Escrocheria mafiei

Atacul de fraudă al mafiei este una dintre modalitățile prin care se abuzează de dovada zero-cunoștințe . Această metodă a fost descrisă pentru prima dată de Yvo Desmedt [1 ] . Metoda și-a primit numele datorită declarației lui Adi Shamir [2] , făcută de acesta în timpul discuției despre protocolul de identificare cu cunoștințe zero Faig-Fiat-Shamir [3] :

Pot să merg într-un magazin deținut de mafioți de un milion de ori la rând și ei tot nu se pot uzurpa pe mine.

Text original (engleză)[ arataascunde] Pot să merg la un magazin deținut de mafie de un milion de ori succesive și tot nu se vor putea prezenta greșit ca mine.

Dar, de fapt, o astfel de fraudă este posibilă.

Descriere

Să fie 4 participanți: A , B , C , D . Mai mult , B și C cooperează unul cu celălalt („aparțin aceleiași mafie”). A își dovedește identitatea față de B , iar C vrea să-și umple A în fața lui D. De obicei, frauda este descrisă astfel: B deține un restaurant deținut de mafie, C este și un reprezentant al mafiei, D este un bijutier. A și D nu știu despre frauda viitoare. În momentul în care A este gata să plătească cina și să se identifice în fața lui B , B îl anunță pe C despre începutul înșelătoriei. Acest lucru este posibil datorită prezenței unui canal radio între ele. În acest moment, C selectează diamantul pe care dorește să-l cumpere, iar D începe să identifice C (de fapt A ). C trimite o întrebare de protocol lui B , care, la rândul său, o întreabă lui A. Răspunsul este transmis în ordine inversă. Astfel, A va plăti nu numai pentru cină, ci și pentru un diamant scump [4] .

După cum se poate vedea din cele de mai sus, există anumite cerințe pentru o astfel de fraudă. De exemplu, momentele în care A începe să-și demonstreze identitatea față de B , iar C cu D trebuie să fie precis sincronizate [2] .

Înșelăciunea mafiei este utilă în situațiile în care trebuie să atacăm un sistem în care autentificarea are succes numai dacă probatorul se află în imediata apropiere a părții care se bazează, iar autentificarea cu succes îi permite probatorului să primească un serviciu furnizat de partea care se bazează [ 5] .

Exemple de aplicații

Înșelăciunea efectuată de mafie este folosită pe scară largă pentru a ataca sistemele RFID . Un sistem RFID ( Eng. Radio Frequency IDentification, identificarea radiofrecvenței ) constă dintr-un cititor (cititor) și un transponder (etichete RFID). Să presupunem că un intrus este pe cale să obțină acces neautorizat la o mașină. Accesul este asigurat prin RFID (în acest caz, transponderul va fi un card fără contact ). Intrusul, care are o cartelă falsă („card necinstiți”), se află lângă mașină și stabilește o legătură între cardul său și cititorul sistemului RFID al mașinii („cititorul legitim”). Totodată, complicele, care are un alt cititor („rogue reader”), se află lângă proprietarul mașinii și stabilește o legătură cu cardul proprietarului legitim. Astfel, unul dintre atacatorii care deține un card fals transmite mesaje primite de la un cititor legitim către complicele său, care transmite aceste mesaje către cardul (transponderul) proprietarului mașinii. Răspunsul primit de la un transponder legitim este trimis de-a lungul aceluiași circuit în direcția opusă și, în cele din urmă, ajunge la cititorul instalat pe mașină [6] .
Atacul de fraudă a mafiei poate fi folosit și pentru a ataca sistemul de identificare radar de identificare prieten sau dușman (IFF) . Multe sisteme IFF folosesc autentificarea provocare -răspuns. De exemplu, două aeronave W și B se pot identifica reciproc prin intermediul IFF, în timp ce două aeronave inamice A1 și A2 încearcă să se uite „al lor”. În acest caz, se aplică o schemă similară cu schema de atac a sistemelor RFID. De exemplu, W trimite o cerere lui A1 pentru ca acesta să-și confirme identitatea, A1 transmite un mesaj către A2 , A2 la rândul său trimite această solicitare aeronavei B , care, fiind „prieteni” pentru W , răspunde cu mesajul corect. Acest răspuns este trimis pe aceeași cale către W . Astfel, W și B vor considera „lor” A1 și respectiv A2 [7] .

Modalități de prevenire

Tehnicile de prevenire a înșelăciunii efectuate de mafie, folosind așa-numitele protocoale de delimitare a distanței , au fost citate pentru prima dată în lucrările lui Stefan Brands și David Chaum. Această tehnică este utilizată atunci când una dintre părțile care interacționează conform unui protocol criptografic trebuie să știe că cealaltă parte se află la o distanță nu mai mare de o anumită distanță. De exemplu, dacă o persoană folosește o insignă electronică la intrarea într-o clădire, sistemul de autentificare trebuie să stabilească că persoana respectivă se află la o anumită distanță de intrare. Potrivit Brands și Chaum, elementul de bază al unui protocol limitat la distanță este simplu. Se bazează pe principiul provocare-răspuns . Există k schimburi instantanee de biți („schimbări rapide de biți”) între participanții P și V , P („Dovator”) este cel care își dovedește cunoștințele, V („Verificator”) este cel care verifică autenticitatea a ceea ce demonstrează P. . Parametrul k este un parametru de protocol secret. Schimbul de biți este instantaneu în sensul că P , la primirea unui bit de la V , trimite imediat un bit de răspuns [8] .

Un exemplu de protocol limitat la distanță
Unul dintre protocoalele comune limitate la distanță este protocolul lui Gerhard P. Hancke și Markus G. Kuhn [9] , care este utilizat pe scară largă în sistemele RFID [10] . În prima etapă a protocolului, P (Prover) și V (Verifier) schimbă coduri unice generate aleatoriu ( Nonce ) (adică P și V generează și transmit secvențe de biți și respectiv). Ambele părți calculează apoi aceleași secvențe de biți și utilizând o funcție pseudo-aleatorie (de obicei o funcție MAC sau Cryptographic Hash ), adică aici K este o cheie secretă cunoscută de ambele părți. În continuare, se realizează o serie de n schimburi instantanee de biți între cele două părți. În fiecare schimb individual , V trimite un bit („provocare”) doveditorului P . Dacă acest bit este 0, atunci P va trimite numărul de bit i din secvență ca mesaj de răspuns . Dacă este egal cu 1, atunci mesajul de răspuns va fi numărul de bit i din secvența . La rândul său, după fiecare schimb de biți, V verifică corectitudinea tuturor mesajelor primite și, de asemenea, compară timpul scurs din momentul în care mesajul a fost trimis până în momentul în care a fost primit bitul de răspuns, cu o valoare setată t . Dacă toate mesajele și orele primite sunt corecte, atunci schimbul este considerat reușit [11] . $N_p$ $N_v$ $v^{\left({0}\right))$ $v^{\left({1}\right))$ $MAC_{K}\left({N_{v},N_{p))\right)=v^{\left({0}\right)}\left|\right|v^{\left( {1}\dreapta)}$ $C_i$ $v^{\left({0}\right))$ $C_{i}$ $v^{\left({1}\right))$ $C_{i}$
Pentru a efectua un atac, atacatorul este încorporat în această schemă și înainte ca V să trimită mesajul , ghicește bitul corespunzător , apoi îl trece imediat către partea P. Când atacatorul primește un mesaj de la P , el compară și . Dacă biții se potrivesc (probabilitatea unei potriviri este 1/2), atunci atacatorul va trimite mesajul corect către verificatorul V , în jumătatea rămasă a cazurilor când biții nu s-au potrivit, fraudatorul încearcă să ghicească valoarea acum și-l transmite lui V . Astfel, probabilitatea ca un atacator să dea valoarea corectă este de 3/4. Pentru schimburi de n biți, obținem că probabilitatea unui atac de succes este [10] . $C_{i}$ ${C_{i))'$ $C_{i}$ ${C_{i))'$ $v_{i}^{\left({C_{i}}\right))$ $v_{i}^{\left({C_{i}}\right))$ $v_{i}^{\left({C_{i}}\right))$ ${\left({3\over 4}\right)}^{n)$
De la publicarea lucrării lui Hanke și Kuhn, au fost propuse mai multe soluții pentru a crește eficiența protocolului, de exemplu, Tu (Yu-Ju Tu) și Piramuthu (Selwyn Piramuthu) și-au propus protocolul limitat la distanță, care utilizează o parte din principiile protocolului Hanke și Kuhn, dar permite reducerea probabilității unui atac de succes este de până la 9/16 (pentru un schimb de biți) [12] .

Alte moduri

Identificarea trebuie să aibă loc într- o cușcă Faraday . Dacă în bijutier există o cușcă Faraday, atunci mafioții nu vor putea face schimb de mesaje [2] .

Ivo Desmedt și Thomas Beth ( în engleză Thomas Beth ) au propus utilizarea de ceasuri precise. Dacă fiecare etapă a protocolului are loc în perioada exactă de timp, atunci mafioții pur și simplu nu vor avea timp să își trimită mesaje unul altuia. De asemenea, trebuie avut în vedere faptul că mesajele dintre probator și confirmator nu sunt transmise instantaneu, ci cu o oarecare întârziere. Această întârziere se datorează faptului că viteza luminii nu este infinită, deci timpul petrecut pentru transmiterea mesajelor este egal cu , unde l este distanța dintre laturi, iar c este viteza luminii [13] . $l/c$

Alte abuzuri ale dovezii zero-cunoaștere

O extensie interesantă a înșelăciunii efectuate de mafie este atacul „înșelăciunii teroriste” [5] . În acest tip de atac, atacatorul A (adversarul) și probatorul sunt în coluziune, adică probatorul P este un participant necinstit la interacțiune (demonstratorul necinstit). P folosește ajutorul escrocului pentru a dovedi părții care se sprijină V că se află în apropiere. Atacatorul nu cunoaște valoarea cheii secrete deținute de P . Acest lucru nu este surprinzător, deoarece, de obicei, în practică, A este un dispozitiv mic, care are o oarecare putere de procesare și memorie. Acest dispozitiv trebuie să fie situat lângă V (partea de încredere). Proverul nu are control deplin asupra atacatorului, așa că P nu poate avea încredere în dispozitivul A cu parola sa . În caz contrar, de exemplu, un alt escroc ar putea ataca dispozitivul, să pună mâna pe cheia secretă aparținând lui P și să se uite pe P [14] .
Principala modalitate de prevenire a înșelăciunii efectuate de teroriști este și utilizarea protocoalelor limitate la distanță. Cu toate acestea, nu orice protocol restricționat la distanță aplicabil în cazul înșelăciunii efectuate de mafie va ajuta la evitarea unui astfel de atac. De exemplu, protocolul Hanke și Kuhn menționat mai sus este vulnerabil la înșelăciunea teroristă. Partea doveditoare a protocolului, situată departe de verificatorul V , poate transfera pur și simplu secvențele calculate și către atacator, situat aproape de V . Apoi, fraudatorul va putea răspunde corect la solicitările participantului de verificare, respectând intervalul de timp. Este de remarcat faptul că, chiar și având secvențe de biți și , un atacator nu va putea uzurpa identitatea lui P în viitor , deoarece nu cunoaște cheia secretă și secvențele și sunt unice [15] . Unul dintre binecunoscutele protocoale limitate la distanță aplicabile pentru prevenirea înșelăciunii efectuate de teroriști este, de exemplu, protocolul lui Reid și colab. [15] . $v^{\left({0}\right))$ $v^{\left({1}\right))$ $v^{\left({0}\right))$ $v^{\left({1}\right))$ $N_p$ $N_v$
Există câteva alte metode de abuz de dovezi de zero cunoștințe, cum ar fi înșelăciunea multi-personală și problema marelui maestru [16] .

Note

↑ Desmedt, 1988 .

↑ 1 2 3 Bengio, Brassard, Desmedt et al., 1991 .

↑ Feige, Fiat, Shamir, 1988 .

↑ Schneier, 2003 , p. 93.

↑ 1 2 Singelee, Preneel, 2005 .

↑ Zhang, Kitsos, 2009 , p. 151-156.

↑ Alkassar, Stuble, 2002 .

↑ Brands, Chaum, 1994 , p. 344-359.

↑ Hancke și Kuhn, 2005 , p. 67-73.

↑ 1 2 Chong Hee Kim și colab., 2008 , p. 98-115.

↑ Singlelee et al, 2007 , p. 101-115.

↑ Tu, Piramuthu, 2007 .

↑ Beth, Desmedt, 1991 .

↑ Cremers et al, 2012 .

↑ 12 Reid et al, 2007 .

↑ Schneier, 2003 , p. 92.

Literatură

Desmedt Y. G. , Goutier C. , Bengio S. Special Uses and Abuses of the Fiat-Shamir Passport Protocol (rezumat extins ) // Advances in Cryptology - CRYPTO '87 : A Conference on theory and Applications of Cryptographic Techniques, Santa Barbara, California , SUA, 16-20 august 1987, Proceedings / C. Pomerance - Berlin : Springer Berlin Heidelberg , 1987. - P. 21-39. - ( Note de curs în Informatică ; Vol. 293) - ISBN 978-3-540-18796-7 - ISSN 0302-9743 ; 1611-3349 - doi:10.1007/3-540-48184-2_3

Desmedt Y. G. Major Security Problems with the "Unforgeable" (Feige)-Fiat-Shamir Proofs of Identity and How to Overcome Them // SECURICOM 88 : 6th Worldwide Cong.Computer and Communications Security and Protection - Groupe Blenheim-SEDEP , 1988. - P 147-159.

Feige U. , Fiat A. , Shamir A. Zero-Knowledge Proofs of Identity (engleză) // Journal of Cryptology / I. Damgård - Springer Science + Business Media , International Association for Cryptologic Research , 1988. - Vol. 1, Iss. 2. - P. 77-94. — ISSN 0933-2790 ; 1432-1378 - doi:10.1007/BF02351717

Beth T. , Desmedt Y. G. Identification Tokens - sau: Solving The Chess Grandmaster Problem // Advances in Cryptology - CRYPTO '90 : 10th Annual International Cryptology Conference, Santa Barbara, California, SUA, 11-15 august 1990, Proceedings / A. J. Menezes , S. A. Vanstone - Berlin , Heidelberg , New York, NY , Londra [etc.] : Springer Berlin Heidelberg , 1991. - P. 169-176. - ( Note de curs în Informatică ; Vol. 537) - ISBN 978-3-540-54508-8 - ISSN 0302-9743 ; 1611-3349 - doi:10.1007/3-540-38424-3_12

Bengio S. , Brassard G. , Desmedt Y. G. , Goutier C. , Quisquater J. Implementarea sigură a sistemelor de identificare // Journal of Cryptology / I. Damgård - Springer Science+Business Media , International Association for Cryptologic Research , 1991 - Voi. 4, Iss. 3. - P. 175-183. — ISSN 0933-2790 ; 1432-1378 - doi:10.1007/BF00196726

Alkassar A. , Stüble C. Towards Secure IFF: Preventing Mafia Fraud Attacks // MILCOM 2002. Proceedings - IEEE , 2002. - Vol. 2. - ISBN 978-0-7803-7625-0

Singelee D. , Preneel B. Verificarea locației folosind protocoale securizate de delimitare a distanței // Mobile Adhoc and Sensor Systems Conference, 2005. IEEE International Conference on - IEEE , 2005. - ISBN 978-0-7803-9465-0

Zhang Y. , Kitsos P. Security in RFID and Sensor Networks (engleză) - Boston : Auerbach Publications , 2009. - 560 p. - ( Rețele fără fir și comunicații mobile ) - ISBN 978-1-4200-6839-9

Stefan Brands, David Chaum. Protocoale de limitare a distanței // Avansuri în criptologie - EUROCRYPT '93. - Springer Berlin Heidelberg, 1994. - S. 344-359 .

Gerhard P. Hancke, Markus G. Kuhn. Un protocol de limitare a distanței RFID // SECURECOMM '05 Proceedings of the First International Conference on Security and Privacy for Emerging Areas in Communication Networks. — IEEE Computer Society Washington, DC, SUA, 2005. — pp. 67–73 . Arhivat din original pe 21 octombrie 2016.

Chong Hee Kim, Gildas Avoine, Fran ̧cois Koeune, Fran ̧cois-Xavier Standaert, Olivier Pereira. The Swiss-Knife RFID Distance Bounding Protocol // Information Security and Cryptology - ICISC 2008. - Springer Berlin Heidelberg, 2008. - P. 98-115 .

Yu-Ju Tu, Selwyn Piramuthu. Protocoale de limitare a distanței RFID // În primul atelier internațional EURASIP în tehnologie RFID, Viena, Austria. — 2007.

Cas Cremers, Kasper B. Rasmussen, Benedikt Schmidt, Srdjan Capkun. Atacurile de deturnare la distanță asupra protocoalelor de limitare la distanță // Proceedings of the 2012 IEEE Symposium on Security and Privacy. - IEEE Computer Society Washington, DC, 2012. - pp. 113-127 .

Bruce Schneier. Protocoale dezvoltate // Criptografia aplicată. - Ed. a II-a. - Triumf, 2003. - S. 92-93. — 816 p. - 3000 de exemplare. - ISBN 5-89392-055-4 .

Jason Reid, Juan M. Gonzalez Nieto, Tee Tang, Bouchra Senadji. Detectarea atacurilor releu cu protocoale bazate pe sincronizare // Proceeding ASIACCS '07 Proceedings of the 2nd ACM simpozion on Information, computer and communications security. - ACM New York, NY, SUA, 2007. - S. 204-213 .

Thomas Beth, Yvo Desmedt. Jetoane de identificare - sau: Rezolvarea problemei Marelui Maestru de șah . — Springer Berlin Heidelberg, 1991.

Dave Singelee, Bart Preneel. Limitarea distanței în medii zgomotoase // Proceeding ESAS'07 Proceedings of the 4th European Conference on Security and Privacy in ad-hoc and sensor networks. — Springer Berlin Heidelberg, 2007.