|
Мессенджер
|
Сквозное
шифрование
|
Временные ключи
шифрования
|
Открытый
исходный код
|
Возможность
прямого соединения собеседников
|
|
WhatsApp
|
Да
|
Да
|
Нет
|
Нет
|
|
Viber
|
Да
|
Да
|
Нет
|
Нет
|
|
Signal
|
Да
|
Да
|
Да
|
Нет
|
|
Telegram
|
Да
|
Да
|
Да
|
Нет
|
|
Antox
|
Да
|
Да
|
Да
|
Да
|
Хотелось бы отдельно отметить тот факт, что за время
написания данной работы самые распространенные мессенджеры в России WhatsApp и Viber по информации
представленной на их официальных сайтах получили сквозное шифрование, которого
раньше не было.
2.2 Подробный
анализ приложений
.2.1 WhatsApp
По разным оценка является самым распространенным мобильным
приложения для обмена данными по сети Интернет в мире.31-го марта 2016-го года,
во время написания данной работы, это приложение обзавелось сквозным
шифрованием, что позволяет причислить его к защищенным, хотя изначально оно
себя так не позиционировало. Единственным недостатком остается то, что исходные
коды этого мессенджера закрыты, и оценить надежность шифрования не
представляется возможным. Тем не менее, возможно оценить организацию этого шифрования,
которая подробно и ясно изложена в документации [8].
Следует добавить, что реализацией шифрования в мессенджере WhatsApp является некоммерческая
организация разработчиков открытого программного обеспечения Open Whisper Systems, которой принадлежит
защищенный мессенджер Signal, рассмотренный ниже. Эта организация также
известна тем, что все её продукты рекомендовал Эдвард Сноуден [9].
Согласно документации, в основу шифрования лёг Signal Protocol - протокол, который
используется в одноименном мессенджере. Все ключи вычисляются с помощью
эллиптической кривой Curve25519. При установке генерируются Identity Key Pair - долгосрочная пара
ключей, Signed Pre Key - среднесрочная пара ключей, заверенная Identity Key Pair, и One-Time Pre Keys - партия одноразовых
ключей. При регистрации пользователя на сервере отправляются публичные части
сгенерированных ключей. Секретные ключи остаются только на устройстве.
Для связи двух пользователей по защищенному каналу в начале
необходимо установить сессию. После установки сессии нет необходимости её
переустанавливать. Это нужно только в случае переустановки приложения или при
смене мобильного устройства. При установке сессии происходит следующая
последовательность действий:
) Инициатор запрашивает Identity Key
Pair, Signed Pre Key и One-Time Pre Key получателя сообщений.
2) Сервер высылает запрошенные ключи, при этом удаляя One-Time Pre Key, так как ключи такого
типа одноразовые (если One-Time Pre Keys получателя были
израсходованы и не пополнены, то One-Time Pre Key возвращается на сервер).
) Инициатор сохраняет полученные ключи, связывая их с
получателем сообщений: Identity Key как Irecipient, Signed Pre Key как Srecipient и One-Time Pre Key как Orecipient.
) Инициатор генерирует пару временных ключей с помощью
Curve25519,
Einitiator.
) Identity Key инициатора пометим как Iinitiator.
) После этого генерируется мастер-ключ (ECGH, Elliptic curve Diffie-Hellman - протокол
Диффи-Хеллмана на эллиптических кривых) master_secret = ECDH (Iinitiator, Srecipient) || ECDH (Einitiator, Irecipient) || ECDH (Einitiator, Srecipient) || ECDH (Einitiator, Orecipient). Если One-Time Pre Key отсутствует, то
последнее действие опускается.
) Инициатор использует HKDF (функция формирования
ключей) для создания Root Key и Chain Keys из master_secret.
В качестве результатов установки сессии получается Root Key - 32-байтное значение,
используемое для генерации Chain Key, что тоже является
32-байтным значением и используется для генерации Message Key. Message Key - 80-байтное значение,
которое используется для шифрования содержания сообщений.
После установки долгосрочной сессии, инициатор может сразу же
начинать отправлять сообщения получателю. В начале всех сообщений будет
передаваться информация, которая необходима получателю для установки сессии. Чтобы
установить сессию, получатель выполнит следующие действия:
1) Получатель вычислит master-secret, используя свои
секретные ключи и ключи, полученные в сообщениях.
2) Получатель удалит One-Time Pre Key, использованный
инициатором.
) Получатель использует HKDF для вычисления Root Key и Chain Keys из master_secret.
Каждое сообщение шифруется новым Message Key, который вычисляется
следующим образом:
1) Message Key = HMAC-SHA256 (Chain
Key, 0x01).
2) После первого шага Chain Key
обновляется по формуле Chain Key = HMAC-SHA256 (Chain Key, 0x02).
Таким образом, согласно официальной документации, в мобильном
приложении WhatsApp реализована система сквозного шифрования с использованием
временных ключей и с возможностью подтверждения личности собеседника, путем сравнения
ключей. За счет применения сквозного шифрования владельцы приложения и серверов
не должны иметь доступ к перепискам пользователей. Всё это в теории должно
обеспечивать высокий уровень безопасности передаваемых личных данных.
2.2.2 Viber
Второй по популярности мессенджер в России [7]. Так же, как и
WhatsApp, во время написания
данной работы, 19-го апреля 2016-го года с выходом версии 6.0, получил сквозное
шифрование для стран Бразилия, Белоруссия, Израиль и Таиланд.
К сожалению, разработчики данного мобильного приложения не
раскрывают подробностей криптографической системы. Единственное, что они
говорят - теперь есть сквозное шифрование. Таким образом, никто не в силах
каким-либо образом оценить степень надежности используемых шифров.
К плюсам данного приложения можно отнести наличие
"скрытых чатов". Пользователь может скрыть некоторые чаты и доступ к
ним можно будет получить только после ввода PIN-кода. Это позволяет
ограничить физический доступ к конфиденциальной переписке, например, в
ситуации, когда мобильным устройством завладел злоумышленник.
2.2.3 Signal
История этого мобильного приложения началась в 2010-ом году с
создания двух приложений: TextSecure для защищенной переписки и RedPhone для осуществления
защищенных голосовых вызовов по сети Интернет. С самого начала разработчики
позиционировали своё программное обеспечение как конфиденциальное и способное
защитить личные данные от атак посредника путём сквозного шифрования. В 2013-ом
году TextSecure и RedPhone были объединены в одно приложение - Signal. Одноименное приложение
анонсировали для iOS.
Разработчиком приложений выступает компания Open Whisper Systems. Она имеет свой
репозиторий на портале GitHub [10], куда выкладывает все исходные коды своих
проектов. Это делается для того, чтобы сообщество независимых разработчиков
могло инспектировать код на наличие уязвимостей. Также можно собрать приложение
из исходных кодов и проверить, отличается ли оно от того, что распространяется
с помощью официальных магазинов приложений.
Для шифрования используется Signal Protocol, общие принципы которого
описаны выше в разделе 2.2.1 Раньше этот протокол носил название TextSecure Protocol по понятным причинам.
Его особенность заключается в том, что он совмещает в себе положительные
стороны протоколов OTR и SCIMP, а также избавлен от их недостатков.
OTR (Off-the-Record Messaging Protocol) - протокол шифрования
данных при обмене мгновенными сообщениями, представленный в 2004-ом году. К
плюсам данного протокола можно отнести то, что в нем используются временные ключи
шифрования. Это позволяет быть уверенным в том, что при потери секретных ключей
прошлая переписка не будет скомпрометирована. Также стоит отметить то, что
сообщения не подписываются автором или адресатом, и при перехвате сообщения
злоумышленником будет невозможно доказать причастность кого-либо к этим
сообщениям. К сожалению, есть у этого протокола и минусы, которые несколько
затрудняют его использование на мобильных устройствах. Согласно протоколу [11]
для начала обмена данными два пользователя должны обменяться ключами. Для этого
им надо находится в самом приложении. В добавление, с каждым новым сообщением
отправляется новый ключ, но, чтобы выработать новый ключ, надо, чтобы
собеседник подтвердил предыдущий. Другими словами, у каждого сообщения будет свой
временный ключ шифрования только в том случае, если пользователи будут
обмениваться по одному сообщению строго друг за другом.
SCIMP (Silent Circle Instant Message Protocol) - протокол шифрования,
разработанный компанией Silent Circle и использующийся в одноименном приложении.
Продукты этой компании также рекомендует [12] Эдвард Сноуден. Согласно этому
протоколу, каждый новый ключ получается итерацией из предыдущего. Такая система
обеспечивает новый ключ шифрования для каждого нового сообщения вне зависимости
от того, в какой последовательности и что отправляется. Это же и является
недостатком данного протокола. Во-первых, при использовании асинхронных
процессов в мобильных операционных системах может так получится, что сначала
будет доставлено сообщение под номером 6, а только после него сообщение под
номером 5, что будет неправильным. Во-вторых, все ключи получаются связанными
и, таким образом, проблема с одним временным ключом будет влиять на всю сессию.
Signal Protocol избавлен от недостатков благодаря тому,
что все необходимые ключи: и долговременные, и одноразовые - хранятся на
сервере. Это позволяет добиться легкости использования и быстроты действия.
В целом, мессенджер Signal обладает всеми плюсами рассмотренного выше WhatsApp, при этом имеет открытый
исходный код. Открытость исходного кода в свою очередь позволяет говорить о
действительно надежных методах шифрования, проверенных независимыми экспертами.
2.2.4
Telegram
Данное приложение создано Павлом Дуровым, основателем
социальной сети "ВКонтакте". С самого создания разработчики говорили
о том, что отличительной чертой данного мессенджера является наличие
шифрования. Чаты в этой программе делятся на обычные и секретные. Далее я буду
рассматривать секретные чаты, так как только они в данной программе
поддерживают сквозное шифрование.
Для шифрования данных разработчики используют протокол MTProto. Рассмотрим протокол
шифрования данных в секретных чатах, который приведенный в документации [13]:
) Инициатор запускает метод messages. getDhConfig, чтобы сгенерировать
параметры для протокола Диффи-Хеллмана: простое число p и элемент высокого
порядка g.
2) Инициатор вычисляет случайное 2048-битное число a, вычисляет g_a: = pow (g, a) mod dh_prime и запускает messages. requestEncryption, чтобы отправить запрос
получателю.
) Получатель принимает запрос, обновляет параметры для
протокола Диффи-Хеллмана, вычисляет случайное 2048-битное число b по тем же правилам, что
инициатор вычислил a.
) После принятия запроса получатель вычисляет конечный
общий ключ по формуле key = (pow (g_a, b) mod dh_prime), затем вычисляет g_b: = pow (g, b) mod dh_prime и запускает messages. acceptEncryption.
) Далее с помощью SHA-1 (алгоритм
криптографического хеширования) вычисляются ключи шифрования:
a) Вычисляется msg_key путем выбора 128 бит из SHA-1 от текста сообщения;
b) x=0;
c) sha1_a = SHA1
(msg_key + substr (key, x, 32));
d) sha1_b = SHA1
(substr (key, 32+x, 16) + msg_key + substr (key, 48+x, 16));
e) sha1_с = SHA1
(substr (key, 64+x, 32) + msg_key);
f) sha1_d = SHA1
(msg_key + substr (key, 96+x, 32));
g) aes_key = substr
(sha1_a, 0,8) + substr (sha1_b, 8,12) + substr (sha1_c, 4,12);
h) aes_iv = substr
(sha1_a, 8,12) + substr (sha1_b, 0,8) + substr (sha1_c, 16,4) + substr (sha1_d,
0,8).
Данные шифруются
256-битным ключом aes_key и 256-битным вектором инициализации aes_iv,
используя алгоритм шифрования AES-256 в режиме расширения неопределённого
искажения (infinite garble extension, IGE).
) Отпечаток ключа
шифрования key_fingerprint и msg_key добавляются в начало массива
байтов, после чего запускается messages. sendEncrypted.
8) Для расшифровки алгоритм из пункта
6 воспроизводится в обратном порядке.
Новые ключи в данном протоколе формируются в двух случаях:
если старыми были зашифрованы 100 сообщений или если старым ключам больше
недели и с помощью них зашифровали хотя бы одно сообщение. Для формирования
новых ключей существует отдельный протокол, описанный на сайте разработчиков
[14] и мало чем отличающийся от приведённого выше.
Стоит отметить полезную особенность секретных чатов - в их
настройках можно указать время автоматического удаления сообщений. Например,
поставить таймер на 5 секунд и тогда каждое сообщение будет автоматически
удаляться через 5 секунд после доставки.
Исходные тексты клиентской части данного приложения
представлены на портале GitHub [15]. Таким образом, клиентскую часть также
могут инспектировать независимые эксперты. Исходные коды серверной части
остаются закрытыми и публиковаться не собираются.
Из всего вышесказанного можно сделать вывод о том, что
секретные чаты в мессенджере Telegram предоставляют возможность организовать
действительно защищенный канал связи.
2.2.5 Antox
Это мессенджер с открытым исходным кодом [16], который
работает на базе протокола Tox. Главной особенностью данного протокола является
его распределенность, то есть, пользователи соединяются напрямую (peer-to-peer) друг с другом, минуя какие-либо
централизованные серверы. Сам протокол устроен так, что при каждом соединении
используется сквозное шифрование. В общих словах, протокол разрабатывался как
раз для осуществления обмена данными (мгновенными сообщениями, мультимедиа
файлами, видеозвонками) между пользователями таким образом, чтобы никто не мог
шпионить за этими данными. Мессенджер Antox является лишь реализацией данного протокола для
операционной системы Android, поэтому далее я буду говорить только о самом
протоколе.
Первая реализация протокола появилась в 2013-ом году на
портале GitHub [17]. Клиенты для работы с данным протоколом начали появляться
позже и независимо от разработчиков самого протокола. Вообще, все разработки,
связанные с данным протоколом, осуществляются независимыми программистами, а не
какими-либо компаниями. Это связано с позиционированием протокола как свободное
программное обеспечение, защищенное от бэкдоров (уязвимостей, специально
созданных разработчиками для доступа к личной информации клиентов) и шпионажа за
пользователями. Вся коммуникация, отправка сообщений и обновление статусов
пользователей поддерживается за счет распределенных хеш-таблиц (Distributed Hash Table, DHT) и осуществляется без
центрального сервера. По такому же принципу работают, например, сети BitTorrent.
Для шифрования трафика используется библиотека NaCl. Создателем этой
библиотеки является Даниэль Бернштейн (Daniel J. Bernstein), больше известный как
создатель qmil, Salsa20, Poly1305 и Curve25519.
При первом запуске клиента вызывается функция crypto_box_keypair () [18], которая генерирует
пару ключей по 32 байта каждый с помощью эллиптической кривой Curve25519. Публичный ключ при
этом становится идентификационным номером пользователя (client_id). Чтобы добавить к себе
контакт, надо добавить в список контактов его публичный ключ. Для шифрования
данных используется функция crypto_box ():
1) Общий ключ вырабатывается из ключа получателя, секретного
ключа отправителя и случайного 24-байтного числа;
2) После этого данные шифруются алгоритмом поточного шифрования Salsa20, который использует
такие операции как сложение 32-битных чисел, побитовое сложение по модулю 2 и сдвиги
битов;
3) Чтобы пометить принадлежность пакетов используется алгоритм Poly1305.
Из минусов данного мессенджера и протокола стоит отметить
большие объёмы загружаемых и отправляемых данных, даже если приложение почти не
используется. Это связано с распределенной структурой протокола и
использованием распределенных хеш-таблиц. Но и благодаря этому же достигается
высокая степень защиты от атак посредника.
3. Разработка
программного средства, построенного на отечественных алгоритмах шифрования
В качестве результата проведенного исследования автор
предоставляет описание мобильного приложения для безопасного обмена данными, а
также пример его программной реализации.
3.1
Требования к эталонному приложению
.1.1
Архитектура приложения
Большинство провайдеров услуг по обмену информацией по сети
Интернет предлагает передавать данные через их серверы. То есть, они
предоставляют клиент-серверную архитектуру. Такую ситуацию можно видеть и в
программах, рассмотренных в разделе 2. Если говорить о безопасности передачи
данных, то данная структура изначально представляет угрозу, если пользователь
не доверяет разработчикам приложения, так как эта информация может сохраняться,
изменяться, передаваться третьим лицам.
Эту проблему можно решить, организовав соединение типа
точка-точка (peer-to-peer) между абонентами-пользователями, как это сделано в протоколе Tox. Такое соединение
позволяет передавать данные напрямую между абонентами, что значительно снижает
вероятность доступа к этому трафику третьими лицами. Вопрос лишь в том, как
обменяться данными для подключения друг к другу, ведь когда у приложения
клиент-серверная архитектура, клиенты просто подключаются к серверу, который
всегда расположен по одному и тому же адресу.
Есть разные способы обмена контактной информацией между
клиентами: можно как передать данные в реальном мире, так и отправить
электронным письмом. Подойдет для этого и сигнальный сервер, который будет
реализовывать обмен контактными адресами абонентов. Наличие такого сервера
опять же позволяет провести на коммуникации разного рода хакерские атаки, но
уже не столь значительные как при клиент-серверной архитектуре. С другой
стороны, при применении такого решения пользователи не будут передавать большие
объёмы информации, как это реализовано в протоколе Tox.
При изучении вопроса соединения двух абонентов напрямую через
мобильные средства связи более детально возникают трудности, связанные с
применением NAT’ов мобильными оператора при предоставлении доступа к сети
Интернет.
Network Address Translation (NAT) - механизм, который
преобразовывает IP-адреса пакетов в сетях TCP/IP. Он позволяет существенно сэкономить на
количестве выдаваемых IP-адресов, что очень важно, пока используется IPv4. Все мобильные сети
построены с помощью NAT’ов и устройства, которые подключены к таким сетям имеют локальный
IP-адрес и глобальный.
Всего существует 4 типа построения NAT [19]:
1) Cone NAT.
Внутренний IP-адрес (192.168.0.5: 1234) проецируется на
внешний (1.1.1.3: 5678). Пакет с адреса 192.168.0.5: 1234 будет отправлен через
1.1.1.3: 5678. Пакет из внешней сети, посланный на адрес 1.1.1.3: 5678, будет
перенаправлен на 192.168.0.5: 1234.
2) Address-Restricted cone NAT.
Внутренний IP-адрес (192.168.0.5: 1234) проецируется на
внешний (1.1.1.3: 5678). Пакет с адреса 192.168.0.5: 1234 будет отправлен через
1.1.1.3: 5678. Пакет из внешней сети (1.1.1.50: 3456), отправленный на 1.1.1.3:
5678 будет доставлен на 192.168.0.5: 1234 только в том случае, если с адреса
192.168.0.5: 1234 уже посылались пакеты в эту внешнюю сеть (1.1.1.50).
) Port-Restricted cone NAT.
Внутренний IP-адрес (192.168.0.5: 1234) проецируется на
внешний (1.1.1.3: 5678). Пакет с адреса 192.168.0.5: 1234 будет отправлен через
1.1.1.3: 5678. Пакет из внешней сети (1.1.1.50: 3456), отправленный на 1.1.1.3:
5678 будет доставлен на 192.168.0.5: 1234 только в том случае, если с адреса
192.168.0.5: 1234 уже посылались пакеты в эту внешнюю сеть по этому же порту
(1.1.1.50: 3456).
) Symmetric NAT.
При отправлении каждого пакета данных внутренний адрес будет
меняться на внешний. Но если у предыдущих типов внешний адрес: порт были всегда
одинаковы, то при так типа NAT’а, порт у каждого пакета будет разный. То есть,
обратно информацию посылать будет нельзя.
К сожалению, Symmetric NAT не позволяет соединить
напрямую абонентов, поэтому пользователи с таким типом сети в любом случае
будут общаться с помощью сервера. Что касается остальных типов NAT, то все ограничения
обходятся с помощью STUN-серверов, которые позволяют узнать нужные IP-адреса, порты и
соединиться напрямую.
Стоит также помнить о том, что при передаче информации,
пользователь может менять своё местоположение. При этом его телефон будет отключаться
от одной сотовой вышки и подключатся к другой, что в свою очередь повлечет за
собой смену и внешнего, и внутреннего IP-адресов пользователя. Это в свою очередь
повлечет за собой разрыв прямого соединения.
Принимая во внимание всё вышесказанное, предлагается такая
архитектура приложения. Мобильный клиент с помощью STUN-сервера контролирует
свои IP-адреса, отправляет их на сервер приложения и обновляет при смене.
Таким образом возможно будет решить проблему с разорванным соединением, а также
будет отображаться статус собеседника (в сети, не в сети). Сервер в свою
очередь хранит идентификаторы пользователей и их корректные IP-адреса. При создании
соединения двух пользователей, сервер должен отправить им адреса друг друга,
чтобы они смогли соединиться напрямую, а также должен обновлять адреса для
поддержания соединения.
Дополнительным плюсом такой архитектуры является отсутствие
необходимости передавать все данные сервером. То есть, затраты на сервер будут
существенно меньше, при этом приложение проще масштабировать.
3.1.2
Шифрование
В качестве алгоритма шифрования предлагается использовать
гибридную схему, которая имеет много общих черт со всеми перечисленными
протоколами в разделе 2.
Изначально существовало два типа криптографических систем.
Первый тип - симметричные криптосистемы (симметричное шифрование). Это система,
в которой и шифрование, и расшифровка происходят с применением одного и того же
ключа, который должен обеими сторонами держаться в строгом секрете. К плюсам
данных систем можно отнести скорость работы, большую изученность. Главным
недостатком данных систем является сложность обмена ключами. Второй тип систем,
который появился значительно позже - криптографические системы с открытым
ключом (асимметричное шифрование). В таких системах есть два ключа: открытый и
закрытый. Открытым ключом шифруется сообщение, он может лежать в открытом
доступе, закрытый же ключ должен находится в секрете, так как им сообщения
можно расшифровать. Главным плюсом данных систем является отсутствие
необходимости обмениваться единственным секретным ключом. Недостатками же
являются больший размер ключа при той же криптостойкости, большая
требовательность к ресурсам системы и низкая скорость шифрования.
На данный момент существуют гибридные схемы шифрования,
которые представляют собой смесь симметричного шифрования и асимметричного.
Подобные схемы лишены главного недостатка симметричного
шифрования - необходимости обмена общим ключом. При этом они имеют такую же
скорость шифрования.
На рисунке 1 можно увидеть основной принцип действия таких
схем.
Рис. 1. Гибридная схема шифрования
В целом же всё происходит таким образом. Допустим, Алиса
хочет передать Бобу сообщение. У Алисы и Боба есть по паре ключей: открытый и
закрытый. Алиса берет открытый ключ Боба, и генерирует с помощью него сеансовый
ключ. После этого Алиса с помощью какого-либо алгоритма симметричного
шифрования и выработанного сеансового ключа шифрует сообщение и передает его
Бобу. Боб с помощью сеансового ключа и своего секретного ключа расшифровывает
сообщение.
В качестве алгоритма асимметричного шифрования был выбран
алгоритм, описанный в стандарте ГОСТ Р 34.10-2012 [20]. Данный алгоритм основан
на эллиптических кривых. Считается, что задача дискретного логарифма на эллиптической
кривой является более трудной по сравнению с задачей дискретного логарифма в
конечных полях.
Для максимальной стойкости алгоритма необходимо выбрать подходящую
эллиптическую кривую. Кривая описывается уравнением y2 = x3 + ax + b. Для
вычисления криптостойкости необходимо знать порядок группы точек эллиптической
кривой p (простое число). Также необходимо
подобрать точку P (xp,yp), принадлежащую кривой с большим порядком q для того, чтобы, умножая эту точку на
числа, которые меньше её порядка, получать разные точки. Если выполнено условие
4a3 + 27b2 = 0, то кривая называется сингулярной и такую кривую нельзя
использовать в эллиптической криптографии. Методы решения логарифма на
эллиптической кривой имеют сложность 
. Учитывая то, что в программной реализации используется q = 2384, можно говорить о сложности, равной 2192.
В качестве алгоритма симметричного шифрования был выбран блочный
шифр под названием "Кузнечик", описанный в стандарте ГОСТ Р
34.12-2015 [21]. В этом алгоритме блоки имеют длину 128 бит, а ключ - 256 бит.
Для генерации ключа используется сеть Фейстеля.
При шифровании информации происходит 10 раундов с
преобразованиями. В каждом раунде сначала 128-битный входной вектор побитно
складывается с раундовым ключом, после этого к каждому 8-битному подвектору
применяется фиксированная подстановка, а после этого применяется линейный
регистр сдвига, который движется 16 раз и реализуется над полем Галуа.
В университете Канады Concordia Institute for Information Systems Engineering (CIISE)
исследовали [22] данный алгоритм и пришли к выводу, что он имеет временную
сложность равную 2140.
Таким образом, применяя гибридный алгоритм, составленный из двух,
описанных выше, на практике, получается надежная криптосистема с большой
стойкостью.
Также необходимо отметить то, что шифроваться должны как каналы
между пользователями, так и канал соединения пользователя с сервером. Для этого
у сервера тоже должны быть открытый и закрытый ключи.
Сам процесс шифрования и расшифровки представляет собой следующее.
Открытый ключ представляет собой точку на эллиптической кривой. При передаче
данных о точке координаты x и y "склеиваются", образуя длинную строку открытого
ключа. Закрытый ключ представляет собой большое целое число.
Перед отправкой сообщения собеседнику генерируется случайное
большое число k. Затем оно умножается на P (точка с большим порядком) и на Y (открытый ключ собеседника). То есть, U = kP и V = kY. Для применения блочного алгоритма шифрования программа берет xv координату точки V по модулю 2256. Таким образом,
мастер-ключ будет вычисляется так K
= xv (mod 2256). При этом U является
сеансовым ключом, которые отправляется вместе с сообщением (шифротектом).
Собеседник получает U и
шифротекст. Для расшифровки ему необходимо вычислить ключ из U. Это возможно сделать, умножив закрытый
ключ x на сеансовый ключ U: xU = xkP = kxP = kY = V.
Координата xv взятая по модулю 2256 и будет
являться общим ключом для расшифровки сообщения.
3.2 Описание
программной реализации
Кроме исследования и определения общих принципов построения
приложения для безопасного обмена частной информацией, также был разработан
пример программной реализации для операционной системы Android. Эта операционная
система основана на ядре Linux и собственной реализации виртуальной машины Java от Google. Первая версия появилась
в 2008 году и с тех пор ОС Android быстро завоевала рынок.
По данным международной исследовательской и консалтинговой
компании International Data Corporation (IDC) [23] на август 2015-го
года 82.8% смартфонов работает на мобильной операционной системе Android. Это позволяет сказать,
что данная операционная система является безоговорочным лидером рынка, и, если
разработчик приложения желает охватить как можно большее количество
пользователей, то в первую очередь стоит разработать приложение именно для Android.
Касаемо минимальной версии Android, которую поддерживало бы
приложение, была выбрана 4.1 Согласно официальной статистики разработчиков
операционной системы на 2 мая 2016 года [24], при выборе данной версии
разработанное приложение будет поддерживать 95.7% устройств (включая и
смартфоны, и планшеты).
Так как программа была написана для ОС Android, выбор языка
программирования пал на Java. Среда разработки программного обеспечения - Android Studio 1.5.1 Build #AI-141.2456560, JRE: 1.8.0_77-b03 amd64.
Общий принцип действия приложения такой:
) Пользователь заходит в приложение и видит кнопки
управления соединением, выбранный контакт для соединения, свой открытый ключ,
который он может скопировать и передать кому-либо и окно чата (рис.2).
Рис. 2. Начальный экран приложения
2) Чтобы соединиться с контактом Denis Smartphone необходимо нажать кнопку
"START". Это же действие должен выполнить собеседник на своем
мобильном устройстве. После нажатия кнопки на сигнальный сервер посылаются
данные об IP-адресе устройства со специальной строкой, которая состоит из
открытых ключей двух собеседников, расставленных в порядке возрастания. Это
нужно для того, чтобы контактные данные собеседников "нашли" друг
друга на сигнальном сервере (рис.3, рис.4).
Рис. 3. Ожидание соединения на устройстве 1
Рис. 4. Ожидание соединения на устройстве 2
) После этого на одном из устройств необходимо нажать
кнопку "CALL". После этого соединение будет установлено (рис.5, рис.6,
рис.7, рис.8, рис.9, рис.10).
Рис. 5. Соединение установлено на устройстве 1
Рис. 6. Соединение установлено на устройстве 2
Рис. 7. Тест чата на устройстве 1
Рис. 8. Тест чата на устройстве 2
Рис. 9. Повторный тест чата на устройстве 1
Рис. 10. Повторный тест чата на устройстве 2
) Чтобы разорвать соединение необходимо нажать на
клавишу "HANG UP" (рис. 11).
Рис. 11. Соединение разорвано
5) Для добавления контакта необходимо нажать на клавишу
"ADD". После этого необходимо ввести имя контакта (рис. 12) и его
открытый ключ (рис. 13).
Рис. 12. Добавление имени контакта
Рис. 13. Добавление открытого ключа контакта
К сожалению, в данном приложении не был реализован механизм
постоянной поддержки связи за счет сигнального сервера при смене IP-адреса, а также не было
применено шифрование для канала клиент-сервер. То есть, информация об IP-адресах передается без
шифрования, шифруется только канал для передачи сообщений между клиентами.
3.2.1
Архитектура
Из-за рассмотренных в разделе 3.1.1 сложностей при реализации
предложенной архитектуры было принято решение использовать проект WebRTC. Это cамый бурно развивающийся peer-to-peer проект последнего
времени с открытым исходным кодом [25], предназначенный для потоковой передачи
данных между браузерами, который развивают такие гиганты IT-индустрии как Google, Mozila и Ericsson.
Так как это проект с открытым исходным кодом, его портировали
[26] на все остальные платформы, в том числе и на операционную систему Android. Это позволило мне
использовать существующие библиотеки для организации peer-to-peer связи.
Использовать данные библиотеки удобно из-за того, что в
стандартах для клиентских приложений всё описано и при желании их можно будет
реализовать и на других платформах. Единственное, что не прописано в стандарте
- серверная часть. В качестве сигнального сервера может быть любая машина на
любой технологии.
В качестве STUN-сервера используется сигнальный сервер от Google stun. l. google.com: 19302. Так как это STUN сервер, то, если абонент
будет за Symmetric NAT, он не сможет воспользоваться данным
приложением. Тем не менее, при желании можно добавить адрес TURN сервера, который будет
использоваться для передачи данных, если не будет возможности соединить
абонентов напрямую.
В качестве сигнального сервера, я использую проект Greta и его API для Android с открытым исходным
кодом [27]. Данный проект существует именно для поддержания децентрализованной
передачи информации. Когда два пользователя хотят связаться, на сигнальном
сервере создается "комната", название которой состоит из
идентификационных номеров абонентов, расположенных в порядке возрастания. С
помощью этой "комнаты" абоненты обмениваются информацией друг о друге
и уже соединяются напрямую, минуя какие-либо другие сервер.
Также стоит упомянуть о структуре самого приложения для ОС Android. При первой установке
создается база данных SQLite. Такие базы данных часто используются в
мобильных приложениях, так как являются встраиваемыми. При установке создается
таблица с контактами. Первая запись этой таблицы используется для хранения
собственных ключей пользователя. Остальные записи включают в себя имя контакта
и его идентификационный номер (открытый ключ). Для поддержания
работоспособности базы данных, её создания и обновления был разработан класс DBHelper. java.
История переписки не сохраняется во внешней памяти. Она
существует только пока работает приложение. После выхода, переписка удаляется.
3.2.2
Шифрование
Как и было сказано выше, при установке приложения создаются
закрытый и открытый ключи пользователя. Чтобы соединиться с собеседником
необходимо, чтобы он присутствовал в списке контактов, где должен храниться его
открытый ключ. Открытый ключ представляет собой точку на эллиптической кривой.
При передаче данных о точке координаты x и y "склеиваются",
образуя длинную строку открытого ключа. Закрытый ключ представляет собой
большое целое число.
Инициатор пишет сообщение и нажимает кнопку отправить. При
этом приложение шифрует сообщение и прикрепляет к началу шифротекста временный,
сеансовый ключ. Получатель принимает сообщение и с помощью временного ключа
расшифровывает его.
При выборе эллиптической кривой использовался документ [28],
опубликованный Национальным Институтом Стандартов и Технологий (National Institute of Standards and Technology, NIST) в США, который
рекомендует некоторые кривые к использованию в криптографии. В приложении
используется кривая Curve P-384.
Для работы с большими числами при программировании на языке Java используется встроенный
класс BigInteger. Также для работы с эллиптическими кривыми были разработаны
классы ECPoint. java и ECCrypto. java. ECPoint. java используется для
реализации операций на эллиптических кривых. В свою очередь ECCrypto. java используется для
реализации шифрования на эллиптических кривых.
При осуществлении блочного шифрования используется таблица,
которая служит для реализации операции многочленов в конечно поле из восьми
элементов. Это таблица хранится отдельно в ресурсных файлах и содержит 65 536
шестнадцатеричных числа. Для развертки мастер-ключа используются 32 итерационные
константы. Они были рассчитаны заранее и хранятся в коллекции ArrayList<int [] >.
Заключение
В ходе выпускной квалификационной работы были исследованы
средства обеспечения безопасности частной информации на мобильных устройствах и
разработано средство для безопасной передачи данных между мобильными
устройствами по сети Интернет.
В первой главе были рассмотрены общие принципы безопасности
данных на мобильных устройствах, мобильные антивирусы и представлены некоторые
советы для улучшения безопасности личных данных. Во второй главе речь шла о
приложениях для обмена данными по сети Интернет с помощью мобильных устройств.
Все мессенджеры были рассмотрены с точки зрения обеспечения безопасности
передаваемой информации и у каждого решения есть свою плюсы и минусы. В
последней главе были представлены как результат этой работы эталонная
реализация защищенного канала связи между мобильными устройствами, а также
реальное приложение, которое разрабатывалось по архитектуре эталонной.
В качестве дальнейших исследований возможна доработка
существующей программной реализации до эталонной, а также доработка и самой
эталонной архитектуры. В современном мире появляются всё новые способы атак,
поэтому и средства защиты должны развиваться.
Используя это исследование, любой человек, который не
доверяет сторонним решениям и разработчикам, способен при необходимости
построить свой собственный защищенный канал для передачи информации между
мобильными устройствами.
Список
использованных источников
1. Пронин
Д.С. Реализация схемы асимметричного шифрования. НИУ ВШЭ, 2015.
2. Колпаченко
С.Ю. Реализация перспективного отечественного алгоритма блочного шифрования.
НИУ ВШЭ, 2015.
. Пронин
Д.С. Исследование мобильных средств обеспечения безопасности частной информации
// Ежегодная научно-техническая конференция студентов, аспирантов и молодых
специалистов МИЭМ НИУ ВШЭ: Материалы конференции. М.: МИЭМ НИУ ВШЭ, 2016.
C.304.
4. Kaspersky
Lab. "Consumer Security Risks Survey", 2015. URL: https: // press.
kaspersky.com/files/2015/08/Kaspersky_Lab_Consumer_Security_Risks_Survey_2015_ENG.
pdf
<https://press.kaspersky.com/files/2015/08/Kaspersky_Lab_Consumer_Security_Risks_Survey_2015_ENG.pdf>
(дата
обращения: 20.05.2016).
. Electronic
Frontier Foundation. "The Problem with Mobile Phones", 2015. URL: https: // ssd.
eff.org/en/module/problem-mobile-phones
<https://ssd.eff.org/en/module/problem-mobile-phones> (дата обращения:
20.05.2016).
6. Wikipedia.
"Comparison of antivirus software", 2015. URL: https: // en.
wikipedia.org/wiki/Comparison_of_antivirus_software
<https://en.wikipedia.org/wiki/Comparison_of_antivirus_software> (дата обращения: 20.05.2016).
7. Эксперты назвали
самый популярный мессенджер в России // РБК. 2016. URL:
<http://www.rbc.ru/technology_and_media/18/01/2016/569cddd29a794722c534df2c>
(дата обращения: 22.05.2016).
8. WhatsApp
Encryption Overview. Technical white paper. 2016.
URL: https: // www.whatsapp.com/security/WhatsApp-Security-Whitepaper. pdf
<https://www.whatsapp.com/security/WhatsApp-Security-Whitepaper.pdf>
(дата обращения: 23.05.2016).
9. Dell
Cameron. Edward Snowden tells you what encrypted messaging apps you should use
// The Daily Dot. 2015. URL:
http://www.dailydot.com/politics/edward-snowden-signal-encryption-privacy-messaging/
(дата обращения: 22.05.2016).
10. Open
Whisper Systems // GitHub. URL: https: // github.com/WhisperSystems
<https://github.com/WhisperSystems> (дата обращения: 23.05.2016).
. Advanced
cryptographic ratcheting. 2013. URL: https: //
whispersystems.org/blog/advanced-ratcheting/ <https://whispersystems.org/blog/advanced-ratcheting/>
(дата
обращения: 23.05.2016).
12. Баранский С. Продукты,
которые рекомендует Эдвард Сноуден вместо опасных, по его мнению, Facebook,
Google и Dropbox. URL:
<http://lifehacker.ru/2014/10/13/snowden-new-yorker/> (дата обращения:
24.05.2016).
13. Secret
chats, end-to-end encryption URL: https: // core. telegram.org/api/end-to-end
<https://core.telegram.org/api/end-to-end> (дата обращения: 24.05.2016).
. Re-keying
protocol. URL: https: // core. telegram.org/api/end-to-end/pfs
<https://core.telegram.org/api/end-to-end/pfs> (дата обращения: 24.05.2016).
. Telegram
// GitHub. URL: https: // github.com/DrKLO/Telegram
<https://github.com/DrKLO/Telegram> (дата обращения: 24.05.2016).
. Antox //
GitHub. URL: https: // github.com/Antox/Antox
<https://github.com/Antox/Antox> (дата обращения: 24.05.2016).
. Toxcore
// GitHub. URL: https: // github.com/irungentoo/toxcore
<https://github.com/irungentoo/toxcore> (дата обращения: 24.05.2016).
. Crypto.
URL: https: // github.com/irungentoo/toxcore/blob/master/docs/updates/Crypto.
md
<https://github.com/irungentoo/toxcore/blob/master/docs/updates/Crypto.md>
(дата
обращения: 24.05.2016).
19. Типы Network Address Translation (NAT). 2009. URL: <http://aoz.com.ua/2009/01/26/nat-types/>
(дата обращения: 24.05.2016).
. ГОСТ Р 34.10-2012.
Информационная технология. Криптографическая защита информации. Процессы
формирования и проверки электронной цифровой подписи. М.: Стандартинформ, 2013.
. ГОСТ Р 34.12-2015.
Информационная технология. Криптографическая защита информации. Блочный шифры.
М.: Стандартинформ, 2015.
22. Riham
AlTawy and Amr M. Youssef. A Meet in the Middle Attack on Reduced Round
Kuznyechik. Concordia University. URL: https: // eprint. iacr.org/2015/096. pdf
<https://eprint.iacr.org/2015/096.pdf> (дата обращения: 24.05.2016).
. Smartphone
OS Market Share, 2015 Q2. URL:
http://www.idc.com/prodserv/smartphone-os-market-share. jsp
<http://www.idc.com/prodserv/smartphone-os-market-share.jsp> (дата
обращения: 18.05.2016).
24. Dashboards.
URL: https: // developer. android.com/about/dashboards/index.html
<https://developer.android.com/about/dashboards/index.html> (дата обращения: 19.05.2016).
. WebRTC.
Source code. URL: https: // chromium. googlesource.com/external/webrtc
<https://chromium.googlesource.com/external/webrtc> (дата обращения: 24.05.2016).
. WebRTC-Two-Androids-Demo
// GitHub. URL: https: // github.com/leonardogcsoares/WebRTC-Two-Androids-Demo
<https://github.com/leonardogcsoares/WebRTC-Two-Androids-Demo> (дата обращения: 24.05.2016).
. Signaling-API-for-Greta
// GitHub. URL: https: // github.com/leonardogcsoares/Signaling-API-for-Greta
<https://github.com/leonardogcsoares/Signaling-API-for-Greta> (дата обращения: 24.05.2016).
. Recommended
elliptic curves for federal government use. 1999. URL: http://csrc.
nist.gov/groups/ST/toolkit/documents/dss/NISTReCur. pdf
<http://csrc.nist.gov/groups/ST/toolkit/documents/dss/NISTReCur.pdf> (дата обращения: 24.05.2016).