Знаменитый криптограф предупредил, что усложнение компьютерных чипов повышает вероятность использования тайных багов для взлома систем шифрования.
В опубликованном в пятницу заявлении профессора израильского Института естественных наук им. Вейцманна Ади Шамира (Adi Shamir), которому принадлежит буква S в алгоритме шифрования с открытым ключом RSA, говорится: «С увеличением размера слова и усложнением алгоритмов оптимизации блоков умножения в современных микропроцессорах возрастает вероятность того, что они могут содержать мелкие необнаруженные ошибки. Примером служит случайное выявление ошибки деления в процессоре Pentium в 1990-е годы и недавнее обнаружение ошибки умножения в программе Microsoft Excel».
Шамир предупреждает, что если какая-то разведывательная организация найдет такую ошибку, а может быть, даже тайно спланирует ее, то любые схемы шифрования с открытым ключом на любом компьютере можно будет «элементарно взломать по любому выбранному сообщению».
Замечание о разведывательных агентствах, влияющих на конструкцию чипов, может показаться признаком паранойи. Однако вопросы об источниках обнаруженной недавно ошибки в алгоритме генерации случайных чисел, поддерживаемом Национальным агентством безопасности и Национальным институтом стандартов и технологии, поставленные такими уважаемыми криптографами, как Брюс Шнайер, не говоря уже об общем повышении изощренности кибератак, делают сомнения менее основательными.
Шамир сравнивает такую «атаку на основе бага» с описанным в 1996 году методом атаки на основе неисправности, по которому для изучения электрического устройства можно использовать, например, внезапный пик потребляемой мощности. Однако атака на основе бага несет в себе гораздо больший теоретический риск, так как позволяет атаковать миллионы ПК одновременно.
Если крупный производитель процессоров, такой как Intel, возможно, научился на прежних ошибках, то более мелкие компании могут оказаться не столь педантичными. А проблема грозит выйти за рамки ПК, перекинувшись в область сотовых телефонов, которые тоже могут опираться на дефектный чип, утверждает Шамир.
«Как мы продемонстрировали в этой записке, даже один (непреднамеренный) баг в любом из этих умножителей может привести к гигантской катастрофе для безопасности, которой способна тайно воспользоваться серьезная разведывательная организация», — заключает Шамир. Вей Дей (Wei Dai), один из авторов кода аутентификации сообщений VMAC и автор бесплатной библиотеки классов криптографических алгоритмов Crypto++ для языка С++, говорит, что существуют способы защиты от арифметических ошибок ЦП и что «реализация RSA в Crypto++ уже защищена от подобных атак…».
И все же светила криптографии не каждый день выступают с подобными предупреждениями.
Ладно, не доказали. Но мы работаем над этим