En criptografía, los canales subliminales son canales encubiertos que se pueden usar para comunicarse en secreto en una comunicación de apariencia normal a través de un canal inseguro . [1] Los canales subliminales en los sistemas de cifrado de firma digital fueron encontrados en 1984 por Gustavus Simmons .
Simmons describe cómo el "Problema de los prisioneros" puede resolverse mediante la sustitución de parámetros en algoritmos de firma digital . [2] (Tenga en cuenta que el problema de los 'prisioneros' de Simmons no es lo mismo que el dilema del prisionero . [1] )
Los algoritmos de firma como ElGamal y DSA tienen parámetros que deben configurarse con información aleatoria. Muestra cómo se pueden utilizar estos parámetros para enviar un mensaje de forma subliminal. Debido a que el procedimiento de creación de firmas del algoritmo no se modifica, la firma permanece verificable e indistinguible de una firma normal. Por lo tanto, es difícil detectar si se usa el canal subliminal.
- Los canales subliminales se pueden clasificar en tipos de canales de banda ancha y de banda estrecha.
- Los canales de banda ancha y de banda estrecha pueden existir en el mismo flujo de datos.
- El canal de banda ancha utiliza casi todos los bits disponibles que están disponibles para su uso. Por lo general, se entiende que esto significa {≥50% pero ≤90%} de utilización del canal.
- Cada canal que utiliza menos bits se denomina canal de banda estrecha.
- Los bits usados adicionales son necesarios para una mayor protección, por ejemplo, suplantación .
Los canales de banda ancha y de banda estrecha pueden utilizar diferentes parámetros de algoritmo. Un canal de banda estrecha no puede transportar la máxima información, pero puede usarse para enviar la clave de autenticación o el flujo de datos.
La investigación está en curso: nuevos desarrollos pueden mejorar el canal subliminal, por ejemplo, permitir el establecimiento de un canal de banda ancha sin la necesidad de acordar una clave de autenticación de antemano. Otros desarrollos intentan evitar todo el canal subliminal.
Ejemplos de
Un ejemplo sencillo de un canal subliminal de banda estrecha para texto en lenguaje humano normal sería definir que un recuento de palabras pares en una oración está asociado con el bit "0" y un recuento de palabras impares con el bit "1". La pregunta "Hola, ¿cómo estás?" enviaría por tanto el mensaje subliminal "1".
El algoritmo de firma digital tiene una banda ancha subliminal [3] y tres canales subliminales de banda estrecha [4]
Al firmar el parámetro tiene que establecerse al azar. Para el canal de banda ancha, este parámetro se configura con un mensaje subliminal..
- Generación de claves
- elige prime
- elige prime
- calcular generador
- elegir la clave de autenticación y envíelo de forma segura al receptor
- calcular la clave pública modificación
- Firma
- elegir mensaje
- (función hash aquí se sustituye con una reducción de módulo por 107) calcular el valor hash del mensaje modificación modificación
- en lugar de valor aleatorio mensaje subliminal esta elegido
- calcular el inverso del mensaje subliminal modificación
- calcular el valor de la firma modificación modificación modificación modificación
- calcular el valor de la firma modificación modificación
- enviando mensaje con firma triple
- Verificando
- el receptor recibe el mensaje triple
- calcular el hash del mensaje modificación modificación
- calcular inversa modificación
- calcular modificación modificación
- calcular modificación modificación
- calcular firma modificación modificación modificación modificación
- desde , la firma es válida
- Extracción de mensajes en el lado del receptor
- de triple (1337; 12, 3)
- extraer mensaje modificación
La fórmula para la extracción de mensajes se obtiene transponiendo el valor de la firma. fórmula de cálculo.
- modificación
- modificación
- modificación
Ejemplo: uso de un módulo n = pqr
En este ejemplo, un módulo RSA que pretende ser de la forma n = pq es en realidad de la forma n = pqr, para los números primos p, q y r. El cálculo muestra que se puede ocultar exactamente un bit adicional en el mensaje firmado digitalmente. La cura para esto fue encontrada por criptólogos en el Centrum Wiskunde & Informatica en Amsterdam , quienes desarrollaron una prueba de conocimiento cero de que n tiene la forma n = pq. Este ejemplo fue motivado en parte por The Empty Silo Proposal .
Ejemplo: estudio de caso de RSA
Aquí hay una clave pública PGP (real, en funcionamiento) (utilizando el algoritmo RSA), que se generó para incluir dos canales subliminales: el primero es el "ID de clave", que normalmente debería ser hexadecimal aleatorio, pero a continuación se modifica "encubiertamente" para leer "C0DED00D". La segunda es la representación en base64 de la clave pública; nuevamente, se supone que es un galimatías aleatorio, pero el mensaje legible en inglés "// This + is + Christopher + Drakes + PGP + public + key // Who / What + is + WatcHIng + you // "se ha insertado. La adición de estos dos mensajes subliminales se logró alterando la generación de números aleatorios durante la fase de generación de claves RSA.
Clave PGP. RSA 2020 / C0DED00D Impresión: 250A 7E38 9A1F 8A86 0811 C704 AF21 222C ----- COMIENCE EL BLOQUE DE LLAVES PÚBLICAS DE PGP ----- Versión: Privada mQESAgAAAAAAAAEH5Ar // Este + es + Christopher + Drakes + PGP + clave + pública // Quién / Qué + te + está + mirando // Di0nAraP + Ebz + iq83gCa06rGL4 + hc9Gdsq667x 8FrpohTQzOlMF1Mj6aHeH2iy7 + OcN7lL0tCJuvVGZ5lQxVAjhX8Lc98XjLm3vr1w ZBa9slDAvv98rJ8 + 8YGQQPJsQKq3L3rN9kabusMs0ZMuJQdOX3eBRdmurtGlQ6AQ AfjzUm8z5 / 2w0sYLc2g + aIlRkedDJWAFeJwAVENaY0LfkD3qpPFIhALN5MEWzdHt Apc0WrnjJDby5oPz1DXxg6jaHD / WD8De0A0ARRAAAAAAAAAAAbQvQ2hyaXN0b3Bo ZXIgRHJha2UgPENocmlzdG9waGVyLkRyYWtlQFBvQm94LmNvbT60SE5ldFNhZmUg c2VjdXJpdHkgc29mdHdhcmUgZGlyZWN0b3IgQ2hyaXN0b3BoZXIgRHJha2UgPE5l dFNhZmVAUG9Cb3guY29tPokBEgMFEDPXgvkcP9YPwN7QDQEB25oH4wWEhg9cBshB i6l17fJRqIJpXKAz4Zt0CfAfXphRGXC7wC9bCYzpHZSerOi1pd3TpHWyGX3HjGEP 6hyPfMldN / sm5MzOqgFc2pO5Ke5ukfgxI05NI0 + OKrfc5NQnDOBHcm47EkK9TsnM c3Gz7HlWcHL6llRFwk75TWwSTVbfURbXKx4sC + nNExW7oJRKqpuN0JZxQxZaELdg 9wtdArqW / SY7jXQn // YJV / kftKvFrA24UYLxvGOXfZXpP7Gl2CGkDI6fzism75ya xSAgn9B7BqQ4BLY5Vn + viS ++ 6Rdavykyd8j9sDAK + oPz / qRtYJrMvTqBErN4C5uA IV88P1U = = / BRt ----- FINALIZAR EL BLOQUE DE CLAVES PÚBLICAS PGP -----
Mejoras
Una modificación al esquema de firma de Brickell y DeLaurentis proporciona un canal de banda ancha sin la necesidad de compartir la clave de autenticación. [5] El canal de Newton no es un canal subliminal, pero puede verse como una mejora. [6]
Contramedidas
Con la ayuda de la prueba de conocimiento cero y el esquema de compromiso , es posible evitar el uso del canal subliminal. [7] [8]
Cabe mencionar que esta contramedida tiene un canal subliminal de 1 bit. La razón de esto es el problema de que una prueba puede tener éxito o fracasar intencionalmente. [9]
Otra contramedida puede detectar, pero no prevenir, el uso subliminal de la aleatoriedad. [10]
Referencias
- ^ a b Gustavus J. Simmons. El problema de los prisioneros y el canal subliminal . En Advances in Cryptology - CRYPTO '83, páginas 51–67, Nueva York, 1984. Lecture Notes in Computer Science, ed. D. Chaum.
- ^ Gustavus J. Simmons. El canal subliminal y las firmas digitales . En Proc. del taller EUROCRYPT 84 sobre Avances en criptología: teoría y aplicación de técnicas criptográficas, páginas 364–378, Nueva York, NY, EE. UU., 1985. Springer-Verlag New York, Inc. doi : 10.1007 / 3-540-39757-4_25
- ^ Gustavus J. Simmons. La comunicación subliminal es fácil con el DSA . En EUROCRYPT '93: Taller sobre teoría y aplicación de técnicas criptográficas sobre avances en criptología, páginas 218-232, Secaucus, Nueva Jersey, EE. UU., 1994. Springer-Verlag New York, Inc.
- ^ Gustavus J. Simmons. El canal subliminal en el algoritmo de firma digital de EE. UU. (DSA), en Actas del 3er Simposio sobre estado y progreso de la investigación en criptografía ( SPRC '93 ), Roma, Italia, 15 al 16 de febrero de 1993.
- ^ Gustavus J. Simmons. Un canal subliminal seguro (?) . En CRYPTO '85: Advances in Cryptology, páginas 33–41, Londres, Reino Unido, 1986. Springer-Verlag.
- ^ Ross J. Anderson, Serge Vaudenay, Bart Preneel y Kaisa Nyberg. El canal de Newton . En Actas del primer taller internacional sobre ocultación de información, páginas 151-156, Londres, Reino Unido, 1996. Springer-Verlag.
- ^ Yvo Desmedt. Abusos en criptografía y cómo combatirlos . En CRYPTO '88: Actas de la 8ª Conferencia Anual Internacional de Criptología sobre Avances en Criptología, páginas 375–389, Londres, Reino Unido, 1990. Springer-Verlag.
- ^ Yvo Desmedt. "Autenticación y firma libre de subliminales". pag. 24 de Christoph G. Günther, editor. "Avances en Criptología - EUROCRYPT '88" . 1988.
- ^ Desmedt, Yvo (1996). "El protocolo de Simmons no está libre de canales subliminales". Proc. del 9º Taller de Fundamentos de Seguridad Informática del IEEE . págs. 170-175. CiteSeerX 10.1.1.56.4816 .
- ^ Choi, Jong Youl; Golle, Philippe; Jakobsson, Markus (2006). "Firmas digitales a prueba de manipulaciones: protección de las autoridades de certificación contra malware". Actas del 2do Simposio Internacional IEEE sobre Computación Segura y Autonómica Confiable . CiteSeerX 10.1.1.61.9340 .
- Bruce Schneier. Criptografía aplicada, segunda edición: protocolos, algoritmos y código fuente en C, 2. Ed. Wiley Computer Publishing, John Wiley & Sons, Inc., 1995.
enlaces externos
- Seminario 'Canales encubiertos y análisis forense integrado'