Коллектив Авторов - Цифровой журнал «Компьютерра» № 67

Система фирмы Canon была тотально скомпрометирована специалистами ЭлкомСофта ещё в ноябре прошлого года. Теперь же очередь дошла до Nikon, так что с подробностями о деталях проведённого анализа удобнее рассказать на этом, совсем свежем примере.

В случае системы Nikon, как показали исследования ЭлкомСофта, собственно данные снимка и сопровождающие его метаданные обрабатываются независимо — как два отдельных файла — и прогоняются через хеш-функцию SHA-1. Получаемые на выходе два стошестидесятибитных хеш-значения затем шифруются с помощью секретного ключа по стандартному алгоритму RSA-1024, в результате чего генерируется цифровая сигнатура снимка, составленная из двух частей. То есть на самом деле вычисляются две подписи длиной по 1024 бита (128 байт), которые добавляются в служебную часть файла (EXIF MakerNote tag 0×0097), в раздел параметров цветового баланса.

Впоследствии, когда подлинность фотоснимка Nikon проверяют с помощью фирменной программы Image Authentication Software, то эта программа сама вычисляет два хеш-значения SHA-1, как это делалось и в фотоаппарате. А затем с помощью известного открытого ключа программа расшифровывает те две сигнатуры, что хранятся для проверки в файле. Если фотография подлинная, то вычисленные программой хеши и значения, расшифрованные из снимка, должны полностью совпасть. Если же совпадения нет, значит, фотография подвергалась манипуляциям.

То есть в теории, казалось бы, обеспечена достаточно простая и при этом эффективно защищённая проверка. Однако на практике, увы, всё получилось не так красиво.

Фатальной уязвимостью системы стало то, что секретный криптографический ключ, хранимый внутри фотокамеры и используемый для формирования сигнатур снимков, не защищён должным образом. По этой причине аналитики ЭлкомСофта (а значит, и всякие грамотные злоумышленники) могут его выявлять в памяти аппарата, извлекать и далее использовать для фальсификации. Попросту говоря, при наличии такого секретного ключа уже нет никаких проблем с генерацией абсолютно валидных цифровых сигнатур для как угодно видоизменённых фотографий. А это соответственно означает, что система защиты Nikon Image Authentication System полностью скомпрометирована и никакого доверия к ней — в её нынешнем виде — быть не может...

Когда эту унылую новость стали обсуждать в околокриптографических блогах и форумах, то один из основополагающих (и довольно наивных) вопросов звучал примерно так: "Ну а в принципе возможно ли вообще надёжно и безопасно реализовать всё это дело как-то иначе, без хитростей типа «безопасность через неясность»? Ведь секретный ключ в любом случае должен быть каким-то образом доступен для фотокамеры, а если это так, то его соответственно можно и считывать из оперативной памяти или откуда-то ещё?"

Лучше всего, наверное, на этот резонный вопрос ответил один из компетентных зарубежных читателей [англоязычного] блогаЭлкомСофта. По его мнению, произошедшее с Canon и Nikon — это то самое, что обычно получается в ситуациях, когда далёкие от защиты информации компании пытаются реализовать криптографию собственными силами. Тогда как «в данной ситуации недорогим и куда более эффективным решением задачи было бы встраивание в фотокамеру стандартного порта ISO-7816 ID-000, в народе больше известного как слот SIM-карты в мобильных телефонах. На основе такой карточки легко и просто можно реализовать давно проверенный криптостандарт для применения асимметричных схем с секретным-открытым ключом (например, стандарт PKCS#11)».

На более понятном общечеловеческом языке это означает, что ни Canon, ни Nikon, ни каким-либо ещё изготовителям фототехники совершенно не нужно биться над секретным изобретением надёжных криптографических систем. Потому что такие системы давно известны, разработаны специалистами и встроены в огромное количество сертифицированных приложений на основе смарткарт. Единственное, на что надо обращать внимание при встраивании таких технологий, — это на гораздо более простую проблему с правильной реализацией криптофункций (как показывает практика, здесь тоже дров наломать легко).

Благодаря таким подходам можно полностью избежать попадания криптоключей и прочей чувствительной информации в открытую память устройства, благо они хранятся в куда лучше защищённой смарткарте. Естественно, и этот подход не обеспечивает гарантированной абсолютной безопасности, но его не требуется хранить в тайне и он обеспечивает заведомо лучшее соотношение между стоимостью и надёжностью защиты.

Ещё одно важнейшее преимущество, которое получают пользователи при таком подходе к делу, — это гибкость схемы. Клиентам с повышенными требованиями к защите информации, вроде правоохранительных органов, вообще не требуется доверять деликатные механизмы криптообработки данных и хранения ключей поставщикам фотокамер. При таком подходе они могут вставлять в слот камеры свои собственные смарткарточки, которым они доверяют, причём делается это так же легко, как замена сим-карты в мобильнике. Ну а для менее требовательных клиентов, не нуждающихся в подобных строгостях, вполне естественно положиться на общедоверяемого поставщика смарткарт, которые можно поставлять в комплекте с топ-камерами по умолчанию...

Всё это, впрочем, лишь прожекты компетентных специалистов, пока что не имеющие под собой никаких реальных продуктов. А в жизни реальной ситуация такова, что гиганты фототехники вполне довольны своими никудышными крипторазработками и делают вид, что ни фирмы ЭлкомСофт, ни её неприятных исследований в природе как бы не существует.

С момента прямого обращения ЭлкомСофта в разные инстанции фирмы Canon минуло уже более полугода, однако абсолютно никакой содержательной реакции на это не последовало. Большая корпорация как ни в чём не бывало продолжает встраивать в свои фотокамеры в хлам скомпрометированную систему защиты и совершенно ничего в ней не меняет.

Аналогичная компрометация системы верификации снимков в камерах Nikon произошла сравнительно недавно, но, судя по тотальному игнорированию ЭлкомСофта и в Nikon, та же самая история, похоже, обещает повториться и теперь.

Что называется, пока гром не грянет...

К оглавлению

Опубликовано06 мая 2011 года

В США был Трёхмильный остров. В СССР — Чернобыль. У японцев — Фукусима. А вот в Европе ядерная энергетика работала беспроблемно и безаварийно. Пока. Но, согласно великому мыслителю и пламенному прусскому патриоту Гегелю, всё в мире, в том числе и абсурд, должно достигнуть своего логического завершения. И опасность подкрадывается к атомным станциям Германии — и, наверное, всей Европы, — с совершенно неожиданной, экологической стороны.