En criptografía y esteganografía , el cifrado plausiblemente denegable describe técnicas de cifrado en las que la existencia de un archivo o mensaje cifrado es negable en el sentido de que un adversario no puede probar que existen los datos en texto sin formato . [1]
Los usuarios pueden negar de manera convincente que un dato determinado esté encriptado, o que sean capaces de desencriptar un dato encriptado determinado, [ cita requerida ] o que exista algún dato encriptado específico. Tales negaciones pueden ser genuinas o no. Por ejemplo, puede ser imposible probar que los datos están encriptados sin la cooperación de los usuarios. Si los datos están encriptados, es posible que los usuarios realmente no puedan desencriptarlos. El cifrado denegable sirve para socavar la confianza de un atacante, ya sea en que los datos están cifrados o en que la persona que los posee puede descifrarlos y proporcionar el texto sin formato asociado .
Función
El cifrado denegable hace que sea imposible probar la existencia del mensaje de texto sin formato sin la clave de descifrado adecuada. Esto se puede hacer permitiendo que un mensaje cifrado se descifre en diferentes textos sencillos sensibles, según la clave utilizada. Esto permite que el remitente tenga una negación plausible si se le obliga a ceder su clave de cifrado. La noción de "cifrado negable" fue utilizada por Julian Assange y Ralf Weinmann en el sistema de archivos Rubberhose [2] y explorada en detalle en un artículo de Ran Canetti , Cynthia Dwork , Moni Naor y Rafail Ostrovsky [3] en 1996.
Guión
El cifrado denegable permite al remitente de un mensaje cifrado rechazar el envío de ese mensaje. Esto requiere un tercero de confianza. Un posible escenario funciona así:
- Bob sospecha que su esposa Alice está involucrada en adulterio. Siendo ese el caso, Alice quiere comunicarse con su amante secreto Carl. Ella crea dos llaves, una destinada a mantenerse en secreto y la otra destinada a ser sacrificada. Ella le pasa la clave secreta (o ambas) a Carl.
- Alice construye un mensaje inocuo M1 para Carl (destinado a ser revelado a Bob en caso de ser descubierto) y una carta de amor incriminatoria M2 para Carl. Ella construye un texto cifrado C a partir de ambos mensajes, M1 y M2, y se lo envía por correo electrónico a Carl.
- Carl usa su clave para descifrar M2 (y posiblemente M1, para leer también el mensaje falso).
- Bob se entera del correo electrónico enviado a Carl, sospecha y obliga a Alice a descifrar el mensaje.
- Alice usa la llave de sacrificio y revela el mensaje inocuo M1 a Bob. Dado que es imposible para Bob de saber con certeza que puede haber otros mensajes contenidos en C, se podría asumir que no hay ningún otro mensaje (alternativamente, Bob puede no estar familiarizado con el concepto de cifrado plausible en primer lugar, y por lo tanto puede que no sepa que es posible que C contenga más de un mensaje).
Otro escenario posible implica que Alice envíe el mismo texto cifrado (algunas instrucciones secretas) a Bob y Carl, a quienes les ha entregado diferentes claves. Bob y Carl deben recibir instrucciones diferentes y no deben poder leer las instrucciones del otro. Bob recibirá el mensaje primero y luego se lo reenviará a Carl.
- Alice construye el texto cifrado a partir de ambos mensajes, M1 y M2, y se lo envía por correo electrónico a Bob.
- Bob usa su clave para descifrar M1 y no puede leer M2.
- Bob reenvía el texto cifrado a Carl.
- Carl usa su clave para descifrar M2 y no puede leer M1.
Formas de encriptación negables
Normalmente, los textos cifrados se descifran en un solo texto sin formato que se pretende mantener en secreto. Sin embargo, una forma de cifrado negable permite a sus usuarios descifrar el texto cifrado para producir un texto plano diferente (inocuo pero plausible) y afirmar plausiblemente que es lo que cifraron. El titular del texto cifrado no podrá diferenciar entre el texto sin formato verdadero y el texto sin formato de declaración falsa. En general, no es posible descifrar un texto cifrado en varios textos sin formato a menos que la clave sea tan grande como el texto sin formato , [4] por lo que esto no es práctico para la mayoría de los propósitos. [5] Sin embargo, algunos esquemas permiten el descifrado para atraer textos planos que están cerca del original en alguna métrica (como la distancia de edición ). [6]
Las técnicas modernas de cifrado negables explotan el hecho de que sin la clave, no es factible distinguir entre el texto cifrado de los cifrados en bloque y los datos generados por un generador de números pseudoaleatorios criptográficamente seguro (las propiedades de permutación pseudoaleatoria del cifrado ). [7]
Esto se usa en combinación con algunos datos señuelo que el usuario posiblemente querría mantener confidenciales y que serán revelados al atacante, alegando que esto es todo lo que hay. Esta es una forma de esteganografía .
Si el usuario no proporciona la clave correcta para los datos verdaderamente secretos, descifrarlos dará como resultado datos aparentemente aleatorios, indistinguibles de no haber almacenado ningún dato en particular allí.
Un ejemplo de cifrado denegable es un sistema de archivos criptográfico que emplea un concepto de "capas" abstractas, donde cada capa se puede descifrar con una clave de cifrado diferente. Además, las " capas de basura " especiales se llenan con datos aleatorios para tener una negación plausible de la existencia de capas reales y sus claves de cifrado. El usuario puede almacenar archivos señuelo en una o más capas mientras niega la existencia de otras, alegando que el resto del espacio está ocupado por capas de paja. Físicamente, estos tipos de sistemas de archivos generalmente se almacenan en un solo directorio que consta de archivos de igual longitud con nombres de archivo que son aleatorios (en caso de que pertenezcan a capas de chaff) o hashes criptográficos de cadenas que identifican los bloques. Las marcas de tiempo de estos archivos siempre son aleatorias. Ejemplos de este enfoque incluyen el sistema de archivos Rubberhose y PhoneBookFS .
Otro enfoque utilizado por algunas suites de software de cifrado de disco convencionales es la creación de un segundo volumen cifrado dentro de un volumen contenedor. El volumen del contenedor se formatea primero llenándolo con datos aleatorios cifrados, [8] y luego inicializando un sistema de archivos en él. Luego, el usuario llena parte del sistema de archivos con archivos señuelo legítimos, pero de apariencia plausible, que el usuario parece tener un incentivo para ocultar. A continuación, se asigna un nuevo volumen cifrado (el volumen oculto) dentro del espacio libre del sistema de archivos contenedor que se utilizará para los datos que el usuario realmente desea ocultar. Dado que un adversario no puede diferenciar entre los datos cifrados y los datos aleatorios utilizados para inicializar el volumen externo, este volumen interno ahora es indetectable. LibreCrypt [9] y BestCrypt pueden tener muchos volúmenes ocultos en un contenedor; TrueCrypt está limitado a un volumen oculto. [10]
Detección
La existencia de datos cifrados ocultos puede revelarse por fallas en la implementación. [11] También puede ser revelado por un llamado 'ataque de marca de agua' si se usa un modo de cifrado inapropiado. [12] La existencia de los datos puede ser revelada por una 'filtración' en un espacio de disco no cifrado [13] donde pueden ser detectados por herramientas forenses . [14]
Se han planteado dudas sobre el nivel de negación plausible en 'volúmenes ocultos' [15] : el contenido del sistema de archivos contenedor "externo" debe 'congelarse' en su estado inicial para evitar que el usuario corrompa el volumen oculto (esto puede detectarse a partir de las marcas de tiempo de acceso y modificación), lo que podría generar sospechas. Este problema se puede eliminar indicando al sistema que no proteja el volumen oculto, aunque esto podría resultar en la pérdida de datos.
Inconvenientes
El cifrado denegable ha sido criticado porque no defiende a los usuarios de revelar claves bajo coacción o tortura . La posesión de herramientas de cifrado negables podría llevar a los atacantes a continuar torturando a un usuario incluso después de que el usuario haya revelado todas sus claves, porque los atacantes no podían saber si el usuario había revelado su última clave o no. [dieciséis]
Autenticación denegable
Algunas suites de mensajería cifrada en tránsito, como Off-the-Record Messaging , ofrecen autenticación denegable que les da a los participantes una posible negación de sus conversaciones. Si bien la autenticación denegable no es técnicamente "encriptación denegable" en el sentido de que no se niega la encriptación de los mensajes, su negación se refiere a la incapacidad de un adversario para demostrar que los participantes mantuvieron una conversación o dijeron algo en particular.
Esto se logra por el hecho de que toda la información necesaria para falsificar mensajes se adjunta a los mensajes cifrados; si un adversario puede crear mensajes auténticos digitalmente en una conversación (consulte el código de autenticación de mensajes basado en hash (HMAC)), también puede para falsificar mensajes en la conversación. Esto se utiliza junto con el secreto de reenvío perfecto para garantizar que el compromiso de las claves de cifrado de mensajes individuales no comprometa conversaciones o mensajes adicionales.
Software
- OpenPuff , esteganografía de código semiabierto gratuito para MS Windows.
- Herramienta de cifrado encubierta de código abierto que proporciona capacidades de cifrado negables. Ofrece binarios para macOS, Linux y Windows.
- EDS , una aplicación de cifrado móvil disponible en Android, incluye cifrado de negación plausible.
- Espionaje , shareware para Mac OS X. [17] El código fuente está disponible para los investigadores de seguridad. [18]
- Fuyoal , una herramienta de código abierto que proporciona una negación plausible basada en la indiscernibilidad entre archivos cifrados que contienen y no contienen contenido oculto.
- LibreCrypt , cifrado de disco transparente de código abierto para MS Windows y PDA PocketPC que proporciona tanto cifrado negable como plausible . [8] [19] Ofrece una amplia gama de opciones de cifrado y no es necesario instalarlo antes de usarlo siempre que el usuario tenga derechos de administrador.
- Mensajería Off-the-Record , una técnica criptográfica que proporciona una verdadera negación para la mensajería instantánea.
- PhoneBookFS , otro sistema de archivos criptográfico para Linux, que proporciona una negación plausible a través de chaff y capas. Una implementación de FUSE . Ya no se mantiene.
- Rubberhose , proyecto desaparecido (última versión en 2000, no compatible con las distribuciones modernas de Linux)
- StegFS , el sucesor actual de las ideas incorporadas por los sistemas de archivos Rubberhose y PhoneBookFS.
- VeraCrypt (un sucesor de TrueCrypt descontinuado ), un software de cifrado de disco sobre la marcha para Windows, Mac y Linux que proporciona cifrado denegable limitado [20] y hasta cierto punto (debido a limitaciones en la cantidad de volúmenes ocultos que se pueden crear [10] ) negación plausible , sin necesidad de instalarlo antes de su uso, siempre que el usuario tenga derechos de administrador completos.
- Vanish , una implementación de prototipo de investigación de almacenamiento de datos autodestructivo.
- ScramDisk 4 Linux , un conjunto de herramientas de software gratuito , para sistemas GNU / Linux, que puede abrir y crear contenedores scramdisk y truecrypt.
- HushChat , una herramienta de chat de código abierto que proporciona cifrado negable y negación plausible .
Ver también
- Chaffing y aventar
- Autenticación denegable
- cripta-dm
- Ley de divulgación clave
- Negación plausible : aspecto de gobernanza y comunicación
- Criptoanálisis con manguera de goma : extracción de secretos criptográficos mediante coacción o tortura
- Esteganografía : ocultar mensajes en otros mensajes
- Distancia de unicidad : longitud del texto cifrado necesario para romper un cifrado sin ambigüedades
Referencias
- ^ Consulte http://www.schneier.com/paper-truecrypt-dfs.html . Consultado el 26 de julio de 2013.
- ^ Consulte "Copia archivada" . Archivado desde el original el 15 de septiembre de 2010 . Consultado el 21 de octubre de 2010 .CS1 maint: copia archivada como título ( enlace ). Consultado el 22 de julio de 2009.
- ^ Ran Canetti, Cynthia Dwork, Moni Naor, Rafail Ostrovsky (10 de mayo de 1996). "Cifrado denegado" (PostScript) . Avances en criptología - CRYPTO '97 . Apuntes de conferencias en informática. 1294 . págs. 90-104. doi : 10.1007 / BFb0052229 . ISBN 978-3-540-63384-6. Consultado el 5 de enero de 2007 .CS1 maint: varios nombres: lista de autores ( enlace )
- ^ https://www.cs.purdue.edu/homes/ninghui/courses/555_Spring12/handouts/555_Spring12_topic03.pdf
- ^ Smith (9 de junio de 2007). "Pads de una sola vez" .
- ^ Trachtenberg, Ari (marzo de 2014). Diga que no es así: una implementación de cifrado denegable (PDF) . Blackhat Asia . Singapur.
- ^ Chakraborty, Debrup; Rodríguez-Henríquez., Francisco (2008). Çetin Kaya Koç (ed.). Ingeniería criptográfica . pag. 340. ISBN 9780387718170.
- ^ a b "LibreCrypt: cifrado de disco transparente sobre la marcha para Windows. Compatible con LUKS .: Tdk / LibreCrypt" . 2019-02-09.
- ^ "Documentación de LibreCrypt sobre la negación plausible" . 2019-02-09.
- ^ a b "TrueCrypt" .
- ^ Adal Chiriliuc (23 de octubre de 2003). "Fallo de la generación BestCrypt IV" . Archivado desde el original el 21 de julio de 2006 . Consultado el 23 de agosto de 2006 . Cite journal requiere
|journal=
( ayuda ) - ^ [title = https://lists.gnu.org/archive/html/qemu-devel/2013-07/msg04229.html [Qemu-devel] Criptografía QCOW2 y manejo seguro de claves]
- ^ Los discos duros cifrados pueden no ser seguros: los investigadores encuentran que el cifrado no es todo lo que dice ser.
- ^ http://www.forensicfocus.com/index.php?name=Forums&file=viewtopic&t=3970 ¿Hay alguna forma de saber en Encase si hay un volumen truecrypt oculto? ¿Si es así, cómo?
- ^ Soporte de negación plausible para LUKS
- ^ Julian Assange: Coerción física
- ^ Los principales avances en el cifrado denegable llegan a Espionage 3.6
- ^ Espionaje 3 - Código fuente disponible para profesionales de la seguridad
- ^ Consulte la sección de documentación sobre "Denegación plausible" )
- ^ TrueCrypt - Software gratuito de cifrado de disco sobre la marcha de código abierto para Windows Vista / XP, Mac OS X y Linux - Volumen oculto
Otras lecturas
- Czeskis, A .; St. Hilaire, DJ; Koscher, K .; Gribble, SD; Kohno, T .; Schneier, B. (2008). "Derrotar a los sistemas de archivos cifrados y denegables: TrueCrypt v5.1a y el caso del sistema operativo y las aplicaciones Tattling" (PDF) . 3er Taller de Temas de actualidad en Seguridad . USENIX.
- Howlader, Jaydeep; Basu, Saikat (2009). "Esquema de cifrado denegado de clave pública del lado del remitente". Actas de la Conferencia Internacional sobre Avances en Tecnologías Recientes en Comunicación e Informática . IEEE. doi : 10.1109 / ARTCom.2009.107 .
- Howlader, Jaydeep; Nair, Vivek; Basu, Saikat (2011). "Cifrado denegable en sustitución de canal inaccesible para evitar la coacción". Proc. Avances en Redes y Comunicaciones . Comunicaciones en Informática y Ciencias de la Información. 132 . Saltador. págs. 491–501. doi : 10.1007 / 978-3-642-17878-8_50 .