מיסור שלא לפרסום

בקריפטוגרפיה, מיסור שלא לפרסום או מיסור שלא לציטוט (באנגלית: Off-the-Record Messaging, או בקיצור OTR),^[1], הוא פרוטוקול קריפטוגרפי בקוד פתוח המספק הצפנה מקצה-לקצה למסרים מיידיים. OTR משתמש בשילוב של מספר פרימיטיבים קריפטוגרפיים ידועים: צופן סימטרי AES עם מפתח באורך 128 סיביות, פרוטוקול שיתוף מפתח דיפי-הלמן עם מפתחות באורך 1536 סיביות וקוד אימות מסרים SHA1-HMAC המבוסס על פונקציית הגיבוב SHA-1. במקביל לאימות והצפנה, OTR מספק גם חשילות (שהיא יתרון, משום שחלק ממטרות הפרוטוקול היא יכולת ההכחשה, כמוסבר להלן) וסודיות מושלמת קדימה.

המניע העיקרי מאחורי פיתוח הפרוטוקול הוא לספק אימות וסודיות השיחה, אך בניגוד לכלי הצפנה נפוצים כמו TLS לאפשר גם "יכולת הכחשה", כך שלא יהיה באפשרות צד שלישי או אפילו המתקשרים עצמם להוכיח בעתיד מיהו מקור שיחה שנעשתה. OTR הועלה לראשונה במאמר שכותרתו: "תקשורת שלא לציטוט, או מדוע לא להשתמש ב-PGP"^[2] שפורסם באוקטובר 2004 על ידי Nikita Borisov, Ian Goldberg ו-Eric Brewer מאוניברסיטת ברקלי. ההתעניינות בפרוטוקול OTR גברה בעקבות החשיפות המסעירות שליוו את פרשת סנודן, שה-NSA ביצע ועדיין מבצע האזנות סתר מאסיביות בכל העולם והוא משמש אבן דרך חשובה ומודל לחיקוי בהתפתחות ההצפנה המודרנית. השאיפה כיום להבטיח פרטיות באמצעות הצפנה חזקה באופן כזה שלא תהיה לגוף מרכזי כלשהו סמכות או יכולת להפר אותה ובד בבד להסתיר מעיני המשתמש הלא מיומן בנושאי אבטחת מידע את כל המנגנון הקריפטוגרפי המסובך. לאפשר שימוש חלק ואינטואיטיבי ללא צורך בהבנה יתרה של העיקרון התאורטי העומד מאחורי המערכת.

הם סיפקו ספריית צד לקוח כדי להקל על מפתחי תוכנות למסריים מידיים ליישם את הפרוטוקול של OTR. תוסף של פידג'ין ו-Kopete (אנ') מאפשרים ל-OTR להיות שמיש מעל כל פרוטוקול מסרים מיידיים שנתמך בידי פידג'ין או Kopete, בליווי תוספת שמאתרת אוטומטית כל שיחה עם עמית התומך בתוסף, מבלי להפריע לשיחות רגילות, שאינן מוצפנות.

היסטוריה

OTR הוצע כאלטרנטיבה ל-PGP ומערכת S/MIME (אנ'), "בסדנא בנושא פרטיות בחברה האלקטרונית". הגרסה הראשונה 0.8.0 יצאה ב-21 בנובמבר 2004. בשנת 2005 מסמך שפורסם על ידי מריו ריימונדו, רוסאריו ג'נארו והוגו קרבצ'יק העלה מספר חולשות בפרוטוקול והציע תיקונים, בעיקר בחלק הקשור לשיתוף המפתח הנקרא בקיצור AKE (חילוף מפתח מאומת) שבגרסת הפרוטוקול המקורית היה חשוף להתקפת אדם באמצע. גם כן, האפשרות לפצל הודעות OTR על מנת להתמודד עם מערכות צ'אט בעלי גודל הודעה מוגבל, שיטה פשוטה של אימות נגד מתקפת האדם שבאמצע יושמה. במקום להשוות בין סיכום הביקורת לבין המפתח, ידיעה של סוד שרק שני הצדדים המשתתפים בשיחה יודעים אותו, יכול לשמש לאימות של שני הצדדים, משום שיש סבירות נמוכה שהתוקף ידע אותו. גרסה 3 של הפרוטוקול פורסמה בשנת 2012. כדאי להימנע ממצב שבו מספר מחשבים מתחברים לאותה שיחה עם אותו שם משתמש בו זמנית, נוצרה תווית זיהוי מדויקת יותר עבור כל משתמש שיושמה בגרסה 3. יתרה על כך, מפתח חדש נוצר שיוכל לשמש כערוץ נותנים נוסף. נכון ל-2016 הגרסה העדכנית ביותר היא libotr 4.1.1 וכן pidgin-otr 4.0.2 שמכילות מספר תיקונים בטיחותיים של הגרסאות הקודמות כמו גלישת חוצץ ומומלץ לעבור אליהן מיידית.

מוטיבציה ומאפיינים כלליים

בשל מגבלות רשת האינטרנט, כדי לדמות שיחה פרטית בין שני משתמשים אין די בהצפנה. נניח שאליס ובוב מנהלים שיחה פרטית דרך רשת האינטרנט ואיב מצותתת להם. היות שחילופי המסרים ביניהם מוצפנים, היא אינה יכולה להפיק כל תועלת מכך. אולם אם איב (שיכולה לייצג כאן ארגון גדול כמו ה-FBI) תאחסן עותקים של כל השיחות ביניהם ותמתין להזדמנות הראשונה שבה תצליח להניח ידה על מפתח ההצפנה אם על ידי פריצה פיזית, ייתכן באישור שופט או באמצעות תוכנת רישום הקשות וכדומה, לא רק שהיא כעת יכולה להאזין לכל השיחות העתידיות שלהם, אלא היא יכולה אף לפענח את כל השיחות שנעשו בעבר וכך תוכל לשייך או "להפליל" אותם בדברים שנאמרו, כי במסגרת פרוטוקול אבטחה דוגמת PGP המשתתפים מנצלים את המפתחות הציבוריים הקבועים שלהם כדי להצפין את כל המסרים שהם שולחים. וכן משתמשים בחתימה הדיגיטלית הקבועה שלהם כדי לאמת את זהותם. הבעיה עם חתימה דיגיטלית שהיא מחייבת מבחינה חוקית, כל אחד יכול להוכיח בבית משפט שהמסר החתום הגיע מבעל החתימה כי המפתח הציבורי של בעל החתימה פומבי.

בנוסף, מתעורר כאן פרדוקס מסוים. מצד אחד בשיחה חברתית אינטימית המשתתפים מעוניינים לוודא שהם אכן משוחחים עם מי שהם חושבים ולא עם מתחזה, מצד שני הם לא מעוניינים שיהיה בכוחו של אף אחד אפילו לא אחד מהצדדים בעצמם, לשייך אליהם או להוכיח שהם אחראים לדברים שנאמרו לאחר מעשה. זהו מאפיין חשוב שנקרא יכולת הכחשה שקיים, במידה מסוימת, בשיחה פרטית פיזית (בהנחה שלא מצותתים להם). למשל אפילו בוב עצמו לא יוכל לטעון שאליס אמרה לו דברים כלשהם כי היא יכולה להכחיש ולטעון שהוא בעצם זה שאמר אותם ואין לו דרך להוכיח זאת אם רק שניהם היו נוכחים בזמן שהדברים נאמרו. פרוטוקולים כמו PGP או SSL אינם בנויים לספק מאפיין זה. את היעדים האמורים אפשר להשיג בדרך הבאה:

• סודיות קדימה. כל השיחות יהיו מוצפנות באמצעות מפתחות חד פעמיים קצרי טווח שנוצרים לפי הצורך באופן אקראי ומושמדים מיד לאחר השימוש הם נקראים מפתח שיחה או המפתח הארעי (באנגלית: Ephemeral key). לכן גם אם מפתח סודי ארוך טווח של אחד מהמשתתפים נחשף לא ניתן יהיה לעשות בו שימוש כדי לפענח שיחות שנעשו בעבר. כדי לשתף את המפתח החד-פעמי הם משתמשים בפרוטוקול דיפי-הלמן שמאפשר למשתתפים לשתף מפתח מעל גבי ערוץ פתוח הנתון לציתות מבלי לחשוף אותו לאף אחד. בקצרה, תחילה הם בוחרים מספר ראשוני גדול ${\displaystyle p}$  ויוצר ${\displaystyle g}$  של תת-חבורה של ${\displaystyle \mathbb {Z} _{p}^{*}}$  מסדר ראשוני גדול, שניהם גלויים ומפורסמים לכל. ואז אליס ובוב בוחרים את המפתחות הפרטיים שלהם שהם השלמים ${\displaystyle a}$  ו-${\displaystyle b}$  בהתאמה ומשדרים אחד לשני את המפתחות הציבוריים שלהם שהם ${\displaystyle g^{a}}$  ו-${\displaystyle g^{b}}$  מודולו ${\displaystyle p}$  בהתאמה. אליס יכולה כעת לחשב את המפתח המשותף על ידי הכפלה של המפתח הפרטי שלה עם המפתח הציבורי של בוב: ${\displaystyle g^{ab}\equiv (g^{b})^{a}}$  ובאותה דרך בוב מחשב את המפתח על ידי ${\displaystyle g^{ab}\equiv (g^{a})^{b}}$  (מודולו ${\displaystyle p}$ ). המפתח המשותף ${\displaystyle g^{ab}}$  מודולו ${\displaystyle p}$  אינו ידוע לאיש מלבדם. ההנחה היא שמבחינה מתמטית כל עוד לא קיים מחשב קוונטי, קשה מאוד לגלות את ${\displaystyle a}$  או את ${\displaystyle b}$  מתוך ${\displaystyle g^{ab}}$  מודולו ${\displaystyle p}$  ולכן הסוד שלהם בטוח. אלא אם כן מישהו יגלה דרך מתוחכמת לפתור את בעיית הלוגריתם הבדיד או בעיית דיפי-הלמן הנחשבות לבעיות מתמטיות קשות מזה שנים רבות.
• חתימה דיגיטלית. כדי להבטיח את זהות הצדדים המשתתפים בשיחה יש צורך בחתימה דיגיטלית כמו DSA או RSA. ההנחה היא שלכל משתמש חתימה דיגיטלית קבועה שבדרך כלל אמורה להחזיק מעמד שנים רבות. חתימה דיגיטלית מאושרת על ידי רשות מאשרת אינה ניתנת להכחשה, החתימה משמשת כהוכחה לשייכות התוכן החתום לחותם מבחינה חוקית. כאן מעוניינים להשיג בדיוק את ההפך לכן במקום לחתום על השיחות עצמן החתימה משמשת רק לאימות המפתחות הציבוריים ${\displaystyle g^{a}}$  ו-${\displaystyle g^{b}}$  בהתאמה. בדרך זו כל אחד יכול לאמת שאכן אליס או בוב הם הבעלים של המפתחות הללו אך לא מעבר לכך. בכל אופן, בידי אליס ובוב קיים מידע נוסף והוא המפתחות הפרטיים שלהם, מידע זה שנשמר בסוד ישמש אותם לאחר מכן לאימות השיחות עצמן.
• קוד אימות מסרים. קוד אימות בקיצור MAC מאפשר לאליס ובוב להבטיח את אותנטיות ומקור השיחות שלהם, אך בד בבד למנוע מצד שלישי מלהוכיח זאת בעצמו. התכונה של קוד אימות מסרים היא שבניגוד לחתימה דיגיטלית אינו מכיל אי-יכולת הכחשה, למעשה כל מי שיודע מהו המפתח הפרטי איתו הוכן קוד האימות יכול בעצמו להכין קוד אימות של תוכן כל שיחה אחרת. בקצרה, פונקציית אימות כמו HMAC היא פונקציה המקבלת את השיחה המיועדת לאימות ומפתח סודי ומפיקה תג אימות קצר אותו מצרפים לשיחה עצמה במהלך שידורה. המקבל משתמש בפונקציית האימות המתאימה, עם אותו מפתח סודי כדי לוודא באמצעות התג המצורף שאכן תוכן השיחה נותר שלם ואינו מכיל שינויים זדוניים על ידי צד שלישי כלשהו וכן שהשיחה אכן הגיעה מהמקור ממנו היא אמורה להגיע. לעומת זאת, למתבונן מהצד, אין בתג האימות כל מידע שיכול להוכיח ממי הגיעה השיחה. יתרה מזו, הפרוטוקול אף מכתיב לחשוף את מפתח האימות במכוון (לאחר שמקבל השיחה אישר שקיבל אותה), עובדה זו מוסיפה פרטיות כי לאחר קבלת השיחה ובדיקת תג האימות אין צורך במפתח האימות, כך שחשיפתו בעצם מטשטשת לחלוטין את הקשר בין מפתח האימות לבעל השיחה.
• הצפנה חשילה. בנוסף ליכולת ההכחשה האמורה מנסים להשיג תכונה נוספת הנקראת חשילות או יכולת זיוף. כל השיחות מוצפנות באופן כזה שניתן יהיה לבצע מניפולציה שלהן מבלי שהדבר יתגלה. לעובדה זו שלכאורה נשמעת מנוגדת למטרה, יש חשיבות רבה כי היא בעצם מאפשרת לשלול כל הוכחה שתינתן בעתיד לגבי מקור השיחה כי כל אחד יכול היה "לזייף" את תוכנה. כמובן שהמשתתפים בשיחה בזמן אמת יכולים לוודא שלא נעשו שינויים כי בידם מפתח אימות סודי. לאחר מעשה, כאשר מפתח האימות נחשף אי אפשר להשתמש בו כדי להוכיח שהמסר המקורי לא שונה. אפשר להשיג זאת על ידי צופן זרם או במצב הפעלה של צופן בלוקים המדמה צופן זרם כמו מצב מונה. צופן זרם מצפין את המידע על ידי XOR עם מפתח הצפנה באורך המידע עצמו, סיבית אחר סיבית או מילה אחר מילה. ההשפעה של מניפולציות (היפוך סיביות) של הטקסט המוצפן משפיעה אך ורק על הסיביות המתאימות בטקסט המקורי לאחר פענוח. אם מישהו מצליח לנחש חלק מהטקסט המוצפן ביכולתו לשנות את הטקסט המוצפן למה שיחפוץ אפילו מבלי לגלות את מפתח ההצפנה.

מהלכי הפרוטוקול

כדי לצמצם את חלון הזמן שבו מפתח השיחה חשוף להתקפה, מנסים להחליף אותו בתדירות הגבוהה ביותר האפשרית. במרבית המכשירים בימינו קיים מעבד די חזק המסוגל לבצע פעולות אריתמטיות במספרים ארוכים בתוך זמן מאוד קצר, כמספר מילישניות. עובדה זו מאפשרת החלפת מפתח שיחה בשיטת דיפי-הלמן לאחר כל הודעה. כל מהלך של שיתוף מפתח דורש בסך הכול שתי העלאות בחזקה מודולו מספר ראשוני גדול. אפילו התקנים בעלי משאבים מאוד נמוכים יכולים לבצע זאת מבלי שהמשתמש יבחין בעיכוב כלשהו. כדי לחסוך בהודעות הפרוטוקול מנצל את ההודעות המכילות את מסרים בין אליס ובוב כדי להעביר גם את החומר המיועד להכנת מפתח השיחה הבא. למעשה הודעה מאליס לבוב תכיל את המסר אותו היא מעוניינת להעביר לו יחד עם מפתח ציבורי חדש שישמש את בוב כדי לגזור ממנו מפתח משותף בשיטת דיפי הלמן להצפנת ההודעה הבאה וכאשר הוא מחזיר לה תגובה, הוא מצרף אליה את החלק שלו להכנת המפתח המשותף הבא וכן הלאה. כזכור מפתח השיחה הוא כפולה של המפתחות הציבוריים עם המפתחות הפרטיים הנגדיים (מודולו המספר הראשוני), לכן אין במפתח הזה כל מידע שיכול לשמש את המצותת איב אפילו שהוא מכיל מחצית מהמידע הדרוש להכנת מפתח השיחה. כל עוד המפתחות הפרטיים של שני הצדדים לא נחשפו הסוד המשותף נותר בטוח.

לצורך תיאור הפרוטוקול, נניח שאליס רוצה לשלוח את המסר "HELLO" כשהוא מוצפן לבוב. נניח שהמפתח הציבורי הטרי ביותר של אליס הוא ${\displaystyle g^{x_{i}}}$  אליו משויך המספר הסידורי ${\displaystyle kIDa_{i}}$ , נניח עוד שבוב שלח לאליס קודם לכן את המפתח הציבורי שלו ${\displaystyle g^{y_{j}}}$  יחד עם המזהה הייחודי שלו (המפתח האחרון של כל אחד מהם יכול להיות זה שנוצר בעת הרצת פרוטוקול AKE המתואר להלן או שהוא מפתח חדש שהתקבל במסגרת חילופי ההודעות ביניהם). היא מבצעת את המהלכים הבאים:

1. תחילה נוטלת את המפתח הציבורי האחרון שקיבלה מבוב ${\displaystyle g^{y_{j}}}$  מכפילה במפתח הפרטי שלה ${\displaystyle x_{i}}$  כדי לקבל את המפתח המשותף הבא ${\displaystyle k_{ij}}$  ומכינה את מפתח האימות הבא ${\displaystyle mk_{i}=H(k_{ij})}$  (מפתח האימות מופק באמצעות פונקציית הגיבוב של המפתח המשותף) וכן מקדמת את המונה ${\displaystyle c}$  לצורך ההצפנה הסימטרית של גוף ההודעה. שלושת הערכים הללו יהיו חד פעמיים, איתם אליס תשתמש רק עבור הודעה אחת ואז תמחוק אותם.
2. כמו כן היא מייצרת מפתח דיפי-הלמן חדש; בוחרת שלם אקראי חדש ${\displaystyle x_{i+1}}$  שמקבל את המספר הסידורי ${\displaystyle kIDa_{i+1}}$  ומחשבת את ${\displaystyle g^{x_{i+1}}}$ .
3. ואז היא שולחת לבוב את המסר הבא:

${\displaystyle T_{a}=\{kIDa_{i},kIDb_{i},g^{x_{i+1}},c,E_{k_{ij},c}({\text{''HELLO''}})\},{\text{MAC}}_{mk_{i}}(T_{a}),mk_{i-1}}$ .

במילים, אליס שולחת לבוב מסר המורכב ממספר חלקים; החלק הראשון מכיל את גוף ההודעה כשהוא מוצפן באמצעות הצופן הסימטרי במצב מונה עם המפתח והמונה שהכינה, את המפתח הציבורי שלה לצורך ההודעה הבאה, מזהי המפתחות הציבוריים שלה ושל בוב והמונה ששימש אותה להצפנת ההודעה. החלק השני מכיל את תג האימות של ההודעה שהוכן באמצעות פונקציית MAC. והחלק השלישי הוא מפתח האימות הישן שאיתו השתמשה כדי לאמת את ההודעה הקודמת ואין לה צורך בו יותר. המטרה של שליחת המפתח היא רק כדי לחשוף אותו כך שאף אחד לא יכול להוכיח בעתיד מי היה מקור ההודעה. כי אם מפתח האימות הסימטרי ידוע לכולם, כל אחד יכול להכין הודעה מזויפת ולייצר לה תג אימות מתאים עם מפתח זה, אך מרגע שהמפתח נחשף אין בזה כל הוכחה לכך שמקור ההודעה מאליס. בוב מצידו מייצר מפתח דיפי הלמן חדש מהמפתח הציבורי של אליס המסומן בתווית ${\displaystyle kIDa_{i}}$  והמפתח הפרטי שלו המסומן בתווית ${\displaystyle kIDb_{i}}$  ומקבל את מפתח ההצפנה ${\displaystyle k_{ij}}$  (אותו מפתח בדיוק שיצרה אליס) איתו הוא מפענח את החלק המוצפן של ההודעה ${\displaystyle T_{a}}$ , בודק שהיא תקינה על ידי תג האימות המצורף וקורא את ההודעה המיועדת אליו. ואותו תהליך חוזר על עצמו באופן דומה הפעם מצד בוב.

באופן תמציתי שיחת OTR יכולה להראות כך:

${\displaystyle A\longrightarrow B:g^{a_{1}}}$  ${\displaystyle B\longrightarrow A:g^{b_{1}}}$  ${\displaystyle A\longrightarrow B:g^{a_{2}},E(M_{1},k_{11})}$  ${\displaystyle B\longrightarrow A:g^{b_{2}},E(M_{2},k_{21})}$  ${\displaystyle A\longrightarrow B:g^{a_{3}},E(M_{3},k_{22})}$  ${\displaystyle \vdots }$

וכן הלאה. כאשר ${\displaystyle E(M,k)}$  מייצג הצפנה באמצעות AES במצב מונה.

במהלכי הפרוטוקול המתוארים מתרחש תהליך שיש המכנים אותו מחגר משונן (ראצ'ט) בדומה לכלי העבודה לחיזוק ברגים שמסתובב רק בכיוון אחד. בכל הודעה, השולח מצרף אליה את מפתח שלו להצפנת ההודעה הבאה והמקבל מצידו כאשר הוא מחזיר הודעה לשלוח הוא מצרף אליה את המפתח שלו להצפנת ההודעה הבאה וכן הלאה. כך הפרוטוקול "מסתובב" באופן חד כיווני. בכל נקודת זמן, אם התגלה מפתח שיחה אחד, אין בו די מידע המאפשר לנחש את מפתח השיחה הקודם כי הוא נוצר מחדש בתהליך דיפי-הלמן והמפתח שלפניו הושמד. כדי שאליס או בוב יהיו משוכנעים שהם מקבלים מפתח ציבורי אחד של השני ולא של מתחזה שנכנס באמצע, כל מפתח דיפי הלמן חדש מאומת באמצעות תג אימות שנגזר מהמפתח הקודם. אם המתחזה אינו יודע מהו מפתח השיחה כי הוא מעולם לא נשלח בגלוי, תהיה לו בעיה לשכנע אחד מהם שהמפתח שייך לבוב או אליס כי תג האימות יגלה מיד אם זה נכון. במילים אחרות, תהליך האימות מתבצע בשני מישורים, תחילה מבוצע אימות מלא של המפתח הראשון המסתמך על חתימה דיגיטלית של שני הצדדים המתקשרים. במישור השני מתבצע אימות חלקי באמצעות תג אימות סימטרי המסתמך על ההנחה שמפתח השיחה הראשוני לא נחשף. וכמובן בנוסף לאמור לעיתים אחד מהצדדים ידרוש לבצע את פרוטוקול SMP המתואר כדי לסכל ליתר ביטחון התקפת אדם באמצע.

ממהלכי הפרוטוקול המתוארים הושמטו מספר אלמנטים הקשורים בניהול ותחזוקה כמו תוויות, דגלים ושדות מידע מיוחדים. למעשה פרוטוקול OTR תומך בשמונה סוגי הודעות מיוחדות שקשורות בניהול ותחזוקה: הודעת אפס שמורה שממנה מתעלמים בדרך כלל, הודעת ניתוק או הודעת סיום שיחה, שש הודעות שונות המוקדשות לפרוטוקול SMP המתואר להלן וכן הודעת מפתח נוסף המיועדת להעברת מפתחות הצפנה סימטריים מאחד לשני. כמו כן כחלק ממהלכי הפרוטוקול שני הצדדים מחויבים לנהל מפתחות שיחה ומפתחות אימות, להיפטר מהם כאשר פג תוקפם או במידה שחלק מההודעות טרם הגיעו ליעדן לאחסן אותם זמנית במקום שמור. חיסרון בולט של הפרוטוקול הוא הצורך בפנקסנות והוא נעשה מסורבל במיוחד כאשר לא כל המשתתפים בשיחה מקוונים. למשל אם צד אחד שולח הודעה לצד השני שנמצא במצב אוף ליין ההודעה לא מגיעה מיד ליעדה, לכן השולח חייב לשמור את המפתחות המתאימים עד שיתקבל אישור שההודעה נקראה.

שיתוף מפתח מאומת

בגלל ליקויים בטיחותיים שהתגלו בגרסה המקורית, כדי לסכל התקפת אדם באמצע, פרוטוקול OTR גרסה 2 משתמש בפרוטוקול משני הנקרא SIGMA כדי לבצע שיתוף מפתח מאומת (בקיצור AKE) בארבעה מהלכים. בתמצית הרעיון הוא שהמשתתפים בפרוטוקול תחילה יוצרים ערוץ בטוח באמצעות פרוטוקול דיפי הלמן ללא אימות, ולאחר מכן מבצעים אימות דו כיווני בתוך הערוץ הזה. ביתר פירוט בוב מתחיל במסר:

(1) ${\displaystyle B\longrightarrow A:E_{r}(g^{b}),H(g^{b})}$ 

כאשר ${\displaystyle E}$  הוא הצפנת AES של המפתח הציבורי הארעי של דיפי הלמן (${\displaystyle r}$  הוא ערך אקראי חד פעמי המשמש כמפתח הצפנה) ו-${\displaystyle H}$  היא פונקציית גיבוב. אליס מחזירה לבוב את:

(2) ${\displaystyle A\longrightarrow B:g^{a}}$ 

לאחר בדיקה שהערכים תקינים ונמצאים בגבולות המותרים, בוב מחשב את המפתח המשותף על ידי ${\displaystyle s=(g^{a})^{b}}$  ומכין ממנו עם פונקציית גיבוב בתצורות שונות, שני מפתחות הצפנה ${\displaystyle c_{1},c_{2}}$  וארבעה מפתחות אימות ${\displaystyle m_{1},m_{2},m_{3},m_{4}}$  (מחציתם להצפנה ואימות המסרים שלו ומחציתם לפענוח ואימות המסרים של אליס). בוחר מזהה ייחודי טרי הנקרא ${\displaystyle kID_{b}}$ , משתמש בפונקציית MAC כדי להכין תג אימות של האלמנטים הבאים: המפתחות הציבוריים שלו ושל אליס ${\displaystyle g^{a}}$  ו-${\displaystyle g^{b}}$ , מזהה המפתח שלו ${\displaystyle kID_{b}}$  ומפתח האימות הציבורי ${\displaystyle Pub_{b}}$  של החתימה הדיגיטלית שלו: ${\displaystyle m_{b}={\text{MAC}}_{m_{1}}(g^{b},g^{a},Pub_{b},kID_{b})}$ . חותם באמצעות החתימה הדיגיטלית שלו על תג האימות: ${\displaystyle x_{b}={\text{Sign}}_{b}(m_{b})}$  ומצרף לחתימה את המפתח האימות הציבורי שלו וכן את מזהה מפתח השיחה כך שמתקבל ${\displaystyle X_{b}=\{Pub_{b},kID_{b},x_{b}\}}$ . ואז שולח לאליס את:

(3) ${\displaystyle B\longrightarrow A:E_{c_{1}}(X_{b}),{\text{MAC}}_{m_{2}}(E_{c_{1}}(X_{b})),r}$ 

אליס פועלת בדרך דומה, תחילה היא מפענחת את ההצפנה של ${\displaystyle g^{b}}$  עם המפתח ${\displaystyle r}$  ובודקת את תקינות כל הערכים שקיבלה. אם הכול תקין היא מחשבת את מפתח השיחה המשותף ${\displaystyle s=(g^{b})^{a}}$  ומכינה ממנו באמצעות פונקציית הגיבוב באותה דרך את שני מפתחות ההצפנה וארבעה מפתחות האימות שהכין בוב אצלו. משתמשת במפתח ${\displaystyle m_{2}}$  כדי לבדוק את תג האימות שקיבלה מבוב במסר האחרון, משתמשת במפתח ${\displaystyle c_{1}}$  כדי לפענח את החתימה הדיגיטלית של בוב ${\displaystyle X_{b}}$  מחשבת את תג האימות ${\displaystyle m_{b}}$  עם המפתח ${\displaystyle m_{1}}$  ומשתמשת במפתח הציבורי של החתימה הדיגיטלית של בוב ${\displaystyle Pub_{b}}$  כדי לוודא ש-${\displaystyle m_{b}}$  אכן הגיע מבוב. כעת בוחרת מזהה מפתח משלה ${\displaystyle kID_{a}}$  ומחשבת את תג האימות שלה: ${\displaystyle m_{a}={\text{MAC}}_{m_{3}}(g^{a},g^{b},Pub_{a},kID_{a})}$  חותמת עליו עם החתימה הדיגיטלית שלה: ${\displaystyle x_{a}={\text{Sign}}_{a}(m_{a})}$  ומכינה את ההודעה ${\displaystyle X_{a}=\{Pub_{a},kID_{a},x_{a}\}}$  ושולחת לבוב את:

(4) ${\displaystyle A\longrightarrow B:E_{c_{2}}(X_{a}),{\text{MAC}}_{m_{4}}(E_{c_{2}}(X_{a}))}$ 

מה שנשאר לבוב זה לוודא תקינות ערכים, לבדוק את החתימה הדיגיטלית ואת תג האימות לפענח את החלקים הדרושים פענוח וכעת שניהם משתפים מפתח מאומת בצורה כזו שלא רק שהם בטוחים שאיש לא יודע מהו, אלא הם גם בטוחים בהסתמך על החתימה הדיגיטלית שלהם, שזהותם וודאית והם אינם מתחזים.

בעיית המיליונרים

החסרון בפרוטוקול AKI הוא שבכל שלבי הפרוטוקול ההנחה היא שאליס מכירה את בוב ויודעת מהו המפתח הציבורי שלו וכן בוב מכיר את אליס ויודע מהו המפתח הציבורי שלה. אך אם בוב לא מכיר את אליס או שאליס אינה מכירה את בוב איב יכולה להתחזות לאחד מהם בקלות על ידי ביצוע כל מהלכי הפרוטוקול המתוארים אך עם המפתחות שלה במקום של אליס או בוב. ההתחזות לא תתגלה אלא אם כן אליס או בוב ינסו לברר מהו המפתח הציבורי שלהם באמצעים אחרים מחוץ לפרוטוקול. התקפה כזו קלה לביצוע במיוחד על ידי גורם מרכזי שיש לו שליטה על שרת ההודעות. למעשה קיים תוסף ל-Jabber (כיום נקרא XMPP) הנקרא mod_otr שמבצע באופן אוטומטי התקפת אדם באמצע נגד שיחת OTR^[3]. כדי לסכל את ההתקפה אפשר לפעול בדרך פשוטה. כל משתמש יאחסן רשימה של המפתחות הציבוריים של כל החברים איתם הוא משוחח. במידה שמצטרף לשיחה חבר חדש שהמפתח שלו אינו מוכר (לא נמצא ברשימה), תופיע התראה שמבקשת מהמשתמש לוודא שהמפתח נכון. למעשה OTR הציג למשתמש "טביעת אצבע" בדמות QR של תוצאת הפונקציה SHA-1 של המפתח הלא מוכר והמשתמש נדרש להשוות את טביעת האצבע מול טביעת אצבע שהוא השיג בעצמו באמצעים אחרים (מחוץ למהלכי הפרוטוקול). הבעיה היא שרוב המשתמשים לא מבינים את משמעות טביעת האצבע, הם מעדיפים להתעלם מההודעה או מנסים להשוות רק מספר בתים מתחילת טביעת האצבע ומספר בתים מסופה. מה שמאפשר התקפה מצד איב עם מפתח ציבורי הדומה למפתח הציבורי של אליס או בוב רק בבתים הראשונים והאחרונים. בנוסף השאיפה היא להסתיר מעיני המשתמש את המנגנון הקריפטוגרפי המסובך שפועל מאחורי הקלעים ולדמות שימוש חלק ככל האפשר בתוכנת המסרים כאילו לא היה קיים.

הפתרון שננקט ב-OTR גרסה 3 ומעלה הוא שימוש בפרוטוקול משני הנקרא "פרוטוקול המיליונרים הסוציאליסטיים" בקיצור (SMP) שהוא עצמו וריאציה של בעיית המיליונרים שניתן לה פתרון מעשי על ידי Yao^[4]. ב-2001 פורסם פתרון יעיל לבעיית המיליונרים הסוציאליסטיים על ידי Boudot, Schoenmakers, ו-Traoré בהתבסס על בעיית הכרעת דיפי-הלמן בקיצור DDH^[5]. הפתרון מאפשר לשני מיליונרים לדעת האם עושרם שווה מבלי לחשוף את עושרם המדויק לאף אחד מהצדדים או לצד שלישי. במילים אחרות זהו פרוטוקול כמעט אפס ידיעה שבו המידע הנחשף בסיומו שווה לסיבית אחת בלבד - אמת או שקר. בהקשר של OTR במקום להשוות כסף, משווים את המידע המשותף לאליס ובוב. אם איב המנסה להתחזות לאליס לא תצליח לנחש נכון את הסוד בניסיון הראשון הפרוטוקול יסתיים מיד בכישלון. לכל היותר איב תצליח לשבש או לקטוע זמנית את השיחה בין אליס ובוב. כדי למנוע מאיב מלהונות את המשתתפים על ידי העברת חילופי המסרים של פרוטוקול SMP כלשונם מאחד לשני הסוד אותו משווים כולל טביעת אצבע עם SHA-2 של מזהה השיחה, טביעות האצבע של מפתחות שני הצדדים והסוד המשותף. במצב כזה רוב הסיכויים שהתקפת MITM תכשל מיד משום שאצל בוב ואליס יתקבלו טביעות אצבע שונות. בד בבד הפרוטוקול מבטיח שאף אחד לא יוכל ללמוד מאומה מחלופי המסרים על הסוד המשותף שלהם מעבר לעובדה שהוא שווה אצל שניהם. כל התהליך מתרחש מאחורי הקלעים ללא מעורבות המשתמשים עצמם.

פרוטוקול SMP

ב-OTR כל החישובים של פרוטוקול SMP מבוצעים בחבורה ${\displaystyle G}$  מסדר ראשוני ${\displaystyle q}$  באורך 1536 סיביות. המספר הראשוני הוא בדיוק זה המופיע בתקן RFC 3526 בשם קבוצה 5. בנוסף קיים יוצר ${\displaystyle g_{1}}$ , שניהם ידועים ומפורסמים (בתקן היוצר הוא 2). ההנחה בתחילת הפרוטוקול שאליס ובוב מחזיקים בסודות פרטיים ${\displaystyle x}$  ו-${\displaystyle y}$  בהתאמה שאליהם מתייחסים כאל אלמנטים של השדה ${\displaystyle \mathbb {Z} _{q}}$  והמטרה של הפרוטוקול היא להוכיח ש-${\displaystyle y=x}$  מבלי לחשוף מאומה פרט לעובדה האם הם שווים או לא. הפרוטוקול מבוסס על הרעיון של אפס ידיעה, שאומר בתמצית היכולת להוכיח ידיעת סוד מבלי לחשוף מידע כלשהו לגבי הסוד עצמו שלא היה אפשר לדעת בדרכים אחרות. כל מהלכי הפרוטוקול מלווים בהוכחת אפס ידיעה על מנת להבטיח שלא שונו בטעות או בזדון (כלומר הבטחת הגינות).

תחילה, לצורך הפרוטוקול נחוצים עוד שני יוצרים אותם מכינים ומשתפים בשיטת דיפי-הלמן: אליס בוחרת אלמנט אקראי ${\displaystyle a_{2}\in _{R}\mathbb {Z} _{q}}$  ושולחת לבוב את ${\displaystyle g_{1}^{a_{2}}}$  ובוב בוחר אלמנט אקראי ${\displaystyle b_{2}\in _{R}\mathbb {Z} _{q}}$  ושולח לאליס את ${\displaystyle g_{1}^{b_{2}}}$  ושניהם מחשבים את ${\displaystyle g_{2}=g_{1}^{a_{2}b_{2}}}$ . הם חוזרים על התהליך המתואר עם שני אלמנטים אקראיים נוספים ${\displaystyle a_{3}}$  ו-${\displaystyle b_{3}}$  ומחליפים ביניהם את ${\displaystyle g_{1}^{a_{3}}}$  ו-${\displaystyle g_{1}^{b_{3}}}$  ומתקבל ערך משותף נוסף ${\displaystyle g_{3}=g_{1}^{a_{3}b_{3}}}$ . צריך לזכור שכל החישובים נעשים מודולו ${\displaystyle q}$ .

בשלב השני, מסתירים את הסודות ${\displaystyle x}$  ו-${\displaystyle y}$ . אליס ובוב בוחרים אלמנטים אקראיים נוספים ${\displaystyle a}$  ו-${\displaystyle b}$  בהתאמה ומחשבים ומחליפים ביניהם את ${\displaystyle (P_{a},Q_{a})=(g_{3}^{a},g_{1}^{a}g_{2}^{x})}$  וכן ${\displaystyle (P_{b},Q_{b})=(g_{3}^{b},g_{1}^{b}g_{2}^{y})}$ . אליס משתמשת ב-${\displaystyle a_{3}}$  כדי לחשב את ${\displaystyle \textstyle {R_{a}=\left({\frac {Q_{a}}{Q_{b}}}\right)^{a_{3}}}}$ . באופן דומה בוב מחשב את ${\displaystyle \textstyle {R_{b}=\left({\frac {Q_{a}}{Q_{b}}}\right)^{b_{3}}}}$  ואז הם מחליפים ביניהם את התוצאות. שניהם מחשבים את הערך המשותף ${\displaystyle R_{ab}=R_{a}^{b_{3}}=R_{b}^{a_{3}}}$  ואז היות שמתקיים:

${\displaystyle R_{ab}=\left({\frac {Q_{a}}{Q_{b}}}\right)^{a_{3}b_{3}}}$  ${\displaystyle \ \ \ \ \ \ \ =(g_{1}^{a-b}g_{2}^{x-y})^{a_{3}b_{3}}}$  ${\displaystyle \ \ \ \ \ \ \ =g_{3}^{a-b}g_{2}^{(x-y)a_{3}b_{3}}}$  ${\displaystyle \ \ \ \ \ \ \ =\left({\frac {P_{a}}{P_{b}}}\right)\cdot \left(g_{2}^{a_{3}b_{3}}\right)^{x-y}}$

לכן בשלב ההוכחה, כדי לוודא ש-${\displaystyle x=y}$  כל שעליהם לעשות הוא לבדוק האם ${\displaystyle \textstyle {R_{ab}=\left({\frac {P_{a}}{P_{b}}}\right)}}$ . אף אחד מהצדדים לא יודע מהו ${\displaystyle g_{2}^{a_{3}b_{3}}}$  שהוא יוצר אקראי של ${\displaystyle G}$  לכן אם ${\displaystyle x\neq y}$  הערך ${\displaystyle \textstyle {\left(R_{ab}\cdot {\frac {P_{b}}{P_{a}}}\right)}}$  יהיה אלמנט אקראי כלשהו ב-${\displaystyle G}$  שאינו תורם שום מידע לאף אחד ואילו אם ${\displaystyle x=y}$  הוא יהיה שווה 1 כי החזקה מתאפסת. כדי להבטיח הגינות כלומר שהצדדים פעלו בדיוק לפי הפרוטוקול אליס נדרשת להוכיח לבוב (וההפך) שאותו סוד שימש להכנת ${\displaystyle P_{a}}$  ו-${\displaystyle Q_{a}}$  וכן שהיא יודעת את הסוד שלה ${\displaystyle x}$ . כדי למנוע מאליס ובוב מלהעתיק את ההוכחות אחד לשל השני, בשלב הכנת היוצרים הפרוטוקול מנצל טכניקה מאלגוריתם של שנור^[6] בשילוב פונקציית הגיבוב SHA-2 עם תחיליות שונות למשל ${\displaystyle H_{n}(x)}$  הוא גיבוב של הקבוע ${\displaystyle n}$  שאליו משורשר ${\displaystyle x}$ . יש לשים לב שאקראיות הערך ${\displaystyle \textstyle {\left(R_{ab}\cdot {\frac {P_{b}}{P_{a}}}\right)}}$  אינה תלויה באנטרופיה של הסודות ${\displaystyle x}$  או ${\displaystyle y}$ , במילים אחרות הפרוטוקול יעבוד היטב גם אם הסודות המשותפים אינם מספרים אקראיים אלא מילים בעלי משמעות בשפה כלשהי עם יתירות גבוהה.

הביטחון של הפרוטוקול המתואר ידוע^[7][8] והוא מבוסס על העיקרון של אפס ידיעה וכן על בעיית דיפי הלמן. כל עוד הבעיה קשה לפתרון אפילו על ידי יריב בעל עוצמת מחשוב גבוהה הפרוטוקול מספק "כמעט אפס ידיעה" במובן שאליס ובוב יכולים להיות בטוחים שאף אחד לא יוכל ללמוד מחילופי המסרים של הפרוטוקול שום פרט לגבי הסודות שלהם (שהם למעשה אותו ערך, אם לא קיים מתחזה באמצע) מלבד לענות על השאלה האם הסודות זהים או לא. המתקיף אינו יכול לבצע התקפת כוח גס בלתי מקוונת על הערכים הללו אפילו אם הם קלים לניחוש כי דרושה אינטראקציה בזמן אמת עם המשתתפים בפרוטוקול. מספיק ניסיון כושל אחד כדי לעלות על המתחזה ולחשוף את ההתקפה.

סוד משותף

 

חלון אימות חבר של תוסף OTR לתוכנת המסרים פיג'ין באמצעות סוד משותף

החסרון הבולט בפרוטוקול הוא שההנחה היא שאליס ובוב מחזיקים בסוד משותף לפני ריצת הפרוטוקול. אם הם בחרו את הסוד בדרך בטוחה כמו במפגש אישי, על ידי שליח מהימן או בערוץ בטוח אחר אז לאיב אין אפשרות להשפיע על דרך בחירת הסודות ולהונות את הצדדים בהתקפת אדם באמצע. על כל פנים, לא תמיד הדבר אפשרי או נוח לצדדים לשתף סוד בדרכים בטוחות אפילו אם הם מכירים. במקרה כזה אם לאיב תהיה יכולת להשפיע על בחירת הסודות הם יהיו חשופים יותר להתקפת אדם באמצע. קיים טריק ישן אך יעיל, הם יכולים לשוחח ביניהם בערוץ פתוח באמצעות רמזים, במקום לחשוף את הסוד עצמו הם יכולים למשל לומר אחד לשני "הסוד יהיה הסרט שראינו בשבוע שעבר" וכדומה, רק אם המתקיפה איב מכירה את אליס מספיק טוב היא תוכל להונות את הצדדים. ליתר ביטחון אפשר להריץ את הפרוטוקול פעמיים, פעם אחת עבור רמז שאליס בוחרת ופעם אחת עם רמז שבוב בוחר. בכל אופן אם הם אינם מכירים כלל ומעולם לא נפגשו הבעיה תוותר בעינה. אם המתקיפה מסוגלת לנטר את תעבורת הרשת וליירט את ההודעות מבוב לאליס ומאליס לבוב אין דרך לסכל את התקפת אדם באמצע למעט שיתוף סוד בערוץ נפרד ובטוח. מבחינה מעשית, שיטת הרמזים עדיפה על שיטת טביעת האצבע המתוארת לעיל כי משתמשים בדרך כלל מתקשים בהשוואת מספרים ונוטים להתחמק מהמטלה הזו, לעומת זאת מילים או משפטים בעלי משמעות נוחים יותר.

ביטחון

ראו גם

• פרוטוקול שיתוף מפתח
• פרוטוקול דיפי-הלמן
• פרוטוקול סיגנל

קישורים חיצוניים

•   אתר האינטרנט הרשמי של מיסור שלא לפרסום (באנגלית)
• מבנה הפרוטוקול באנגלית

הערות שוליים

1. Off-the-Record Messaging
2. Off-the-Record Communication, or, Why Not To Use PGP, Nikita Borisov, Ian Goldberg, Eric Brewer, 2004
3. Olivier Goffart. mod_otr — Man in the Middle module for Off-The-Record. http://ejabberd.jabber.ru/mod_otr. Accessed June 2007
4. Andrew Yao. Protocols for secure computations. In Proceedings of the 23rd IEEE Symposium on Foundations of Computer Science, pages 160–164, 1982
5. Fabrice Boudot, Berry Schoenmakers, and Jacques Traoré. A Fair and Efficient Solution to the Socialist Millionaires' Problem. Discrete Applied Mathematics, 111(1–2):23–36, 2001
6. Claus-Peter Schnorr. Efficient signature generation by smart cards. Journal of Cryptology, 4(3):161–174, 1991
7. Markus Jakobsson and Moti Yung. Proving Without Knowing: On Oblivious, Agnostic and Blindfolded Provers. In Proc. of Advances in Cryptology—CRYPTO ’96, Lecture Notes in Computer Science 1109, pages 186–200, 1996
8. Tero Kivinen and Mika Kojo. More Modular Exponential (MODP) Diffie-Hellman groups for Internet Key Exchange (IKE). RFC 3526, May 2003