Bezpečnostní aspekty souborových systémů a bezpečnost dat zajištěná šifrováním disků

Transkript

1 Masarykova univerzita Fakulta informatiky Bezpečnostní aspekty souborových systémů a bezpečnost dat zajištěná šifrováním disků Bakalářská práce Radek Macek Brno, jaro 2011

2

3 Prohlášení Prohlašuji, že tato práce je mým původním autorským dílem, které jsem vypracoval samostatně. Všechny zdroje, prameny a literaturu, které jsem při vypracování používal nebo z nich čerpal, v práci řádně cituji s uvedením úplného odkazu na příslušný zdroj. Poděkování Na tomto místě bych rád poděkoval vedoucímu mé bakalářské práce dr. Janu Krhovjákovi za časovou investici, podmětné připomínky a vstřícnost, se kterou se věnoval mému snažení. Vedoucí práce: Mgr. et Mgr. Jan Krhovják, Ph.D.

4 Shrnutí Tato práce představuje úvod do problematiky bezpečnosti dat na disku nebo v síti, čehož se dosahuje steganografickými a šifrovacími metodami. Zabývá se možnostmi souborových systémů určených pro tyto účely a jejím záměrem je podat srozumitelný výklad za uvedení nezbytných znalostních podkladů. V práci je proveden rozbor freeware programů, které jsou schopny šifrovat celý obsah disku nebo jeho části. Největší pozornost je zaměřena na program TrueCrypt. Jednotlivé programy jsou rozlišeny na základě použitých módů operací a šifer, které se u nich používají. Tyto šifry i módy jsou zde vysvětleny.

5 Klíčová slova steganografický souborový systém, steganografie, kryptografie, bezpečnost, IEEE standardy, módy operací

6 Obsah Kapitola Úvod Klasické souborové systémy... 6 Kapitola Steganografie Klasifikace steganografie Ukrytí tajné zprávy do cover média... 9 Kapitola Steganografické souborové systémy Základní pojmy používané u souborových systémů První návrhy steganografického FS StegFS: A Steganographic File System for Linux StegFD: A Local Steganographic File System Kapitola Souborové systémy v síti Napster Gnutella Freenet The Free Haven Project NFS Network File System Kapitola Steganografické souborové systémy v síti Mnemosyne Mojitos Ukrývání aktualizací ve steganografickém FS Obrana proti analýze provozu Kapitola Šifrování disků Možnosti šifrování disků Módy operací IEEE standardy Kapitola Analýza šifrovacích programů TrueCrypt FreeOTFE Další šifrovací programy Kapitola Závěr... 38

7 Kapitola 1 Úvod Žijeme v době, kdy se s počítači setkáváme každý den. Nachází se v mobilních telefonech, televizi, autech, prostě všude, kde nám mohou ulehčit život. Nejčastěji si ale pod pojmem počítač představíme stolní počítač nebo notebook. Máme na nich uložena svoje data a chtěli bychom k nim mít zajištěný přístup a garantovánu jejich bezpečnost. S příchodem lokálních sítí a internetu vznikly nové nároky na bezpečnost. Již se neřeší pouze případy, kdy se útočník fyzicky zmocní daného počítače, ale počítá se také s možností narušení bezpečnosti z jiného počítače v síti. Přístupů k řešení bezpečnosti je mnoho. Existují aktivní prvky, jako je firewall, který reaguje na aktuální útoky ze vzdáleného počítače, a pasivní prvky, jako je šifrování, kde musíme znát heslo, abychom se dostali ke svým datům. Klasické kryptografické systémy [28] jsou založené např. na NP-těžkých problémech (jako je faktorizace dvou velkých prvočísel). Je lehké spočítat funkci jedním směrem, ale je extrémně složité ji výpočetně najít opačným směrem bez znalosti nějaké speciální informace. Spoléhá se tedy více na výpočetní bezpečnost než na teoretickou. Žádný útočník nemá přístup k neomezené výpočetní síle. Pro kryptosystém, který má být výpočetně bezpečný, platí, že složitost jakéhokoliv úspěšného útoku musí být větší než výpočetní možnosti útočníka. Další ochranné mechanismy zajišťují steganografické metody, které ukrývají samotnou existenci informace. Se steganografií souvisí pojem stegoanalýza [8, 9]. Jejím cílem je identifikovat podezřelé informační proudy a rozhodnout, zda obsahují skrytou informaci. Pokud je to možné, obnoví ji. Narozdíl od kryptoanalýzy, kde zachycená šifrovaná data jasně obsahují zprávu, stegoanalýza začíná s větším počtem podezřelých proudů a postupně jejich množství snižuje. Využívá se především statistické analýzy s použitím pokročilejších statistických metod. 1.1 Klasické souborové systémy Klasické souborové systémy (FS File System) můžeme rozdělit podle operačních systémů. U Windows je to NTFS (dříve FAT32) a Linux je schopný pracovat s více FS: ext2, ext3, ext4, JFS, XFS a jiné. U Mac OS narazíme na HFS+. Souborové systémy musí udržovat konzistenci dat na disku, což znamená, že při operacích na datech nesmí dojít k jejich ztrátě nebo nechtěné změně. Některé souborové systémy se snaží čelit problémům s možnou ztrátou dat při výpadcích proudu pomocí tzv. žurnálování. To je technika, která zajišťuje integritu dat a jejím principem je uchovávání chronologického záznamu prováděných operací, do kterého se zapisují všechny prováděné činnosti. Po restartu jsou nekonzistentní data obnovena. Bezpečný přístup k souborovému systému může být založen na ACL (Access Control List) nebo na schopnostech (capabilities). ACL je seznam, kdy ke každému objektu jsou přiřazeni uživatelé a operace, které daný uživatel může provádět. Modernějším způsobem jsou tzv. role, kdy jsou oprávnění přidělována rolím a jednotlivé role jsou přidělovány uživatelům. U capability-based security uživatel spustí program, který nemá žádná práva. Až poté se uživatel rozhodne, která práva danému programu udělí. NTFS využívá již zmíněný ACL a další 3 koncepty pro objekt: vlastnictví, dědění oprávnění a kontrolování. Vlastnictví objektu je schopnost přiřadit přístupové práva jiným uživatelům jeho vlastní- 6

8 kem. Dědění oprávnění automaticky přiřazuje práva pro soubory v daném adresáři. Kontrolování povoluje administrátorovi monitorovat změny v souborech nebo složkách. Linuxové systémy taktéž většinou využívají ACL nebo RBAC (Role-Based Access Control). Další nástroje pro zvýšení bezpečnosti jsou například: xlock, který automaticky uzamkne počítač, integrity checker, PGP, Kerberos, CIPE (Cryptographic IP Encapsulation), který šifruje data na síťové úrovni, shadow passwords a mnohé další. [29] Cílem teoretické části bakalářské práce je analýza bezpečnostních vlastností různých souborových systémů, ať již na lokálním nebo sdíleném médiu, a metod dodatečného zabezpečení dat na disku, zejména pomocí šifrování disku. Práce slouží jako úvod do problematiky zabezpečení dat na disku a souborových systémech a skládá se z několika částí. Druhá kapitola se zaměřuje na zabezpečování souborů pomocí steganografie. Třetí se zabývá steganografickými souborovými systémy určenými pro lokální počítače. Další 2 části rozebírají problematiku síťových FS a předposlední část se zaměřuje na šifrování celého obsahu disku. Praktická část práce provádí srovnání a bezpečnostní analýzu dostupných produktů pro šifrování disku. 7

9 Kapitola 2 Steganografie Steganografie je vědní disciplína, která se zabývá ukrytím zprávy uvnitř jiné zprávy. Samotné slovo pochází z řeckého steganos ukrytý a graphein psát. Informace jsou ukryty takovým způsobem, že nikdo kromě oprávněného uživatele neví o jejich existenci. Steganografie mnohdy využívá kryptografických technik. Nejdříve je zpráva šifrována, aby po odhalení její existence nebylo možné jednoduše přečíst její obsah, poté se přidá do cover média (či pouze cover), které se pozmění tak, aby mohlo tuto zprávu obsahovat. Tato změna však není viditelná navenek. V informatice jako cover mohou sloužit např. audio/video soubory. Z historie známe mnoho případů užití steganografie. Kolem roku 491 př. n. l. poslal Demaratus varování o nadcházejícím perském útoku na Řecko na dřevěné destičce zalité voskem, na němž byla vyryta nevinná zpráva. Ve druhé světové válce se využívaly mikrotečky. Jednalo se o miniaturizaci textu či grafiky do prostoru velkého asi 1 mm. Mikrotečky byly posílány v obyčejných dopisech jako součást interpunkčních znamének. Výhoda steganografie nad kryptografií samotnou je taková, že zprávy na sebe nepřitahují pozornost. Neukrytá kódovaná zpráva vždy vzbudí podezření a sama o sobě může být usvědčující. V digitálním světě jsou obě disciplíny zamýšleny jako ochrana před nepovolanými uživateli. Nejlepší cestou k ochraně svých dat je využití víceúrovňového zabezpečení, v tomto případě kombinace ukrytí zprávy a jejího zakódování. Můžeme rozlišit mezi stegosystémem s pasivním a aktivním útočníkem. Pasivní útočník pouze monitoruje komunikaci. Na každé zprávě může spustit několik statistických testů, ale nesmí danou zprávu pozměnit. Na druhou stranu aktivní útočník manipuluje se zprávami, aby zamezil možnosti skryté komunikace. V tomto případě musí informace ustát různé překódování coveru. Zde je doporučeno použít kódování s opravou chyb. Typickými praktickými aplikacemi jsou watermarking [2] a fingerprinting. Obě aplikace se používají pro ochranu autorských práv. Watermarking zanechává na digitálním produktu skryté informace, které se později dají použít k prokázání vlastnictví majitele nebo k vystopování šíření a replikace tohoto produktu. Fingerprinting je velice podobný. Zanechává na produktu sériové číslo, podle kterého je možno vystopovat určitou kopii autorsky chráněných dat. Ideální watermark je nezjistitelný a v případě zničení může být obnoven. 2.1 Klasifikace steganografie Steganografii můžeme rozdělit podle využití klíče na: - steganografie bez klíče; - steganografie se soukromým klíčem; - steganografie s veřejným klíčem. Steganografie bez klíče je steganografický způsob ukrývání informací, který nevyžaduje šifrovací klíč. Je to nejméně bezpečná metoda založená na předpokladu, že žádná nepovolaná strana si není vědoma existence této zprávy. Steganografie se soukromým klíčem se využívá u systému, který vyžaduje výměnu tajemství důležitého při komunikaci. Tato metoda je více náchylná na zachycení. Pokud někdo ukrytou zprávu zachytí, je k jejímu porozumění potřeba znát soukromý klíč. 8

10 Steganografie s veřejným klíčem využívá kombinace veřejného a privátního klíče při zabezpečení tajné komunikace. Jedná se o mnohem bezpečnější cestu implementování steganografie, protože dokáže zpracovat robustnější a prozkoumanější šifrovací technologii veřejného klíče. Dále existují 2 způsoby, jak ukrývat informace. Buď můžeme ukrýt tajnou zprávu do cover média nebo můžeme použít steganografický souborový systém. 2.2 Ukrytí tajné zprávy do cover média Téměř všechny digitální souborové formáty se dají použít pro ukrývání informací, ale formáty, které mají vysoký stupeň redundance, se k tomuto účelu hodí více. Redundance se dá definovat jako bity objektu, které poskytují přesnost více než nutnou pro použití objektu. Redundantní bity jsou ty, které mohou být pozměněny bez toho, aby tato změna byla lehce zjistitelná. Velikost ukrývané informace bývá většinou závislá na velikosti coveru. Informace nesmí být příliš velká, protože čím je vetší, tím větší je šance na její odhalení. Obrázek 2.1: Rozdělení steganografie podle cover médií Kódování tajných zpráv do textu je považováno za jeden z nejtěžších způsobů ukrývání zpráv, protože textu, na rozdíl od obrázků a audio souborů, schází redundantní informace. Používá se datová komprese, která zakódovává informaci z jedné reprezentace do jiné reprezentace. Další technika se nazývá line-shift kódování a zahrnuje posunutí každé řádky textu nahoru nebo dolů asi o 3 cm. V závislosti na vertikální pozici řádku vzhledem k pevnému řádku se do skryté zprávy zakóduje určitá hodnota. Word-shift kódování funguje velice podobně, jenom se u této metody využívá horizontálních mezer mezi slovy. Tato metoda je méně viditelná než line-shift kódování, potřebuje však textový formát, který podporuje variabilní délku mezer. Nevýhoda tohoto způsobu je lehkost, s jakou může být text pozměněn, ať už se jedná o změnu samotného textu nebo převedení do jiného formátu (např. z.txt do.pdf). [8] Kódování tajných zpráv do audio souborů je náročný způsob ukrývání informací, protože lidský sluch je velice citlivý na nejrůznější změny. Je tudíž těžké přidat nebo odstranit informaci v souboru tak, aby si toho uživatel při poslechu nepovšiml. Jedinou slabinou, které se musí využít, je překrytí slabších zvuků zvuky hlasitějšími. Při kódování zprávy se musí brát v úvahu i přenosové médium od odesilatele k příjemci. Kvůli větší velikosti nejsou audio soubory tak populární pro ukrývání dat, jako obrázky. Frekvenční maskování je metoda, která pracuje na principu přidání náhodného šumu (zprávy) do původního vzorku na podobné frekvenci. Zazní-li totiž současně dva zvuky, které jsou si blízké frekvencí, tišší zvuk zanikne v tom hlasitějším. Obdobou je časové maskování. Zazní-li tišší zvuk těsně před, nebo po silnějším zvuku, nedokáže ho lidský sluch rozeznat. Další metodou může být využití ozvěny (Echo Data Hiding). Pracuje na principu, že lidský sluch nedokáže vnímat krátké ozvěny. Informace se do krycího zvukového signálu vkládá přidáváním krátkých ozvěn s dvěma různými délkami mezery, které znamenají 0 nebo 1. [8, 9, 10] 9

11 Kódování tajných zpráv do obrázků je v dnešním digitálním světě jednoznačně nejrozšířenější způsob steganografie. Jelikož se na postu kontrolora očekává člověk a ne stroj, využívá se nedokonalosti lidského zraku, který nedokáže zachytit určité nepatrné změny. Skoro každý zakódovaný nebo nezakódovaný text, obrázek či jakýkoliv jiný soubor, který se dá převést na proud bitů, může být ukryt v digitálním obrázku. Pro počítač je obrázek kolekce čísel, které charakterizují různé barvy v různých oblastech. Číselná reprezentace vytváří mřížku a jednotlivé body jsou označovány jako pixely. Každý pixel má polohu a barvu. Některé běžné přístupy k ukrývání informací jsou LSB (Least Significant Bit) vkládání, maskování a filtrování, které využívají více sofistikované algoritmy a transformace. LSB je technika ukrývání informací s využitím nejméně podstatného bitu, která je založena na nedokonalosti lidských smyslů (zraku a sluchu). Tato technika dává poměrně velký prostor k ukrytí dat, ale je také snadné, takovou zprávu najít. Lepší variantou je použití LSB náhodně vybraných bytů (pixely v obrázku nebo části zvukového souboru). Klíčem k rozluštění skryté zprávy je potom hodnota generátoru pseudonáhodných čísel. Systémy využívající LSB jsou náchylné na filtrování, zpráva je poté většinou porušena. Nejvýhodnější jsou tzv. zaměstnané obrázky, kde je nejmenší šance k povšimnutí změny. Informace ukládaná do obrázku, která obsahuje relativně stejné barvy, často vytváří viditelný šum. Aplikování vkládání na nejnižší bit není limitováno pouze na LSB, záleží na obrázku. Například s obrázkem, který obsahuje vysokofrekvenční oblasti (jako je tráva), může být manipulováno více než s obrázkem obsahujícím nízkofrekvenční oblasti, jako je čistě modrá obloha. Metoda LSB je rychlá a snadná cesta k ukrytí informací, ale je náchylná vůči malým změnám, které mohou vzniknout při zpracování nebo při ztrátové kompresi. Čím více bitů je při vkládání využito, tím více informací se dá uložit, ale tím nápadněji se daný obrázek bude jevit jako stegogram. Mezi programy, které se zabývají ukrytím zprávy do obrázku, patří: Hide and Seek, White Noise Storm, S-Tools a jiné. [8, 9] Ukrývání zpráv v síťovém provozu stojí na okraji pozornosti odborníků. Záleží pouze na dohodě komunikujících stran, která část paketu bude obsahovat tajnou zprávu a jak v ní bude zakódována. Aby takto generovaný síťový provoz nebudil pozornost, výběr polí je značně omezen a přenosová kapacita tajných bitů je malá. Využívá se například šesti rezervních polí. Každý den je posláno přes internet nepočitatelně mnoho paketů a každý z těchto paketů může poskytovat skrytou komunikaci. Filtry mohou být nastaveny, aby zjistily přítomnost informace v nepoužívaných nebo rezervních částech. Covert-tcp je nástroj, který využívá TCP/IP hlaviček, aby poslal informaci v nevinně vypadajícím síťovém provozu. Pakety mohou vypadat jako žádost o spojení, ustanovení datového proudu nebo jiné kroky při vysílání. Zpráva je vložena do identifikace IP paketu a do sekvenčního číselného pole TCP. Tyto pole jsou méně náchylné na změnu při síťovém směrování nebo filtrování. [8] RSTEG (Retransmission Steganography) využívá toho, že pokud při přenosu paketu v protokolu TCP dojde k chybě, pošle se paket znovu. Odesilatel čeká na to, až příjemce potvrdí, že data byla doručena v pořádku, jinak přenos automaticky zopakuje. Chyba se vyskytuje přibližně u každého tisícího paketu. Spoléhá se na to, že příjemce označí paket za nedoručený nebo poškozený (i když může být doručený úspěšně) a poté odesilatel pošle nový paket s tajnou informací. Pokud není systém přetěžovaný tímto způsobem komunikace, útočník nemůže říct, zda byla použita RSTEG, protože pokud byl paket porušen, nový paket se od něj bude stejně lišit. [9] 10

12 WLAN steganografie využívá metody, při kterých se vysílají steganogramy v bezdrátových sítích. Těchto metod využívá HICCUPS systém (Hidden Communication System for Corrupted Networks). Existuje mnoho dalších technik pro zajištění bezpečnosti. Zde jsou zmíněny některé z nich [8]: - Ukrytí dat uvnitř šifrovaných nebo náhodných dat. Tajná zpráva se nejdříve zašifruje a teprve poté se s ní přepíše mnohem větší blok šifrovaných nebo náhodných dat. - Chaffing and winnowing [11] technika pro zajištění důvěryhodnosti, která přidává ke každému paketu MAC (Message Authentication Code), což slouží jako důkaz pravosti. Dále se užívá plev, které obsahují podvodný MAC. - Vkládání obrázků do video souborů, které se musí přehrávat na nižší nebo vyšší rychlost. - Vložení malého zpoždění mezi pakety, které jsou poslány do sítě. Toto zpoždění může sloužit k zakódování zprávy. 11

13 Kapitola 3 Steganografické souborové systémy Souborový systém je struktura, která je fyzicky uložena na datovém nosiči a organizuje na něm prostor tak, aby uživatel mohl vůbec pracovat se soubory. Zajišťuje ukládání, organizování, získávání a spravování počítačových souborů a jejich dat. Většinou se používá na trvalé úložiště, jako je pevný disk, aby si soubory udržely svou fyzickou polohu. Na druhou stranu nemusí být úložiště potřeba vůbec. Souborový systém může být použit k organizaci a reprezentaci přístupu k datům, ať již jsou někde uložena nebo dynamicky vygenerována. Steganografický FS je taková struktura, která ukrývá data buď mimo viditelný souborový systém, tj. v prostoru, který FS chápe jako volné místo na nosiči, mimo dosah uživatele i operačního systému, nebo přímo v souborovém systému. K datovému úložišti lze přistupovat dvěma způsoby. Buď pomocí FS, který je na něm zaveden pro pohodlí uživatele, nebo také přímo jako k sekvenci bitů, přičemž jsou viditelné všechna data na nosiči. Druhému způsobu by tajná data na volném místě neunikla, proto se do utajovacího procesu zapojuje kryptografie. Šifrování dat na úrovni souborového systému pomocí symetrické šifry zajistí, že bez správného klíče není možno data přečíst, ani když nepovolaná osoba získá datový nosič. Takto uložené data jsou však chráněna pouze kryptograficky a útočník, který má k dispozici dostatečný výpočetní výkon, může heslo uhodnout. Jelikož šifrování za sebou zanechává důkaz o existenci důležitých dat, může samotná existence přimět útočníka k prolomení ochrany nebo dokonce k donucení vlastníka dat k vyzrazení klíče. Steganografický systém povoluje přístup ke chráněným datům pouze, pokud jsou zadány správné klíče. Bez nich útočník nemůže vědět, zda nosič obsahuje skryté informace, i když má všechny dostupné znalosti o hardwaru a softwaru a může disk procházet bit po bitu. Jestliže útočník přinutí vlastníka odhalit data, vlastník může věrohodně popřít jejich existenci bez vzbuzení pozornosti (plausible deniability věrohodná popiratelnost). Pro dosažení věrohodné popiratelnosti je v základu nutné splnit 3 předpoklady [9]: - Celý steganografický FS se fyzicky vyskytuje na místě, kde nepůsobí výjimečně. - Na nosiči existuje druhý kryptografický systém s daty, která budí dojem, že je vlastník může chtít skrývat, avšak jejich prozrazení nezpůsobí vlastníkovi žádnou škodu. Pokud například státní analytik zjistí na nosiči přítomnost šifrovaných dat, soud může přikázat vlastníkovi sdělení klíče. Vlastník sdělí klíč ke zdánlivě citlivým datům a skutečně citlivá data zůstanou neodhalena. - Z nosiče nesmí být znát, kolik tajných šifrovaných dat obsahuje. 3.1 Základní pojmy používané u souborových systémů Na tomto místě je uvedeno několik základních pojmů, které se v práci používají: - Blok je nejmenší jednotka zapisovatelná souborovým systémem. Všechno, co souborový systém dělá, je složeno z operací na blocích. Velikost bloku souborového systému je stejná nebo v násobcích celých čísel větší než velikost bloku disku. - Segment/oddíl je podmnožina všech bloků na disku. Disk může mít několik segmentů. - Metadata obsahují informace o datech, ale nejsou jejich přímou součástí. Například velikost složky je velice důležitá informace o složce, ale není součástí dat ve složce. 12

14 - I-node je místo, kde souborový systém ukládá všechny nepotřebné metadata o souboru. Tento termín se používá především u unixových systémů. - Raw disk hrubý disk. Jde o metodu přístupu k disku jako k proudu bitů, kdy je možné číst bit po bitu. - Plaintext nešifrovaný text. - Ciphertext šifrovaný text. - Bitmap bitová mapa. Pro každou skupinu bloků existuje jeden blok, který je ve skutečnosti mapa. Každý bit zde označuje určitý blok. Tento bit může být buď 0 (blok je volný) nebo 1 (blok je zaplněný). 3.2 První návrhy steganografického FS V [1] představují první dva návrhy steganografického souborového systému, které ukrývají data přímo na raw disk. FS dovoluje uživateli asociovat heslo se souborem nebo adresářem takovým způsobem, že přístup ke skrytému souboru je povolen pouze tehdy, pokud známe jméno souboru a příslušné heslo. Útočník, který nemá správné jméno a heslo a nemá ani dostatečný výpočetní výkon na jejich uhádnutí, nemůže vědět, zda daný objekt vůbec existuje. Protože není moc přesvědčivé tvrdit, že datový nosič je prázdný, je vždy rozumnější odhalit některé méně citlivé soubory a o ostatních mlčet. Útočník nemůže vědět, kolik dat se ještě skrývá na nosiči. Takový systém dosahuje mnohem lepší vytíženosti a výkonu než klasické steganografické metody, které využívají cover média. Práce předpokládá, že útočník, který přinutí vlastníka ke spolupráci, je schopný, dokáže procházet disk na úrovni bitů a má všechny dostupné znalosti o hardwaru a softwaru. Jediný rozdíl mezi ním a vlastníkem je znalost jednoho nebo více hesel. Autoři navrhují dva různé způsoby konstrukce takového systému První konstrukce První konstrukce je zobrazena na obrázku 3.1 a vychází z předpokladu, že útočník nemá žádné znalosti o uloženém plaintextu. Místo silného šifrování se využívají pouze operace lineární algebry. FS se inicializuje náhodně generovanými covery. Data jsou uložena modifikováním počátečně náhodných coverů, takže plaintext lze získat jejich lineární kombinací. Heslo k souboru odpovídá podmnožině cover souborů, které musí být pomocí XOR funkce spojeny dohromady, abychom dostali ukryté data. Vzhledem k velkému množství krycích souborů je bez správného hesla výpočetně neproveditelné obdržet správnou množinu cover souborů, které konstruují ukryté data. Menším problémem této konstrukce je, že nemusí být vždy vhodné mít hierarchii založenou na striktním lineárním přístupu. Hlavním problémem je, že takový systém by byl nevýkonný. Čtení nebo zápis by zahrnovalo příliš mnoho V/V (vstupních/výstupních) operací na cover souborech, což by u většího množství souborů bylo nepřijatelné. 13

15 Obrázek 3.1: První konstrukce Druhá konstrukce Nejprve je souborový systém kompletně zaplněn náhodnými bity. Bloky ukrývaných dat se zašifrují a poté se pomocí pseudonáhodného procesu zapíší na absolutní adresu disku viz obrázek 3.2. Bloky jsou tak pro útočníka výpočetně neodlišitelné od pseudonáhodných dat. K získání souboru poskytne uživatel heslo, které slouží jako semínko generátoru pseudonáhodných čísel, který postupně poskytne adresy na hledané bloky. Obrázek 3.2: Pseudonáhodný proces Problém s tímto postupem je ten, že různé soubory mohou být mapovány na stejnou adresu a tím vznikají kolize. Pravděpodobnost kolize se dá redukovat replikováním ukrývaných souborů a snížením jejich počtu. Kolize se však nedají odstranit úplně. Tímto způsobem může být využito pouze malé procento disku. 3.3 StegFS: A Steganographic File System for Linux Andrew D. McDonald a Markus G. Kuhn přišli s návrhem implementace steganografického FS pro Linux [6]. Návrh vychází z druhé konstrukce v [1]. Není potřeba samostatného oddílu na disku, místo toho se soubory ukládají do nepoužitých bloků oddílu, který již obsahuje normální soubory. Návrh využívá separate block alokační tabulku a plní podobnou úlohu jako bitmapa. Tabulka je vždy přítomná, jestliže je nainstalovaný ovladač pro steganografický systém. Nezáleží na tom, zda je používaný nebo ne. Její šifrování zajišťuje, že inspektoři nemůžou získat žádnou další informaci kromě té, že StegFS je nainstalovaný. Protože není ukryta existence samotného ovladače, není potřeba skrývat její existenci. Je téměř nemožné zjistit, kolik bezpečnostních vrstev je použito. Inspektoři mohou přinutit uživatele přepsat celý disk novými daty, což zaručeně přepíše nejskrytější data. Tento návrh tomu nebrání a 14

16 spoléhá spíše na to, že uživatel má svá data zálohována někde jinde a raději ukrývaná data zničí, než aby je vydal Shrnutí StegFS nabízí následující základní funkcionality: - Uživatel může věrohodně popřít počet souborů uložených na disku. - Garantuje důvěrnost obsahu všech skrytých souborů. - Mazání jakýchkoliv souborů vede k jejich bezpečnému odstranění. - Využívá několik vrstev zabezpečení. Uživatel může prozradit přístup k několika z nich, ale další vrstvy mohou být věrohodně popřeny. - Obyčejné soubory mohou být dále přístupné, i když je StegFS ovladač a jeho tabulka odstraněna. - Povoluje sdílení oddílu s jiným souborovým systémem, který zjednodušuje instalaci a poskytuje další stupeň ochrany tím, že dělá skryté soubory nerozlišitelnými od nevyužitých bloků. StegFS neřeší následující funkcionality: - StegFS neukrývá přítomnost samotného ovladače pro steganografický souborový systém. - Nenabízí rychlý zápis do ukrytých vrstev. - Nechrání integritu souborů. - Nechrání proti filtrování obsahu celého disku. - StegFS byl navržen pro lokální uložiště a nezabývá se možnými útoky ze sítě. 3.4 StegFD: A Local Steganographic File System Tato práce [3] je praktický návrh implementace steganografického FS. Toto schéma je navrženo tak, aby splnilo 3 základní cíle: - StegFD by neměl ztratit data nebo poškodit žádné soubory; - Měl by ukrýt existenci chráněných dat před uživateli, kteří nevlastní příslušný přístupový klíč, i když jsou důkladně seznámeni s implementací souborového systému; - Měl by minimalizovat procesní náročnost a náročnost na místo. Když se vytvoří souborový systém, všechny bloky jsou vyplněny náhodnými bity. Dále jsou některé náhodně vybrané bloky ponechány tím, že jsou v bitmapě zaznačeny jako obsazené. Tyto bloky jsou zamýšleny jako zmaření jakéhokoliv pokusu o lokalizaci ukrytých dat pomocí pohledu do bitmapy a centrálního adresáře. Čím vyšší je počet těchto bloků, tím těžší je uspět při využití hrubé síly. StegFD soustavně udržuje jeden nebo více skrytých dummy souborů, které pravidelně aktualizuje. Toto zabraňuje pozorovateli vydedukovat, které bloky alokované mezi jednotlivými úspěšnými pohledy na bitmapu, které nepatří žádnému plain souboru, musí obsahovat skryté data. Počet dummy souborů může být nastaven manuálně nebo automaticky. Dummy neodstraňují potřebu zanechaných bloků, protože mohou být náchylné na útok s administrátorskými právy. Zanechané bloky poskytují extra ochranu, protože nemohou být vystopovány. Ke každému skrytému souboru se přistupuje přes hlavičku, která obsahuje 3 datové struktury: Odkaz na i-node tabulku, která indexuje všechny datové bloky souboru. Značku, která jednoznačně identifikuje složku. Spojovaný seznam ukazatelů na volné bloky držené souborem. Všechny tyto části, včetně hlavičky a dat, jsou šifrovány přístupovým klíčem, aby byly nerozlišitelné od zanechaných bloků a dummy souborů pro neoprávněného pozorovatele. 15

17 Obrázek 3.3: Struktura hlavičky ukrývaného souboru Jelikož skryté soubory nejsou zaznamenány v centrálním adresáři, StegFD musí být schopen lokalizovat hlavičku využitím pouze jména souboru a jeho přístupového klíče. Během vytváření souboru, StegFD dodává hash hodnotu vypočítanou ze jména a přístupového klíče jako jádro generátoru pseudonáhodných čísel bloků, a v bitmapě kontroluje každý následně generovaný blok, dokud souborový systém nenarazí na volný blok. Jakmile je alokována hlavička, zbytek bloků souboru může být po porovnání s bitmapou uložen do volných bloků disku a propojen do i-node tabulky. Aby systém předešel přepsání jiným uživatelem, který má stejné jméno souboru a heslo, jméno souboru je odvozeno zřetězením uživatelova id s kompletní cestou k souboru. Pro obnovu skrytého souboru musí StegFD zase využít hash hodnotu vypočítanou ze jména a hesla do jádra pseudonáhodného generátoru čísel bloků a hledat první blok, který je označen v bitmapě jako obsazený a obsahuje shodnou značku. Počáteční čísla bloků dané generátorem nemusí vždy držet správnou hlavičku, protože byly nedostupné, když se vytvářel soubor. Značka je tedy klíčová pro potvrzení, že byla nalezena správná hlavička. Značka musí být dlouhý řetězec znaků, aby se vyhnulo nesprávné shodě. Aby útočník nemohl odvodit ze jména souboru heslo a jeho značku, je na vygenerování značky použita jednosměrná hashovací funkce (například SHA [34]) Potenciální limitace StegFD StegFD poskytuje nové funkce v ukrývání existence chráněných dat, což přináší určité limitace: - Všechny skryté soubory musí být obnoveny společně. Dočasným řešením je obnovení všech skrytých složek do dočasného místa na disku, kde uživatel může pracovat se soubory. - Bez kooperace s uživatelem, které vlastní přístupový klíč, není souborový systém schopný odstranit fragmentaci skrytých souborů, aby zvýšil efektivnost jejich obnovy. Toto je běžný problém u bezpečných souborových systémů. Řešením je vytvořit mechanismus pro obnovu klíče, který umožňuje uživateli uložit kopii jeho klíče s několika manažery skrz tajné sdílené schéma. K obnově klíče později je potřeba současného minimálního počtu těchto manažerů, čímž se zajistí bezpečnost klíče. - Souborový systém nemůže odstranit skryté soubory náležící již neexistujícímu uživateli bez kooperace s uživatelem, který vlastní přístupový klíč. Tato limitace je taktéž běžná pro bezpečný souborový systém a může být řešena uložením klíče u administrátora. 16

18 Kapitola 4 Souborové systémy v síti Všechny doposud zmíněné souborové systémy se zabývaly ukrytím dat na lokálním počítači. FS však může být rozprostřen mezi počítači v síti. Tyto systémy mají schopnost vlastního přeorganizování. Nový uzel se může připojit nebo odpojit do/ze sítě bez narušení systému nebo bez potřeby centrálního řízení. A právě potřeba centrálního řízení je místo, kde chyba může zničit celou síť. Proto se u síťových souborových systémů většinou nevyužívá centrálního řízení. 4.1 Napster Napster [13,14] byla společnost založená na propojování lidí nabízejících MP3 soubory s lidmi, kteři si je chtějí stáhnout. Jednalo se o centralizovaný model, služba neposkytovala žádnou anonymitu a popírala právní odpovědnost uživatelů, proto se stala velice úspěšnou. V roce 2001 byla po soudních sporech vypnuta. Dnes se jedná o službu, kde se za hudbu platí. 4.2 Gnutella Gnutella [14,15] je decentralizovaný peer-to-peer model pro sdílení souborů. Vývojáři tvrdili, že sdílení na síti je anonymní. Analýzy protokolu však odhalily, že tomu tak není. Hlavička paketu se skládá ze dvou polí: TTL (time to live počet následujících skoků, po kterých bude paket zahozen) a Hops taken (počet skoků, které tento paket doposud udělal). TTL začíná na hodnotě závislé na očekávané velikosti sítě. Protokol je navrhnutý pro uživatele, kteří chtějí být ve spojení se svými přáteli, avšak neposkytuje žádnou možnost k nalezení nových přátel. Vlastní síť je hierarchický systém. Je zde malé množství centrálních uzlů, které by byly ideálními terči pro sbírání informací o uživatelích a dotazech. Navíc je chráněno pouze dotazování, vlastní stahování je prováděno přímým propojením, kdy si server a žadatel navzájem odhalí IP adresy. Tento způsob je zaveden kvůli efektivnosti, za anonymní ho však považovat nemůžeme. 4.3 Freenet Freenet [16] je peer-to-peer síťová aplikace, která povoluje publikování, replikování a získávání dat, zatímco zajišťuje anonymitu autora i čtenáře. Funguje jako síť uzlů, které dávají dohromady svou úložnou kapacitu pro ukládání dat a kooperují požadavky k nejpravděpodobnějšímu fyzickému umístění dat. Nevyužívá se broadcast ani centrální správa. Soubory jsou dynamicky replikovány v místech poblíž žadatelů a mazány z míst, kde o ně není žádný zájem. Objevit pravý původ souboru, který putuje v síti, je velmi obtížné. Je velice těžké, aby byl uživatel odpovědný za obsah svého uzlu. Jeho základem je 5 cílů: - Anonymita pro autora i čtenáře; - Popiratelnost pro toho, u koho jsou fyzicky uloženy informace; 17

19 - Decentralizovaná správa pro všechny funkce v síti; - Efektivní dynamické ukládání a směrování informací; - Odolnost proti pokusům třetích stran o přístup. Freenet negarantuje trvalé úložiště a doufá se, že se připojí dostatek uzlů s velkou kapacitou, takže by většina souborů mohla vydržet velice dlouhou dobu. Tento systém existuje na aplikační vrstvě a předpokládá existenci zabezpečené transportní vrstvy. Neposkytuje anonymitu v obecné síti, poskytuje ji pouze pro Freenet souborové transakce. Jakmile uživatel požaduje určitý dokument, systém zahashuje jméno dokumentu, aby dostal klíč, a potom se zeptá svého vlastního serveru na jeho polohu. Jestli server nemá tento dokument, pošle žádost na další server, který má větší šanci ho mít. Žádosti o dokumenty jsou posílány přes cachingenabled network (namísto peer-to-peer). Statistické útoky by totiž mohly odhalit polohu čtenáře nebo autora, výše zmíněná metoda však proti těmto útokům poskytuje ochranu tím, že se pro určitý dokument mění síťová topologie po každé žádosti Bezpečnost Freenetu Není zde žádná ochrana proti odposlouchávání zpráv mezi uživatelem a prvním kontaktovaným uzlem. Jelikož i první uzel může být kompromitován, doporučuje se, aby uživatel používal jako první uzel svůj vlastní počítač. I když jsou zprávy mezi uzly šifrovány proti odposlouchávání, může být provedena analýza provozu (např. naslouchač může zpozorovat zprávu jdoucí ven, bez toho aniž by předtím přišla zpráva dovnitř, a tím zjistit jejího odesílatele). Systém Útočník Anonymita odesilatele Anonymita klíče Základní Freenet odposloucháváni linky odhalena odhalena nepřátelský uzel bez podezření odhalena Freenet + pre-routing odposlouchávání linky odhalena bez podezření nepřátelský uzel bez podezření odhalena Tabulka 4.1: Anonymitní vlastnosti Freenetu Jakmile se v síti vyskytne nepřátelský uzel, anonymita odesílatele je stále zachována. Uzel, který je v požadované cestě nemůže říct, jestli jeho předchůdce vyslal žádost nebo ji pouze přesměroval. Jelikož komunikace není směrována přímo k příjemci, díváme se na anonymitu příjemce spíše jako na anonymitu klíče, tedy ukrytí klíče, který je požadován. Použití hashovaných hodnot jako klíčů sice poskytuje určitou míru nesrozumitelnosti proti obyčejnému odposlouchávání, je však zranitelné vůči slovníkovému útoku. Využívá se proto tzv. pre-routing, který zajišťuje anonymitu klíče a lepší anonymitu odesílatele. Další nebezpečnou hrozbou je modifikace nebo úplné nahrazení souboru nepřátelským uzlem. Jelikož směrovací tabulky jsou založeny na odpovědích na žádosti, může se uzel pokusit směrovat žádosti na sebe předstíráním, že má požadované soubory, i když je nemá, a jednoduše vracet fiktivní data. Pro data uložená pomocí hash hodnoty založené na jejich obsahu není tato možnost pravděpodobná, protože neautentická data mohou být detekována, pokud uzel nenajde správný hash. Bohužel data uložená pomocí obyčejného textového klíče jsou zranitelná. U útoků způsobujících odmítnutí služby (denial-of-service) je největší hrozba ta, že útočník se pokusí zaplnit celou úložnou kapacitu sítě vložením velkého množství odpadních dat. Zajímavou možností vůči tomuto útoku je Hash Cash schéma. Toto schéma potřebuje, aby vkladatel provedl 18

20 zdlouhavý výpočet ( platbu ) před tím, než je vložení přijato a tímto je zpomalen útok. Další možností je rozdělit úložný prostor do dvou částí, jednu pro nově vložené soubory a druhou pro soubory, které již mají minimální počet žádostí. Nové vložení může vytěsnit pouze nové vložení. Tímto způsobem může útočník dočasně ochromit operaci vložení, ale nevytěsní existující soubory. Bohužel při tomto způsobu je těžké pro nová nefalšovaná data vydržet dostatečně dlouho na to, aby se dostala do druhé skupiny. 4.4 The Free Haven Project Free Haven [14] je systém, který poskytuje infrastrukturu pro anonymní publikování. Neměl by jít znát vydavatel, klienti, kteří požadují dokumenty, a aktuální lokace, kde je dokument uložen. Systém je založen na skupině serverů (dohromady se označují servnet), kde každý server obsahuje data z jiných serverů a na oplátku může ukládat své vlastní data do servnetu. Stabilní a použitelný systém potřebuje kromě anonymity i další vlastnosti. Systém musí umět vkládat i získávat zpět dokumenty. Poskytuje mechanismus pro odstranění souborů, kdy vydavatel zadá, jak dlouho má být daný soubor v síti. Musí přidávat nové servery bez narušení stávající funkcionality a odstraňovat neaktivní servery. Systém dále musí být robustní, jednoduchý, dostatečně modulární, decentralizovaný, flexibilní a kontextově neutrální (popularita by neměla ovlivnit trvanlivost dokumentu v síti). Pro tento systém není efektivnost tak důležitá. Zákeřné servery mohou akceptovat sdílení dokumentu, ale potom ho neuloží. Pokud je takovýchto falešných sdílení mnoho, dokument již nelze získat zpět. Free Haven obsahuje buddy systém, který vytváří spojení mezi dvěma sdíleními dokumentu. Každé sdílení je zodpovědné za udržování informací o umístění toho druhého. Jakmile se jeho lokace změní, upozorní na to buddyho. Servery, které dokumenty ztratí nebo jsou jinak nespolehlivé, jsou upozorněny a jejich věrohodnost je snížena. Každý server si udržuje databázi o ostatních serverech a jejich důvěryhodnosti založené na chování, přímých zkušenostech s nimi a názoru jiných serverů. Existuje mnoho typů útoků, zde si projdeme pouze několik z nich [17]: - Útoky na dokumenty nebo servnet: - Útočník se může pokusit fyzicky zničit server, což by nemělo snížit dostupnost souboru kvůli více kopiím v síti. - Útok na protokol časové synchronizace, aby vypršela platnost souboru. Pro obranu se spoléhá na schopnost operátorů udržovat přesný čas v systému. - Obsah serveru může být považován za ilegální. Free Haven spoléhá na možnost věrohodné popiratelnosti, záleží však na zákonech dané země. - Útoky na anonymitu: - Rozšířit virus a hledat nakažené. - Stát se servnet uzlem a shromažďovat informace o ostatních uzlech. - Hledat servery, které nedávno publikovaly dokument, a pokusit se rozhodnout, s kým v poslední době komunikovaly. 19