Универсальная система электронных платежей

Универсальная система электронных платежей (Universal Electronic Payment System, UEPS) представляет собой банковское приложение, использующее интеллектуальные карточки, первоначально разработанное для сельской Южной Африки, но позднее принятое основными банковскими группами этой страны. К началу 1995 года в ЮАР было выпущено около 2 миллионов карточек. Эта система также принята в Намибии, и развертывается по крайней мере одним российским банком.

Система позволяет использовать безопасные дебитные карточки, подходящие для регионов, в которых плохая телефонная сеть делает невозможной диалоговую проверку. Карточки есть и покупателей, и у продавцов, покупатели могут использовать свои карточки для перевода денег продавцам. Продавец может воспользоваться своей карточкой, чтобы позвонить в банк и поместить деньги на свой банковский счет, покупатель может воспользоваться своей карточкой, чтобы позвонить в банк и перевести деньги на свою карточку. Нет необходимости заботиться об анонимности, нужно обеспечить только защиту от мошенничества.

Вот как выглядит протокол связи между покупателем Алисой и продавцом Бобом (В действительности, Алиса и Боб просто вставляют свои карточки в машину и ожидают выполнения транзакции.) Когда Алиса впервые получает свою карточку, она получает и пару ключей, K₁и K₂, банк вычисляет их, используя ее имя и некоторую секретную функцию. Только в карточки продавцов встроены секретные средства, необходимые для вычисления ключей пользователей.

(1) Алиса посылает Бобу свое имя, A, его имя, B, и случайное число R_A, шифруя их с помощью DES: сначала ключом K₂, затем K₁.Она также посылает свое имя открытым текстом.

A, ( (A,B,R_A))

(2) Боб вычисляет K₁и K₂ по имени Алисы. Он расшифровывает сообщение, убеждается, что Aи Bправильны, затем шифрует незашифрованную вторую половину сообщения Алисы ключом K₂.

(A,B,R_A)

Боб не посылает это сообщение Алисе, 56 битов шифротекста становятся ключом K₃. Боб посылает Алисе свое имя, ее имя и случайное число, R_B, шифруя их с помощью DES: сначала ключом K₃, затем K₁.

( (B,A,R_В))

(3) Алиса аналогичным образом вычисляет K₃ и расшифровывает сообщение Боба, убеждаясь, что Aи Bправильны, затем шифрует незашифрованную вторую половину сообщения Боба ключом K₃.

(B,A,R_В)

Алиса не посылает это сообщение Бобу, 56 битов шифротекста становятся ключом K₄.Затем Алиса посылает Бобу свое имя, его имя проверочное значение C. Это проверочное значение содержит имена отправителя и получателя, дату, контрольную сумму, количество и два MAC. Все это шифруется DES: сначала ключом K₄, затем K₁. Один из MAC может быть проверен банком Алисы, а второй может быть проверен только расчетно-кассовым центром. Алиса уменьшает свой счет на соответствующее значение.

( (A,B,С))

(4) Боб аналогичным образом вычисляет K₄. При условии, что все имена совпадают, и правильно выполнена проверка, он принимает платеж.

Великолепным нововведением в этом протоколе является то, что каждое сообщение зависит от предыдущего. Каждое сообщение выступает удостоверением всех предыдущих сообщений. Это означает, что повторить старое сообщение никому не удастся, получатель просто никогда не расшифрует его. Мне нравится эта идея, и я уверен, что она получит широкое применение, как только станет широко известна.

Другой разумной вещью в этом протоколе - навязывание правильной реализации. Если разработчик приложения неправильно реализует протокол, он просто не будет работать.

Обе карточки сохраняют записи каждой транзакции. Когда карточки рано или поздно установят диалоговое соединение с банком (продавец - положить деньги на счет, а покупатель - снять со счета), банк извлечет эти записи для последующего контроля.

Аппаратура изготавливается устойчивой к взлому, чтобы помешать любому из участников испортить данные. Алиса не сможет изменить значение своей карточки. Подробная запись обеспечивает данные для обнаружения и запрещения мошеннических транзакций. В карточках используются универсальные секреты - ключи MAC в карточках покупателей, функции для преобразования имен пользователей в K₁и K₂ - но считается, что решение обратной задачи для этих секретов достаточно трудно.

Эта схема, конечно же, несовершенна, но она безопаснее бумажных чеков и обычных дебитных карточек. Источником угрозы мошенничества являются не военные враги, а покупатели и продавцы. UEPS предоставляет защиту от таких злоупотреблений.

Обмен сообщения является прекрасным примером устойчивого протокола: В каждом сообщении присутствую имена обеих сторон, включая информацию, уникальную для сообщения, каждое сообщение явным образом зависит от всех предыдущих.

CLIPPER

Микросхема Clipper (известная также как MYK-78T) - это разработанная в NSA, устойчивая к взлому микросхема, предназначенная для шифрования переговоров голосом. Это одна из двух схем, реализующих правительственный Стандарт условного шифрования (Escrowed Encryption Standard, EES) [1153]. VLSI Technologies, Inc. изготовила микросхему, а Mykotronx, Inc. запрограммировала ее. Сначала все микросхемы Clipper будут входить в Безопасное телефонное устройство Model 3600 AT&T (см. раздел 24.18). Микросхема реализует алгоритм шифрования Skipjack (см. раздел 13.12,), разработанный NSA секретный алгоритм с шифрованием секретным ключом, только в режиме OFB.

Самым противоречивым моментом микросхемы Clipper, и EES в целом, является протокол условного вручения ключей (см. раздел 4.14). У каждой микросхемы есть специальный, ненужный для сообщений, ключ. Этот ключ используется для шифрования копии ключа сообщений каждого пользователя. В ходе процесса синхронизации передающая микросхема Clipper генерирует и посылает принимающей Поле доступа для выполнения закона (Law EnforcementAccess Field, LEAF). LEAF содержит копию текущего сеансового ключа, зашифрованного специальным ключом (называемым ключом модуля). Это позволяет правительственным прослушивателям получить сеансовый ключ и раскрыть открытый текст разговора.

По словам директора NIST [812]:

Предусматривается, что система "с условно врученным ключом" обеспечит использование микросхемы Clipper для защиты законопослушных американцев. В каждом устройстве, содержащем микросхему будет два уникальных "ключа", два числа, которые понадобятся уполномоченным правительственным органам для дешифрирования сообщений, зашифрованных устройством. При изготовлении устройства оба ключа будут помещены порознь в двух базах данных " условно врученных ключей", контролируемых Генеральным прокурором. Доступ к этим ключам будет разрешен только правительственным чиновникам с законным разрешением подключить подслушивающее устройство.

Правительство также собирается поощрять широкое распространение таких телефонных аппаратов, но никто не знает, что может произойти с базами данных условно врученных ключей.

Помимо политических аспектов, стоит поговорить и о внутренней структуре LEAF [812, 1154, 1594, 459, 107, 462]. LEAF - это строка, включающая достаточно информации, чтобы при обеспечении правопорядка можно было раскрыть сеансовый ключ K_s при условии, что два условно получивших ключи учреждения будут действовать сообща. LEAF содержит 32-битовый идентификатор модуля U, уникальный для каждой микросхемы Clipper. Оно также содержит текущий 80-битовый сеансовый ключ, зашифрованный уникальным ключом модуля микросхемы K_U, и 16-битовую контрольную сумму C, называемую идентификатором условного вручения. Контрольная сумма представляет собой функцию сеансового ключа, IV и возможно другой информации. Эти три поля шифруются фиксированным общим ключом K_F, общим для всех взаимодействующих микросхем Clipper. Общий ключ, используемые режимы шифрования, детали контрольной суммы и точная структура LEAF засекречены. Возможно это поле похоже на что-то подобное:

K_Uвводится в микросхемы Clipper при изготовлении. Этот ключ затем разделяется (см. раздел 3.5) и хранится в двух базах данных условно врученных ключей, охраняемых двумя различными учреждениями.

Чтобы Ева могла извлечь K_sиз LEAF, она должна сначала расшифровать LEAF ключом K_Fи получить U. Затем она должна получить постановление суда для каждого из учреждений условного вручения, каждое из которых возвращает половину K_Uдля данного U. Ева выполняет XOR обеих половин и получает K_U, затем она использует K_U для получения K_s, и K_s - для подслушивания разговора.

Контрольная сумма должна помешать нарушению этой схемы, принимающая микросхема Clipper не может выполнить дешифрирование, если контрольная сумма неправильна. Однако существует лишь 2¹⁶ возможных значений контрольной суммы, и фальшивое LEAF с правильной контрольной суммой, но неправильным ключом, может быть найдено примерно за 42 минуты [187]. Но это не очень поможет подслушать разговор, ведущийся с помощью Clipper. Так как протокол обмена ключами не является частью микросхемы Clipper, 42-минутное вскрытие грубой силой должно быть выполнено после обмена ключами, оно не может быть выполнено до телефонного звонка. Такое вскрытие может работать при передаче факсов или при использовании карточки Fortezza (см. раздел 24.17).

Предположительно микросхема Clipper должна противостоять инженерному вскрытию, выполненному "изощренным, хорошо" [1154], но по слухам в Sandia National Laboratories успешно провели исследование одной из микросхем. Даже если эти слухи ложны, я подозреваю, что самым крупным мировым производителям такое инженерное вскрытие вполне по силам, и его срок является только вопросом ресурсов и морали.

С этой темой связано множество вопросов о тайне личности. Многочисленные группы защиты гражданских свобод ведут активную компанию против любого механизма условного вручения ключей, который даст правительству право подслушивать граждан. Вся подлость в том, что, ходя эта схема никогда не проходила через Конгресс, NIST опубликовал EES в качестве FIPS [1153], обойдя болезненный законодательный процесс. Сейчас все выглядит, как если бы EES тихо и медленно умирал, но стандарты способны продолжать свою ползучую деятельность.

В Табл. 22-2 перечислены различные организации, участвующие в этой программе. Как насчет идеи, чтобы оба учреждения условного вручения относились только к исполнительной ветви власти? Что вы скажете об учреждениях условного вручения, которые по сути ничего не знают о заявках на подслушивание и могут только слепо одобрять их? И что насчет идее о принятии правительством секретного алгоритма в качестве коммерческого стандарта?

Табл. 22-2.
Организации, участвующие в EES.

Министерство юстиции - Спонсор системы, владелец общего ключа

NIST - Руководство программой, хранитель условно врученной части ключа

FBI - Пользователь-дешифровщик, владелец общего ключа

Министерство финансов - Хранитель условно врученной части ключа

NSA - Разработчик программы

В любом случае, использование Clipper породит немало проблем при обращении в суд. Не забывайте, Clipper работает только в режиме OFB. Что бы вам иное не говорили, этот режим не обеспечивает целостности или проверке подлинности. Предположим, что Алиса предстала перед судом, и частью доказательств является телефонный разговор, зашифрованный микросхемой Clipper. Алиса утверждает, что она никогда не звонила, и голос - не ее. Алгоритм сжатия речи настолько плох, что опознать голос Алисы трудно, но обвинение утверждает, что, так как расшифровать разговор можно только с помощью условно врученного ключа Алисы, этот звонок был сделан с ее телефона.

Алиса заявляет, что разговор был подделан в соответствии с [984, 1339]: даны шифротекст и открытый текст, объединив их с помощью XOR, можно получить ключевой поток. Затем этот ключевой поток можно объединить с помощью XOR с абсолютно другим открытым текстом, получая фальшивый шифротекст, который затем может быть преобразован в фальшивый открытый текст, который подается на дешифратор микросхемы. Правдив он или нет, этот довод может легко посеять сомнение в жюри присяжных, которые не сочтут телефонный разговор доказательством.

Другой способ вскрытия, называемый Втискиванием (Squeeze), позволяет Алисе выдать себя за Боба. Вот как это происходит [575]: Алиса звонит Бобу, используя Clipper. Она сохраняет копию его LEAF вместе с сеансовым ключом. Затем она звонит Кэрол (про которую известно, что ее подслушивают). При установке ключа Алиса делает сеансовый ключ идентичным тому, который она использовала для разговора с Бобом. Для этого потребуется взломать телефон, но это нетрудно. Затем вместо того, чтобы послать свое LEAF, она посылает LEAF Боба. Это правильное LEAF, поэтому телефон Кэрол ничего не заметит. Теперь она может говорить Кэрол все, что захочет - когда полиция расшифрует LEAF, она обнаружит, что оно принадлежит Бобу. Даже если Алисе не удастся выдать себя за Боба, ему придется доказывать свою невиновность в суде, что вполне может оправдать применение подобной схемы.

Органы охраны правопорядка Соединенных Штатов не должны тратить свое время, занимаясь сбором информации в уголовных расследованиях, которую нельзя использовать в суде. Даже если условное вручение ключей и являлось бы неплохой идеей, Clipper - это не лучший способ реализации этой идеи.

CAPSTONE

Capstone (известный также как MYK-80) - это другая разработанная NSA СБИС, реализующая Стандарт условного шифрования правительства США [1153]. Capstone реализует следующие функции [1155, 462]:

— Алгоритм Skipjack в любом из четырех основных режимов: ECB, CBC,CFB и OFB.

— Алгоритм обмена ключами (Key Exchange Algorithm, KEA) на базе открытых ключей, скорее всего Diffie-Hellman.

— Алгоритм цифровой подписи (Digital Signature Algorithm, DSA). *

— Алгоритм безопасного хэширования (Secure Hash Algorithm, SHA). j

— Алгоритм возведения в степень для общего назначения.

— Генератор случайных чисел с использованием истинно шумового источника.

Capstone обеспечивает криптографические возможности, необходимые для безопасной электронной торговли и других компьютерных приложений. Первым применением Capstone является карточка PCMCIA, названная Fortezza. (Сначала она называлась Tessera, пока на это не пожаловалась компания Tessera, Inc..)

NSA изучило возможность удлинения контрольной суммы LEAF в Capstone в версиях для карточек для того, чтобы помешать ранее рассмотренному вскрытию LEAF. Вместо этого была добавлена возможность выполнять перезапуск карточки после 10 неправильных LEAF. Меня это не впечатлило - время поиска правильного LEAF только на 10 процентов, до 46 минут.

Безопасный телефон AT&T MODEL 3600 TELEPHONE SECURITY DEVICE (TSD)

Безопасный телефон AT&T (Telephone Security Device, TSD) - это телефон с микросхемой Clipper. На самом деле существует четыре модели TSD. Одна содержит микросхему Clipper, другая - экспортируемый фирменный алгоритм шифрования AT&T третья - фирменный алгоритм для использования внутри страны плюс экспортируемый алгоритм, а четвертая включает Clipper, внутренний и экспортируемый алгоритмы.

Для каждого телефонного звонка TSD используют отличный сеансовый ключ. Пара TSD генерирует сеансовый ключ с помощью схемы обмена ключами Diffie-Hellman, независящей от микросхемы Clipper. Так как Diffie-Hellman не включает проверки подлинности, TSD использует два метода для предотвращения вскрытия "человек в середине".

Первым является экран. TSD хэширует сеансовый ключ и выводит хэш-значение на маленьком экране в виде четырех шестнадцатиричных цифр. Собеседники проверяют, что на их экраны выведены одинаковые цифры. Качество голоса достаточно хорошо, чтобы они могли узнать друг друга по голосу.

Все же Ева может вскрыть эту схему. Пусть ей удалось вклиниться в линию между Бобом и Алисой. Она использует TSD на линии с Алисой и модифицированный TSD на линии с Бобом. Посередине она сопрягает два телефонных звонка. Алиса пытается сделать разговор безопасным. Она обычным образом генерирует ключ, но общается с Евой, выдающей себя за Боба. Ева раскрывает ключ и с помощью модифицированного TSD делает так, чтобы ключ, который она сгенерировала для Боба, имел такое же хэш-значение. Это вскрытие на вид не очень реально, но для его предотвращения в TSD используется блокировка.

TSD генерирует случайные числа, используя источник шума и хаотичный усилитель с цифровой обратной связью. Он генерирует битовый поток, который пропускается через постотбеливающий фильтр на базе цифрового процессора.

Несмотря на все это в справочном руководстве TSD нет ни слова о безопасности. На самом деле там написано [70]:

AT&T не гарантирует, что TSD защитит от вскрытия зашифрованной передачи правительственным учреждением, его агентами или третьей стороной. Более того, AT&T не гарантирует, что TSD защитит от вскрытия передаваемой информации с помощью методов, обходящих шифрование.

Политика