Kauçuk hortum kriptanalizi - Rubber-hose cryptanalysis

Şifrelenmiş dosya sistemi için bkz. Rubberhose (dosya sistemi).

İçinde kriptografi, kauçuk hortum kriptanaliz bir örtmece bir kişiden kriptografik sırların (örneğin, şifrelenmiş bir dosyanın şifresi) çıkarılması için zorlama veya işkence[1]- örneğin o kişiyi lastikle dövmek gibi hortum, dolayısıyla adı - matematiksel veya teknik bir kriptanalitik saldırı.

Detaylar

Göre Uluslararası Af Örgütü ve BM Dünyadaki birçok ülke rutin olarak insanlara işkence ediyor.[2][3][4][5] Bu nedenle, bu ülkelerin en azından bazılarının bir çeşit kauçuk hortum kriptanalizini kullandığını (veya kullanmaya istekli olacağını) varsaymak mantıklıdır. Uygulamada, psikolojik zorlama fiziksel kadar etkili olabilir işkence. Fiziksel olarak şiddet içermeyen ancak oldukça göz korkutucu yöntemler, ağır yasal cezalar tehdidi gibi taktikleri içerir. İşbirliği yapma teşviki bir tür pazarlık talebi müfettişlerle tam işbirliği karşılığında bir şüpheli aleyhindeki cezai suçlamaları düşürme veya azaltma teklifi gibi. Alternatif olarak, bazı ülkelerde, sorgulanan kişinin yakın akrabalarını (örneğin, eşleri, çocukları veya ebeveynleri) işbirliği yapmadıkları sürece, komplocu olarak kovuşturmak (veya onlara şiddet uygulamak) yönünde tehditler yapılabilir.[3][6]

Bazı bağlamlarda, verilerin gizli bir şekilde şifresini çözme ihtiyacı nedeniyle kauçuk hortum kriptanalizi uygun bir saldırı olmayabilir; Güvenlik ihlali olduğu biliniyorsa parola gibi bilgiler değerini kaybedebilir. Güçlü kriptografinin amaçlarından birinin, düşmanları daha az gizli saldırılara başvurmaya zorlamak olduğu iddia edildi.[7]

Terimin bilinen en eski kullanımı, sci.crypt yeni Grup,[kaynak belirtilmeli ] 16 Ekim 1990 tarafından gönderilen bir mesajda Marcus J. Ranum, ima ederek fiziksel ceza:

... kriptanalizin kauçuk hortum tekniği. (bir kauçuk hortumun, şifreleme sisteminin anahtarı keşfedilene kadar ayak tabanlarına kuvvetle ve sık sık uygulandığı, şaşırtıcı derecede kısa bir süre alabilen ve hesaplama açısından oldukça ucuz olan bir işlem).[8]

Terim kullanılmasına rağmen yanak dili etkileri ciddidir: modern şifreleme sistemleri, en zayıf halka genellikle insan kullanıcıdır.[9] Bir doğrudan saldırı bir şifre algoritmasında veya kriptografik protokoller kullanılması, sistemi kullanan veya yöneten kişileri hedeflemekten çok daha pahalı ve zor olacaktır. Bu nedenle, birçok şifreleme sistemi ve güvenlik sistemi, insan savunmasızlığını minimumda tutmaya özel önem verilerek tasarlanmıştır. Örneğin, açık anahtarlı şifreleme, savunmacı mesajı şifrelemek için anahtarı tutabilir, ancak şifresini çözmek için gereken şifre çözme anahtarını tutamaz. Buradaki sorun, savunucunun saldırganı baskıyı durdurmaya ikna edemeyebilmesidir. Makul olarak reddedilebilir şifreleme, ikinci bir ikna edici ancak nispeten zararsız mesajın kilidini açan ikinci bir anahtar oluşturulur (örneğin, "sapkın" düşünceler veya yasal ancak tabu olan bazı türden arzuları ifade eden kişisel yazılar), böylece savunmacı anahtarları teslim ettiğini kanıtlayabilir. saldırgan ise birincil gizli mesajdan habersiz kalır. Bu durumda tasarımcının beklentisi, saldırganın bunu fark etmemesi ve tehditlerden veya fiili işkenceden vazgeçmesidir. Ancak risk, saldırganın reddedilebilir şifrelemenin farkında olması ve savunucunun birden fazla anahtar bildiğini varsaymasıdır; bu da, bir veya daha fazla anahtar açığa çıksa bile saldırganın savunmacıyı zorlamayı bırakmayı reddedebileceği anlamına gelir: hala ek bilgileri tutan ek anahtarları alıkoyuyor.

Kayın

Bazı yargı bölgelerinde, tüzükler bunun tersini varsayar - insan operatörlerin, kauçuk hortum uygulayıcıları tarafından yapılana paralel bir varsayım olan oturum anahtarları gibi şeyleri bildiğini (veya bunlara erişebildiğini) varsayar. Bir örnek, Birleşik Krallık'ın Soruşturma Yetkilerinin Düzenlenmesi Yasası,[10][11] bu da teslim olmamayı suç yapar şifreleme anahtarları kanunla yetkilendirilmiş bir devlet memurunun talebi üzerine.

Göre Ev ofisi, bir sanığın anahtar sahibi olduğunu ispat etme yükümlülüğü savcılığa aittir; dahası, kanun bir anahtarı kaybeden veya unutan operatörler için bir savunma içerir ve bir anahtarı kurtarmak için ellerinden geleni yaptıklarına karar verilirse sorumlu değildirler.[10][11]

Olası durum

Öncülüğünde 2017 Kenya genel seçimleri Bağımsız Seçim ve Sınırlar Komisyonu'nda bilgi, iletişim ve teknoloji başkanı Christopher Msando, öldürüldü. Seçim için yeni oylama sisteminin geliştirilmesinde önemli bir rol oynamıştı. Vücudu bariz işkence izleri gösterdi ve katillerin ondan şifre bilgisi almaya çalıştığına dair endişeler vardı.[12]

popüler kültürde

  • İçinde xkcd Çizgi Roman # 538 (Güvenlik), ilk panelde bir kripto meraklısı, gelişmiş şifreleme sayesinde krakerlerin nihayetinde yenileceğini hayal ediyor. İkinci panelde yazar gerçek dünyada, bu bilgilere erişme arzusu olan kişilerin, inekleri kendilerine şifre vermeye zorlamak için işkence kullanacaklarını öne sürüyor. xkcd 538: Güvenlik Xkcd 538'i açıklayın: Güvenlik

Ayrıca bakınız

Referanslar

  1. ^ Schneier, Bruce (27 Ekim 2008). "Kauçuk Hortum Kriptanalizi". Schneier on Security. Alındı 29 Ağustos 2009.
  2. ^ Pincock Stephen (1 Kasım 2003). "İşkencenin dehşetini açığa çıkarmak". Neşter. 362 (9394): 1462–1463. doi:10.1016 / S0140-6736 (03) 14730-7. PMID  14603923. S2CID  54239764. Alındı 29 Ağustos 2009.
  3. ^ a b "BM insan hakları yetkilisi, birçok ülke hala işkenceye istekli görünüyor" (Basın bülteni). BM Haber Servisi. 27 Ekim 2004. Alındı 28 Ağustos 2009.
  4. ^ Modvig, J .; Pagaduan-Lopez, J .; Rodenburg, J .; Salud, CMD; Cabigon, RV; Panelo, CIA (18 Kasım 2000). "Çatışma sonrası Doğu Timor'da işkence ve travma". Neşter. 356 (9243): 1763. doi:10.1016 / S0140-6736 (00) 03218-9. PMID  11095275. S2CID  43717344. Arşivlenen orijinal 8 Haziran 2011. Alındı 29 Ağustos 2009. Alt URL
  5. ^ Iacopino, Vincent (30 Kasım 1996). "Türk hekimleri sistematik işkenceyi gizlemeye zorladı". Neşter. 348 (9040): 1500. doi:10.1016 / S0140-6736 (05) 65892-8. PMID  11654536. S2CID  20335366. Alındı 29 Ağustos 2009.
  6. ^ Hoffman, Russell D. (2 Şubat 1996). "PGP (Pretty Good Privacy) yazarı ile röportaj". Bugün Yüksek Teknoloji. Alındı 29 Ağustos 2009.
  7. ^ Percival, Colin (13 Mayıs 2010). "1 saat içinde kriptografi hakkında bilmeniz gereken her şey (konferans slaytları)" (PDF). Alındı 29 Aralık 2011.
  8. ^ Ranum, Marcus J. (16 Ekim 1990). "Re: Kriptografi ve Hukuk ..." Yeni Grupsci.crypt. Usenet:  [email protected]. Alındı 11 Ekim 2013.
  9. ^ "En Zayıf Bağlantı: Alman İkinci Dünya Savaşı Enigma Şifreleme Sisteminden Öğrenilen İnsan Faktörü Dersleri". SANS. Alındı 6 Haziran 2013.
  10. ^ a b "RIP Yasası". Gardiyan. Londra. 25 Ekim 2001.
  11. ^ a b "Soruşturma Yetkileri Yasa Tasarısı; 1999-2000 Oturumunda, İnternet Yayınları, Parlamento Önündeki Diğer Yasalar". Lordlar Kamarası. 9 Mayıs 2000. Arşivlenen orijinal 8 Kasım 2011 tarihinde. Alındı 5 Ocak 2011.
  12. ^ David Pilling (11 Ağu 2017). "Chris Msando'nun Hayaleti Kenya seçimlerinin peşinden gidiyor". Financial Times.