Kleptographie

Kleptographie beschäftigt sich mit dem sicheren und verdeckten Diebstahl von (geschützten) Informationen. Kleptographie ist ein Teilgebiet der Kryptographie und der Kryptovirologie. Außerdem ist sie eine Erweiterung der Theorie der verdeckten Kanäle, die von Gus Simmons erforscht wurde.^[1][2][3] Verwandt ist Kleptographie auch mit Steganographie.

Begriffseinführung

Der Begriff "Kleptographie" wurde eingeführt von Adam Young und Moti Yung in den Proceedings of Advances in Cryptology—Crypto '96'.^[4] Ein kleptographischer Angriff ist ein Forward-Engineering-Angriff, der in ein Kryptosystem oder in ein kryptographisches Protokoll eine asymmetrische Hintertür einbaut. Manipuliert werden kann auf diese Weise z.B. eine Smartcard, eine Dynamic Link Library, ein Computerprogramm oder ein Hardware Security Module (HSM).

Besonderheiten

Das Besondere an diesem Angriffstyp ist, dass die Manipulation asymmetrische Kryptologie benutzt. Im Gegensatz zu einer symmetrischen Backdoor, zu der jeder Zugang hat, der die Hintertür kennt, kann eine asymmetrische Hintertür exklusiv von dem einzelnen Angreifer benutzt werden, der sie einbaute. Auch wenn der genaue Entwurf der Hintertür veröffentlicht würde, wäre sie nur benutzbar, wenn man auch die vom Angreifer gesetzten Daten kennt. Außerdem sind die Ausgaben des infizierten Kryptosystems rechnerisch ununterscheidbar von der eines entsprechenden uninfizierten Kryptosystems. Daher bleibt der Angriff in Black-Box-Implementierungen (z.B. in Smartcards oder HSMs) höchstwahrscheinlich komplett unbemerkt. Wegen der Asymmetrie kann sogar ein erfolgreicher Reverse-Engineer bestenfalls die Anwesenheit der asymmetrischen Backdoor entdecken — aber er kann sie nicht benutzen.^[5]

Kleptographische Angriffe können sowohl als Krypto-Trojaner gebaut werden, der ein Kryptosystem infiziert und eine Backdoor für den Angriffer öffnet, als auch direkt vom Hersteller eines Kryptosystems implementiert werden. Der Angriff muss nicht unbedingt die komplette Ausgabe des Kryptosystems aufdecken; eine kompliziertere Angriffsmethode kann abwechseln zwischen der Erzeugung sicherer, uninfizierter Ausgaben und der Erzeugung unsicherer, mit der Backdoor versehener Daten.^[6]

Kleptographische Angriffe wurden veröffentlicht für die RSA-Schlüsselerzeugung, den Diffie-Hellman-Schlüsselaustausch, den Digital Signature Algorithm und weitere kryptographische Algorithmen und Protokolle.^[6] Auch die SSL-, SSH- und IPSec-Protokolle sind durch kleptographische Angriffe gefährdet.^[7] In jedem Fall kann der Angreifer den kryptographischen Algorithmus kompromittieren, indem er die Information, in der die Backdoor-Information enthalten ist (z.B. der öffentliche Schlüssel, die digitale Signatur, die Schlüsselaustauschnachrichten, usw.), überprüft, und dann die Logik der asymmetrischen Backdoor mit seinem Geheimschlüssel (i.d.R. ein privater Schlüssel) anwendet.

A. Juels and J. Guajardo^[8] schlugen ein Verfahren (KEGVER) vor, bei dem ein Dritter die unmanipulierte RSA-Schlüsselgenerierung verifizieren kann: Dabei kommt eine Art verteilte Schlüsselgenerierung zum Einsatz, wobei der geheime Schlüssel aber nur der Black Box bekannt ist – somit kann man sicherstellen, dass die Schlüsselgenerierung nicht modifiziert wurde und damit der private Schlüssel nicht durch einen kleptografischen Angriff aufgedeckt werden kann.^[8][9]

Praktisch nachvollziehen kann man vier spezielle Beispiele kleptographischer Angriffe (incl. eines vereinfachten SETUP-Angriffs gegen RSA) in JCrypTool 1.0^[10], dem Plattform-unabhängigen Teil des Open-Source-Projekts CrypTool.^[11] Auch die Verhinderung kleptografischer Angriffe mittels KEGVER wird als Demonstration in JCT implementiert werden.

Literatur

• Reinhard Wobst: Abenteuer Kryptologie. ISBN 3827318157 online abrufbar: Der perfekte Betrug. S. 342/343
• Information hiding: 9th international workshop, IH 2007, Saint Malo, France, June 11-13, 2007:revised selected papers. ISBN 354077369X Online abrufbar: Young and Yung: Space-Efficient Kleptography Without Random Oracles. S. 112-129

Einzelnachweise

1. ↑ G. J. Simmons, "The Prisoners' Problem and the Subliminal Channel", in Proceedings of Crypto '83, D. Chaum (Ed.), pages 51–67, Plenum Press, 1984.
2. ↑ G. J. Simmons, "The Subliminal Channel and Digital Signatures," In Proceedings of Eurocrypt '84, T. Beth, N. Cot, I. Ingemarsson (Eds.), pages 364-378, Springer-Verlag, 1985.
3. ↑ G. J. Simmons, "Subliminal Communication is Easy Using the DSA," In proceedings of Eurocrypt '93, T. Helleseth (Ed.), pages 218-232, Springer-Verlag, 1993.
4. ↑ A. Young, M. Yung, "The Dark Side of Black-Box Cryptography, or: Should we trust Capstone?", in Proceedings of Crypto '96, Neal Koblitz (Ed.), Springer-Verlag, pages 89–103, 1996.
5. ↑ Cryptovirology FAQ
6. ↑ ^{a b} A. Young, M. Yung, Malicious Cryptography: Exposing Cryptovirology, John Wiley & Sons, 2004.
7. ↑ http://kleptografia.im.pwr.wroc.pl/ SSL attack by Filipa Zagórskiego, and Prof. Miroslawa Kutylowskiego
8. ↑ ^{a b} http://www.rsa.com/rsalabs/staff/bios/ajuels/publications/kegver/kegver.ps A. Juels, J. Guajardo, "RSA Key Generation with Verifiable Randomness"], in: D. Naccache, P. Pallier (Eds.), Public Key Cryptography: 4th International Workshop on Practice and Theory in Public Key Cryptosystems, Springer, 2002.
9. ↑ A. Juels, J. Guajardo, "RSA Key Generation with Verifiable Randomness" (Verlängerte Version)
10. ↑ http://jcryptool.sourceforge.net/JCrypTool/ JCrypTool project website
11. ↑ http://www.kes.info/archiv/online/10-4-006.htm B. Esslinger, Die dunkle Seite der Kryptografie -- Kleptografie bei Black-Box-Implementierungen, <kes>, #4 / 2010, page 6 ff.

Weblinks

• kes, Zeitschrift für Informationssicherheit: Die dunkle Seite der Kryptografie. Kleptografie bei Black-Box-Implementierungen.