ברוכים הבאים לאתר ההצפנה העברי

סיפורם של אליס ובוב (כתבה הומוריסטית)

שיקוי פלאים (Snake Oil)

תורגם ועובד על ידי יוסי א. ממאמר Snake Oil שכתב ברוס שנייר מומחה הצפה בעל שם ונשיא Counterpane.

הבעיה עם תוכנית אבטחה רעה שהיא נראית על פניה בדיוק כמו תוכנית טובה. לא ניתן להבחין בהבדל בין השתים תוך התבוננות במוצר המוגמר. שתיהן טוענות לבטיחות דומה ולשתיהן תפקוד דומה. יתכן ששתיהן אפילו עושות שימוש באותם אלגוריתמים: DES משולש, RSA עם מפתחות 1024 ביט וכדומה. שתיהן אולי משתמשות בפרוטוקולים זהים, מיישמות אותם תקנים ואף בדרך כלל נתמכות על ידי ארגונים דומים. ולמרות זאת אחת בטוחה ואילו השנייה לא.

מומחי הצפנה רבים משווים את הסיטואציה לתעשיית התרופות לפני תקנות הפיקוח. הדמיון רב, יצרנים יכולים לטעון כל טענה העולה על רוחם, לקוחות אינם מומחים דים כדי לשפוט את מידת אמינות הטענות והיצרנים מתנערים מכל אחריות (קרא למשל את הסכם השימוש שאתה מאשר כשאתה קונה תוכנה).

לא שאין מוצרי הצפנה טובים. יש כמה. יש יצרנים שעושים מאמץ רציני לפתח מוצרי תוכנה טובים ומשתדלים להיות הגונים בפרסום שלהם. אחרים מאמינים שבידם מוצר טוב למרות שאינו כזה, כנראה שהם לא טובים מספיק כדי להבחין בהבדל. וישנם כאלו שכל מטרתם רווח מהיר ובאמת לא מעניין אותם איכות המוצר שהם מוכרים.

מרבית המוצרים נופלים בקטגוריה האמצעית. הכוונה טובה אבל התוכנה לא בטוחה. כל אחד יכול לפתח תוכנה קריפטוגרפית שהוא עצמו לא יכול לפרוץ. המשמעות היא שאדם עם כוונה טובה עולה על רעיון חדש, או לפחות רעיון שהוא עוד לא שמע עליו ושנראה לו בטוח לגמרי והוא מאמין באמת ובתמים שזה עתה מצא את תרופת הפלא לכל בעיות האבטחה. גם ללא קסם כלשהו, הקושי שביצירת מוצר אבטחה בשילוב הקלות שבה אפשר לעשות טעויות תוכנה, מהווים גורם עיקרי לקריפטוגרפיה גרועה שכול כך נפוצה.

מקור הביטוי "שיקוי פלאים" שמייחסים בדרך כלל לקריפטוגרפיה גרועה, היה ביטוי נפוץ באמריקה בשלהי המאה שיוחס לרפואה שקרית. כמו אותם סוכנים נודדים ורוכלים שהציעו את "סם החיים", שיקוי פלאים המרפא את כל התחלואים עלי אדמות. הביטוי המקביל בעברית הוא ככל הנראה בבל"ת, כמו "מים קדושים" שמוצעים למכירה כתרופה לכל מיני מחלות.

לדוגמה הנה ציטוט מהודעת פרסומת מסוג זה שפורסמה לא מזמן: "תוכנת Encrypter 4.0 משתמשת באלגוריתם ייחודי, פיתוח בלעדי של החברה המבוסס על shift. פענוח הצופן בלתי אפשרי מבחינה מעשית, אפילו אם יעלה בידי מישהו להנדס לאחור את התוכנה שלנו ולחשוף את האלגוריתם, פענוח הקובץ המוצפן תלוי בסיסמה (מפתח הצפנה) מדויקת. גם אם ינסה לנחש את מפתח ההצפנה, הפענוח יצליח רק אם מפתח ההצפנה הוא 100 אחוז נכון. ראה הודעה חשובה באתר שלנו". מבלי להיכנס לאתר, אפשר להתרשם מהדברים שהסיכויים שהמוצר הזה שווה משהו קלושים.

בניית מוצר אבטחה טוב, נעשית על בסיס מתמטי איתן שנבדק היטב ולאורך זמן בידי מומחים בעלי ניסיון מוכח ובאופן כללי עם נטייה לשמרנות יתרה. להלן אוסף סימני אזהרה לשיקויי פלאים נפוצים, המסייעים באבחון מראש של מידת אמינות הפרסום או טענות היצרן. תמרורי האזהרה אינם מוכחים ולא נקיים מטעויות אך מספקים מושג די טוב גם למי שאינו מומחה, באשר לאמינות הפרסום של מוצר אבטחה.

תמרור אזהרה מס' 1: ז'רגון מתמטי מעורפל
שים לב לניסוח בציטוט לעיל "אלגוריתם ייחודי, פיתוח בלעדי של החברה המבוסס על shift ...". יש למישהו רעיון כלשהו למה בדיוק הם מתכוונים? האם קיימים מאמרים אקדמיים כלשהם התומכים ברעיון? אוסף של מונחים מרשימים לא בהכרח מעיד על בטיחות טובה.

הציטוט המשעשע הבא מופיע באתר חברת מגהנט: "הבסיס ל-VME הוא "מטריצה וירטואלית", מטריצה של ערכים בינאריים שתיאורטית אינסופית בגודלה, לכן אין לה יתירות. המידע המיועד להצפנה מושווה עם המידע במטריצה הוירטואלית, כאשר נמצאת התאמה, נוצרת קבוצה של מצביעים המציינים כיצד לנווט במטריצה. קבוצת המצביעים (שהיא חסרת תועלת אלא אם כן מצביעה למטריצה הוירטואלית הנכונה) מוצפנת לאחר מכן במספר אלגוריתמים בשלבים שונים כדי ליצור אפקט מפולת. התוצאה היא קובץ מוצפן שאפילו אם יפוענח חסר משמעות לחלוטין מאחר שהמידע המפוענח אינו המידע המקורי אלא בעצם אוסף של מצביעים. בהתחשב בכך שלכל תהליך VME יש מטריצה וירטואלית משלו וכן דפוס המידע בתוך המטריצה הוירטואלית אקראי לחלוטין ואינו מכיל יתירות, אין דרך לשחזר את המידע מתוך קבוצת המצביעים". זה נשמע חסר הגיון גם למומחה.

חברת US Data Security מפרסמת באתרה את הציטוט הבא: "מנקודת מבט מתמטית, אלגוריתם TTM באופן טבעי אינטואיטיבי יותר ופחות מסורבל לשימוש משיטות אחרות המבוססות על תורת המספרים". חברת SuperKrypt מנסה להרשים בראשי תיבות. באתר נכתב: "מוצרי SuperKeypt משתמשים בשיטת הצפנה גושית DNGT" מה שזה לא יהיה. לחברת Cennoid פשוט אין מושג על מה הם מדברים: "היות שאורך המפתח ומבנה המפתח משתנים והיות שמנוע ההצפנה אינו משתמש באלגוריתם מתמטי כלשהו, הנדסה לאחור בלתי אפשרית וניחוש אינו בא בחשבון".

הנקודה היא שכמו רפואה, הצפנה היא מדע. קיים גוף ידע שחוקרים עמלים בשיפורו באופן תמידי: מפתחים שיטות אבטחה חדשות, מפצחים טכניקות אבטחה קיימות, מקימים יסודות תיאורטיים וכדומה. מי שניכר בו לחלוטין שאינו מדבר בשפה של ההצפנה ואינו בקי מן הסתם בספרות המקצועית, לחלוטין לא סביר שעלה על משהו רציני. זה בדיוק כמו שאם הרופא שלך יתחיל לדבר על "גלי אנרגיה וריפוי בויבראציות" אתה תתחיל לדאוג.

תמרור אזהרה מס' 2: מתמטיקה חדשנית
כל מספר שנים, קם לו איזה מתמטיקאי, מעיף מבט לעבר קריפטוגרפיה ואומר לעצמו משהו כמו "אהה, זה קל" ואז מתחיל בפיתוח אלגוריתם הצפנה מתוך מה שזה שלא יהיה, שהוא עובד עליו. התוצאה גרועה כמעט תמיד.

הזהר מקריפטוגרפיה המבוססת על פרדיגמות חדשות או תחומי מתמטיקה חדשים כמו תורת הכאוס, רשת נוירונים, תורת הקודים, פונקציות זטא וכדומה. קריפטוגרפיה אינה קלה, הסיכויים שללא ידע וניסיון מתאים יצליח מישהו לגרום לשינוי מהפכני בתחום, קלוש ביותר. וגם אם כן, עדיף לתת לקהילה האקדמית מספר שנים כדי לעכל את הרעיון לפני שרצים לקנות מוצר המבוסס עליו.

תמרור אזהרה מס' 3: קריפטוגרפיה קניינית
למרות שלא הכול תמימי דעים לגבי לזכויות יוצרים ופטנטים בתחום ההצפנה, זכות קניינית יכולה לשמש גם היא כסימן אזהרה. כאשר חברה כמו GenioUSA מסרבת לגלות באיזה אלגוריתם היא משתמשת למוצר האבטחה שהיא משווקת (באתר נטען שזוהי "הצפנת מפתח סודי ברמה עולמית", מה שזה לא יהיה), צריך לחשוב פעמיים לפני שקונים את מוצריה (שדרך אגב נפרצו לחלוטין).

חברה אחרת, Crypt-o-Text מבטיחה באתרה "אלגוריתם קנייני מורכב" וכן "אין שום דרך לנחש את הסיסמה שנעשה בה שימוש על ידי התבוננות בטקסט המוצפן". האלגוריתם נפרץ לחלוטין בסקירה שנעשתה באתר InfoWorld.

תופעה זו אינה מצומצמת רק לחברות קטנות. חברת Axent ניסתה להערים פעם עם XOR כאלגוריתם הצפנה אמיתי. זה התגלה במקרה רק לאחר שמישהו עיין בקוד התוכנה.

כל חברה שמסרבת לדון באלגוריתמים או הפרוטוקולים שלה, מסתירה משהו. אין סיבה הגיונית אחרת. ואל תיתן להם לשכנע אותך שהסיבה היא שתלויה בקשת פטנט על האלגוריתם, כי מיד לאחר שהפטנט יירשם לא תהיה להם בעיה לחשוף פרטים. ואם הם עדיין עובדים על הפטנט, אפשר לומר להם פשוט לחזור לאחר שיסיימו ויפרסמו אותו ברבים.

תמרור אזהרה מס' 4: עמימות מכוונת
חברות מסוימות נותנות הצהרות מוזרות וחסרות פשר שניכר בהם לחלוטין שאינם מבינים דבר וחצי דבר בנושא. חברת TriStrata אומרת על אלגוריתם ההצפנה שלה: "היות שהאלגוריתם של TriStrata פשוט כל כך ובעל מורכבות חישובית כה מועטה, צד הלקוח מתאים למגוון רחב של מערכות, משרת ועד מחשב כף יד". הם כנראה לא שמעו שכל אלגוריתם הצפנה קטן דיו כדי להתאים למחשב נייד וש-DES, RSA ו-SHA מתאימים גם למחשב 8-bit כמו כרטיס חכם וכן שאפשר ליישם גרסאות של AES ב-17 מחזורי שעון לבית או על מעגל אלקטרוני המכיל כמה אלפי שערים.

GenioUSA מסבירים מדוע הם לא משתמשים בהצפנת מפתח פומבי במוצרים שלהם: "הצפנת מפתח פומבי היא בדיוק כך, אתה אינך המשתתף היחיד המעורב בתהליך ההכנה, הבטחת השלמות והבטיחות של כל מפתחות/סיסמאות ההצפנה ששימשו להצפנת הדואר האלקטרוני שלך או המסמכים שלך. הצפנת מפתח פומבי היא טכנולוגיה מצוינת להחלפת מסרים בין כאלו שאינם סומכים אחד על השני לגבי המפתחות הסודיים שלהם ו/או אינם יכולים להחליף איתם מפתחות. אנו מצטטים פסקה אחת מתוך אתר ידוע 'כל מערכות הצפנת מפתח פומבי הידועות, פגיעות להתקפות קיצור דרך ולכן חייבות להשתמש במפתחות גדולים פי עשרה או יותר באורכם מאשר האלגוריתמים שנדונו כאן כדי להגיע לאותה רמת בטיחות' ". ולכן? למה בדיוק הם מתכוונים?.

תמרור אזהרה מס' 5: מפתחות באורך מגוחך
Jaws Technology מתפארים: "תודות לאלגוריתם L5 הבלתי שביר של JAWS עם מפתח הצפנה בגודל 4096 ביט!, בטיחות רוב המסמכים החשובים שלך מובטחת". חברת מגהנט לקחה את הגחמה אפילו רחוק יותר. באתר החברה נכתב: "מפתח סימטרי באורך מיליון סיביות!! – השוק כיום מציע בין 40 ל-160 סיביות בלבד!!".

האורך אכן קובע אבל עד לנקודה מסוימת. AES מאפשר מפתחות הצפנה באורכים 128, 192 או 256 סיביות. הרבה מעבר למה שדרוש לפחות לעתיד הנראה לעין. למעשה, קשה לדמיין שחיפוש ממצה (כוח גס) בסיבוכיות של 256 ביט יכול להיות אי פעם מעשי. לשם כך דרושה פריצת דרך מהפכנית לא רק בפיזיקה אלא גם בהבנת היקום. להצפנת מפתח פומבי, מפתח הצפנה באורך 2048 סיביות או 4096 סיביות לפרנואידים במיוחד, משיג בטיחות דומה. מעבר לכך זה חסר טעם.

אפשר לראות בתמרור זה כתת-נושא לתמרור מס' 4. בוודאי לא תרצה שחברה שאינה מבינה במפתחות הצפנה, תפתח עבורך מוצר אבטחה.

תמרור אזהרה מס' 6: פנקס חד פעמי
פנקס חד פעמי חסר תועלת במוצרי הצפנה המוניים. הוא יכול להיות שימושי עבור מרגל המצויד בעט ונייר, או לאבטחת הטלפון האדום בין וושינגטון ומוסקבה, פנקס חד פעמי אינו שמושי עבור כל אדם. רוב החברות שטוענות שפיתחו פנקס חד פעמי למעשה מטעות. יש להם מן הסתם משהו שהם חושבים שהוא פנקס חד פעמי. פנקס חד פעמי אמיתי מוכח כבטוח מבחינה מתמטית במגבלות קפדניות (כנגד התקפות מסוימות), אך אינו שימושי מהיבט פרקטי בדרך כלל.

חברת Elementrix , כיום מפורקת, הצהירה לפני מספר שנים שבידה פנקס חד פעמי אך סירבה להגיב גם כאשר הוכח שאין לה דבר כזה. Ciphile Software לעומתם ניסו להתחכם. באתר נאמר: "Absolute Privacy המקורי דרגה 3 הוא מחולל פסבדו פנקס-חד-פעמי עם מאפיין הגדלה רב עוצמה ומתוחכם ביותר". מישהו יודע מה הפירוש "פסבדו פנקס-חד-פעמי"?

לאחרונה, קפצה TriStrata על בימת עולם הקריפטוגרפיה בהכרזה רעשנית כי פיתחה פנקס חד פעמי משלה. מאז, הוטחה בה ביקורת רבה מצד כל מי שקורטוב של היגיון קריפטוגרפי בעורקיו עד שלאחרונה הוסרה ההצהרה הכוזבת מהאתר.

יתכן שחברת Ultimate Privacy אכן משתמשים בפנקס חד פעמי (למרות שהם טוענים שהם משתמשים גם ב-Blowfish מה שנראה כסתירה), ציטוט מהאתר: "פנקס חד פעמי הוא שיטת הצפנת מפתח סודי המצריכה העברה בטוחה של הפנקס המשמש כמפתח בפתרון שלנו. בטיחות הפצת המפתח תלויה במידת הסודיות הרצויה – לאבטחת תקשורת נקודה לנקודה עם אדם אחר, אנחנו ממליצים להעביר את הפנקס באופן אישי". צריך לזכור שהפנקס אותו מעבירים במסירה ידנית חייב להכיל מפתח באורך המסר להצפנה וכן עבור כל מסר חדש יש להעביר פנקס חדש, אחרת זה לא פנקס חד פעמי.

תמרור אזהרה מס' 7: הצהרות לא מוכחות
Jaws Technology מתארים את טכנולוגית ההצפנה החדשה שלהם: "מוצר ההצפנה המפורסם מדעית שלנו, הוא התוכנה הטובה ביותר מסוגה בעולם". מפורסם למי? ולפי איזה קנה מידה היא התוכנה הטובה מסוגה בעולם? באתר החברה לא צוין דבר על כך.

המונח UBE98 משמש ראשי תיבות של "הצפנה בלתי שבירה" או לפחות הייתה, לפני שלקח למישהו יום אחד כדי לפרוץ אותה. באתר ישנן הצהרות מגוחכות נוספות: "אחת מההצפנות החזקות ביותר הזמינות באנגליה, בתוכנה שכל אחד יכול להבין איך להשתמש בה!". וואלה. SenCrypt אף מתהדרת בפרסומת "אלגוריתם ההצפנה הבטוח ביותר הידוע כיום לאנושות". וווואלללה.

חברות אחרות טוענות שאלגוריתמים של מתחריהם "נפרצו" מבלי לפרט איזה ואיך. כמו הטענה ששיטות מפתח פומבי חסרות תועלת, שטויות שכמובן אין להאמין להן. אם מישהו טוען שהמוצר שלו נבדק על ידי מומחי הצפנה, יש לדרוש שמות, או לפחות העתק של המחקר שבוצע. ישנן חברות ייעוץ כמו Counterpane המספקות ניתוח בטיחות של מוצרי הצפנה לכל דורש. הלקוח יכול לפרסם את תוצאות הבדיקה או למסור אותם ללקוחות שלו כהוכחה לטיב המוצר.

תמרור אזהרה מס' 8: הוכחת בטיחות
ישנן שתי סוגי הוכחות בבל"ת. הראשונה היא הוכחה מתמטית אמיתית אך שאינה אומרת דבר ממשי לגבי בטיחות המוצר עצמו. השנייה היא הוכחה מזויפת. Meganet טוענת שיש לה הוכחה שאלגוריתם VME בטוח כפנקס חד פעמי. "ההוכחה" שלהם היא הסבר מפורט כיצד עובד פנקס חד פעמי, והקסם הבא: "ל-VME ישנה אותה תכונה של תבניות התנהגות, ועל כן מוכח שהוא בטוח ועמיד בדיוק כמו פנקס חד פעמי". הם מפרסמים תוצאות של מבחנים סטטיסטיים לאישוש הטענה. זו לא הוכחה במובן המתמטי, אפילו לא קרוב להוכחה.

מערכות הצפנה מוכחות בטיחות מבחינה מעשית הן מקרה עדין יותר. מערכות כאלו אכן קיימות. בקיץ האחרון חברת IBM הפיצה שמועה תקשורתית בנוגע למערכת מוכחת בטיחות, שלטענתם תביא למהפכה בנוף הקריפטוגרפי. מאז נעלמו עקבותיה. המחקר עצמו מעולה, אך מעשית, להוכחות מתמטיות אין בדרך כלל השלכות ממשיות על בטיחות המוצר.

תמרור אזהרה מס' 9: תחרות פריצה
ישנן חברות שמפרסמות קמפיין תחרותי שבו מוצע פרס נאה תמורת פריצת האלגוריתם שלהם ובדרך כלל אינן מספקות מידע כלשהו כיצד הוא עובד. תחרויות פריצה אינן ערובה לבטיחות מסיבות רבות. הן לכל היותר גימיק שווקי ותו לא. לעיתים הן רק כיסוי לעובדה שהמפתחים אינם יכולים או אינם יודעים כיצד להוכיח את בטיחות המוצר שלהם.

ישנם מקרים יוצאי דופן. מספרי האתגר של RSA למשל, היוו תמריץ חיובי מאחר שנושא פירוק לגורמים נמצא כבר על סדר היום ומתן פרסים למי שיצליח לפרק לגורמים את מספרי האתגר רק מוסיפים למאמץ שקיים בלאו הכי לפירוק לגורמים. תחרויות שמאורגנות על ידי חברות המפרסמות את פרטי האלגוריתם שלהם ומציעות פרס למי שיצליח להוכיח אפילו תיאורטית, פגמים או חסרונות באלגוריתם, הן בסדר כל עוד אינן נעשות מתוך כוונה להוכיח את בטיחות האלגוריתם.

סיכום: הפרדת הטוב מהרע
תמרורי האזהרה לשיקויי פלאים אינן מהווים קריטריון מספק או נחוץ להפרדת קריפטוגרפיה טובה משיקויי פלאים. כמו שיכולים להיות מוצרים לא בטוחים שאינם נופלים באף אחת מרשימת תשע האזהרות, יכולים להיות מוצרים טובים באמת שנראים ממש כמו שיקוי פלאים. אלא שלרוב האנשים אין את הזמן, הסבלנות או הידע המקצועי כדי לבצע ניתוח הכרחי כדי לקבל הערכה מלומדת. והעדר גוף כמו מנהל המזון והתרופות האמריקאי כדי לפקח על ההצפנה, הדבר היחידי שיכול אדם לעשות הוא להיעזר בסימני אזהרה כמו אילו.

לקריאה נוספת עיין ב-Snake Oil FAQ (שו"ת בבל"ת), באתר המכיל מידע שימושי על מוצרי הצפנה שנויים במחלוקת וכן דרכים טובות לכיול גלאי הבבל"ת שלך.