Клептография - это исследование безопасной и подсознательной кражи информации. Этот термин был введен Адамом Янгом и Моти Юнгом в Proceedings of Advances in Cryptology - Crypto '96. Клептография - это подраздел криптовирологии и является естественным продолжением теории подсознательных каналов, впервые предложенной Гасом Симмонсом в Национальной лаборатории Сандиа. Клептографический бэкдор является синонимом асимметричного бэкдора. Клептография включает в себя безопасную и скрытую связь через криптосистемы и криптографические протоколы. Это напоминает, но не то же самое, что стеганография, которая изучает скрытые коммуникации с помощью графики, видео, цифровых аудиоданных и т. Д.
Клептографическая атака - это атака, при которой используется асимметричная криптография для реализации криптографического бэкдора. Например, одной из таких атак может быть тонкое изменение способа генерации пар открытого и закрытого ключей криптосистемой, чтобы закрытый ключ мог быть получен из открытого ключа с использованием закрытого ключа злоумышленника. При хорошо спланированной атаке выходные данные зараженной криптосистемы будут вычислительно неотличимы от выходных данных соответствующей незараженной криптосистемы. Если зараженная криптосистема представляет собой реализацию черного ящика, такую как аппаратный модуль безопасности, смарт-карта или Trusted Platform Module, успешная атака могла остаться незамеченной.
A обратный инжиниринг может обнаружить бэкдор, вставленный злоумышленником, а если это симметричный бэкдор, то даже использовать его сам. Однако по определению клептографический бэкдор асимметричен, и обратный инженер не может его использовать. Для клептографической атаки (асимметричный бэкдор) для использования бэкдора требуется закрытый ключ, известный только злоумышленнику. В этом случае, даже если бы реверс-инженер был хорошо профинансирован и получил полное представление о бэкдоре, для него было бы бесполезно извлекать открытый текст без закрытого ключа злоумышленника.
Клептографические атаки может быть сконструирован как криптотроян, который заражает криптосистему и открывает бэкдор для злоумышленника, или может быть реализован производителем криптосистемы. Атака не обязательно должна полностью раскрывать выходные данные криптосистемы; более сложная техника атаки может чередоваться между производством незараженных выходных данных и незащищенных данных при наличии бэкдора.
Клептографические атаки были разработаны для генерации ключей RSA, Обмен ключами Диффи – Хеллмана, алгоритм цифровой подписи и другие криптографические алгоритмы и протоколы. SSL, SSH и IPsec протоколы уязвимы для клептографических атак. В каждом случае злоумышленник может скомпрометировать конкретный криптографический алгоритм или протокол, проверив информацию, в которой закодирована информация о бэкдоре (например, открытый ключ, цифровая подпись, сообщения обмена ключами и т. Д.), А затем используя логика асимметричного бэкдора с использованием их секретного ключа (обычно закрытого ключа).
А. Джулс и Дж. Гуахардо предложили метод (KEGVER), с помощью которого третья сторона может проверить генерацию ключа RSA. Это задумано как форма распределенной генерации ключей, в которой секретный ключ известен только самому черному ящику. Это гарантирует, что процесс генерации ключа не был изменен и закрытый ключ не может быть воспроизведен с помощью клептографической атаки.
Четыре практических примера клептографических атак (включая упрощенную SETUP-атаку против RSA) можно найти в JCrypTool 1.0, платформенно-независимой версии проекта CrypTool с открытым исходным кодом. Демонстрация предотвращения клептографических атак с помощью метода KEGVER также реализована в JCrypTool.
Считается, что Dual_EC_DRBG криптографический генератор псевдослучайных чисел из NIST SP 800-90A содержит клептографический бэкдор. Dual_EC_DRBG использует криптографию с эллиптической кривой, и считается, что NSA хранит закрытый ключ, который вместе с ошибками смещения в Dual_EC_DRBG позволяет NSA расшифровывать трафик SSL между компьютерами, используя, например, Dual_EC_DRBG. Алгебраическая природа атаки соответствует структуре повторяющейся клептограммы Dlog в работе Янга и Юнга.