьютерным преступлениям в Министерстве юстиции США, во время закрытого заседания, после обнаружения шифрования диска, используемого Ястремским, и отказа сообщать пароль доступа к этим данным, Максим был "оставлен турецким правоохранительным органам", которые вероятно прибегли к физическому насилию, чтобы заполучить пароль от Украинского подозреваемого.

Не смотря на то, что информация подавалась аудитории в шутливой форме и без прямого упоминания методов допроса, из контекста было очевидно, каким способом арестованного удалось "убедить сотрудничать"[3][7].

Методы противодействия[править | править вики-текст]

Хотя этот термин звучит иронически, он серьёзно применяется в современных криптосистемах. Произвести атаку полным перебором на алгоритм шифрования или на используемый протокол, вероятно, будет намного сложнее и стоить намного дороже, чем просто узнать всю информацию у пользователей системы. Таким образом, многие криптосистемы и системы безопасности спроектированы так, чтобы свести уязвимость человека к минимуму. Например, в криптосистемах с открытым ключом у пользователя может быть открытый ключ для шифрования данных, но может не быть закрытого ключа для расшифрования. Здесь проблема заключается в том, что пользователь, возможно, не сможет убедить злоумышленника, что он сам не может расшифровать. Также примером служит двусмысленное шифрование. Двусмысленное шифрование разрешает прочитать зашифрованное сообщение несколькими осмысленными способами в зависимости от использованного ключа. Иными словами, оно скрывает наличие настоящего сообщения в отсутствие соответствующего ключа шифрования. Это дает пользователю шанс скрыть настоящее сообщение, даже если его вынудили раскрыть свой ключ[8].

В культуре[править | править вики-текст]

Популярный веб-комикс xkcd в 538 серии (ru, en) иллюстрирует идею, что в криптосистеме часто слабым звеном является человек, который подвержен атаке с использования дешёвого гаечного ключа для получения пароля, хотя сами данные защищены надёжным вариантом алгоритма RSA[9].

См. также[править | править вики-текст]

Примечания[править | править вики-текст]

  1. От нагретого паяльника, вставленного в задний проход, пытки, якобы распространённой в «лихие 90-е».
  2. От пытки, не оставляющей побоев, избиения резиновым шлангом.
  3. 1 2 Chris Soghoian. Turkish police may have beaten encryption key out of TJ Maxx suspect, CNET (January 26, 2009).
  4. High Tech Today Interview with author of PGP (Pretty Good Privacy) (англ.).
  5. UN News Service Many countries still appear willing to use torture, warns UN human rights official (англ.).
  6. фон Манштейн Х.Г. Записки о России генерала Манштейна. — Санкт-Петербург: В.С. Балашева, 1875.
  7. Киви Берд При помощи палки и верёвки (рус.). — 2008. — 26 ноября.
  8. Е. В. Морозова , Я. А. Мондикова , Н. А. Молдовян Способы отрицаемого шифрования с разделяемым ключом (рус.). — 2013. — № 6(67).
  9. Sebastian Pape. Authentication in Insecure Environments: Using Visual Cryptography and Non-Transferable Credentials in Practise. — Springer, 2014-09-02. — С. 46. — 365 с. — ISBN 9783658071165.

Литература[править | править вики-текст]