Canal subliminal

En criptografía, los canales subliminales son canales encubiertos que se pueden usar para comunicarse secretamente en una comunicación de apariencia normal a través de un canal inseguro . ^[1] Los canales subliminales en los sistemas de criptografía de firma digital fueron descubiertos en 1984 por Gustavus Simmons .

Simmons describe cómo se puede resolver el "problema de los prisioneros" mediante la sustitución de parámetros en algoritmos de firma digital . ^[2]^[a]

Los algoritmos de firma como ElGamal y DSA tienen parámetros que deben configurarse con información aleatoria. Muestra cómo se pueden utilizar estos parámetros para enviar un mensaje subliminalmente. Debido a que el procedimiento de creación de la firma del algoritmo no cambia, la firma sigue siendo verificable e indistinguible de una firma normal. Por lo tanto, es difícil detectar si se utiliza el canal subliminal.

Los canales subliminales se pueden clasificar en tipos de canales de banda ancha y banda estrecha.
Pueden existir canales de banda ancha y de banda estrecha en el mismo flujo de datos.
El canal de banda ancha utiliza casi todos los bits disponibles para su uso. Esto se entiende comúnmente como una utilización del canal {≥50% pero ≤90%.
Cada canal que utiliza menos bits se denomina canal de banda estrecha.
Los bits adicionales utilizados son necesarios para una mayor protección, por ejemplo, suplantación de identidad .

Los canales de banda ancha y de banda estrecha pueden utilizar distintos parámetros de algoritmo. Un canal de banda estrecha no puede transportar la máxima información, pero puede utilizarse para enviar la clave de autenticación o el flujo de datos.

Se están realizando investigaciones: nuevos desarrollos pueden mejorar el canal subliminal, por ejemplo, permitir establecer un canal de banda ancha sin necesidad de acordar una clave de autenticación de antemano. Otros desarrollos intentan evitar todo el canal subliminal.

Ejemplos

Un ejemplo sencillo de un canal subliminal de banda estrecha para un texto en lenguaje humano normal sería definir que un número par de palabras en una oración se asocia con el bit "0" y un número impar de palabras con el bit "1". La pregunta "Hola, ¿cómo estás?" enviaría, por tanto, el mensaje subliminal "1".

El algoritmo de firma digital tiene un canal de banda ancha subliminal ^[3] y tres canales de banda estrecha subliminal ^[4]

Al firmar, el parámetro debe configurarse de forma aleatoria. En el caso del canal de banda ancha, este parámetro se configura con un mensaje subliminal . ${\estilo de visualización k}$ ${\estilo de visualización m'}$

Generación de claves
1. Elige lo mejor $p=2347$
2. Elige lo mejor $q=23$
3. Calcular generador ${\estilo de visualización g=266}$
4. Elija la clave de autenticación y envíela de forma segura al destinatario $x=1468$
5. Calcular clave pública mod $Estilo de visualización y = g x$ $p=2100$
Firma
1. Elija mensaje ${\estilo de visualización m=1337}$
2. (la función hash se sustituye aquí por una reducción de módulo por 107) Calcular el valor hash del mensaje mod mod ${\estilo de visualización H(m)}$ $h=m$ $q=1337$ $107=53$
3. En lugar de un mensaje subliminal con valor aleatorio se elige $k=?$ $m'=17$
4. Calcular la inversa del mod del mensaje subliminal $m'^{-1}=19$ $23$
5. Calcular el valor de la firma mod mod mod mod $r=(g^{k}$ $p)$ $q=(266^{17}$ $2347)$ $23=12$
6. Calcular el valor de la firma mod mod $s=k^{-1}*(h+x*r)$ $q=19*(53+1468*12)$ $23=3$
7. enviando mensaje con firma triple $(1337;12,3)$
Verificando
1. El receptor recibe el mensaje triple $(m;r,s)=(1337;12,3)$
2. Calcular el hash del mensaje mod mod $h=H(m)$ $q=1337$ $107=53$
3. Calcular módulo inverso $w=s^{-1}$ $q=8$
4. Calcular mod mod $u_{1}=(h*w)$ $q=53*8$ $23=10$
5. Calcular mod mod $u_{2}=(r*w)$ $q=12*8$ $23=4$
6. calcular firma mod mod mod mod $v=(g^{u_{1}}*y^{u_{2}}$ $p)$ $q=(266^{10}*2100^{4}$ $2347)$ $23=12$
7. desde entonces la firma es válida $v=r$
Extracción de mensajes en el lado del receptor
1. del triple (1337; 12, 3)
2. extraer mensaje mod $m'=8*(53+1468*12)$ $23=17$

La fórmula para la extracción de mensajes se deriva de la transposición de la fórmula de cálculo del valor de la firma. $s$

$s=m'^{-1}*(h+xr)$ modificación $q$
$s*m'=h+xr$ modificación $q$
$m'=s^{-1}*(h+xr)$ modificación $q$

Ejemplo: Utilizando un módulo n = pqr

En este ejemplo, un módulo RSA que pretende tener la forma n = pq es en realidad de la forma n = pqr, para los primos p, q y r. El cálculo muestra que se puede ocultar exactamente un bit adicional en el mensaje firmado digitalmente. La solución para esto la encontraron los criptólogos del Centrum Wiskunde & Informatica en Ámsterdam , quienes desarrollaron una prueba de conocimiento cero de que n tiene la forma n = pq. ^{[ cita requerida ]} Este ejemplo fue motivado en parte por la Propuesta del Silo Vacío .

Ejemplo: estudio de caso de RSA

Aquí hay una clave pública PGP (real, funcional) (usando el algoritmo RSA), que se generó para incluir dos canales subliminales: el primero es el "ID de clave", que normalmente debería ser hexadecimal aleatorio, pero que a continuación se modifica "encubiertamente" para que diga "C0DED00D". El segundo es la representación en base64 de la clave pública; nuevamente, se supone que es un galimatías aleatorio, pero se ha insertado el mensaje legible en inglés "//This+is+Christopher+Drakes+PGP+public+key//Who/What+is+watcHIng+you//". La adición de estos dos mensajes subliminales se logró alterando la generación de números aleatorios durante la fase de generación de la clave RSA.

Clave PGP. RSA 2020/C0DED00D Impresión: 250A 7E38 9A1F 8A86 0811 C704 AF21 222C  -----INICIO DEL BLOQUE DE CLAVE PÚBLICA PGP----- Versión: Privada  mQESAgAAAAAAAAEH5Ar//Esta+es+la+clave+pública+PGP+de+Christopher+Drake// ¿Quién/Qué te está vigilando?//Di0nAraP+Ebz+iq83gCa06rGL4+hc9Gdsq667x 8FrpohTQzOlMF1Mj6aHeH2iy7+OcN7lL0tCJuvVGZ5lQxVAjhX8Lc98XjLm3vr1w ZBa9slDAvv98rJ8+8YGQQPJsQKq3L3rN9kabusMs0ZMuJQdOX3eBRdmurtGlQ6AQ AfjzUm8z5/2w0sYLc2g+aIlRkedDJWAFeJwAVENaY0LfkD3qpPFIhALN5MEWzdHt Apc0WrnjJDby5oPz1DXxg6jaHD/WD8De0A0ARRAAAAAAAAAAAAbQvQ2hyaXN0b3Bo ZXIgRHJha2UgPENocmlzdG9waGVyLkRyYWtlQFBvQm94LmNvbT60SE5ldFNhZmUg c2VjdXJpdHkgc29mdHdhcmUgZGlyZWN0b3IgQ2hyaXN0b3BoZXIgRHJha2UgPE5l dFNhZmVAUG9Cb3guY29tPokBEgMFEDPXgvkcP9YPwN7QDQEB25oH4wWEhg9cBshB i6l17fJRqIJpXKAz4Zt0CfAfXphRGXC7wC9bCYzpHZSerOi1pd3TpHWyGX3HjGEP 6hyPfMldN/sm5MzOqgFc2pO5Ke5ukfgxI05NI0+OKrfc5NQnDOBHcm47EkK9TsnM c3Gz7HlWcHL6llRFwk75TWwSTVbfURbXKx4sC+nNExW7oJRKqpuN0JZxQxZaELdg 9wtdArqW/SY7jXQn//YJV/kftKvFrA24UYLxvGOXfZXpP7Gl2CGkDI6fzism75ya xSAgn9B7BqQ4BLY5Vn+viS++6Rdavykyd8j9sDAK+oPz/qRtYJrMvTqBErN4C5uA IV88P1U= =/BRt -----FIN DEL BLOQUE DE CLAVE PÚBLICA PGP-----

Mejoras

Una modificación del esquema de firma de Brickell y DeLaurentis proporciona un canal de banda ancha sin la necesidad de compartir la clave de autenticación. ^[5] El canal de Newton no es un canal subliminal, pero puede verse como una mejora. ^[6]

Contramedidas

Con la ayuda de la prueba de conocimiento cero y el esquema de compromiso es posible prevenir el uso del canal subliminal. ^[7]^[8]

Cabe mencionar que esta contramedida tiene un canal subliminal de 1 bit. La razón de ello es el problema de que una prueba puede tener éxito o fallar deliberadamente. ^[9]

Otra contramedida puede detectar, pero no prevenir, el uso subliminal de la aleatoriedad. ^[10]

Notas

^ El problema de los prisioneros de Simmons no es lo mismo que el dilema del prisionero . ^[1]

Referencias

^ de Gustavus J. Simmons. El problema de los prisioneros y el canal subliminal . En Advances in Cryptology – CRYPTO '83, páginas 51–67, Nueva York, 1984. Lecture Notes in Computer Science, ed. D. Chaum.
^ Gustavus J. Simmons. El canal subliminal y las firmas digitales . En Proc. del taller EUROCRYPT 84 sobre avances en criptología: teoría y aplicación de técnicas criptográficas, páginas 364–378, Nueva York, NY, EE. UU., 1985. Springer-Verlag New York, Inc. doi :10.1007/3-540-39757-4_25
^ Gustavus J. Simmons. La comunicación subliminal es fácil usando el DSA . En EUROCRYPT '93: Taller sobre la teoría y aplicación de técnicas criptográficas en Avances en criptología, páginas 218-232, Secaucus, NJ, EE. UU., 1994. Springer-Verlag New York, Inc.
^ Gustavus J. Simmons. El canal subliminal en el algoritmo de firma digital estadounidense (DSA), en Actas del 3.er Simposio sobre el estado y el progreso de la investigación en criptografía ( SPRC '93 ), Roma, Italia, 15 y 16 de febrero de 1993.
^ Gustavus J. Simmons. Un canal subliminal seguro (?) . En CRYPTO '85: Advances in Cryptology, páginas 33-41, Londres, Reino Unido, 1986. Springer-Verlag.
^ Ross J. Anderson, Serge Vaudenay, Bart Preneel y Kaisa Nyberg. El canal de Newton . En Actas del primer taller internacional sobre ocultación de información, páginas 151-156, Londres, Reino Unido, 1996. Springer-Verlag.
^ Yvo Desmedt. Abusos en criptografía y cómo combatirlos . En CRYPTO '88: Actas de la 8.ª Conferencia Anual Internacional de Criptología sobre Avances en Criptología, páginas 375-389, Londres, Reino Unido, 1990. Springer-Verlag.
^ Yvo Desmedt. "Autenticación y firma sin subliminales". p. 24 de Christoph G. Günther, editor. "Avances en criptología - EUROCRYPT '88". 1988.
^ Desmedt, Yvo (1996). "El protocolo de Simmons no está libre de canales subliminales". Actas del 9º taller IEEE Computer Security Foundations . págs. 170–175. CiteSeerX 10.1.1.56.4816 .
^ Choi, Jong Youl; Golle, Philippe; Jakobsson, Markus (2006). "Firmas digitales a prueba de manipulaciones: protección de las autoridades de certificación contra el malware". Actas del 2º Simposio internacional IEEE sobre informática segura y autónoma fiable . CiteSeerX 10.1.1.61.9340 .

Bruce Schneier. Criptografía aplicada , segunda edición: protocolos, algoritmos y código fuente en C, 2.ª ed. Wiley Computer Publishing, John Wiley & Sons, Inc., 1995.

Enlaces externos

Seminario: “Canales encubiertos y análisis forense integrado”