29 Марта 2002 18:03 29 Мар 2002 18:03 |

Поделиться

Схема ЭЦП: первый механизм махинации

Вот пример действий злоумышленника:

1. Подготовить две платежки:
   • на 10000000 руб. ( m₁);
   • на 3 руб. (m₂).
2. Выбрать секретный ключ X₁ и рассчитать ключ X₂.
3. Зарегистрировать открытые ключи, соответствующие секретным.
4. Отправить в банк требование m₁ с подписью на X₁ (m₁c₁).
5. Дождаться выполнения банком поручения.
6. Предъявить банку претензию, состоящую в том, что он якобы посылал требование о переводе 3-х рублей (m₂c₂), а не 10000000 (m₁c₁), а то, что кто-то подобрал текст сообщения, не изменяющий ЭЦП - дело не его. Пусть платит банк, удостоверяющий центр, страховая компания - кто угодно, только верните мои деньги! И главное, что придется вернуть!

В чем же источник успеха такой атаки? Дело в том, что Федеральный Закон "Об электронной цифровой подписи" допускает множественность ЭЦП для одного лица (статья 4, п.2). Именно поэтому злоумышленник получает реальную возможность подбирать не сообщение, что невероятно трудно, а подобрать и зарегистрировать (легально) ключ. Более того - не исключен вариант сговора двух лиц - т.е. ЭЦП оказывается уязвимой, если секретный ключ известен хоть кому-нибудь! А если сговорятся два центра по сертификации подписей?

Тем не менее, не все так страшно. Дело в том, что полученные в статье результаты никак не дискредитируют собственно криптостойкость ЭЦП. Они показывают возможную уязвимость при неправильном применении механизмов ЭЦП. В этой связи особое внимание должно быть уделено способам построения защищенного документооборота на базе ЭЦП".

Между тем, обнаружив проблему, Михаил Грунтович предлагает и способы ее решения: "Ответ на вопрос "Что делать?" довольно прост. Для того, чтобы избежать атаки игры на двух сообщениях с одинаковой подписью, можно предложить один из следующих рецептов:

• запретить пользователям системы иметь в каждый момент времени более одного активного ключа цифровой подписи;
• при формировании подписанного сообщения точно указывать уникальное имя использованного ключа подписи и при этом обеспечить достоверное распределение открытых ключей проверки подписи, например, в виде сертификатов, где открытый ключ связывается с его идентификатором.

В тренде мультиоблако — изучаем плюсы и минусы

Облака

Простого именования подписавшего субъекта в формате подписанного сообщения недостаточно, если ему (субъекту) не запрещено использовать более одного активного ключа подписи. Впрочем, зачастую и этого не делается. Надо отметить, что, по крайней мере, большинство современных коммерческих систем криптографической защиты информации следуют этим правилам. Они автоматизированно или организационно обеспечивают активность не более одного ключа, или используют формат подписанных данных PKCS#7 вместе с системой сертификации открытых ключей стандарта X.509, что при грамотной реализации достаточно для успешного противостояния рассмотренной нами атаке "двуличия" в алгоритмах цифровой подписи.

По словам Валерия Конявского, на основе приведенных данных необходимо избегать анонимности пользователей в интернете; кроме асимметричной криптографии в электронном документообороте необходимо применять и симметричные методы; вопросы применения ЭЦП в документообороте необходимо нормативно закрепить в Законе "Об электронном документообороте", проект которого в данный момент находится на рассмотрении в Думе.

Поделиться

Подписаться на новости Короткая ссылка