Crypto AG (Switzerland) - 使用了哪些算法以及後門是如何工作的?
背景故事
Crypto AG 是一家位於瑞士的專門從事通信安全的公司。他們生產了許多用於安全通信的加密機器(有些類似於臭名昭著的Enigma )。
該公司於 1970 年被中央情報局和德國情報機構 BND 秘密收購。最近(2020 年 2 月 11 日)透露,CIA 和 BND 負責在 Crypto AG 的機器中安裝後門(一些瑞士高級政府官員知情)。該操作最初以代號“Thesaurus”和後來的“Rubicon”而聞名。
Crypto AG 顯然是一個理想的目標,因為它是一家瑞士公司,並且因為他們向 120 多個政府(伊朗、阿根廷、意大利、梵蒂岡城、UNO 等)出售產品,對政治取向漠不關心。
編輯:更多資訊
明確且有意妥協的機器/設計:
- C52 / CX52,1951年首次製造
Crypto AG 出售的許多 C-52 和 CX-52 機器都遭到破壞,分別使美國和英國的國家信號情報機構、國家安全域 (NSA) 和政府通信總部 (GCHQ) 受益。(維基百科)
- H460,1967 年首次製造
1967 年,Crypto 發布了 H-460,這是一種全電子機器,其內部工作由 NSA 設計。
事實證明,該警告具有先見之明,因為 Caflisch(美國電氣工程師,在不了解美國情報機構的情況下申請並隨後被 Crypto AG 聘用)很快開始調查該公司產品的漏洞。Spoerndli 在接受采訪時說,她和研究部門的同事 Spoerndli 對包括使用摩托羅拉技術製造的電傳打字機模型 HC-570 在內的設備進行了各種測試和“明文攻擊”。
$$ … $$ “算法,”他說,“總是看起來很可疑。”
在隨後的幾年裡,Caflisch 繼續提出問題。有一次,她設計了一種強大的算法,以至於 NSA 官員擔心它會無法讀取。在公司高管發現並停止開發之前,該設計已進入工廠車間的 50 台 HC-740 機器。(華盛頓郵報)
(到目前為止)因情報機構不確定參與而受損的機器/設計(除了維基百科提到這些機器外,我還沒有找到任何參考資料):
Sullivan 展示瞭如何使用爬山搜尋技術攻擊 CD57。(維基百科)
問題
這些後門(和其他後門一樣)顯然可以根據數學原理實現。
我的問題是:
- 機器是如何工作的?
- 後門究竟是如何運作的?
TL;博士
一些機器包含操縱的密鑰生成器。德國和美國情報部門可能已經對密鑰生成器的其他算法進行了逆向工程。
以下機器被故意操縱:
- C52/CX52 (1951)
- H460 (1967)
- MCC-314 (1972)
- CD57 (1957)
有關某些機器的詳細資訊現已公開。
以下資訊取自Rundschau(瑞士政治節目)報告。
MCC-314
偽裝成西門子員工的德國聯邦情報局(BND,德國聯邦情報局)的員工越來越多地要求必須對 MCC-314 機器的開發進行更改。
MCC-314 的首席設計師(Crypto AG 內部員工)觀察到,所要求的更改最終會導致機器的安全漏洞。在發現這個弱點後(他使用了“後門”這個詞),他通知了一名員工 Bruno von Ah(Crypto AG 工程師)這個弱點。他還在 Crypto AG 內部表達了對這些機器的擔憂。他在沒有通知的情況下被解僱後不久。
在被解僱後,他通知瑞士司法部,Crypto AG 正在銷售故意操縱的機器。
記錄 Crypto AG 行動的“Minerva”報告指出:
1978 年,當 X(首席設計師的編輯姓名)被解僱時,他向瑞士司法部提出了操縱 CAG 設備的指控,而這兩位合夥人都不知道。
瑞士聯邦檔案館指出:
密碼設備
$$ … $$已經提供了操縱的密鑰生成器,這使 BRD(西德)和美國的情報部門有可能對消息進行解碼。
關於這些報告,我們可以強烈假設 MCC-314 機器的“後門”是由於操縱的密鑰生成器而成為可能的。
MCC-314 的手冊詳細介紹了機器的內部工作原理,如下所示:
從傳輸通道饋送的清晰數字資訊在密鑰電腦中進行處理。該過程是根據儲存在磁芯儲存器中的基本密鑰連續生成的密鑰鏈來執行的。
CX52
CX52 可以使用隨機磁帶,用作一次性填充 (OTP) - 此版本稱為“CX52/RT”。
這些機器的隨機磁帶是由“密碼生成器”(在這種情況下相當於隨機數生成器)生成的。
來自 Ah 的 Bruno 筆記:
“我收到了一個開發密碼生成器的設計。當密碼生成器終於開始工作並且隨機磁帶被打孔時,CEO 過來把隨機磁帶帶到了他的辦公室。然後我心想‘我們的 CEO 用它做什麼隨機磁帶?後來我假設不同的參與者/各方想知道這個密碼生成器的詳細工作原理。”
從這些評論中,我們可以假設分析隨機磁帶以推斷(逆向工程)密碼生成器的工作方式(並隨後重建隨機磁帶以解密加密消息)。