Отправитель и получатель. Сообщения и шифрование 22 глава

Другие шифраторы файлов выдают только файл шифротекста, состоящий из похожих на случайные битов. Как отличить этот файл от любого другого файла битов, похожих на случайные? Универсального способа не существует, но кое-что Ева может проверить:

— Исследует файл. Текст ASCII легко идентифицировать. Другие форматы файлов, такие как TIFF, T_eX, C, Postscript, факс G3 или Microsoft Excel обладают рядом стандартных характеристик. Определяем также и исполняемый код. Файлы UNIX часто содержат "магические числа", которые могут быть обнаружены.

— Попробует разархивировать файл, используя основные алгоритмы сжатия. Если файл сжат (но не зашифрован), она получит оригинальный файл.

— Попробует сжать файл. Если файл представляет собой шифротекст (полученный с помощью хорошего алгоритма), то вероятность того, что файл может быть заметно сжат универсальной утилитой сжатия, невелика. (По моим оценкам 1-2 процента.) Если файл является чем-то другим (например, бинарное изображение или бинарный файл данных), он, скорее всего, сожмется.

Любой файл, который нельзя сжать и который еще не был сжат, возможно является шифротекстом. (Конечно, можно специально создать шифротекст, который будет сжиматься.) Определить алгоритм намного труднее. Для хорошего алгоритма это невозможно. Если у алгоритма есть незначительные особенности, то эти особенности можно распознать в файле. Однако, эти особенности должны быть достаточно заметными, или для выполнения этой работы потребуется достаточно большой файл.

10.8 Как прятать шифротекст в шифротексте

Алиса и Боб в течение прошедшего года обменивались сообщениями. Ева записала все эти сообщения, но не смогла ни одно из них расшифровать. Наконец, тайная полиция устала от всех этих непрочитанных шифротекстов, арестовала парочку и потребовала "Дайте нам ваши ключи шифрования". Алиса и Боб отказываются, но затем замечают клещи для вырывания ногтей. Что они могут сделать?

Неплохо бы уметь шифровать файл так, чтобы его можно было расшифровать двумя способами, для каждого из которых использовался бы свой ключ. Алиса может шифровать действительное сообщение одним ключом, а некое безобидное сообщение - другим ключом. Если Алису поймают, она сможет выдать ключ от безобидного сообщения, сохранив в секрете настоящий ключ.

Проще всего это сделать с помощью одноразовых блокнотов. Пусть P - открытый текст, D - открытый текст сообщения-заглушки, C - шифротекст, K - настоящий ключ, и K' - ключ заглушки. Алиса шифрует P:

P Å K = C

Ключ K - общий для Алисы и Боба, поэтому Боб может расшифровать C:

C Å K = P

Если тайная полиция заставит их выдать свой ключ, они выдадут не K, а:

K'= C Å D

Полиция восстановит открытый текст заглушки:

C Å K' = D

Так как используются одноразовые блокноты, и K- совершенно случаен, то невозможно доказать, что K'не является настоящим ключом. Чтобы сделать все поубедительнее, Алиса и Боб должны состряпать какие-нибудь слегка подозрительные правдоподобные сообщения вместо настоящих. Что-то подобное один раз сделала пара израильских шпионов.

Алиса может взять Pи зашифровать его своим любимым алгоритмом с ключом K, получая C. Затем она берет C и выполняет для него XOR с частью какого-нибудь мирного текста, например, Гордость и предрассудки, чтобы получить K'.Она сохраняет на жестком диске и C, и результат XOR. Теперь, когда ее будет допрашивать тайная полиция, она сможет объяснить, что она - криптограф-любитель, а K'- просто одноразовый блокнот для C.Тайная полиция, конечно, может что-то подозревать, но пока они не узнают K, они не смогут доказать, что объяснение Алисы - ложь.

Другой способ состоит в шифровании Pсимметричным алгоритмом и ключом K, а D - ключом K'. Перемешайте биты (или байты) шифротекста, получая окончательный шифротекст. Если тайная полиция потребует ключ, Алиса выдаст им K'и скажет, что чередующиеся биты (или байты) - это случайный шум для усложнения криптоанализа. Беда этого объяснения в том, что оно настолько невероятно, что в тайной полиции ему могут и не поверить (особенно, если там читали эту книгу).

Лучшим способом для Алисы будет создание такого сообщения-заглушки, D, что объединение Pи D в сжатом виде имеет тот же размер, что и D. Назовем это объединение Р'. Затем Алиса шифрует Р' любым алгоритмом, о котором она договорилась с Бобом, получая C. Теперь она посылает CБобу. Боб расшифровывает C, чтобы получить P', и затем Pи D. Затем они оба вычисляют C Å D = K'. Полученный K'становится заглушкой-одноразовым блокнотом, который они отдадут тайной полиции, если та ворвется в их дома. Алиса должна передать Бобу D, чтобы доказательства Боба и ее совпадали.

В качестве еще одного способа Алиса может взять безобидное сообщение и обработать его каким-либо кодом, исправляющим ошибки. Затем она может ввести ошибки, которые соответствуют секретному шифрованному сообщению. Принимая сообщение, Боб может извлечь ошибки, чтобы восстановить секретное сообщение и расшифровать его. Он также может использовать исправляющий ошибки код, чтобы восстановить безобидное сообщение. Алисе и Бобу, возможно, будет трудно объяснить тайной полиции, почему в практически идеальной сети у них постоянно 30 процентов ошибок, но в определенных условиях эта схема может работать.

Наконец, Алиса и Боб могут использовать подсознательный канал в своих алгоритмах цифровой подписи (см. разделы 4.2 и 23.3). Такой способ невозможно обнаружить, он замечательно работает, но, к сожалению, в подписанном безобидном сообщении можно передавать только около 20 символов подсознательного текста. В действительности этот способ годится только для передачи ключей.

10.9 Разрушение информации

На большинстве компьютеров, когда вы удаляете файл, файл на самом деле не удаляется. Удаляется только запись в дисковом индексном файле, сообщающая компьютеру, где находится файл. Многие поставщики программного обеспечения сделали состояние на продаже программного обеспечения для восстановления удаленных файлов.

Есть и другой повод для беспокойства: виртуальная память. Ее использование означает, что ваш компьютер в любой момент может прочитать с диска и записать на диск содержимое своей оперативной памяти. Даже если вы не сохраняли на диск документ, над которым вы работаете, то этот документ мог быть выгружен на диск операционной системой. То есть, даже если вы не сохраняли открытый текст своих данных, ваш компьютер мог сделать это за вас. А драйверы сжатия данных типа Stacker и DoubleSpace еще сильнее мешают определить, где и как информация хранится на диске.

Чтобы стереть файл так, чтобы утилита восстановления файлов не смогла его прочитать, вам нужно на физическом уровне записать на диск что-то поверх всех битов файла. Согласно Национальному центру компьютерной безопасности (National Computer Security Center) [1148]:

Перезаписывание - это процесс, в ходе которого в области памяти, ранее содержавшие секретные данные, записываются несекретные данные. ... Для очистки ... носителя памяти Министерство обороны требует записать поверх некий шаблон, потом его дополнение и, наконец, другой шаблон, например, сначала заполнить соответствующий области памяти шаблоном 00110101, затем 11001010, и затем 10010111. Сколько раз необходимо выполнять перезаписывание, зависит от носителя памяти, иногда от его чувствительности и иногда от требований Министерства обороны к другим компонентам. В любом случае очистка не является законченной до тех пор, пока не будет выполнена окончательная запись поверх с использованием несекретных данных.

Вам может понадобиться удалить файл или полностью очистить диски. Вам также нужно будет очистить все неиспользуемое пространство ваших дисков.

Большинство коммерческих программ, которые, как утверждается, реализуют стандарт Министерства обороны, осуществляют троекратное перезаписывание: сначала одними единицами, затем нулями и, наконец, чередующимися нулями и единицами. С присущим мне уровнем паранойи я рекомендую перезаписывать удаленный файл семь раз: сначала одними единицами, во второй раз одними нулями, и пять раз криптографически безопасными псевдослучайными последовательностями. Недавние исследования Национального института стандартов и техники (National Institute of Standards and Technology) с использованием электронного микроскопа утверждают, что и это может оказаться недостаточным. Честно говоря, если ваши данные настолько значительны, считайте, что полностью удалить данные с магнитного носителя невозможно. Сожгите или измельчите носитель, дешевле купить новый носитель, чем потерять ваши секреты.

Часть III
Криптографические
алгоритмы