Одноразовый блокнот

редактировать

Метод шифрования

Формат одноразового блокнота, используемый США Агентство национальной безопасности, кодовое имя ДИАНА. Таблица справа является вспомогательным средством для преобразования между открытым текстом и зашифрованным текстом с использованием символов слева в качестве ключа.

В криптографии, одноразовый блокнот (OTP ) - это метод шифрования, который не может быть взломан, но требует использования одноразового предварительного общего ключа того же размера, что и, или длиннее отправляемого сообщения. В этом методе открытый текст соединяется со случайным секретным ключом (также называемым одноразовым блокнотом). Затем каждый бит или символ открытого текста зашифровывается путем объединения его с соответствующим битом или символом из панели с использованием модульного сложения .

. Полученный в результате зашифрованный текст невозможно будет расшифровать или сломать, если выполняются следующие четыре условия:

Ключ должен быть действительно случайным.
Длина ключа должна быть не меньше длины открытого текста.
Ключ никогда не должен использоваться повторно полностью или частично
Ключ должен полностью храниться в секрете.

Также было доказано, что любой шифр со свойством совершенной секретности должен использовать ключи с теми же требованиями, что и ключи OTP. Цифровые версии одноразовых шифров были использованы странами для критически важной дипломатической и военной связи, но проблемы безопасного распределения ключей сделали их непрактичными для большинство приложений.

Впервые описанный Фрэнком Миллером в 1882 году, одноразовый блокнот был изобретен заново в 1917 году. 22 июля 1919 года патент США 1310719 был выдан Гилберту Вернаму для операции XOR, используемой для шифрования одноразового блокнота. Полученная из его шифра Вернама, система представляла собой шифр, объединяющий сообщение с ключом, считанным с перфоленты . В своей первоначальной форме система Вернама была уязвима, потому что ключевой лентой была петля, которая использовалась повторно всякий раз, когда петля совершала полный цикл. Одноразовое использование появилось позже, когда Джозеф Моборн осознал, что если бы лента с ключами была полностью случайной, то криптоанализ был бы невозможен.

«Блокнот». название происходит от ранних реализаций, где ключевой материал был распределен в виде блокнота, позволяющего оторвать текущий верхний лист и уничтожить его после использования. Для маскировки подушка иногда была настолько маленькой, что для ее использования требовалось мощное увеличительное стекло. В КГБ использовались накладки такого размера, что они могли поместиться в ладони или в скорлупе ореха. Для повышения безопасности одноразовые прокладки иногда печатали на листах из легковоспламеняющейся нитроцеллюлозы, чтобы их можно было легко сжечь после использования.

Термин «шифр Вернама» имеет некоторую двусмысленность, поскольку в некоторых источниках «шифр Вернама» и «одноразовый блокнот» используются как синонимы, в то время как другие относятся к любому дополнительному потоковому шифру как «Шифр Вернама», включая те, которые основаны на криптографически безопасном генераторе псевдослучайных чисел (CSPRNG).

Содержание

1 История
2 Пример
- 2.1 Попытка криптоанализа
3 Полная секретность
4 Проблемы
- 4.1 Истинная случайность
- 4.2 Распределение ключей
- 4.3 Аутентификация
5 Использование
- 5.1 Применимость
- 5.2 Историческое использование
- 5.3 NSA
- 5.4 Эксплойты
6 См. Также
7 Примечания
8 Ссылки
9 Дополнительная литература
10 Внешние ссылки

История

Фрэнк Миллер в 1882 году был первым, кто описал одно- система временных блокнотов для защиты телеграфии.

Следующая система одноразовых блокнотов была электрической. В 1917 году Гилберт Вернам (из ATT Corporation ) изобрел и позже запатентовал в 1919 году (патент США 1,310,719 ) шифр, основанный на телетайпе технологии. Каждый символ в сообщении был электрически объединен с символом на кнопке перфоленты. Джозеф Моборн (тогда капитан в армии США, а затем начальник Корпуса связи ) понял, что последовательность символов на клавише лента может быть полностью случайной, и в этом случае криптоанализ будет более трудным. Вместе они изобрели первую систему одноразовой ленты.

Следующей разработкой стала система бумажных блокнотов. Дипломаты давно использовали коды и шифры для обеспечения конфиденциальности и минимизации затрат на телеграф . Для кодов слова и фразы были преобразованы в группы чисел (обычно 4 или 5 цифр) с использованием подобной словарю кодовой книги. Для дополнительной безопасности секретные номера могут быть объединены с (обычно модульным добавлением) каждой кодовой группой перед передачей, при этом секретные номера периодически меняются (это называлось супершифрованием ). В начале 1920-х годов три немецких криптографа (Вернер Кунце, Рудольф Шауффлер и Эрих Ланглоц), которые участвовали в взломе таких систем, осознали, что их невозможно взломать, если для каждой группы кодов будет использоваться отдельное случайно выбранное дополнительное число. У них были дубликаты бумажных блокнотов, напечатанные линиями групп случайных чисел. На каждой странице был порядковый номер и восемь строк. В каждой строке было шесть пятизначных чисел. Страница будет использоваться в качестве рабочего листа для кодирования сообщения, а затем уничтожена. серийный номер страницы будет отправлен с закодированным сообщением. Получатель отменяет процедуру и затем уничтожает свою копию страницы. Министерство иностранных дел Германии ввело эту систему в действие к 1923 году.

Отдельным понятием было использование одноразового блокнота букв для непосредственного кодирования открытого текста, как в примере ниже. Лео Маркс описывает изобретение такой системы для британского Руководителя специальных операций во время Второй мировой войны, хотя в то время он подозревал, что она уже была известна в высшей степени разделенный мир криптографии, как, например, в Блетчли Парк.

Последнее открытие было сделано теоретиком информации Клодом Шенноном в 1940-х годах, который признал и доказал теоретическое значение системы одноразовых блокнотов. Шеннон представил свои результаты в секретном отчете в 1945 году и опубликовал их открыто в 1949 году. В то же время советский теоретик информации Владимир Котельников независимо доказал абсолютную безопасность одноразового блокнота; его результаты были представлены в 1941 году в виде отчета, который, по-видимому, остается засекреченным.

Пример

Предположим, Алиса хочет отправить сообщение «ПРИВЕТ» Бобу. Предположим, что два блокнота, содержащие одинаковые случайные последовательности букв, каким-то образом были ранее изготовлены и надежно выданы обоим. Алиса выбирает соответствующую неиспользованную страницу из блокнота. Как правило, это делается заранее, например, «использовать 12-й лист 1 мая» или «использовать следующий доступный лист для следующего сообщения».

Материал на выбранном листе является ключевым для этого сообщения. Каждая буква из блокнота будет объединяться определенным образом с одной буквой сообщения. (Обычно, но не обязательно, присваивает каждой букве числовое значение, например, «A» равно 0, «B» равно 1 и т. Д.)

В этом Например, метод заключается в объединении ключа и сообщения с использованием модульного сложения. Числовые значения соответствующего сообщения и ключевых букв складываются вместе по модулю 26. Таким образом, если ключевой материал начинается с «XMCKL», а сообщение - «HELLO», то кодирование будет выполнено следующим образом:

HELLO сообщение 7 (H) 4 (E) 11 (L) 11 (L) 14 (O) сообщение + 23 (X) 12 (M) 2 (C) 10 (K) 11 (L) клавиша = 30 16 13 21 25 сообщение + ключ = 4 (E) 16 (Q) 13 (N) 21 (V) 25 (Z) (сообщение + ключ) mod 26 EQNVZ → зашифрованный текст

Если число больше 25, то остаток после вычитания 26 берется по модульной арифметике. Это просто означает, что если вычисления «пройдут» Z, последовательность снова начнется с A.

Таким образом, зашифрованный текст, который будет отправлен Бобу, будет «EQNVZ». Боб использует соответствующую ключевую страницу и тот же процесс, но в обратном порядке, чтобы получить открытый текст. Здесь ключ вычитается из зашифрованного текста, опять же с использованием модульной арифметики:

Зашифрованный текст EQNVZ 4 (E) 16 (Q) 13 (N) 21 (V) 25 (Z) зашифрованный текст - 23 (X) 12 ( M) 2 (C) 10 (K) 11 (L) ключ = -19 4 11 11 14 зашифрованный текст - ключ = 7 (H) 4 (E) 11 (L) 11 (L) 14 (O) зашифрованный текст - ключ ( mod 26) HELLO → message

Как и в предыдущем случае, если число отрицательное, то добавляется 26, чтобы сделать число ноль или больше.

Таким образом, Боб восстанавливает открытый текст Алисы, сообщение «HELLO». И Алиса, и Боб уничтожают ключевой лист сразу после использования, таким образом предотвращая повторное использование и атаку на шифр. КГБ часто выпускал свои агенты одноразовые блокноты, напечатанные на крошечных листах флеш-бумаги, бумагу, химически превращенную в нитроцеллюлозу, которая почти мгновенно сгорает и не оставляет пепла.

В классическом одноразовом блокноте шпионажа использовались настоящие блокноты из крохотной, легко скрываемой бумаги, острого карандаша и некоторой мысленной арифметики. Теперь метод может быть реализован в виде программного обеспечения, использующего файлы данных в качестве ввода (открытый текст), вывода (зашифрованный текст) и ключевого материала (требуемая случайная последовательность). Операция XOR часто используется для комбинирования открытого текста и ключевых элементов и особенно привлекательна на компьютерах, поскольку обычно представляет собой машинную инструкцию собственного типа и поэтому выполняется очень быстро. Однако сложно гарантировать, что ключевой материал действительно случайный, используется только один раз, никогда не становится известен оппозиции и полностью уничтожается после использования. Вспомогательные части реализации программного одноразового блокнота представляют собой реальные проблемы: безопасная обработка / передача открытого текста, действительно случайные ключи и одноразовое использование ключа.

Попытка криптоанализа

Чтобы продолжить приведенный выше пример, предположим, что Ева перехватывает зашифрованный текст Алисы: «EQNVZ». Если бы у Евы было бесконечное время, она бы обнаружила, что ключ «XMCKL» создаст открытый текст «HELLO», но она также обнаружила бы, что ключ «TQURI» создаст открытый текст «ПОЗЖЕ», столь же правдоподобное сообщение:

4 (E) 16 (Q) 13 (N) 21 (V) 25 (Z) зашифрованный текст - 19 (T) 16 (Q) 20 (U) 17 (R) 8 (I) возможный ключ = −15 0-7 4 17 ключ шифртекста = 11 (L) 0 (A) 19 (T) 4 (E) 17 (R) ключ шифротекста (mod 26)

Фактически, возможно " расшифровать «из зашифрованного текста любое сообщение с тем же количеством символов, просто используя другой ключ, и в зашифрованном тексте нет информации, которая позволила бы Еве выбирать среди различных возможных прочтений зашифрованного текста.

Совершенная секретность

Одноразовые блокноты «теоретически безопасны » в том смысле, что зашифрованное сообщение (т. Е. зашифрованный текст ) не содержит информацию об исходном сообщении криптоаналитику (кроме максимально возможной длины сообщения). Это очень сильное понятие безопасности, впервые разработанное во время Второй мировой войны Клодом Шенноном и доказанное математически для одноразового блокнота Шеннона примерно в то же время. Его результат был опубликован в Bell System Technical Journal в 1949 году. При правильном использовании одноразовые планшеты безопасны в этом смысле даже против злоумышленников с бесконечной вычислительной мощностью.

Клод Шеннон доказал, используя соображения теории информации, что одноразовый блокнот обладает свойством, которое он назвал совершенной секретностью; то есть зашифрованный текст C не дает абсолютно никакой дополнительной информации о открытом тексте. Это связано с тем, что при наличии действительно случайного ключа, который используется только один раз, зашифрованный текст может быть преобразован в любой открытый текст той же длины, и все они одинаково вероятны. Таким образом, априорная вероятность сообщения M с открытым текстом такая же, как апостериорная вероятность сообщения M с открытым текстом с учетом соответствующего зашифрованного текста.

Математически это выражается как $H (M) = H (M | C) {\ textstyle \ mathrm {H} (M) = \ mathrm {H} (M | C)}$ ${\ textstyle \ mathrm {H} (M) = \ mathrm {H} (M | C)}$ , где $H (M) {\ textstyle \ mathrm {H} (M)}$ ${\ textstyle \ mathrm {H} (M)}$ - это информационная энтропия открытого текста, а $H (M | C) {\ textstyle \ mathrm {H} (M | C)}$ ${\ textstyle \ mathrm {H} (M | C)}$ - это условная энтропия открытого текста с учетом зашифрованного текста C. (Здесь Η - заглавная греческая буква эта.) Это означает, что для каждого сообщения M и соответствующего зашифрованного текста C должен быть по крайней мере один ключ K, который связывает их как одноразовый блокнот. С математической точки зрения это означает $K ≥ C ≥ M {\ textstyle K \ geq C \ geq M}$ ${ \ textstyle К \ geq C \ geq M}$ , где $K, C, M {\ textstyle K, C, M}$ ${\ textstyle K, C, M}$ обозначает различное количество ключей, шифров и сообщений. Другими словами, если вам нужно иметь возможность перейти от любого открытого текста в пространстве сообщений M к любому шифру в зашифрованном пространстве C (шифрование) и от любого шифра в зашифрованном пространстве C к простому тексту в пространстве сообщений M (дешифрование), вам нужно не менее $| M | = | C | {\ displaystyle | M | = | C |}$ ${\ displaystyle | M | = | C |}$ ключи (все ключи используются с равной вероятностью из $1 / | K | {\ displaystyle 1 / | K |}$ ${\ displaystyle 1 / | K |}$ для обеспечения полной секретности).

Другой способ заявить о полной секретности основан на идее, что для всех сообщений $m 1, m 2 {\ displaystyle m_ {1}, m_ {2}}$ ${\ displaystyle m_ {1}, m_ {2}}$ в сообщении пространство M, и для всех шифров c в пространстве C мы имеем $Pr k ⇐ K [E k (m 1) = c] = Pr k ⇐ K [E k (m 2) = c] {\ displaystyle {\ underset {k \ Leftarrow \ mathrm {K}} {\ operatorname {Pr}}} [E_ {k} (m_ {1}) = c] = {\ underset {k \ Leftarrow \ mathrm {K}} { \ operatorname {Pr}}} [E_ {k} (m_ {2}) = c]}$ ${\ displaystyle {\ underset {k \ Leftarrow \ mathrm {K}} {\ operatorname {Pr}}} [E_ {k} (m_ {1}) = c] = {\ underset {k \ Leftarrow \ математика rm {K}} {\ operatorname {Pr}}} [E_ {k} (m_ {2}) = c]}$ , где $Pr {\ textstyle \ operatorname {Pr}}$ ${ \ textstyle \ operatorname {Pr}}$ представляет вероятности, взятые при выборе $k {\ displaystyle k}$ $k$ в ключевом пространстве $K {\ displaystyle \ mathrm {K}}$ $\ Kappa$ по подбрасыванию монеты вероятностный алгоритм, $E {\ displaystyle E}$ $E$ . Совершенная секретность - это сильное понятие криптоаналитической сложности.

Обычные алгоритмы симметричного шифрования используют сложные шаблоны подстановки и транспозиций. Для лучших из них, используемых в настоящее время, неизвестно, может ли существовать криптоаналитическая процедура, которая может обратить (или, что полезно, частично обратить ) эти преобразования, не зная ключа, используемого во время шифрования. Алгоритмы асимметричного шифрования зависят от математических задач, которые считаются сложными для решения, таких как целочисленная факторизация и дискретные логарифмы. Однако нет никаких доказательств того, что эти проблемы являются сложными, и математический прорыв может сделать существующие системы уязвимыми для атак.

При полной секретности, в отличие от обычного симметричного шифрования, OTP невосприимчив даже к атакам методом грубой силы.. Попытка использовать все ключи просто дает все открытые тексты, которые с равной вероятностью будут фактическим открытым текстом. Даже с известным открытым текстом, таким как известная часть сообщения, атаки методом перебора не могут быть использованы, поскольку злоумышленник не может получить какую-либо информацию о частях ключа, необходимых для расшифровки остальной части сообщения. Известные части раскрывают только соответствующие им части ключа, и они соответствуют строго взаимно однозначно ; никакая часть ключа не зависит ни от какой другой части.

Квантовые компьютеры показали Питер Шор и другие, что они намного быстрее решают некоторые из сложных проблем, которые обеспечивают безопасность асимметричного шифрования. Если квантовые компьютеры построены с достаточным количеством кубитов и преодолеют некоторые ограничения на исправление ошибок, некоторые алгоритмы криптографии с открытым ключом станут устаревшими. Однако одноразовые прокладки останутся в безопасности. См. квантовая криптография и постквантовая криптография для дальнейшего обсуждения разветвлений квантовых компьютеров для информационной безопасности.

Проблемы

Несмотря на то, что Шеннон доказал свою безопасность, одноразовый блокнот имеет серьезные недостатки на практике, потому что он требует:

Действительно случайного, в отличие от псевдослучайного, значения одноразового заполнения, что является нетривиальным требованием. См. генератор псевдослучайных чисел и генерация случайных чисел.
- Истинные генераторы случайных чисел существуют, но обычно они медленнее и более специализированы.
Безопасное создание и обмен одноразового блокнота значения, которые должны быть не меньше длины сообщения.
- Безопасность одноразового блокнота настолько же безопасна, насколько и безопасность обмена одноразового блокнота, потому что, если злоумышленник сможет перехватить одноразовое значение блокнота и узнать, что это одноразовый блокнот, блокнот времени, они могут расшифровать сообщение одноразового блокнота.
Тщательная обработка, чтобы убедиться, что значения одноразового блокнота продолжают оставаться в секрете и удаляются правильно, предотвращая любое повторное использование полностью или частично - следовательно, «один -время". См. остаточные данные для обсуждения трудностей с полным стиранием компьютерных носителей.

Одноразовые блокноты решают несколько текущих практических проблем в криптографии. Высококачественные шифры широко доступны, и их безопасность в настоящее время не считается серьезной проблемой. Такие шифры почти всегда проще использовать, чем одноразовые блокноты; объем ключевого материала, который должен быть правильно и надежно сгенерирован, надежно распределен и надежно сохранен, намного меньше, и криптография с открытым ключом решает эту проблему.

Истинная случайность

Сложно генерировать высококачественные случайные числа. Функции генерации случайных чисел в большинстве библиотек языка программирования не подходят для использования в криптографии. Даже те генераторы, которые подходят для обычного криптографического использования, включая / dev / random и многие аппаратные генераторы случайных чисел, могут в некоторой степени использовать криптографические функции, безопасность которых не была доказана. Примером того, как можно достичь истинной случайности, является измерение радиоактивных выбросов.

. В частности, одноразовое использование абсолютно необходимо. Если одноразовый блокнот используется только дважды, простые математические операции могут уменьшить его до шифрас работающим ключом. Если оба открытых текста написаны на естественном языке (например, на английском или английском), то, даже если оба являются секретными, каждый имеет очень высокую вероятность восстановления с помощью эвристического криптоанализа, с возможным несколькими неясностей. Конечно, более длинное сообщение можно разбить только на ту часть, которая перекрывает более короткое сообщение, плюс, возможно, немного больше, завершив слово или фразу. Самый известный эксплойт этой уязвимости произошел с проектом Венона.

Распределение ключей

, поскольку панель, как и все общие секреты, должна передаваться и храниться в безопасности, а блокнот должен быть Часто нет смысла использовать одноразовое заполнение, так как можно просто отправить простой текст вместо блока (так как оба могут быть одинакового размера и должны быть отправлены безопасно). После того, как очень длинный блокнот был их отправлен (например, компьютерный диск, заполненный случайными данными), его можно использовать для множества будущих сообщений, пока сумма размеров не станет равной размеру блокнота. Квантовое распределение ключей также предлагает решение этой проблемы, предполагая отказоустойчивых квантовых компьютеров.

Распространение очень длинных одноразовых клавишных клавиш неудобно и обычно представляет значительный риск для безопасности. Блокнот, по сути, является ключом шифрования, но в отличие от ключей для современного шифрования, он должен быть очень длинным, и его слишком сложно запомнить людям. Носители данных, такие как флэш-накопители, DVD-R или персональные цифровые аудиоплееры, можно использовать для переноски очень большого одноразового блокнота с места на место. не вызывающим подозрений способом, но даже в этом случае использования внедрения планшета является обузой по сравнению с протоколами согласования ключей современной криптосистемы с открытым ключом, и такие носители не могут быть надежно удалены любым способом, кроме использования физического уничтожения (например, сжигание). DVD-R объемом 4,7 ГБ, заполненный данными с одноразовой записью, если его измельчить на частицы размером 1 мм (0,0016 кв. Дюйма), останется более 4 мегабит (правда, трудно восстановить, но не исключено.) данные о каждой частице. Кроме того, риск компрометации во время транспортировки (например, карманник >, копирует и заменяет блокнот) на практике, вероятно, будет намного больше, чем вероятность взлома для такого шифра, как AES. Наконец, усилия, необходимые для управления инструментами одногоразового блокнота , очень плохо масштабируются для больших сетей коммуникантов - количество требуемых блокнотов увеличивается как квадрат числа пользователей, свободно обменивающихся сообщениями. Для связи только между двумя людьми или для топологии сети «звезда» это не проблема.

Материал ключа должен быть надежно утилизирован после использования, чтобы надежно, что материал ключа никогда не будет повторно использован, и для защиты отправленных сообщений. Сообщение может быть более уязвим для судебного восстановления, чем временный открытый текст, который он защищает (см), ключевой материал должен транспортироваться от одной конечной точки к другой и сохраняться до тех пор, пока сообщение не будет отправлено или получено. остаточность данных ).

Аутентификация

Традиционно используемые одноразовые планшеты не обеспечивают аутентификации сообщений, отсутствие которой может представлять угрозы безопасности в реальных системах. Например, злоумышленник, который знает, что сообщение содержит «встретимся с Джейн и мной завтра в три тридцать вечера», может получить соответствующие коды блокнота непосредственно из двух известных элементов (зашифрованного текста и известного открытого текста). Затем злоумышленник может заменить этот текст другим текстом такой же длины, например, «тридцать встреча отменяется, оставайтесь дома». Знание злоумышленником одноразового блокнота ограничено этой длиной байта, которая должна поддерживаться, чтобы любое другое содержимое оставалось действительным. Это немного отличается от податливости, где не обязательно, что открытый текст известен. См. Также атака с использованием программного шифра.

Стандартные методы предотвращения этого, такие как использование кода аутентификации сообщения, могут быть вместе с системой одноразовых блокнотов для предотвращения таких атак, которые могут классические методы, такие как переменная длина набивка и русское совокупление, но всем им не хватает идеальной защиты, которая имеет сам одноразовый пароль. Универсальное хеширование обеспечивает возможность аутентификации сообщений до произвольной границы безопасности (т. Е. Для любого p>0 достаточно большой хэш гарантирует, что даже неограниченная вероятность успешного подделки злоумышленника меньше p), но при этом используются дополнительные случайные данные с планшета, что исключает возможность реализации системы без компьютера.

Использует

Применимость

Несмотря на свои проблемы, одноразовый блокнот накопленный практический интерес. В некоторых ситуациях гипотетического шпионажа одноразовый блокнот может быть полезен, потому что его можно вычислить вручную, используя только карандаш и бумагу. Действительно, почти все высококачественные шифры совершенно непрактичны без компьютеров. Однако в современном мире компьютеры (например, наличие встроенных в персональные электронные устройства, такие как мобильные телефоны ) распространены, что компьютер, подходящего для выполнения обычного шифрования (например, телефон, который может работать скрытно), криптографическое программное обеспечение) обычно не вызывает подозрений.

Одноразовый блокнот - это оптимальная криптосистема с теоретически совершенной секретностью.
Одноразовый блокнот - один из наиболее эффективных методов шифрования, когда одна или обе стороны должны выполнять всю работу вручную, без помощи компьютера. Это сделало его важным докомпьютерную эпоху, и, вероятно, оно все еще может быть полезно в ситуациях, когда владение компьютером незаконным или инкриминирующим, или когда надежные компьютеры недоступны.
Одноразовые планшеты практичны в ситуации, когда две стороны в защищенной среде должны иметь возможность разойтись друг с другом и обмениваться данными из двух отдельных безопасных сред с полной секретностью.
Одноразовый блокнот может сообщить в супериншифровании.
Алгоритм, наиболее часто связанным с квантовым распределением ключей, - это одноразовый блокнот.
Одноразовый блокнот имитируется потоковыми шифрами.
Одноразовый блокнот может быть частью введения в криптографию.

Историческое использование

Одноразовые блокноты использовались в обстоятельствах с начала 1900-х годов. В 1923 году он использовался для дипломатической связи в дипломатическом учреждении Германии. Дипломатическая служба Веймарской республики начала использовать этот метод примерно в 1920 году. Взлом плохой советской криптографии британским с сообщениями, обнародованными по политическим причинам в двух случаях, произошедшие в 1920-х годах (дело ARCOS ), по-предположительно, побудили Советский Союз использовать одноразовые блокноты для некоторых целей примерно к 1930 году. Известно, что шпионы КГБ также использовали карандаш а совсем недавно бумажные одноразовые блокноты. Примеры включают полковника Рудольфа Абеля, который был арестован и осужден в Нью-Йорке в 1950-х годах, и «Крогерс» (т. Е. Моррис и Лона Коэн ), которые были арестованы и осуждены за шпионаж в Соединенном Королевстве в начале 1960-х годов. Оба были обнаружены физическими одноразовыми блокнотами.

Ряд стран использовали системы одноразовых блокнотов для своего конфиденциального трафика. Лео Маркс сообщает, что британский руководитель специальных операций использовал одноразовые планшеты во время Второй мировой войны для кодирования трафика между своими офисами. Одноразовые планшеты для использования с заграничными агентами были представлены в конце войны. Несколько британских одноразовых ленточных шифровальных машин включают Rockex и Noreen. Немецкая Stasi Sprach Machine также могла использовать одноразовую ленту, которую Восточная Германия, Россия и даже Куба использовали для отправки зашифрованных сообщений агентам.

Вторая мировая война voice scrambler SIGSALY также был форма одноразовой системы. Он добавил шум к сигналу на одном конце и удалил его на другом конце. Шум распределялся по концам каналов в виде больших пластинок шеллака, изготовленных уникальными парами. Возникли проблемы как с синхронизацией запуска, так и с долговременным фазовым рейфом, которые были решены до той системы, как систему можно было использовать.

Горячая линия между Москвой и Вашингтоном, созданная в 1963 году после Кубинского ракетного кризиса в 1963 году, использовалась телепринтеры защищены коммерческой одноразовой ленточной системой. Каждая страна подготовила магнитные ленты, для кодирования своих сообщений, и доставила их через свое посольство в другой стране. Уникальным преимуществом OTP в этом случае было то, что ни одна из стран не раскрывать конфиденциальные методы шифрования.

Армейский спецназ США использовал одноразовые колодки во Вьетнаме. Используя азбуку Морзе с одноразовыми блокнотами и непрерывную радиопередачу (носитель кода Морзе), они добились как секретности, так и надежности связи.

Во время вторжения на Гренаду в 1983 году, США Силы представили запас пар одноразовых блокнотов на кубинском складе.

С 1988 года Африканский национальный конгресс (АНК) использовал дисковые одноразовые блокноты как часть системы безопасной связи между лидерами АНК за пределами Южной Африки Оперативными средствами внутри страны в операции «Вула», успешной попыткой создания сети сопротивления внутри Южной Африки. Случайные числа на диске после использования стирались. Стюардесса бельгийской авиакомпании выступила курьером, чтобы доставить подкладные диски. Требовалось регулярное пополнение запасов новых дисков, поскольку они довольно быстро израсходовались. Одна проблема с системой заключалась в том, что ее нельзя использовать для безопасного хранения данных. Позже Вула добавил поточный шифр с книжными кодами для решения этой проблемы.

Связанное понятие - одноразовый код - сигнал, использованный только один раз; например, «Альфа» для «миссия завершена», «Браво» для «миссия не выполнена» или даже «Факел» для «вторжение союзников во французскую Северную Северную Африку » не могут быть «расшифрованы» в любом разумном смысле слово. Для понимания требуется дополнительная информация, часто «глубина» повторения, или некоторый анализ трафика. Такие стратегии (хотя и часто используются настоящими оперативниками и тренерами по бейсболу ) ни в каком значительном смысле не являются одноразовым криптографическим блокнотом.

АНБ

По крайней мере, в 1970-е годы Агентство национальной безопасности США (АНБ) производило множество ручных одноразовых блокнотов, как общего назначения, так и заведомо, с В 1972 финансовом году было произведено 86 000 одноразовых блокнотов. Блокноты специального назначения были изготовлены для того, что АНБ называло «проформными» системами, где «основная структура, форма или формат каждого текста, сообщения идентичны или почти идентичны; одна и та же информация, сообщение за сообщением, должно быть указано в одном и том же порядке. Примеры включаются сообщения о ядерном запуске и отчеты о радиопеленгации (COMUS).

Планшеты общего назначения изготовлены в нескольких форматах, простой список случайных букв (DIANA) или просто чисел (CALYPSO), крошечные планшеты для тайных агентов (MICKEY MOUSE) и планшеты, предназначенные для более быстрого кодирования коротких сообщений за счет плотности плотности. В одном примере, ORION, с одной стороны было 50 строк алфавитов открытого текста, а с другой - соответствующие случайные буквы зашифрованного текста. Положив лист на кусок копировальной бумаги лицевой стороной вверх, можно было бы обвести одну букву в каждом ряду с одной стороны, а соответствующую букву с другой стороны обвести копировальной бумагой.. Таким образом, один лист ORION может быстро закодировать или декодировать сообщение длиной до 50 символов. Производство блокнотов ORION требовало совмещений сторонних производителей, поэтому NSA переключилось на другой формат блокнотов, MEDEA, с 25 рядом парных алфавитов и случайных символов. (См. Commons: Категория: Одноразовые блокноты АНБ для иллюстраций.)

АНБ также создало автоматизированные системы для «централизованного штаба подразделений ЦРУ и спецназа, которые могли эффективно использовать множество различных сообщений одноразовых блокнотов. для отдельных держателей блокнотов в полевых условиях ».

Во время Второй мировой войны и в 1950-е годы США широко использовали одноразовые магнитофонные системы. Помимо конфиденциальности, каналы, защищенные одноразовой лентой, непрерывно работают, даже когда не было трафика, таким образом защищая от анализа трафика. В 1955 году АНБ произвело около 1 660 000 рулонов одноразовой ленты. Каждый рулон имел диаметр 8 дюймов, содержал 100 000 знаков, длился 166 минут и стоил 4,55 доллара США. К 1972 году было произведено всего 55 000 рулонов, так как одноразовые ленты были заменены роторными машинами, такими как SIGTOT, а позже электронными устройствами на основе регистров сдвига. АНБ описывает одноразовые ленточные системы, такие как 5-UCO и SIGTOT, как используемые для разведывательного трафика до появления электронного шифра на основе KW-26 в 1957 году.

Эксплойты

В то время как одноразовые блокноты обеспечивают полную секретность при правильном создании и использовании, небольшие ошибки могут привести к успешному криптоанализу:

В 1944–1945 гг. США Служба разведки сигналов армии смогла решить систему одноразовых блокнотов, используемую министерством иностранных дел Германии для трафика высокого уровня под кодовым названием GEE. GEE был небезопасен, потому что колодки не были достаточно случайными - машина, использовавшаяся для их создания, давала предсказуемый результат.
В 1945 году США обнаружили, что Канберра - Москва сообщения шифруются сначала с помощью кодовой книги, а затем с помощью одноразового блокнота. Однако использовался одноразовый блокнот, который использовался Москвой для сообщений Вашингтон, округ Колумбия - Москва. В сочетании с тем фактом, что некоторые из сообщений Канберра – Москва включали известные британские правительственные документы, это позволило взломать некоторые из зашифрованных сообщений.
Одноразовые блокноты использовались советским шпионажем. агентства для скрытой связи с агентами и контроллерами агентов. Анализ показал, что эти блокноты были созданы машинистками на настоящих пишущих машинках. Этот метод, конечно, не является действительно случайным, поскольку он делает некоторые удобные ключевые последовательности более вероятными, чем другие, но в целом он оказался эффективным, потому что, хотя человек не будет создавать действительно случайные последовательности, он в равной степени не следует тем же самым структурированным математическим правилам. что машина тоже, и каждый человек генерирует шифры по-своему, что затрудняет атаку любого сообщения. Без копий используемого ключевого материала только некоторые недостатки в методе генерации или повторного использования ключей давали большие надежды на криптоанализ. Начиная с конца 1940-х годов, разведывательные службы США и Великобритании смогли прервать часть советского одноразового трафика в Москву во время Второй мировой войны в результате ошибок, допущенных при создании и распространении ключевого материала. Одно из предположений состоит в том, что персонал Московского центра был несколько поспешен из-за присутствия немецких войск недалеко от Москвы в конце 1941 - начале 1942 годов, и за это время они изготовили более одной копии одного и того же ключевого материала. Эта работа, рассчитанная на десятилетия, наконец получила кодовое название VENONA (ранее называлось НЕВЕСТА); он предоставил значительный объем информации, в том числе немногочисленный о некоторых советских атомных шпионах. Даже в этом случае только небольшой процент перехваченных сообщений был полностью или частично расшифрован (несколько тысяч из нескольких сотен тысяч).
В одноразовых ленточных системах, используемых в США, использовались электромеханические микшеры для объединения битов. из сообщения и разовой ленты. Эти смесители излучали значительную электромагнитную энергию, которая могла быть уловлена противником на некотором расстоянии от шифровального оборудования. Этот эффект, впервые замеченный Bell Labs во время Второй мировой войны, может позволить перехват и восстановление открытого текста передаваемых сообщений, уязвимость под кодовым названием Tempest.

См. Также

Примечания

Ссылки

Дополнительная литература

Внешние ссылки

Подробное описание и история одноразового блокнота с примерами и изображениями на Шифровальные машины и криптология
Глоссарий FreeS/WAN с обсуждением слабых мест OTP