Бекдор, даромадгоҳи махфӣ (аз англ. back door — "дари пушт", айнан "дари пушт") — нуқсон дар алгоритме, ки аз ҷониби таҳиякунанда қасдан дар он сохта шудааст ва дастрасии беиҷозат ба маълумот ё идоракунии дурдасти системаи оператсионӣ ва дар маҷмӯъ компютерро фароҳам меорад .

Мақсади асосии пушти дарвоза ин аст, ки ба таври пинҳонӣ ва зуд дастрасии маълумот ба маълумот, дар аксари ҳолатҳо рамзгузорӣ ва муҳофизатшуда мебошад. Масалан, дар алгоритми рамзгузорӣ барои гӯш кардани телефони минбаъдаи канали амн аз ҷониби ҳамлагар пушти дарро сохтан мумкин аст.

Дар пушти (бекдор) дари комил

вироиш
  • ошкор кардан душвор аст;
  • такроран истифода бурдан мумкин аст;
  • рад кардан осон аст — он ба хатогӣ монанд аст ва агар ошкор шавад, таҳиякунанда метавонад ишора кунад, ки ӯ ин хаторо тасодуфан содир кардааст ва нияти бад надоштааст;
  • мо танҳо дар сурате истифода мебарем, ки сиррро бидонем — танҳо шахсе, ки медонад, ки қафо дар чӣ гуна фаъол карда мешавад, метавонад онро истифода барад;
  • аз созиш бо истифодаҳои қаблӣ муҳофизат карда шудааст — ҳатто агар пушти дарвоза ошкор шуда бошад ҳам, муайян кардан ғайриимкон аст, ки он қаблан аз ҷониби кӣ истифода шудааст ва ҳамлагар кадом маълумотро соҳиб шудааст;
  • такрор кардан душвор аст — ҳатто агар пушти дарро касе пайдо карда бошад ҳам, онро дар дигар код ё дар дастгоҳи дигар истифода бурдан ғайриимкон аст.

Принсипҳои умумӣ барои эҷоди пушти дарҳо-(бекдорҳо) дар алгоритмҳо

вироиш
  • муқовимати сусти алгоритм ба криптотализ ;
  • константаҳои махсус интихобшуда — алгоритм метавонад ҳангоми интихоби арзишҳои муайяни константаҳои дар кори худ истифодашаванда барои криптотализ ноустувор гардад;
  • мураккабӣ дар татбиқи бехатар — ин маънои онро дорад, ки татбиқи бехатари алгоритм хеле суст аст ва ҳама варианти ноамнро истифода мебаранд, ки барои ҳамла муфид аст.

Намунаҳои гипотетикии пушти дарҳо-(бекдорҳо) дар алгоритмҳои муосир

вироиш

осебпазирии генератори пайдарпаии псевдо-тасодуфӣ DUAL_EC_DRBG

вироиш

Ин генератор аз ҷониби NSA таҳия шудааст ва ҳамчун генератори рақамҳои псевдо-тасодуфӣ аз ҷиҳати криптографии қавӣ аз ҷониби Институти Миллии Стандартҳо ва Технологияи ИМА NIST дар соли 2006 стандартизатсия шудааст. Аммо, аллакай дар соли 2007, муҳаққиқони мустақил пешниҳод карданд, ки дар ин алгоритми пушти дари қафо сохтан мумкин аст. [1]

Тасвири амали алгоритми мувофиқи мушаххасоти NSA [2] :

 

Ин алгоритм хатҳои эллиптикиро истифода мебарад.   - генератори гурӯҳи нуқтаҳо дар хатти эллиптикӣ,   - нуктаи каљи эллиптикї - константае, ки бо стандарт муайян шудааст, чї тавр интихоб шудааст, маълум нест. Параметрҳои худи каҷ низ аз ҷониби стандарт муқаррар карда мешавад.

Принсипи фаъолият:

Муодилаи каҷ

 

дар шакли дубора навиштан мумкин аст   ва барои кор кардани алгоритм ифодаҳои зеринро нависед:

 ,  ,  
  — ҳолати дохилии генератор дар марҳилаи ҷорӣ
  - ҳолати дохилии генератор дар қадами оянда
  — баромади генератор дар зинаи ҷорӣ
Эҳтимоли пушти дари:

Зеро   рақами аслӣ аст, пас чунин адад вуҷуд дорад  , чӣ   . Ҷустуҷӯ   масъалаи аз чихати хисоббарорй душвори логарифми дискретй дар хатти эллиптики мебошад, ки дар айни замон алгоритмхои самарабахш барои он вучуд надоранд. Аммо фарз кардем, ки ҳамлагар медонад  , он гоҳ ҳамлаи зерин ба даст меояд: Агар   баромади навбатии генератор аст, ва агар чунин вуҷуд дорад  , чӣ  , пас нукта  , дар каҷ ҷойгир аст ва баробарии зерин барои он амал мекунад:   . Донистани рақам   ҳисоб кардан мумкин аст:   . Ҳамин тариқ, ҳамлагар, ки рақамро медонад  , метавонад на танҳо ҳосили навбатии генераторро ҳисоб кунад, балки инчунин дар тамоми ҳолатҳои дохилии имконпазири генератор зуд такрор карда, ҳолати ибтидоии дохилии онро барқарор кунад. Тибқи таҳқиқоти мустақил [3] [4], бо дониш   танҳо 30 байт пайдарпаии баромади генератор кифоя аст, ки танҳо номбар кунед   арзишҳо барои барқарор кардани ҳолати ибтидоии дохилии он. Ба гуфтаи муҳаққиқон, чунин осебпазириро метавон ҳамчун пушти дари қафо арзёбӣ кард.

Хатогӣ дар татбиқи протоколи тасдиқи сертификати TLS -и Apple

вироиш

Муҳаққиқони Яндекс осебпазириро дар татбиқи протоколи TLS дар яке аз маҳсулоти нармафзори Apple кашф карданд [3] . Ба ақидаи онҳо, ин хато метавонад як пушти даре бошад, ки аз ҷониби яке аз таҳиягарон дидаву дониста дар алгоритм сохта шудааст.

Бахши код бо хатогӣ:
static DSStatus SSLVerifySignedServerKeyExchnge(....)
{
   DSStatus err;
   ....
   if ((err = SSLHashSHA1.update(&hashCtx, &signedParams)) != 0)
     goto fail;
     goto fail;
   if ((SSHashSHA1.final(&hashCtx, &hashOut)) != 0)
     goto fail;
   ....
   fail:
     ....
     return err;
}

Тавре ки шумо мебинед, пас аз изҳороти аввал ду хати goto fail мавҷуд аст ва сатри дуюм новобаста аз натиҷаи if, ҳамеша иҷро мешавад. Ҳамин тариқ, тартиби тасдиқи сертификат нопурра аст. Ҳамлагаре, ки дар бораи ин осебпазирӣ огоҳ аст, метавонад сертификатро қаллобӣ кунад ва тасдиқ карда шавад. Ин ба ӯ имкон медиҳад, ки ҳамлаи одам дар миёнаро ташкил кунад ва ба ин васила ба пайвасти бехатари байни муштарӣ ва сервер халал расонад. Муҳаққиқоне, ки ин хаторо дар татбиқ кашф кардаанд, дақиқ гуфта наметавонанд, ки он қасдан ё тасодуфӣ буд. Ин комилан имконпазир аст, ки ин пушти дари дар алгоритми аз ҷониби яке аз таҳиягарон сохташуда бошад.

Намунаҳои усулҳои эҷоди пушти дарҳо

вироиш

Константаҳои махсус интихобшуда

вироиш

Бисёре аз алгоритмҳои криптографии муосир дар кори худ маҷмӯи муайяни доимии дохилиро истифода мебаранд. Одатан, ин константаҳо аз ҷониби стандарт муайян карда мешаванд ва бо сабабҳои муқовимати криптографӣ ба намудҳои ҳозираи маълуми криптотализ интихоб карда мешаванд. Аммо интихоби константаҳо ҳангоми стандартизатсияи алгоритм аз ҷиҳати назариявӣ метавонад аз ҷониби таҳиягарон бо нияти бад истифода шавад: масалан, барои эҷоди баъзе осебпазириҳо ва дарҳои пушти дарҳои алгоритм.

Ҳамчун мисоли истифодаи константаҳо, мо метавонем мақолаҳои тадқиқотии охиринро дар мавзӯи ба истилоҳ "хэшингҳои зараровар" [5] [6] оварем, ки дар он муаллифон тавонистанд бархӯрдҳоро барои функсияи хэши криптографии SHA1 бо тағир додани константаҳои даврии он. Аҳамият диҳед, ки ҳамлае, ки муаллифони таҳқиқот пешниҳод кардаанд, ҳамла ба худи функсияи hash SHA1 нест, он танҳо имкон медиҳад, ки бархӯрдҳо дар сурати тағир додани константаҳои мудаввар ва танҳо барои намудҳои муайяни файл имконпазир бошанд.

Тавсифи мухтасари SHA1 :

SHA1 як функсияи муосири хэши мудаввар аст. Алгоритми ҳашинг чунин аст:

  • Қиматҳои 32-бит оғоз карда мешаванд  
  • Паёми воридотӣ ба блокҳои 512 бит тақсим мешавад
  • Ҳар як блоки паёмӣ мувофиқи алгоритми дар стандарт муайяншуда ба таври махсус коркард ва пурра карда мешавад.
  • Блоки паёми қабулшуда дар 4 марҳилаи ҳар кадоми 20 давр ҳаш карда мешавад ва ҳар як марҳила константаи худро истифода мебарад   ё  
  • Натиҷаи функсия барои ҳар як блок арзишҳои нав хоҳад буд  , ки ба натиҷа илова карда мешаванд:  
  • Натиҷаи ниҳоии хэш арзиши 160-бит хоҳад буд, ки тавассути пайваст кардани панҷ арзиши 32-бит ба даст меояд   пас аз коркарди блоки охирини паём.
Бархӯрди биноҳо:

Мақсади ҳамлаи баррасишаванда дарёфти чунин доимӣ мебошад   ва чунин паёмҳо   ва  , чӣ   . Ин ҳамла танҳо аввалин 512 бит (блоки 1)-и паёмҳоро, ки барои сохтани бархӯрд зарур аст, тағир медиҳад. Алгоритм ба ҳамлаи дифференсиалии аллакай маълум ба SHA1, ки соли 2005 пешниҳод шуда буд, асос ёфтааст ва мураккабии тартиб   амалиётхоеро, ки дар амал татбик карданро душвор мегардонад. Аз ин рӯ, то ҳол ягон бархӯрди воқеӣ барои SHA1 пайдо нашудааст.

Аммо дар сурати эҷоди як варианти шубҳаноки SHA1, ҳамлакунанда метавонад на танҳо блокҳои паёмиро фарқ кунад   ва  , балки доимии мудаввар низ   . Мувофиқи тадқиқот , ин хеле мураккабии ҳамларо ба тартибот коҳиш медиҳад   амал мекунад ва сохтани чунин бархӯрдҳоро як вазифаи воқеие мегардонад, ки онро дар компютерҳои сершумор иҷро кардан мумкин аст. Ҳамин тариқ, муаллифони тадқиқот тавонистанд бархӯрдҳои як-блокро барои бисёр намудҳои файлҳои маълум созанд.

Бархӯрди ягонаи блок:

 

  ва   - блокҳои аввалини паёмҳо (512 бит), ки аз ҳамдигар фарқ мекунанд, аммо маблағи якхеларо медиҳанд
  - қисми боқимондаи мундариҷа, ки барои ҳарду файл яксон аст

Намунаи истифодаи ҳашингҳои зараровар барои эҷоди пушти дарҳо

вироиш

Бо ёрии ҳамлаи тавсифшуда, ду sh-скрипт сохта шуд, ки ҳангоми интихобшуда   якхела маблаги SHA1 дихад, вале дигар хел кор кунад.

 

Тавре ки шумо мебинед, фарқияти байни ин ду скрипт танҳо дар блокҳои аввали 512 бит аст, ки партовҳоро шарҳ медиҳанд. Аммо мундариҷаи ин блокҳо баъдан дар ҳолати if истифода мешаванд, аз ин рӯ скриптҳо ҳангоми иҷро дигар хел рафтор мекунанд. Чунин файлҳоро эҷодкунанда бо нияти бад истифода бурда метавонад.

Дарҳои пушти сахтафзор

вироиш

Дарҳои қафоро на танҳо дар нармафзор, балки дар сахтафзор низ ҷойгир кардан мумкин аст. Чунин пушти дарҳоро истеҳсолкунандагони сахтафзор метавонанд барои ворид кардани функсияҳои зараровар дар марҳилаи истеҳсол истифода баранд.

Дарҳои паси сахтафзор нисбат ба нармафзор як қатор бартариҳо доранд:

  • Бо антивирусҳо, сканерҳои код ва дигар нармафзори амниятӣ ошкор карда намешавад.
  • Бо навсозӣ ё иваз кардани нармафзор ислоҳ карда намешавад.

Намунаи пушти дари сахтафзор як нармафзори зараровари BIOS хоҳад буд. Мувофиқи тадқиқотҳо [7], чунин нармафзорро метавон дар асоси нармафзори ройгони Coreboot [8] ва SeaBIOS сохтан мумкин аст. Coreboot як BIOS-и мукаммал нест: он танҳо барои муайян кардани сахтафзори дар мошин мавҷудбуда ва интиқоли назорат ба худи "BIOS пур" масъул аст, ки онро ҳамчун SeaBIOS истифода бурдан мумкин аст, ки аз ҷониби ҳамлагар мувофиқи эҳтиёҷоти ӯ тағир дода шудааст.

Принсипи кори нармафзори зарароварро ба таври мухтасар чунин тавсиф кардан мумкин аст: дарҳол пас аз фурӯзон шудани компютери сироятшуда, ҳатто пеш аз бор кардани системаи амалиётӣ, он кӯшиш мекунад, ки бо сервери ҳамлакунанда тавассути Интернет пайваст шавад. Агар чунин кӯшиш бомуваффақият анҷом дода шавад, пас баъзе bootkit ба таври фосилавӣ зеркашӣ карда мешавад, ки дар навбати худ ба ҳамлагар имкон медиҳад, ки амалҳои зарароварро бо компютери сироятшуда анҷом диҳад: дуздии маълумот ё идоракунии дурдаст . Агар кӯшиши пайвастшавӣ ба Интернет ноком шавад, он гоҳ системаи оператсионӣ ба таври муқаррарӣ бор мешавад. Бартарии бешубҳа барои ҳамлакунанда дар он аст, ки худи нармафзори таҳриршуда ягон рамзи зарароварро дар бар намегирад ва ошкор кардани bootkits душвор аст.

Инчунин нигаред

вироиш
  1. Брюс Шнайер. Did NSA Put a Secret Backdoor in New Encryption Standard?, Wired News (15 ноябри 2007). Бойгонӣ шудааст 19 сентябри 2012  сол.
  2. John Bryson, Patrick Gallagher, Recommendation for Random Number Generation Using Deterministic Random Bit Generators Бойгонӣ шудааст 20 феврали 2016  сол., p. 60, 2012
  3. 3.0 3.1 Евгений Сидоров, Криптографические баги и бэкдоры Нусхаи бойгонишуда дар Wayback Machine, Yandex security meet up, 24.07.2015
  4. Dan Shumow, Niels Ferguson, On the Possibility of a Back Door in the NIST SP800-90 Dual Ec Prng Бойгонӣ шудааст 15 июни 2022  сол., pages 6-7, CRYPTO 2007, august 2007
  5. Ange Albertini, Jean-Philippe Aumasson, Maria Eichlseder, Florian Mendel, Martin Schlaeffer, Malicious SHA-1 Бойгонӣ шудааст 10 Январ 2016  сол., 14.08.2014
  6. Ange Albertini, Jean-Philippe Aumasson, Maria Eichlseder, Florian Mendel, Martin Schlaffer, Malicious Hashing: Eve’s Variant of SHA-1 Бойгонӣ шудааст 22 октябри 2015  сол., 2014 year
  7. Jonathan Brossard, Аппаратные бэкдоры — это практично Бойгонӣ шудааст 8 Декабри 2015  сол., 12 марта 2012
  8. Обзор проекта свободного BIOS — Coreboot Бойгонӣ шудааст 8 Декабри 2015  сол., 9 октября 2014


Пайвандҳо

вироиш
  • Dan Shumow, Niels Ferguson. On the Possibility of a Back Door in the NIST SP800-90 Dual Ec Prng. — 2007.
  • Евгений Сидоров. Криптографические баги и бэкдоры. — 2015.
  • John Bryson, Patrick Gallagher. Recommendation for Random Number Generation Using Deterministic Random Bit Generators. — U.S. Department of Commerce, 2012.