БИБЛИЯ ХАКЕРА

Алгоритмы шифрования

Два выдающихся израильских фрикера повергли в шок специалис­тов по защите информации, заявив, что они нашли способ извлечь крип­тографические ключи DES из ПК и смарт-карт. Ади Шамир, один из трех авторов разработки методологии шифрования с открытыми ключами, и Эли Бихам утверждают, что они могут получить даже 168-разрядный сек­ретный ключ Triple-DES. Криптографы использовали нагревание или из­лучение для изменения битовой последовательности ключа. Затем, при­менив методику под названием Differential Fault Analysis (DFA)* они сравнивали шифрованный вывод с поврежденной и неповрежденной карт для поиска ключа.

56-разрядный стандарт DES одобрен правительством США для ис­пользования в банковской сфере и широко реализован в программных и аппаратных продуктах.

Эксперты по защите информации считают, что открытие Шамира и Бихама поставило под сомнение возможность использования смарт-карт с шифрованием, в особенности для электронных расчетов. Получив криптографический ключ, мошенники могут снять всю наличность с кар­ты. Эксперты добавляют также, что организации, использующие DES, с целью предотвращения DFA-атак должны будут закрыть посторонним физический доступ к устройствам шифрования DES.

При помощи аналогичного метода ученые из Bellcore взломали за­щиту смарт-карты с шифрованием по методу открытых ключей RSA. Та­кая технология взлома, вполне вероятно, вскоре пополнит арсенал фри - керов.

Смарт-карты с микропроцессорами для хранения персональных данных и электронной наличности весьма популярны, особенно в Евро­пе. Вильям Каелли, профессор Квинсландского технологического уни­верситета, полагает, что к 2000 году будет использоваться свыше 300 млн. карт.

Каелли утверждает, что некоторые изготовители карт, к примеру Siemens Gmbh, подходят к производству этого продукта очень ответствен­но. Однако на рынке большинство карт настолько плохи, что мошенни­ки со считывателем смарт-карт ценой 180 долларов и компьютером могут без труда записать процесс шифрования.

Стив Велловин, ученый из AT&T Laboratories, считает, что откры­тие Bellcore и Шамира-Бихама будет иметь серьезные последствия для разработок в области смарт-карт и электронной наличности.

Белловин добавляет, что в конечном счете это открытие позволяет нам лучше понять уязвимые места устройств шифрования данных, ис­пользуемых в банках и других организациях для передачи больших объе­мов информации.

Оборудование нужно постоянно проверять на наличие слабых мест. Например, 40-разрядный ключ может быть легко найден при помощи так называемого метода грубой силы, то есть прямого перебора на компьюте­ре в поисках ключа.

В свое время Netscape Communications подверглась публичному унижению — студенты из Беркли без труда взломали систему шифрова­ния Navigator. Это стало возможным из-за неудачного выбора генератора случайных чисел. Netscape немедленно исправила выявленный недоста­ток.

Одна компания — Access Data — зарабатывает себе на жизнь тем, что взламывает системы шифрования по заказу следственных органов и корпораций.

По словам президента Access Data Эрика Томпсона, его компания взломала 90% систем шифрования в проверяемых ею коммерческих про­граммах шифрования от Microsoft, Borland International и IBM, в частно­сти посредством атаки на используемые программами системы паролей.