Мікросхема Clipper стійкий до злому чипсет із вбудованим бекдором для шифрування голосових повідомлень розроблений в США

Мікросхема Clipper — стійкий до злому чипсет із вбудованим бекдором для шифрування голосових повідомлень, розроблений в США Агентством національної безпеки. Мікросхема реалізує алгоритм шифрування Skipjack в режимі OFB.

Історія

Розвиток криптографії призвів до появи різних сучасних систем захисту інформації: криптосистеми з відкритим ключем, криптосистеми з відкритим ключем, цифровий підпис, криптографічні протоколи і т. д. Наслідком цього стала стурбованість Сполучених Штатів, що вони більше ніколи не зможуть вести спостереження і прослуховування. Тому в 1993 АНБ оголосило про створення якоїсь технології під назвою «clipper chip», яку збиралися вбудувати в усі цифрові пристрої передачі даних. Дана технологія мала вбудований бекдор, який би дозволив уряду США мати доступ до інформації на всіх пристроях, що підтримують дану технологію. Виробництвом мікросхем зайнялася компанія англ. VLSI Technology, а їх програмування Mykotronx. Єдиним пристроєм з цим чипом став телефон Model 3600, компанії .

АНБ відкрито виступало з даною ініціативою і пропонувало виключно добровільне вбудовування даного чипа. Ця технологія повинна була вирішити проблеми, пов'язані з тим, що зловмисники зможуть вільно вести й планувати незаконну діяльність. Проте, ця ініціатива зіткнулася із хвилею критики, що складалася в основному з наступних пунктів:

Дана технологія не була дешевою: вартість незапрограмованого чипа становила $16, а запрограмованого $26. Збільшення цін на всі цифрові пристрої на таку суму надто вдарили б по кишенях простих американських громадян.
Ніхто за межами США більше не став би купувати цифрові пристрої, вміст яких зміг би безперешкодно переглядати уряд Сполучених Штатів, що надто вдарило б по виробниках.
Незважаючи на те, що прослуховувати пристрій можна було тільки за постановою суду, громадяни Сполучених Штатів боялися за порушення недоторканності приватного життя.
Ці чипи, хоч і вироблялись стійкими до злому, були дуже вразливі, внаслідок зловмисники могли отримати доступ до конфіденційної інформації.

Врешті-решт дана ініціатива була згорнута в 1996 році через протести з боку громадян США і великих IT-компаній, а також через велику кількість вразливостей даної системи, які не дозволяли використовувати дані, отримані з допомогою мікросхеми в суді .

Опис технології

Алгоритм обміну повідомленнями

Мікросхема Clipper використовує алгоритм Skipjack для шифрування повідомлень користувачів в режимі OFB. Далі за протоколом Діффі — Геллмана відбувається формування 80-бітного сеансового ключа. Для ідентифікації користувача перед відправкою повідомлень відбувається обмін полями доступу для виконання закону (Law Enforcement Access Field, LEAF). LEAF формується наступним чином:

Сеансовий ключ шифрують за допомогою Skipjack закритим ключем користувача.
З допомогою сеансового ключа формують 16-бітну контрольну суму.
Унікальний 32-бітний ідентифікатор з'єднують із зашифрованим 80 — бітним сеансовим ключем і 16-бітною контрольною сумою.
Отримане 128-бітне число шифрують за допомогою Skipjack загальним для всіх мікросхем секретним ключем. LEAF отримано.

Потім розпочинається обмін повідомленнями.

Депонування сеансового ключа

Закриті ключі користувачів діляться навпіл і зберігаються в двох різних організаціях. Відповідний правоохоронний орган робить запит на ці частини ключа. Далі з допомогою загального ключа розшифровується LEAF. Отриманим закритим ключем розшифровують сеансовий ключ. Сеансовым ключем розшифровують повідомлення користувачів.

Безпека

Існує кілька способів скомпрометувати цю систему таким чином, щоб дані, отримані шляхом прослуховування, були непридатні для використання обвинуваченням у суді.

По-перше, якщо попередньо перед відправкою повідомлення стиснути таким чином, що не можна розпізнати чий це був голос, то можна стверджувати, що повідомлення було підроблено. Підроблення відбувається наступним чином: якщо об'єднати зашифрований і відкритий текст за допомогою XOR, то можна отримати ключовий потік, який можна об'єднати з абсолютно іншим відкритим текстом. Таким чином, даний аргумент можна використовувати в суді, щоб довести непридатність даних як докази.

По-друге, можна використовувати «втиснення», яке дозволяє Алісі видати себе за Боба. Алгоритм дій наступний: Аліса зв'язується з Бобом з допомогою Clipper і зберігає її копію LEAF разом з сеансовым ключем, потім вона дзвонить Керол (заздалегідь відомо, що Керол підслуховують) і видає як сеансовий ключ, який ідентичний сеансовому ключу Боба, а потім посилає його LEAF, таким чином видаючи себе за Боба. Виходить, що навіть, якщо голос не буде схожий на голос Боба, йому все одно доведеться доводити в судовому порядку, що це був не він.

Література

Information and Communications Security
Brian Mcculough The NSA Tried This Before – What The 90S Debate Over The Clipper Chip Can Teach Us About Digital Privacy
Steven Levy Battle of the Clipper Chip

[FOOTNOTESchneier1996-1] Schneier, 1996.

[FOOTNOTEMcculough2014-2] Mcculough, 2014.

[FOOTNOTELevy1994-3] Levy, 1994.