Атака с использованием водяных знаков

В криптографии атака с использованием водяных знаков — это атака на методы шифрования диска , при которой злоумышленник может обнаружить наличие специально созданного фрагмента данных, не зная ключа шифрования .

Описание проблемы

по 512 байт, Пакеты шифрования дисков обычно работают с данными в секторах которые индивидуально шифруются и расшифровываются. Сами по себе эти 512-байтовые сектора могут использовать любой режим работы блочного шифрования (обычно CBC ), но поскольку произвольные сектора в середине диска должны быть доступны индивидуально, они не могут зависеть от содержимого своих предыдущих/последующих секторов. Таким образом, при использовании CBC каждый сектор должен иметь свой собственный вектор инициализации (IV). Если эти IV предсказуемы злоумышленником (и файловая система надежно запускает содержимое файла с одинаковым смещением от начала каждого сектора, и файлы, скорее всего, будут в значительной степени смежными), то существует атака с выбранным открытым текстом , которая может выявить существование зашифрованные данные.

Проблема аналогична использованию блочных шифров в режиме электронной кодовой книги (ECB) , но вместо целых блоков в разных секторах идентичен только первый блок. Проблему можно относительно легко устранить, сделав IV непредсказуемыми, например, с помощью ESSIV . ^[1]

Альтернативно можно использовать режимы работы, специально предназначенные для шифрования диска (см. теорию шифрования диска ). Эта уязвимость затронула многие программы шифрования дисков , включая старые версии BestCrypt. ^[2] а также устаревший cryptoloop . ^[3]

Для осуществления атаки создается специально созданный текстовый файл для шифрования в атакуемой системе, чтобы « NOP-вывести » IV. ^[4] так, что первый блок зашифрованного текста в двух или более секторах идентичен. Для этого необходимо, чтобы входные данные для шифра (открытый текст, $\scriptstyle P$ , XOR , вектор инициализации $\scriptstyle IV$ ) для каждого блока должно быть одинаковым; то есть, $\scriptstyle P_{1}\,\oplus \,IV_{1}\;=\;P_{2}\,\oplus \,IV_{2}$ . Таким образом, мы должны выбрать открытые тексты, $\scriptstyle P_{1},\,P_{2}$ такой, что $\scriptstyle P_{1}\,\oplus \,P_{2}\;=\;IV_{1}\,\oplus \,IV_{2}$ .

Созданные таким образом шаблоны блоков зашифрованного текста выдают существование файла без необходимости предварительной расшифровки диска.

См. также

Ссылки

^ Фрувирт, Клеменс. «Настройки шифрования жесткого диска Linux» . Проверено 2 января 2006 г.
^ Кирилюк, Адал (23 октября 2003 г.). «Недостаток поколения BestCrypt IV» . Проверено 21 мая 2023 г.
^ Сааринен, Маркку-Юхани О. (19 февраля 2004 г.). «Linux для контрабандиста информации» . Хельсинкский технологический университет. CiteSeerX 10.1.1.117.4062 . Проверено 1 октября 2006 г.
^ Маркус Гаттол. «Избыточность, атака с использованием водяных знаков и меры противодействия ей» .

[1] Фрувирт, Клеменс. «Настройки шифрования жесткого диска Linux» . Проверено 2 января 2006 г.

[bestcrypt-iv-flaw-2] Кирилюк, Адал (23 октября 2003 г.). «Недостаток поколения BestCrypt IV» . Проверено 21 мая 2023 г.

[3] Сааринен, Маркку-Юхани О. (19 февраля 2004 г.). «Linux для контрабандиста информации» . Хельсинкский технологический университет. CiteSeerX 10.1.1.117.4062 . Проверено 1 октября 2006 г.

[4] Маркус Гаттол. «Избыточность, атака с использованием водяных знаков и меры противодействия ей» .

[1]

[2]

[3]

[4]