クレプトグラフィー

クレプトグラフィー^[1]（英語: kleptography）とは、情報を安全かつ潜在的に盗む研究である。アダム・ヤング(Adam Young)とモチ・ユング（英語版）(Moti Yung)がAdvances in Cryptology - Crypto '96の論文集で紹介した^[2]。

クレプトグラフィーは暗号ウイルス学（英語版）のサブフィールドであり、グスターヴァス・シモンズ（英語版）がサンディア国立研究所に在籍中に開拓したサブリミナルチャネル（英語版）の理論を自然に拡張したものである^[3][4][5]。クレプトグラフィー的なバックドアは、非対称バックドアと同義である。クレプトグラフィーには、暗号システムと暗号プロトコルによる、安全で秘密の通信が含まれる。これは、画像、映像、デジタル音声データなどによる秘密通信を研究するステガノグラフィーを彷彿とさせるが、同じではない。

クレプトグラフィー的攻撃

意味

クレプトグラフィー的攻撃(kleptographic attack)は、非対称暗号を使用して暗号化バックドアを実装する攻撃である^[6]。例えば、そのような攻撃の一つに、公開鍵と秘密鍵のペアが暗号システムによってどのように生成されるかを微妙に変更し、攻撃者の秘密鍵を使用して秘密鍵を公開鍵から導出できるようにすることがある。うまく設計された攻撃では、感染した暗号システムの出力は、対応する感染していない暗号システムの出力と、計算上区別できない（英語版）^[7][8]。感染した暗号システムがハードウェアセキュリティモジュール（英語版）、スマートカード、トラステッドプラットフォームモジュールなどのブラックボックス実装である場合、攻撃の成功に完全に気づかれなくなる可能性がある。

リバースエンジニアは、攻撃者によって挿入されたバックドアを明らかにすることができ、対称型バックドアである場合は、自分自身で使用することもできる^[9]。しかし、定義上、クレプトグラフィー的バックドアは非対称であり、リバースエンジニアはそれを使用することができない。クレプトグラフィー的攻撃（非対称バックドア）は、バックドアを使用するために攻撃者にしか知られていない秘密鍵を必要とする。この場合、リバースエンジニアが十分に資金を供給され、バックドアに関する完全な知識を得たとしても、攻撃者の秘密鍵なしで平文を抽出しようとすることは無意味なままである^[10]。

構築

クレプトグラフィー的攻撃は、暗号システムに感染し、攻撃者のためのバックドアを開くトロイの木馬として構築することも、暗号システムの製造元によって実装することもできる。この攻撃は、必ずしも暗号システムの出力全体を明らかにする必要はない。より複雑な攻撃手法では、バックドアが存在する状態で、感染していない出力と安全でないデータを交互に生成する可能性がある^[11]。

設計

クレプトグラフィー的攻撃は、RSA鍵生成、ディフィー・ヘルマン鍵共有、デジタル署名アルゴリズム、およびその他の暗号アルゴリズムとプロトコル用に設計されている^[11]。SSL、SSH、IPsecプロトコルは、クレプトグラフィー的攻撃に対して脆弱である^[12]。いずれの場合も、攻撃者は、バックドア情報がエンコードされている情報（公開鍵、デジタル署名、鍵交換メッセージなど）を検査して特定の暗号アルゴリズムまたはプロトコルを妥協することができる。秘密鍵（通常は私有鍵）を使用して非対称バックドアのロジックを利用する。

A. JuelsとJ. Guajardo^[13]は、第三者がRSA鍵の生成を検証する方法(KEGVER)を提案した。これは、秘密鍵がブラックボックス自体にしか知られていない分散鍵生成の一形態として考案されている。これにより、鍵生成プロセスが変更されず、秘密鍵が盗聴攻撃によって再現されないことが保証される^[13][14]。

例

クレプトグラフィー的攻撃（RSAに対する単純化されたSETUP攻撃を含む）の4つの実際の例は、オープンソースのCrypToolプロジェクトのプラットフォームに依存しないバージョンのJCrypTool 1.0^[15]にある^[16]。JCrypToolでは 、KEGVERメソッドによるクレプトグラフィー的攻撃の防止のデモンストレーションも実装されている。

NIST SP 800-90A（英語版）の暗号論的擬似乱数生成器Dual_EC_DRBG（英語版）には、クレプトグラフィー的バックドアが含まれていると考えられている。Dual_EC_DRBGは楕円曲線暗号を利用していて、NSAは秘密鍵を保持していると考えられており、Dual_EC_DRBGのバイアスの欠陥とともに、NSAは例えばDual_EC_DRBGを使用してコンピュータ間のSSLトラフィックを解読することができる^[17]。

出典

1. “クレプトグラフィー 暗号に対する暗号利用 | 文献情報 | J-GLOBAL 科学技術総合リンクセンター”. 科学技術振興機構. 2017年8月3日閲覧。
2. A. Young, M. Yung, "The Dark Side of Black-Box Cryptography, or: Should we trust Capstone?" In Proceedings of Crypto '96, Neal Koblitz (Ed.), Springer-Verlag, pages 89–103, 1996.
3. G. J. Simmons, "The Prisoners' Problem and the Subliminal Channel," In Proceedings of Crypto '83, D. Chaum (Ed.), pages 51–67, Plenum Press, 1984.
4. G. J. Simmons, "The Subliminal Channel and Digital Signatures," In Proceedings of Eurocrypt '84, T. Beth, N. Cot, I. Ingemarsson (Eds.), pages 364-378, Springer-Verlag, 1985.
5. G. J. Simmons, "Subliminal Communication is Easy Using the DSA," In proceedings of Eurocrypt '93, T. Helleseth (Ed.), pages 218-232, Springer-Verlag, 1993.
6. “The Dark Side of Cryptography: Kleptography in Black-Box Implementations”. Infosecurity Magazine. Infosecurity Magazine (2013年2月20日). 2014年3月18日閲覧。
7. “Cryptovirology FAQ”. Cryptovirology.com (2006年). 2014年3月18日閲覧。
8. “An Overview of Cryptographic Backdoors”. academia.edu (2016年). 2016年9月22日閲覧。
9. Esslinger, Bernhard; Vacek, Patrick, 2013, The Dark Side of Cryptography, "... manipulation of this sort could be revealed through reverse engineering ..."
10. Esslinger, Bernhard; Vacek, Patrick, 2013, The Dark Side of Cryptography, "... sophisticated kleptographic attacks can indeed prevent [...] discovery."
11. A. Young, M. Yung, Malicious Cryptography: Exposing Cryptovirology, John Wiley & Sons, 2004.
12. http://kleptografia.im.pwr.wroc.pl/ SSL attack by Filip Zagórski, and prof. Mirosław Kutyłowski
13. A. Juels, J. Guajardo, "RSA Key Generation with Verifiable Randomness", in: D. Naccache, P. Pallier (Eds.), Public Key Cryptography: 4th International Workshop on Practice and Theory in Public Key Cryptosystems, Springer, 2002.
14. A. Juels, J. Guajardo, "RSA Key Generation with Verifiable Randomness" (Extended version)
15. https://github.com/jcryptool JCrypTool project website
16. http://www.kes.info/archiv/online/10-4-006.htm B. Esslinger, Die dunkle Seite der Kryptografie -- Kleptografie bei Black-Box-Implementierungen, <kes>, #4 / 2010, page 6 ff. (German language only)
17. Green, Matthew (2016年9月18日). “The Many Flaws of Dual_EC_DRBG”. 2016年11月19日閲覧。