Параноид-генератор

:

Вообще-то данный материал изначально планировался как рассказ о новом и весьма любопытном исследовании из сугубо шпионской области «невидимых аппаратных закладок» в микросхемах. Соответствующая работа была проделана группой ученых из университетов США, Нидерландов и Швейцарии, а доклад о ее результатах — одновременно впечатляющих и настораживающих — прозвучал на недавней конференции «Аппаратура и встроенные системы для криптографии», или CHES 2013 (Cryptographic Hardware and Embedded Systems, август 2013 года, Санта-Барбара, США).

Но события в мире инфобезопасности, однако, развиваются ныне довольно специфическим образом. И за то время, пока готовилась статья о данном исследовании, из текущих ИТ-новостей навалило настолько много событий «в тему», что проигнорировать такое совпадение оказалось совершенно невозможным.

Тем более что собственно тема — не просто редкая и экзотическая, а, можно даже сказать, «параноидальная». Потому что еще совсем недавно — в эпоху «до Эдварда Сноудена» — на людей, озабоченных угрозами невидимых и неуничтожимых бэкдоров в компьютерах, обычно смотрели не то чтобы как на полных психов, но как минимум как на чуток свихнувшихся (автор знает — сам такой). Дабы исключительная специфичность настоящего периода в области защиты информации стала очевидной для всех, а не только для профессионалов, достаточно привести здесь суть лишь некоторых из текущих новостей.

RSA и NIST. В 20-х числах сентября известнейшая криптографическая корпорация RSA (вслед за НИСТ, Национальным институтом стандартов США) настоятельно рекомендовала всем разработчикам, использующим криптоинструментарий и программные библиотеки фирмы, не применять в своих продуктах один из типовых генераторов случайных чисел, или RNG, известный под названием Dual_EC_DRBG и оказавшийся скомпрометированным.

Глубочайшая ирония этой новости заключается в том, что НИСТ США официально одобрил этот генератор в качестве всеобщего стандарта, а компания RSA, соответственно, включила его в состав своего базового криптографического набора BSafe по той причине, что разработчиками Dual_EC_DRBG являлись высококлассные специалисты Агентства национальной безопасности США. И именно по этой же причине данный RNG пришлось ныне объявить непригодным для надежной защиты информации.

Потому что всплывшие в печати секретные документы спецслужбы АНБ подтвердили именно то, о чем независимые эксперты предупреждали давным-давно: в генератор Dual_EC_DRBG совершенно умышленно внедрена математическая закладка, ослабляющая его криптографическую стойкость и позволяющая АНБ быстро вскрывать ключи, которые сгенерированы с помощью данного RNG (подробности данной истории можно найти в материале «Неслучайные случайности»).

ОС Linux. Примерно тогда же, 19 сентября 2013-го, на конференции Linuxcon, проходившей в Новом Орлеане, США, произошел любопытный эпизод с отцом-основателем Linux-движения Линусом Торвальдсом. Когда он в рамках круглого стола присоединился на сцене к группе коллег, возглавляющих разработку ядра ОС, на Торвальдса из аудитории обрушился целый шквал самых разных вопросов.

Один из спрашивавших, в частности, задал совершенно прямой вопрос в лоб: обращалась ли к Л.Т. какая-либо из правительственных спецслужб с просьбой о внедрении в коды Linux особого бэкдора, то есть «тайного хода» для правоохранительных органов и шпионов?

После чего произошла довольно забавная вещь. В ответ Торвальдс отчетливо сказал «нет», но одновременно выразительно покивал головой так, как делают люди, говорящие «да». Аудитория дружно разразилась смехом, вопрос был сочтен как бы исчерпанным, и дискуссия программистов пошла дальше своим чередом... (О фактах внедрения бэкдоров в операционные системы с открытыми исходными кодами можно прочитать в текстах «Без срока давности» и «Такая вот паранойя».)

Belgacom и «Социалист». Опять-таки 20 сентября немецкий журнал Der Spiegel поведал документальные подробности об изощренной хакерской атаке англо-американских спецслужб против компьютерных систем Belgacom, европейского телекоммуникационного гиганта, почти целиком принадлежащего властям Бельгии.

Практически всем наверняка известно, что именно в столице Бельгии, Брюсселе, находится не только штаб-квартира европейского сообщества, но и штаб-квартира НАТО, главной военно-политической организации союза США и Европы. Поэтому можно себе представить чувства европейцев и их вождей, когда от руководства Belgacom и из секретных файлов в СМИ они узнали очередную новость о масштабах шпионажа за ними со стороны главных союзников.

(Нечто весьма похожее уже обнаруживалось и в прошлом десятилетии, см. материал «Вопросы на греческом», но замятая история о массовом хакинг-шпионаже АНБ против властей Греции, похоже, ничему Европу не научила.)

Самый комичный, пожалуй, эпизод в истории с хакингом систем связи Belgacom — это то название, под которым данная шпионская операция фигурирует в сверхсекретных документах спецслужб: Operation Socialist. От него так и веет нафталином идеологических сражений времен холодной войны.

Откуда взялось столь странное название применительно к Бельгии, сообразить, в общем-то, несложно. Именно в тот период, когда было устроено «овладение» сетями Belgacom, правительство бельгийского государства возглавлял премьер-министр от социалистической партии Элио Ди Рупо (Elio Di Rupo).

(Бесхитростная манера, в которой спецслужбы дают имена своим секретным операциям и объектам, иногда приводит к смешным провалам. Недавно в одной из ближневосточных стран местная контрразведка легко вычислила и арестовала агента ЦРУ, когда им стало известно, что очередная тайная встреча шпионов пройдет на объекте «пиццерия». Разведчикам из Америки, где всяких разных пиццерий на улицах любого города все равно что грязи, было, похоже, невдомек, что конкретно в том месте на Востоке, где они назначили встречу со своим агентом, пиццерия оказалась всего одна...)

Bullrun и Bull Mountain. Наконец, еще одной очень впечатляющей новостью сентября стала одновременная публикация изданий Guardian в Европе, New York Times в Америке и ProPublica в Интернете, рассказавших с документами от Сноудена о крупномасштабной операции АНБ США под общим наименованием «Проект Bullrun».

Если в двух словах, то за данным названием кроется множество тайных мероприятий спецслужбы по систематическому ослаблению криптографии, применяемой мировым сообществом в Интернете и прочих технологиях связи (об очень давней предыстории и разнообразных трюках этой деятельности АНБ можно почитать в материалах «Чтение между строк», «Объяснимые слабости», «Хитрости крипторемесла», «GSM: что показало вскрытие»).

Поскольку из документов о проекте Bullrun получалось, что АНБ — в погоне за тотальным контролем шифрованной связи в Интернете — сумело скомпрометировать чуть ли не все средства криптографии, массово применяемые в Сети, то среди публики вскоре последовали выводы и наблюдения соответствующего рода.

В частности, один из наиболее «параноидальных» (или просто наблюдательных) обозревателей не смог удержаться, чтобы не обратить внимание общества на многозначительное соответствие в названиях проектов, непосредственно связанных с инфотехнологиями и тайнами прикладной криптографии.

Комплекс операциий АНБ по тотальному подрыву стойкости криптографии получил кодовое наименование Bullrun (бычьи бега). А проект корпорации Intel по встраиванию в новые процессоры, начиная с Ivy Bridge, собственного генератора DRNG (от Digital Random Number Generator) для порождения криптоключей и прочих последовательностей случайных чисел носил название Bull Mountain (бычья гора).

Конечно, сразу признает комментатор, этих слова в названиях вполне могут быть абсолютно никоим образом не связанными друг с другом. Но если принять во внимание общий поток происходящих ныне разоблачений, всепоглощающую тягу АНБ к ослаблению всякой, особенно американской, криптографии, а также уже известную бесхитростность шпионов в том, что касается присвоения наименований своим операциям, выявленное совпадение может быть вовсе и не таким уж случайным... (О давней озабоченности АНБ темой аппаратных бэкдоров в микросхемах — см. материал «В ожидании троянского дракона». О потенциальных рисках бэкдоров в процессорах Intel см. «Троянские микрокони» и «Бычья гора на фоне ландшафта».)

Тема о возможных тайных слабостях в криптогенераторе Intel DRNG особо интересна по той причине, что она самым непосредственным образом оказывается связана как раз с тем исследованием, посвященным невыявляемым бэкдорам в микросхемах, что было анонсировано в самом начале данной статьи. Работа носит название «Невидимые аппаратные троянцы на уровне примесей» (Stealthy Dopant-Level Hardware Trojans by Georg T. Becker, Francesco Regazzoni, and Christof Paar) и в оригинальном виде может быть скачана на веб-странице одного из авторов.

Если излагать суть этой исследовательской работы в самом кратком виде, то ученые обнаружили и продемонстрировали, что в принципе есть возможность на очень низком уровне манипулировать вентилями логики микросхемы — заставляя их оставаться всегда открытыми или, наоборот, закрытыми, — изменив полярность примесей в некоторых транзисторах.

Для того чтобы стало понятнее, насколько это открытие важно для внедрения в чипы невыявляемых троянцев, удобно пересказать разъяснения самих авторов исследования. В последние годы, как известно, аппаратные троянцы стали привлекать повышенное внимание как со стороны государственных правительств и индустрии, так и в научном сообществе. Один из главных предметов озабоченности на данный счет сводится к тому, что интегральные микросхемы для приложений в особо важных областях — вроде военной техники или критических инфраструктур, как и все прочие, в принципе поддаются вредительским манипуляциям во время процессов производства, которые часто происходят где-то на неведомых зарубежных фабриках. Но в то же время — поскольку пока еще никем не было предъявлено никаких аппаратных троянцев в реальных устройствах — слишком мало известно о том, как именно подобные троянцы могли бы выглядеть и насколько сложно было бы реализовать их на практике.

В своей статье авторы описывают обнаруженный ими «в высшей степени невидимый подход» к реализации в микросхемах аппаратных троянцев ниже уровня вентилей. Вместо того чтобы добавлять дополнительные схемы в модифицируемую конструкцию, удается внедрять аппаратных троянцев намного деликатнее — как уже говорилось, путем избирательного изменения полярности присадки у некоторых из имеющихся в схеме транзисторов. Иначе говоря, здесь не требуются никакие добавочные транзисторы, вентили и межсоединения. По сути, не требуется вообще никаких модификаций в применяемой для чипа маске схемы.

Единственное же, что нужно сделать, — это лишь внести некоторые изменения на этапе генерации масок для нанесения присадок, что происходит на одном из самых поздних этапов в общем процессе разработки (а с точки зрения шпионской работы может быть организовано даже при сравнительно низком уровне агента без ведома высокого начальства).

Такие особенности делают технологию внедрения данного бэкдора чрезвычайно сложной для выявления. Поскольку модифицированная шпионами схема продолжает выглядеть как вполне легитимная на всех уровнях элементов и соединений (включая все элементы из металла и полисиликона), данное семейство троянцев способно противостоять подавляющему большинству техник, применяемых ныне для выявления аппаратных закладок.

В частности, поскольку с помощью оптической инспекции слоев надежно могут быть выявлены только изменения в металле, полисиликоне или в схеме активной области, новые «примесные» троянцы имеют естественный иммунитет к такого рода инспекциям. А это, как известно, один из наиболее важных и эффективных механизмов для выявления троянцев.

Кроме того, поскольку здесь в принципе нет возможности использовать оптическую инспекцию для различения схем, свободных от троянцев, и схем с уже внедренными троянцами, становится чрезвычайно сложной задача по отысканию эталонной микросхемы, играющей роль «золотого чипа». То есть того чипа, который бывает необходим в большинстве механизмов выявления троянцев на этапе постпродукции.

Далее, чтобы продемонстрировать подлинный масштаб угрозы от подобных троянцев в сценариях реального мира и попутно показать, что такие закладки вполне способны обманывать не только оптические инспекции, но и функциональное тестирование, авторы провели два конкретных моделирования метода.

Эффективность примесного подхода продемонстрирована путем внедрения троянцев в две распространенные реальные схемы: (а) в цифровую постобработку потока битов, идущих из криптографически безопасного генератора RNG в составе процессоров Intel Ivy Bridge; и (б) в реализацию специально усиленного криптомодуля (S-бокса), обычно противостоящего утечкам информации о ключах через побочные каналы.

Особо интересен, конечно, первый (куда более общий) случай, поскольку модифицированный троянцем генератор случайных чисел в массово распространенном микропроцессоре — это криптографическая катастрофа для огромного числа самых разных приложений с шифрованием информации. Технология этого троянца позволяет его хозяину тайно понизить, скажем, количество энтропии в аппаратном генераторе случайных чисел Intel со 128 битов до 32. Иначе говоря — вскрывать любой ключ, генерируемый данным «сильным» RNG. И при этом, как показали разработчики, этот троянец успешно проходит все процедуры функционального тестирования — как рекомендованные корпорацией Intel «самотесты» для своего RNG, так и комплекс тестов, рекомендованных НИСТ США для тестирования генераторов случайных чисел...

Что же касается второй демонстрации, то здесь, дабы продемонстрировать общую гибкость примесных троянцев, авторы также показали, как их можно использовать для организации скрытого канала побочных компрометирующих утечек в таких криптоконструкциях, которые по всем прочим характеристикам принято считать безопасными. Этот новый троянец вообще не изменяет никакие логические значения ни в одном из вентилей, но вместо этого модифицирует только лишь профиль энергопотребления у двух определенных вентилей схемы.

Тестирующий инспектор или злоумышленник, не знающие об устройстве данного троянца, не смогут выявить или использовать такого рода троянскую конструкцию, опираясь на стандартные методы анализа утечек через побочные каналы компрометации. Хозяин же данной закладки, напротив, вполне способен использовать свои знания о специфической модели энергопотребления троянцем, чтобы организовать скрытый побочный канал, который надежно сливает секретные ключи, обрабатываемые чипом...

Как показали авторы исследования, выявление подобного типа новых троянцев представляет весьма и весьма большую проблему. Можно говорить, что они устанавливают новый, чрезвычайно низкий порог относительно того, как много лишнего можно ожидать от аппаратных закладок на практике. Фактически здесь теперь нет вообще ничего — нуль, зеро — лишнего. Иначе говоря, для всех будущих работ по выявлению аппаратных троянцев ныне с необходимостью следует предполагать разработку и освоение существенно новых метод для выявления вражеских закладок на субтранзисторном уровне...

***

Возвращаясь от столь любопытного исследования университетских ученых к реалиям современной жизни, следует напомнить, что технические спецслужбы ведущих государств, прежде всего АНБ США, все подобные разработки проводит в тайне и с опережением, как показывает практика, примерно лет на десять. Иначе говоря, с очень высокой долей вероятности можно предполагать, что технологии примесных троянцев шпионами не только давно открыты, но и уже применяются на практике.

В своем развернутом комментарии к этой идее известный гуру по безопасности Брюс Шнайер выразился следующим образом: «У нас пока нет ни малейшего представления относительно того, удалось ли АНБ склонить Intel к проворачиванию такой вещи с их генератором случайных чисел, встроенным в чип процессора. Но теперь мы знаем уже наверняка, что они вполне могли такую вещь устроить»...

Для более глубокого понимания шнайерова комментария следует упомянуть тот факт, что журналист Гленн Гринволд, разбирающий и публикующий файлы Сноудена, не так давно позвал Брюса Шнайера на помощь — в качестве авторитетного эксперта-криптографа консультировать прессу относительно особо тонких и профессиональных нюансов в тайнах спецслужб. Познакомившись с массой еще не публиковавшихся, но готовящихся к раскрытию файлов АНБ, Шнайер был настолько шокирован безграничными аппетитами спецслужб, компрометирующих абсолютно всю криптографию, до которой только могут дотянуться, что теперь вполне готов поверить и в закладку в процессорах Intel.

Меня всегда настораживало, пишет Шнайер, что Intel настойчиво подталкивает разработчиков к таким формам реализации приложений, которые используют выход от их аппаратного RNG напрямую, а не пропуская его через какой-нибудь еще сильный программный генератор типа Fortuna. Да, конечно, соглашается Шнайер, это еще одна теория заговора. Но с недавних пор уже совершенно не хочется отбрасывать подобные идеи. Потому что это реальность и это самые худшие вещи из того, что делает АНБ. Так что ныне мы вообще не имеем ни малейшего понятия, кому здесь можно доверять...

В дополнение к мнению эксперта-криптографа можно добавить лишь одно: по состоянию на сегодняшний день события вокруг «доверия» к властям и спецслужбам разворачиваются таким образом, что далее приходится ожидать появления все более и более шокирующих подробностей. Причем общая суть этих секретов довольна проста. Выходит, что обществом управляют давно свихнувшиеся на своей власти и на своих страшных бесчисленных тайнах преступники, место которым в тюрьме или в лечебном учреждении. Наверное, тут требуется что-то типа психиатрической больницы тюремного типа. Но изоляция таких персонажей от общества необходима в любом случае. Потому что эти люди явно неадекватны и социально очень опасны.

***

Дополнительные материалы в тему:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.