Правительство также собирается поощрять широкое распространение таких телефонных аппаратов, но никто не знает, что может произойти с б азами данных условно врученных ключей .

Помимо политических аспектов, стоит поговорить и о внутренней структуре LEAF [812, 1154, 1594, 459, 107, 462]. LEAF - это строка, включающая достаточно информации, чтобы при обеспечении правопорядка можно было раскрыть сеансовый ключ Kj при условии, что два условно получивших ключи учреждения будут действовать сообща. LEAF содержит 32-битовый идентификатор модуля U, уникальный для каждой микросхемы Clipper. Оно также содержит текущий 80-битовый сеансовый ключ, зашифрованный уникальным ключом модуля микросхемы K, и 16-битовую контрольную сумму C, называемую идентификатором условного вручения. Контрольная сумма представляет собой функцию сеансового ключа, IV и возможно другой информации. Эти три поля шифруются фиксированным общим ключом KF, общим для всех взаимодействующих микросхем Clipper. Общий ключ, используемые режимы шифрования, детали контрольной суммы и точная структура LEAF засекречены. Возможно это поле похоже на что-то подобное :

( (Kj ,U, C))

вводится в микросхемы Clipper при изготовлении. Этот ключ затем разделяется (см. раздел 3.5) и хранится в двух базах данных условно врученных ключей , охраняемых двумя различными учреждениями .

Чтобы Ева могла извлечь Kj из LEAF, она должна сначала расшифровать LEAF ключом KF и получить U. Затем она должна получить постановление суда для каждого из учреждений условного вручения, каждое из к о-торых возвращает половину для данного U. Ева выполняет XOR обеих половин и получает K, затем она использует для получения Kj, и Kj - для подслушивания разговора.

Контрольная сумма должна помешать нарушению этой схемы, принимающая микросхема Clipper не может выполнить дешифрирование, если контрольная сумма неправильна. Однако существует лишь 216 возможных значений контрольной суммы, и фальшивое LEAF с правильной контрольной суммой, но неправильным ключом, может быть найдено примерно за 42 минуты [187]. Но это не очень поможет подслушать разговор, ведущийся с помощью Clipper. Так как протокол обмена ключами не является частью микросхемы Clipper, 42-минутное вскрытие грубой силой должно быть выполнено после обмена ключами, оно не может быть выполн е-но до телефонного звонка. Такое вскрытие может работать при передаче факсов или при использовании карто ч-ки Fortezza (см. раздел 24.17).

Предположительно микросхема Clipper должна противостоять инженерному вскрытию, выполненному "изощренным, хорошо" [1154], но по слухам в Sandia National Laboratories успешно провели исследование одной из микросхем. Даже если эти слухи ложны, я подозреваю, что самым крупным мировым производителям такое инженерное вскрытие вполне по силам, и его срок является только вопросом ресурсов и морали .

С этой темой связано множество вопросов о тайне личности . Многочисленные группы защиты гражданских свобод ведут активную компанию против любого механизма условного вручения ключей, который даст прав и-тельству право подслушивать граждан. Вся подлость в том, что, ходя эта схема никогда не проходила через Конгресс, NIST опубликовал EES в качестве FIPS [1153], обойдя болезненный законодательный процесс. Сейчас все выглядит, как если бы EES тихо и медленно умирал, но стандарты способны продолжать свою ползучую деятельность.

В 22-й перечислены различные организации, участвующие в этой программе . Как насчет идеи, чтобы оба учреждения условного вручения относились только к исполнительной ветви власти? Что вы скажете об учре ж-дениях условного вручения, которые по сути ничего не знают о заявках на подслушивание и могут только слепо одобрять их? И что насчет идее о принятии правительством секретного алгоритма в качестве коммерческого стандарта?

Табл. 24-2. Организации, участвующие в EES.

Министерство юстиции - Спонсор системы, владелец общего ключа NIST - Руководство программой, хранитель условно врученной части ключа FBI - Пользователь-дешифровщик, владелец общего ключа Министерство финансов - Хранитель условно врученной части ключа NSA - Разработчик программы

В любом случае, использование Clipper породит немало проблем при обращении в суд. Не забывайте, Clipper работает только в режиме OFB. Что бы вам иное не говорили, этот режим не обеспечивает целостности или проверке подлинности. Предположим, что Алиса предстала перед судом, и частью доказательств является тел е-фонный разговор, зашифрованный микросхемой Clipper. Алиса утверждает, что она никогда не звонила, и голос - не ее. Алгоритм сжатия речи настолько плох, что опознать голос Алисы трудно , но обвинение утверждает, что, так как расшифровать разговор можно только с помощью условно врученного ключа Алисы, этот звонок был

сделан с ее телефона.

Алиса заявляет, что разговор был подделан в соответствии с [984, 1339]: даны шифротекст и открытый текст, объединив их с помощью XOR, можно получить ключевой поток. Затем этот ключевой поток можно объединить с помощью XOR с абсолютно другим открытым текстом, получая фальшивый шифротекст, который затем может быть преобразован в фальшивый открытый текст, который подается на дешифратор микросхемы . Правдив он или нет, этот довод может легко посеять сомнение в жюри присяжных, которые не сочтут телефо н-ный разговор доказательством.

Другой способ вскрытия, называемый Втискиванием (Squeeze), позволяет Алисе выдать себя за Боба. Вот как это происходит [575]: Алиса звонит Бобу, используя Clipper. Она сохраняет копию его LEAF вместе с сеансовым ключом. Затем она звонит Кэрол (про которую известно, что ее подслушивают). При установке ключа Алиса делает сеансовый ключ идентичным тому, который она использовала для разговора с Бобом. Для этого потребуется взломать телефон, но это нетрудно . Затем вместо того, чтобы послать свое LEAF, она посылает LEAF Боба. Это правильное LEAF, поэтому телефон Кэрол ничего не заметит. Теперь она может говорить Кэрол все, что захочет - когда полиция расшифрует LEAF, она обнаружит, что оно принадлежит Бобу. Даже если Алисе не удастся выдать себя за Боба, ему придется доказывать свою невиновность в суде, что вполне может оправдать применение подобной схемы.

Органы охраны правопорядка Соединенных Штатов не должны тратить свое время, занимаясь сбором и н-формации в уголовных расследованиях, которую нельзя использовать в суде . Даже если условное вручение ключей и являлось бы неплохой идеей, Clipper - это не лучший способ реализации этой идеи.

24.17 CAPSTONE

Capstone (известный также как MYK-80) - это другая разработанная NSA СБИС, реализующая Стандарт условного шифрования правительства США [1153]. Capstone реализует следующие функции [1155, 462]:

Алгоритм Skipjack в любом из четырех основных режимов: ECB, CBC, CFB и OFB.

- Алгоритм обмена ключами (Key Exchange Algorithm, KEA) на базе открытых ключей, скорее всего Dif-fie-Hellman.

- Алгоритм цифровой подписи (Digital Signature Algorithm, DSA). *

- Алгоритм безопасного хэширования (Secure Hash Algorithm, SHA). j

- Алгоритм возведения в степень для общего назначения . Генератор случайных чисел с использованием истинно шумового источника .

Capstone обеспечивает криптографические возможности, необходимые для безопасной электронной торговли и других компьютерных приложений. Первым применением Capstone является карточка PCMCIA, названная Fortezza. (Сначала она называлась Tessera, пока на это не пожаловалась компания Tessera, Inc.. )

NSA изучило возможность удлинения контрольной суммы LEAF в Capstone в версиях для карточек для того, чтобы помешать ранее рассмотренному вскрытию LEAF. Вместо этого была добавлена возможность выполнять перезапуск карточки после 10 неправильных LEAF. Меня это не впечатлило - время поиска правильного LEAF только на 10 процентов, до 46 минут.

24.18 Безопасный телефон AT&T MODEL 3600 TELEPHONE SECURITY DEVICE (TSD)

Безопасный телефон AT&T (Telephone Security Device, TSD) - это телефон с микросхемой Clipper. На самом деле существует четыре модели TSD. Одна содержит микросхему Clipper, другая - экспортируемый фирменный алгоритм шифрования AT&T третья - фирменный алгоритм для использования внутри страны плюс экспорт и-руемый алгоритм, а четвертая включает Clipper, внутренний и экспортируемый алгоритмы.

Для каждого телефонного звонка TSD используют отличный сеансовый ключ. Пара TSD генерирует сеансовый ключ с помощью схемы обмена ключами Diffie-Hellman, независящей от микросхемы Clipper. Так как Dif-fie-Hellman не включает проверки подлинности, TSD использует два метода для предотвращения вскрытия "человек в середине" .

Первым является экран. TSD хэширует сеансовый ключ и выводит хэш-значение на маленьком экране в в иде четырех шестнадцатиричных цифр. Собеседники проверяют, что на их экраны выведены одинаковые цифры . Качество голоса достаточно хорошо, чтобы они могли узнать друг друга по голосу .

Все же Ева может вскрыть эту схему. Пусть ей удалось вклиниться в линию между Бобом и Алисой. Она использует TSD на линии с Алисой и модифицированный TSD на линии с Бобом. Посередине она сопрягает два

телефонных звонка. Алиса пытается сделать разговор безопасным. Она обычным образом генерирует ключ, но общается с Евой, выдающей себя за Боба. Ева раскрывает ключ и с помощью модифицированного TSD делает так, чтобы ключ, который она сгенерировала для Боба, имел такое же хэш-значение . Это вскрытие на вид не очень реально, но для его предотвращения в TSD используется блокировка.

TSD генерирует случайные числа, используя источник шума и хаотичный усилитель с цифровой обратной связью. Он генерирует битовый поток, который пропускается через постотбеливающий фильтр на базе цифр о-вого процессора.

Несмотря на все это в справочном руководстве TSD нет ни слова о безопасности. На самом деле там напис а-

но [70]:

AT&T не гарантирует, что TSD защитит от вскрытия зашифрованной передачи правительственным учреждением, его агентами или третьей стороной. Более того, AT&T не гарантирует, что TSD защитит от вскрытия передаваемой информации с помощью методов, обходящих шифрование.