Экстрасенсы от криптографии

:

#Обыкновенное чудо

Идеи о том, что современные достижения науки и техники для людей прошлого выглядели бы словно поразительные чудеса и волшебная магия, уже давно воспринимаются как затертый штамп. Но при этом, что любопытно, и сегодня хватает таких технологий, которые не только широкая публика, но даже и специалисты в большинстве своем воспринимают с сильнейшим недоверием — то ли это изощренный обман, то ли и впрямь нечто сверхъестественное...

Особенно отчетливо данный парадокс можно наблюдать в области компьютерного хакинга. И в качестве наглядного примера достаточно упомянуть пару примечательных работ, вызвавших повышенное внимание хакерско-криптографического сообщества в последние месяцы — на конференциях в США и Южной Корее. В рамках знаменитого форума Black Hat USA, проходившего в августе в Лас-Вегасе, давно заведена традиция ежегодно отмечать премиями Pwnie Awards особо выдающиеся события — причем как достижения, так и провалы — в разных областях хакерского искусства.

В наиболее же почетном, пожалуй, разделе — «Самое новаторское исследование года» — на этот раз золотым призом-лошадкой Pwnie была отмечена работа под названием «Акустический криптоанализ» (RSA Key Extraction via Low-Bandwidth Acoustic Cryptanalysis, by Daniel Genkin, Adi Shamir, Eran Tromer). Если в двух словах, то суть достижения израильских ученых — реализованная способность добывать секретные криптоключи, которыми компьютер шифрует информацию, по звукам работы электронных схем. Даже многоопытные члены жюри, всякого повидавшие на своем хакерском веку, охарактеризовали эту поразительную работу как «чарующе пленительную».

Пример второй — с очередного форума CHES 2014, или, более официально, международного научно-технического семинара «Криптография в аппаратуре и встроенных системах», проходящего в 20-х числах сентября в городе Пусане, Корея. На этой конференции особое внимание прессы и профессионального сообщества привлек анонс доклада под названием «Руки прочь от моего ноутбука» (Get Your Hands Off My Laptop: Physical Side-Channel Key-Extraction Attacks on PCs by Daniel Genkin, Itamar Pipman, and Eran Tromer).

Несмотря на несколько игривое название, речь в данной работе идет о вещах весьма серьезных и воистину удивительных. Фактически те же самые израильские исследователи демонстрируют, что теперь они могут извлекать секретные криптоключи из компьютера одним лишь «наложением рук» — то есть просто прикасаясь к машине в нужном месте...

Для всякого человека, хоть что-то понимающего в компьютерах и в шифрах, но далекого от эзотерической области «побочных каналов компрометации», подобного рода новости должны звучать как шутка или издевательская насмешка. Ибо в традиционной теории, подкрепляющей криптографическую науку, такого рода фокусов быть не может и не должно быть в принципе. Однако в реальности они есть. И демонстрируют подобные вещи не какие-то подозрительные шарлатаны, а серьезные ученые, хорошо известные в исследовательском сообществе. Короче говоря, явно пора разъяснить, в чем заключается секрет подобных чудес, — и сделать это целесообразно в подобающем историко-культурологическом контексте.

#Оккультные корни

У современной науки, насколько известно, нет абсолютно никаких оснований предполагать, что общеупотребимые ныне термины HACK (в английском звучит как «хэк») и HACKER («хэка») исторически ведут свою родословную из глубины тысячелетий — от цивилизации Древнего Египта.

Но при этом, однако, всякий внимательный читатель книги «Египетская магия», выпущенной известным британским ученым Уоллисом Баджем еще в конце XIX века, скорее всего, обратит внимание на следующий упоминаемый там факт:

[В Древнем Египте] термином «ХЭКА» обозначалась магия, то есть «слова власти» — магические слова, заклинания (EA Wallis Budge, Egyptian Magic, 1899 London, Kegan Paul)

Конечно же, столь очевидное созвучие терминов можно считать просто лишь забавным совпадением. И не более того.

Но также можно принять этот пустячок во внимание и аккуратно сопоставить его с другими бесспорными фактами. С тем, к примеру, что на всем протяжении нашей истории — с момента изобретения письменности — любые тайные знания и особенно знания магов всегда были неразрывно связаны с шифрованием ценной информации. Дабы она не стала ненароком известна тем, для кого не предназначена.

Известным фактом является и то, что со времен Древнего Египта основы криптографии (как искусства тайнописи и вскрытия зашифрованных смыслов) наряду с заклинаниями входили в базовый комплекс оккультных знаний, которым обучали жрецов и детей фараонов. При этом отношение публики к криптографии как к одной из разновидностей оккультизма сохранялось в истории на редкость долго — по сути, вплоть до середины XX века, пока Клод Шеннон не создал строго математические единые основы для криптографии и теории информации.

Но если для широкой публики неразрывные связи криптографической магии с математикой стали очевидны лишь сравнительно недавно, то самим оккультистам и мистикам это было известно всегда. В традициях европейской культуры, скажем, вовсе не секрет, что основы информационного взгляда на мир идут еще от Пифагора и мистической школы его последователей-пифагорейцев, видевших «числа в основе всего». Соответственно, развитие математических знаний этой школой было тесно увязано с постижением тайн в основах мироздания. К сожалению, практически все обретенные пифагорейцами знания очень строго и глубоко шифровались, но это, увы, одна из древнейших традиций оккультистов.

О тесных взаимосвязях между мистицизмом и математикой куда лучше известно благодаря суфиям — также весьма древнему и широко разветвленному мистическому течению в рамках исламской традиции. Практически все, наверное, наслышаны, что слово «алгебра» имеет арабское происхождение. Значительно меньше известно о том, что главный трюк алгебраического подхода — замена чисел буквами — берет свое начало от криптографической системы «Абджад» мистиков-суфиев.

Главное различие заключается вот в чем. Алгебраический подход подразумевает применение букв для кодирования числовых соотношений и для решения чисто математических задач. Система же «Абджад» позволяет суфиям извлекать скрытые смыслы и глубокие истины из совершенно обычных, на первый взгляд, слов и словосочетаний — сначала преобразуя буквы к известным числовым эквивалентам и вычисляя их сумму, а затем отыскивая для этого результата подлинный, но зашифрованный смысл...

Поскольку рассказ об этих вещах уведет историю очень далеко от нашей главной темы, всех интересующихся можно отослать к книгам-первоисточникам (например, для содержательного введения в тему вполне сгодится такая работа: Идрис Шах. Суфизм. Раздел «Тайный язык»).

Здесь же пора вернуться к делам более актуальным. К компьютерному хакингу и криптографии — в контексте их взаимосвязей с мистическими чудесами магии. Или, выражаясь языком более современным, с феноменами экстрасенсорного восприятия.

#Ясновидение Блэйза

Вся тема экстрасенсов в своей совокупности, как известно, слывет областью весьма одиозной — коль скоро, с одной стороны, она тесно соприкасается с махровым шарлатанством, а с другой — не поддается внятному научному объяснению и стабильному воспроизведению феноменов в лабораторных условиях.

По этим причинам о бесспорно феноменальных экстрасенсорных способностях некоторых хакеров-криптографов нагляднее всего будет рассказать с точки зрения закоренелого скептицизма. То есть с позиций таких людей, которые просто «не верят» ни в какие сверхъестественные способности на все 100%. И заранее абсолютно уверены, что все это только обман доверчивых обывателей.

Один из ярчайших представителей этой скептической категории человечества — известный маг-иллюзионист Джеймс Рэнди, которому к старости несколько поднадоело обманывать зрителей фальшивыми чудесами и фокусами, а потому заключительную часть своей жизни он посвятил энергичному разоблачению всевозможной «паранормальщины».

Ради этого дела экс-иллюзионист учредил специальный Образовательный фонд Джеймса Рэнди, или, кратко JREF, где методично занимаются расследованиями и демистификацией всевозможных «чудес», прививая людям основы критического мышления, скептицизма и научных методов анализа. Самая же знаменитая, наверное, акция JREF — это давно объявленный приз в размере 1 миллиона долларов любому, кто убедительно продемонстрирует свои сверхъестественные способности в условиях надежно контролируемого эксперимента.

И хотя в мире полным-полно людей, зарабатывающих на жизнь в качестве экстрасенсов, получить миллион долларов от Джеймса Рэнди никто из них не сумел. На протяжении нескольких десятилетий многие чудотворцы пытались это сделать, однако доказать свои сверхъестественные способности в строгих условиях научного тестирования JREF никому не удалось.

И продолжалось так вплоть до 2007 года, пока «вызов Рэнди» не принял человек по имени Мэтт Блэйз — известный в мире отнюдь не как великий экстрасенс, а как хакер-аналитик и профессор-криптограф одного из американских университетов. Заинтересовала же вся эта история Блэйза лишь по той причине, что в JREF — для подогрева интереса к их конкурсу — решили привлечь довольно модную среди публики тему шифров.

К тому времени, следует отметить, все мало-мальски известные экстрасенсы о «страшном Джеймсе Рэнди» уже и слышать не хотели, поэтому он упростил условия своего теста до следующей задачи. В надежный сейф в штаб-квартире JREF Рэнди в запечатанном виде спрятал некий особый предмет и объявил, что отдаст миллионный приз всякому, кто с помощью своего чудесного дара правильно угадает и опишет, что за вещь положена в тайник.

Ну а дабы никто не заподозрил экс-мага в жульничестве и быстрой подмене угаданного кем-нибудь предмета, Рэнди опубликовал своего рода «цифровое обязательство» — то есть описание этой вещи в зашифрованном виде. И выглядела эта закодированная проверочная информация следующим образом:

0679
4388
66/27
5 -14

Никто не знает, что сказал бы о скрытом смысле этих цифр восточный мистик-суфий, в совершенстве владеющий системой «Абджад». Но зато отлично известно, что для хакера-криптографа Мэтта Блэйза данных чисел оказалось вполне достаточно, чтобы совершенно точно угадать и описать предмет, спрятанный в сейфе JREF. А значит, и абсолютно чисто — одним лишь напряжением своих ментальных способностей — выиграть приз конкурса, «миллион для экстрасенса» (от которого, впрочем, Блэйз великодушно отказался).

Подробности о том, как именно талантливому криптоаналитику удалось всего по нескольким цифрам постичь, что в запечатанном боксе своего сейфа Джеймс Рэнди спрятал компакт-диск, можно прочесть в материале «Хакер, слесарь, экстрасенс». Здесь же лишь еще раз подчеркнем важную суть этой истории: искусство хакинга и криптографии действительно находится на очень тонкой грани между обычным и сверхъестественным. Поэтому даже когда каждый отдельный шаг анализа вполне можно объяснить рационально, итоговая картина все равно выглядит поразительно — словно чудо.

#Биошаманство Кочера

Предыдущий сюжет о ясновидении Блэйза интересен и поучителен также по той причине, что очень наглядно демонстрирует значимость побочных компрометирующих сигналов, непременно сопровождающих функционирование всякой работающей системы. И соответственно, принципиальную важность подобных утечек для общего успеха хакинга. Ведь если бы Дж. Рэнди просто запечатал свой секрет в сейф и абсолютно ничего никому при этом не сообщил, то и Мэтт Блэйз не смог бы тут ничего угадать. Однако, чтобы вся эта система «жила и работала», оказалось необходимым выдать хотя бы часть информации, пусть и в тщательно зашифрованном виде. Ну а для одаренного хакера, как видите, даже этой минимальной утечки оказалось вполне достаточно, чтобы скомпрометировать всю систему.

С другой стороны, впрочем, яркий пример с Блэйзом не совсем хорош по той причине, что успех вскрытия тут полностью сведен к личным аналитическим талантам одного конкретного хакера. А значит, не позволяет увидеть общих черт и закономерностей, свойственных анализу побочных утечек в целом. Для взгляда на предмет именно в таком — обобщающем — аспекте куда лучше подходит история о методах криптохакинга, изобретенных и отточенных Полом Кочером во второй половине 1990-х годов.

Наиболее знаменитыми разработками этого исследователя (уже примерно лет двадцать возглавляющего небольшую, но весьма уважаемую среди специалистов фирму Cryptography Research) являются в высшей степени эффективные способы криптоанализа, известные под названиями «таймерная атака» и «дифференциальный анализ питания».

Представляется далеко не случайной мелочью, что в область компьютеров и защиты информации Пол Кочер пришел как исследователь, в качестве основного имеющий за плечами профессиональное образование биолога. А взломом электронных схем он занимался с детства забавы ради — в качестве увлекательного хобби. И похоже, что именно биологические подходы к анализу живых организмов помогли Кочеру выработать свой собственный, весьма индивидуальный стиль анализа «черных ящиков» (как по традиции принято именовать стандартные объекты исследований криптохакинга).

Трактуя криптосистемы, зашитые в «черные ящики» микросхем, словно живые организмы и внимательно исследуя все доступные для наблюдений признаки их «жизнедеятельности», Кочер в буквальном смысле произвел революцию в академическом криптоанализе. Ибо в традиционном анализе криптоустройств и защищенных протоколов всегда было принято предполагать, что злоумышленнику доступны сообщения на входе и выходе системы, а какая-либо информация о хранимых внутри данных (о криптоключах, к примеру) ему неизвестна.

Однако в реальной жизни любое электронное устройство состоит из конкретных элементов, которые выдают в окружающую среду информацию о своей работе. А значит, на самом деле атакующей стороне может быть доступна и всевозможная побочная информация, выдаваемая криптоустройством: электромагнитное излучение элементов схем, сигналы об ошибках или об интервалах времени между выполняемыми инструкциями, колебания в потреблении электроэнергии и другие подобные данные. Аккуратно фиксируя и анализируя эту информацию математическими методами, Кочер на множестве примеров показал, что побочных утечек схемы вполне достаточно для извлечения секретных криптоключей.

Вообще говоря, принципиальная возможность подобных вещей давно и прекрасно известна военным и спецслужбам, где разработаны специальные методы работы с побочными каналами компрометации. Но тема эта — под кодовым наименованием Tempest — строго засекречена, и открытых публикаций о ней крайне мало (подробнее об этом см. в текстах «Секреты дальночувствия» и «Мужчины с ошеломительным оснащением»). Ну а Пол Кочер и его коллеги по команде, можно сказать, творчески переизобрели секретные методы спецслужб и научились собственными методами деликатно преодолевать защиту таких криптоустройств, которые прежде считались весьма безопасными, — вроде смарт-карт или серверов, обеспечивающих онлайновую торговлю в Интернете.

Точно замеряя флуктуации в потреблении чипом электропитания или интервалы времени, нужные программе на отдельные этапы онлайновых транзакций (а также привлекая для анализа продвинутый аппарат матстатистики и алгебраических методов исправления ошибок), хакеры Cryptography Research продемонстрировали, что реально возможно извлекать криптоключи практически из любых устройств защиты информации, широко распространенных на коммерческом рынке...

#Звуки и прикосновения

Воистину поразительные, революционные для своего времени достижения Кочера и его коллег произвели на сообщество инфобезопасности чрезвычайно сильное впечатление. С конца 1990-х годов степень защиты системы от таймерных атак и атак по питанию стала регулярно входить в набор стандартных критериев, по которым оценивается уровень безопасности криптоустройства.

Частотная спектрограмма для потенциала шасси ноутбука Lenovo 3000 N200, когда ЦП компьютера выполняет различные вычислительные операции

Иначе говоря, смарт-карты с тех пор укрепили, старое криптографическое ПО переписали и сменили, а новое программное обеспечение стараются делать посильнее. Однако и биологические идеи «экстрасенсорного» хакинга не только продолжают жить, но и более чем успешно развиваются. В частности, за последнее десятилетие весьма впечатляющий прогресс достигнут в акустическом и тактильном, так сказать, направлениях в анализе побочных утечек.

Развитие этой истории логично отсчитывать с весны 2004 года, когда два известных израильских ученых-криптографа, Ади Шамир и Эран Тромер (Adi Shamir, Eran Tromer), опубликовали в Сети любопытную работу о возможностях дистанционного съема секретной информации с компьютера — исключительно по звукам работы его электронных схем. В статье Шамира и Тромера было особо оговорено, что исследование их носило сугубо предварительный оценочный характер, однако даже этих данных ученым хватило для следующего вывода: анализ акустических сигналов, порождаемых при работе ПК, убедительно демонстрирует, что звук является на удивление богатым источником информации о работе процессора.

Измерения сигнала от шасси в диапазоне 1,9-2,6 MHz, когда в программе GnuPG происходит вычисление четырех сигнатур RSA. Переходы между модулями P и Q отмечены желтыми стрелками

В частности, анализируя характерные особенности спектра звукового сигнала от компьютера, исследователи показали, что конкретные криптооперации процессора имеют вполне характерную акустическую сигнатуру, более того, есть возможность без труда выделять раздельные этапы возведения в степень больших чисел (модулей P и Q), лежащих в основе стойкости популярного криптоалгоритма RSA (Ади Шамир, кстати, это буква S в названии шифра, составленного из имен его авторов). Отсылая к общеизвестным на тот момент работам Пола Кочера, израильские ученые напомнили, что, по опыту дифференциального анализа питания и таймерных атак, такого рода данных бывает уже вполне достаточно для восстановления самих значений P и Q, а значит, и для вскрытия ключа RSA...

Дальнейшие события вокруг этого интересного открытия израильтян сложились таким образом, что от фазы первичного анализа до демонстрации реальной полноценной атаки через акустический канал утечек прошло полных десять лет. Почему так долго? Теперь уже и не суть важно, наверное. А важно то, что молодой коллега Шамира и Тромера, Даниэль Генкин, помог не только успешно завершить давнее перспективное исследование, но и существенно продвинуть наработанные методы анализа в другие области «экстрасенсорного хакинга».

Измерение потенциала заземления на удаленном конце сетевого кабеля Ethernet

Массу подробностей о добыче секретной информации по звукам работы аппаратуры можно найти в материале «Криптоакустика» и непосредственно на веб-странице исследователей Acoustic Cryptanalysis. Ну а здесь — для финала — самое время в нескольких словах рассказать, как те же самые, по сути, методы были развиты за последний год.

Сентябрьский доклад израильтян на эту тему в рамках конференции CHES 2014 сосредоточен на теме компрометирующих утечек аппаратуры через каналы заземления. Иначе говоря, теперь команда исследователей (Genkin, Pipman, Tromer) разрабатывала тот факт, что «земля», или электрический потенциал заземления компьютера, в большинстве случаев отнюдь не постоянна, а претерпевает постоянные флуктуации. При этом — по уже известной схеме — колебания потенциала «земли» происходят вычислительно зависимым образом от того, какую задачу решает в данный момент компьютер.

С позиций криптохакинга это означает, что представитель атакующей стороны может незаметно измерять этот сигнал — либо подсоединив провод к выступающей наружу металлической части компьютерного шасси, либо даже просто касаясь машины голой рукой. Ну а кроме того, этот же сигнал может быть измерен и на удаленном от компьютера конце — через «землю» выходящих из него кабелей Ethernet, VGA или USB.

Адаптивная атака «человеческое прикосновение» с помощью голой руки. Браслет на другой руке подсоединен к измерительному проводу

Итогом проделанной работы стала абсолютно реалистичная атака, в ходе которой — как показали исследователи — можно извлекать из ноутбуков, шифрующих информацию популярной криптопрограммой GnuPG, секретные ключи RSA длиной 4096 битов и ключи ElGamal длиной 3072 бита. В зависимости от условий доступа к аппаратуре эти атаки требуют либо всего лишь нескольких секунд измерения при работе с сигналами в среднечастотном диапазоне (около 2 МГц), либо же порядка одного часа — при опоре на низкочастотные сигналы (до 40 кГц).

Как обычно, массу подробностей о данной работе можно найти на сайте исследователей и в их PDF-статье, подготовленной для доклада на конференции.

* * *

Дополнительное чтение:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.