Прикладная криптология

Прикладная криптология

Прикладная криптологияАвтор: Киви Берд

Опубликовано в журнале "Компьютерра" N25-26 от 08 июля 2008 года

Криптология, как многие наверняка наслышаны, занимается не только шифрами и методами их вскрытия, но и множеством других проблем, так или иначе связанных с защитой и восстановлением информации. Поэтому нередки случаи, когда в реальных задачах прикладной криптологии собственно до анализа и вскрытия шифров дело вообще не доходит, но конкретные результаты все равно достигаются. Два примера из текущих ИТ-новостей наглядно демонстрируют этот на первый взгляд парадоксальный факт.

Первый сюжет связан с чрезвычайно актуальной и широко обсуждаемой ныне темой "сетевого нейтралитета" и роли компаний, обеспечивающих работоспособность сетевой инфраструктуры. Вправе ли они контролировать содержимое проходящего по каналам трафика, и если да, то до какой степени? Не дожидаясь итога этих дискуссий, многие интернет-провайдеры уже сегодня втихаря занимаются инспекцией пакетов и принудительным сужением (или "дросселированием") каналов для некоторых видов трафика, в первую очередь — для распространенных P2P-протоколов обмена файлами. Естественной реакцией на это со стороны пиринговых сетей стало шифрование пакетов.

Понятно, что сеанс зашифрованной связи просто так уже не проинспектируешь. Но вот недавно в Сети было опубликовано любопытное исследование[www.ing.unibs.it/~gringoli/ pub/PID578397b.pdf.], емонстрирующее программный инструмент, с помощью которого провайдеры могли бы целенаправленно блокировать или ограничивать шифрованный трафик своих абонентов, даже не имея возможности проанализировать защищенные данные.

Авторы работы, итальянские исследователи из Университета Брешии, нашли способ "слепой" классификации с точностью до 90% того типа трафика, что сокрыт в шифрованных пакетах сеансов SSH-соединений. Такой выдающийся результат достигнут с помощью алгоритма автоматического анализа, сопоставляющего размеры пакетов и интервалы между их доставкой. А собственно содержимое пакетов программу анализа совершенно не интересует.

Второй сюжет посвящен роли криптологии в аспектах, связанных с интернет-телефонией. Постоянно растущая популярность VoIP-технологий диктует необходимость поиска все более эффективных методов компрессии речи. Перспективное и сравнительно новое здесь направление (впрочем, хорошо известное любителям цифровой музыки) — сжатие с переменным битрейтом, при котором размер пакетов данных существенно варьируется. Происходит это потому, что для длинных и сложных гласных звуков частота отсчетов делается высокой, а для простых согласных частота сэмплирования заметно ниже.

Важнейшее достоинство данного метода сжатия в том, что он сохраняет качество звука, присущее высокому битрейту, но при этом снижает нагрузку на канал связи. Однако с точки зрения защиты информации эта технология не выдерживает никакой критики.

Группа исследователей из американского Университета Джонса Хопкинса (Johns Hopkins University) продемонстрировала, что сжатие с переменным битрейтом очень сильно ослабляет криптозащиту зашифрованных VoIP-потоков. Ученые показали, что достаточно измерять размер пакетов, даже не прибегая к их декодированию, чтобы с высокой точностью выявлять слова и фразы [Spot me if you can:Uncovering spoken phrases in encrypted VoIP conversations, 2008 IEEE Symposium on Security and Privacy, May 18 22, 2008.]. Программа анализа, разработанная авторами, пока не может восстановить весь разговор целиком, однако позволяет отыскивать конкретные словосочетания в зашифрованном потоке.

Алгоритм программы с помощью фонетического словаря разбивает искомую фразу на фонемы.

Затем фраза составляется из звуков, взятых из библиотеки образцов, а результат преобразуется в набор VoIP-пакетов. Полученная структура дает общее представление о том, как фраза может выглядеть в реальном VoIP-потоке. И когда нечто похожее по структуре выявляется в реальном сеансе IP-телефонии, программа тут же оповещает перехватчика о находке.

При тестовых испытаниях с перехватом реальной зашифрованной передачи программа верно выявляла и декодировала искомые фразы примерно в половине случаев. Результат, ясное дело, не очень впечатляющий, однако аккуратность метода подскакивала до 90%, если для поиска задавались длинные и сложные слова. Иначе говоря, эффективность подобной атаки намного выше, если перехватывается разговор профессионалов, насыщенный жаргонизмами. Как показывает анализ, в разговорах на профессиональном "диалекте" обычно много слов, которые сцепляются в длинные и относительно предсказуемые фразы.

Что же касается неформальных звонков, то там набор выражений случаен, а потому значительно хуже поддается аналитическому декодированию.

Впрочем, досужий треп обывателей шпионам неинтересен.

Компаний, предоставляющих услуги VoIP-шифрования при сжатии речи с переменным битрейтом, пока что не так много. Но в целом технология считается весьма перспективной и сулящей значительные выгоды. С точки зрения криптографов, однако, подобная схема компрессии применительно к интернет-телефонии — плохая идея. Самым простым решением проблемы могло бы стать разбиение речевого потока на пакеты равной длины, однако это неизбежно ухудшит степень сжатия. Что в очередной раз, увы, подтверждает давно известную истину: эффективность и безопасность — вещи практически несовместимые.