Timp de 65 de ani, majoritatea analizelor teoretice privind informaţiile din cadrul sistemelor criptografice au făcut o presupunere matematică care se dovedeşte a fi greşită. Teoria informaţiilor este disciplina care ne-a oferit comunicarea digitală şi compresia digitală.
De asemenea, ea stabileşte condiţiile prin care criptografia poate fi susţinută pe o baza matematică sigură. Din anul 1948, atunci când a apărut pentru prima dată lucrarea care a creat teoria informației, majoritatea analizelor teoretice ale schemelor de securitate au depins de o presupunere comună.
Din păcate, un grup de cercetători, din cadrul MIT şi National University of Ireland (NUI) din Maynooth, a demonstrat, într-o lucrare prezentată la un simpozion internaţional desfăşurat recent pe tema teoriei informației (vezi PDF), că această ipoteză este una falsă. Concluziile lucrării au fost prezentate în această toamnă la conferinţa Asilomar despre semnale şi sisteme, unde aceeaşi echipă a arătat că, în consecinţă, cititoarele de carduri wireless, utilizate în mai multe sisteme de intrare fără cheie, nu sunt atât de sigure precum s-a crezut anterior.
În teoria informației, conceptul de informaţie este strâns legat cu cel de entropie. Două fişiere digitale ar putea conţine aceeaşi cantitate de informaţii, dar în cazul în care unul este mai scurt, acesta are o entropie mai mare. Dacă un algoritm de compresie, de tipul celui utilizat în cadrul programelor WinZip sau Gzip, a funcţionat perfect, fişierul comprimat ar trebui să aibă entropia maxim posibilă. Aceasta înseamnă că el ar conţine acelaşi număr de 0 şi 1, iar modul în care acestea au fost distribuite este total imprevizibil. În limbajul de specialitate, se spune că acesta ar fi perfect omogen.
În mod obişnuit, analizele teoretice ale informaţiilor, din cadrul sistemelor sigure, au presupus că fişierele sursă sunt perfect omogene. În practică, acestea sunt foarte rar omogene, dar sunt destul de aproape de a fi omogene, astfel încât ele au stat la baza analizelor matematice standard.
„Noi am crezut că acestea pot constitui o premisă de bază pe care toată lumea o poate utiliza în mod corect şi rezonabil", spune Ken Duffy, unul dintre cercetătorii de la NUI. „Acum se dovedeşte că ea nu este corectă". În ambele lucrări, Duffy a colaborat cu studentul său Mark Christiansen, iar Muriel Médard, profesor de inginerie electrică la MIT, a colaborat cu studentul ei Flávio du Pin Calmon.
Problema, explică Médard, este că analizele teoretice ale informaţiilor, din cadrul sistemelor sigure, au utilizat, în general, o definiţie greşită a noţiunii de entropie. Ele s-au bazat pe aşa-numita entropie Shannon, numită astfel după fondatorul teoriei informației, Claude Shannon, care a predat la MIT din anul 1956 până în anul 1978.
Entropia Shannon se bazează pe valoarea medie a probabilităţii ca un anumit şir de biţi să apară într-un tip special de fişiere digitale. În cadrul unui sistem de comunicaţii de uz general, acesta este tipul corect de entropie ce trebuie utilizată, deoarece caracteristicile traficului de date va converge rapid către valorile mediilor statistice. Deşi studiul fundamental al lui Shannon, din anul 1948, are ca subiect criptografia, acesta a fost, în primul rând, utilizat în comunicare şi s-a folosit aceeaşi măsură a entropiei în ambele cazuri.
Problema este că în criptografie, motivul real de îngrijorare nu este reprezentat de situaţia medie, ci de cel mai rău caz ce poate apare. Un spărgător de coduri are nevoie de o singură corelație exactă între versiunea criptată și cea necriptată a unui fișier, în scopul de a putea să deducă, în continuare, corelații suplimentare. În anii ce au urmat după studiul elaborat de Shannon, informaticienii au utilizat şi alte noțiuni de entropie, dintre care unele acordă o mai mare importanţă rezultatelor improbabile. Acestea, se pare, oferă o imagine mai exactă a problemei ce apare în cazul metodelor de spargere a codurilor.
Atunci când Médard, Duffy şi studenţii lor au utilizat aceste măsurători alternative ale entropiei, ei au descoperit că mici abateri de la omogenitatea perfectă din fişierele sursă, care păreau banale considerând valoarea entropiei Shannon, devin brusc mult mai mari. Rezultatul este că se pot obţine corelațiile dintre versiunea criptată și cea necriptată a unui fișier mult mai repede decât s-a anticipat anterior.
„Este încă foarte greu de obţinut, dar este mai uşor decât ne-am gândit", spune Duffy. O consecinţă a acestei vulnerabilităţi este că un atacator care, pur şi simplu, s-a bazat pe frecvenţa cu care apare cuvântul scrisoare în cadrul cuvintelor din limba engleză ar putea ghici, în mod probabil, parola utilizată de un utilizator mult mai repede decât s-a crezut anterior. „Atacatorii sistemelor informatice folosesc adeseori procesoarele grafice pentru a creşte viteza de prelucrare a datelor", spune Duffy. „Aţi fi surprinşi de cât de repede puteţi afla anumite informaţii".
În studiul prezentat în cadrul conferinţei Asilomar, cercetătorii aplică acelaşi tip de analize matematice, dar într-un mod uşor diferit. Ei au considerat cazul în care atacatorul poate realiza, de la distanţă, o măsurătoare „zgomotoasă" a parolei înregistrate pe un card de credit, cu ajutorul unui cip încorporat sau a unei chei de card utilizate în cadrul unui sistem de intrare fără cheie.
Noţiunea de „zgomot" reprezintă un termen ingineresc pentru orice produce o degradare a unui semnal electromagnetic, cum ar fi obstacolele fizice, reflexii sau alte interferențe electromagnetice. Zgomotul se prezintă sub o mulțime de culori: zgomotul alb obişnuit, zgomotul roz, zgomotul negru și sub forma a mai multor tipuri neobişnuite de zgomot, cum ar fi zgomotul descris de funcţia putere sau zgomotul Poisson.
În acest caz, mai degrabă decât prin utilizarea unor informaţii, cunoscute anterioare, privind frecvenţa statistică a simbolurilor utilizate într-o parolă, atacatorul are cunoştinţe despre caracteristicile probabile de zgomot ale mediului: zgomotul de fază cu un set de parametri este mai probabil să fie cunoscut decât zgomotul de fază cu un alt set de parametri, care la rândul său este mai probabil decât zgomotul Brownian şi aşa mai departe. Înarmat cu aceste date statistice, un atacator ar putea deduce parola înregistrată pe un card mult mai rapid decât s-a crezut anterior.
„Unele aproximări pe care le facem, în mod obişnuit, au un sens perfect în contextul comunicării tradiţionale", spune Matthieu Bloch, un profesor asistent de inginerie electrică şi ingineria calculatoarelor la Georgia Institute of Technology. „Tu îţi proiectezi sistemul într-un anumit context şi apoi îl testezi. Dar în ceea ce priveşte criptografia, trebuie să încercaţi să dovediţi că acesta este sigur în faţa unor acţiuni pe care nu le puteţi testa. În consecinţă, trebuie să fi sigur că ipotezele de funcţionare au sens încă de la începutul realizării acestuia. Şi cred că oamenii nu se întorc, prea des, la ipotezele ce au stat la baza unui sistem".
Bloch se îndoieşte că eşecul unei ipoteze de omogenitate înseamnă că sistemele criptografice, utilizate pe scară largă în prezent, sunt fundamental nesigure. „Părerea mea este că aceasta va arăta că unele dintre ele sunt mai puţin sigure decât am sperat, dar, în acest studiu, noi am indicat, de asemenea, o modalitate de a le remedia" spune el. El le spune cercetătorilor ce lucrează în cadrul MIT şi NUI: „este foarte important să spunem: hei, noi trebuie să fim atenţi". Dar se oferă, de asemenea, o metodologie pentru a se merge înapoi și a reanaliza toate aceste lucruri.
Traducere de Cristian-George Podariu după encryption-is-less-secure-than-we-thought
