Bandit kryptoanalys

Den aktuella versionen av sidan har ännu inte granskats av erfarna bidragsgivare och kan skilja sig väsentligt från versionen som granskades den 19 oktober 2021; kontroller kräver 4 redigeringar .

Banditkryptanalys ( inledning med köp av nyckel , skämt. termorektal kryptoanalys [1] , även engelska.  Rubber-hose cryptanalysis  - kryptoanalys med gummislang [2] ) är en kryptoanalysmetod där " kryptanalytikern " tar till utpressning, hot, tortyr, utpressning, mutor etc. Huvudmetoden är analys och användning av den så kallade mänskliga faktorn  - närvaron av människor som en integrerad del av informationssäkerhetssystemet.

Bruce Schneier noterar att denna metod är kraftfull och ofta den mest effektiva kryptoanalysmetoden.

Beskrivning

Enligt Amnesty International och FN torterar många länder i världen ständigt människor. Därför är det logiskt att anta att åtminstone några av dessa länder använder (eller är redo att använda) någon form av "gangsterkryptanalys" [3] .

På grund av särdragen för denna metod, om den används , beror tiden som krävs för att dekryptera meddelandet inte på krypteringsalgoritmen och nyckellängden.

I praktiken kan psykologiskt tvång vara lika effektivt som fysisk tortyr. Icke-våldsamma men mycket skrämmande metoder inkluderar taktik som hot om ogynnsamma straffrättsliga påföljder. Incitamentet att samarbeta kan vara någon form av åtalsuppgörelse som erbjuder ett reducerat straff eller minskad lista över åtal mot den misstänkte i utbyte mot fullt samarbete med utredningen. Dessutom kan hot i vissa länder baseras på åtal, som medbrottslingar, av nära släktingar till den förhörde personen (t.ex. fru, barn eller föräldrar) om de inte samarbetar [4] [5] .

Användningsexempel

I Ryssland i slutet av 1730-talet

År 1738 var Turkiet (i söder) och Sverige (i norr) Rysslands främsta politiska motståndare. Den ryska domstolen, störd av rykten om förhandlingar mellan dem, fruktade bildandet av deras förbund. Därför beordrade kejsarinnan Anna Ioannovna att alla möjliga åtgärder skulle vidtas för att få fram relevant information. Vid den tiden, under befäl av befälhavaren för de ryska trupperna i söder, tjänstgjorde fältmarskalk B.K. Minich  , överste för den ryska armén H. von Manstein. I sina memoarer beskrev han följande: "Det ryska ministeriets försiktighetsåtgärder, vidtagna mot de svenska intrigerna, nådde de mest våldsamma åtgärderna och till och med döden på motorvägen..." [6] .

2005 TJ Maxx kreditkortsstöldundersökning

Ibland vänder sig kriminella till diskkryptering för att dölja bevis på sina brott. Brottsbekämpande utredningar kan stöta på detta hinder när datorforensik av programvara misslyckas med att återställa krypteringslösenord, vilket lämnar den enda beprövade metoden: våld. Till exempel "bra polis, dålig polis"-beteende som den turkiska regeringen påstås ha tagit till för att ta reda på kryptonycklarna för en av de främsta åtalade i utredningen av stölden av TJ Maxx - kunders kreditkortsuppgifter .

2005 stals tiotals miljoner bankkortsnummer från TJ Maxx osäkra trådlösa nätverk av butiker, vilket resulterade i mer än 150 miljoner dollar i förluster för företaget. Båda herrarna bakom rånet sålde stulen kreditkortsinformation på nätet. Så småningom nådde de stulna korten Maxim Yastremsky , en ukrainsk medborgare och, enligt mediarapporter, "en ledande figur inom internationell försäljning och köp av stulen kreditkortsinformation."

Enligt kommentarer från Howard Cox, som tjänstgjorde som biträdande chef för datorbrottsenheten vid det amerikanska justitiedepartementet , under en stängd session, efter att ha upptäckt krypteringen av enheten som används av Yastremsky och vägrat att avslöja lösenordet för att komma åt dessa data , var Maxim "vänstra turkiska brottsbekämpande myndigheter", som uppenbarligen tog till fysiskt våld för att få lösenordet från den ukrainske misstänkte.

Trots att informationen gavs till publiken på ett skämtsamt sätt och utan direkt hänvisning till förhörsmetoderna, framgick det av sammanhanget på vilket sätt den gripne "övertygades om att samarbeta" [3] [7] .

Motåtgärder

Även om denna term låter ironisk, används den på allvar i moderna kryptosystem. En brute -force attack på krypteringsalgoritmen eller på protokollet som används kommer sannolikt att vara mycket svårare och mycket dyrare än att bara få all information från användarna av systemet. Således är många kryptosystem och säkerhetssystem utformade för att minimera mänsklig sårbarhet. Till exempel, i kryptosystem med offentlig nyckel kan en användare ha en offentlig nyckel för att kryptera data, men kanske inte ha en privat nyckel för att dekryptera den. Problemet här är att användaren kanske inte kan övertyga angriparen om att han själv inte kan dekryptera. Tvetydig kryptering är också ett exempel . Tvetydig kryptering gör att det krypterade meddelandet kan läsas på flera meningsfulla sätt, beroende på vilken nyckel som används . Med andra ord döljer det närvaron av ett riktigt meddelande i frånvaro av en motsvarande krypteringsnyckel. Detta ger användaren en chans att dölja det verkliga meddelandet, även om de tvingas avslöja sin nyckel [8] .

I kulturen

Den populära webbserien xkcd i avsnitt 538 [9] illustrerar tanken att i ett kryptosystem är den svaga länken ofta en person som attackeras med en billig skiftnyckel för att få ett lösenord, även om själva data skyddas av en stark version av RSA algoritm [10] .

Se även

Anteckningar

  1. Från en uppvärmd lödkolv insatt i anus, tortyr , som påstås vara vanligt under det " häftiga 90-talet ".
  2. Från tortyr som inte lämnar några spår av misshandel , misshandel med en gummislang.
  3. ↑ 12 Chris Soghoian . Turkisk polis kan ha slagit krypteringsnyckel från TJ Maxx misstänkt , CNET  (26 januari 2009). Arkiverad från originalet den 8 december 2015. Hämtad 3 december 2015.
  4. Intervju med författaren till PGP (Pretty Good Privacy  )  // High Tech Today. - 1996. - 2 februari. Arkiverad från originalet den 16 april 2019.
  5. UN News Service. Många länder verkar fortfarande vara villiga att använda tortyr, varnar FN: s människorättstjänsteman  . - 2004. - 4 oktober. Arkiverad från originalet den 22 december 2015.
  6. von Manstein H. G. Anteckningar om Ryssland av general Manstein. - St Petersburg. : V. S. Balasheva, 1875.
  7. Fågelkiwi. Med hjälp av en pinne och ett rep  // Computerra . - 2008. - 18 november ( nr 43 (759) ). Arkiverad från originalet den 2 augusti 2019.
  8. Morozova E. V., Mondikova Ya. A., Moldovyan N. A. Sätt att förneka kryptering med en delad nyckel . - 2013. - Nr 6 (67) . Arkiverad från originalet den 22 december 2015.
  9. sv Arkiverad 25 juli 2010 på Wayback Machine , sv Arkiverad 3 augusti 2010 på Wayback Machine
  10. Sebastian Pape. Autentisering i osäkra miljöer: Använda visuell kryptografi och icke-överförbara autentiseringsuppgifter i praktiken . - Springer, 2014. - S. 46. - 362 sid. - ISBN 978-3-658-07116-5 . Arkiverad 23 juli 2016 på Wayback Machine

Litteratur