Kleptography — направление практической криптографии, изучающее методы скрытой и целенаправленной кражи секретной информации путём саботажа криптографических реализаций. Термин включает в себя разработки и анализ так называемых «криптографических бэкдоров», тонких манипуляций генерацией случайных чисел, модификаций протоколов и алгоритмов, позволяющих скрытно извлекать ключи, сессии или другие конфиденциальные данные без очевидных следов вмешательства. Kleptography рассматривает как теоретические модели атак, так и практические техники внедрения уязвимостей в программное и аппаратное обеспечение.
Исторически дисциплина сформировалась на стыке криптоанализа и информбезопасности, когда исследователи и инженеры начали систематизировать методы, позволяющие подменять или ослаблять криптографические компоненты так, чтобы автор саботажа имел непрямой доступ к защищённым сведениям. Kleptographic-атаки могут быть реализованы на уровне генераторов псевдослучайных чисел, ключевых менеджеров, схем подписи и протоколов обмена. При этом важной характеристикой таких атак является их «сублиминальность»: внешне корректное поведение, совместимое со спецификацией, сочетается с наличием скрытого канала утечки информации.
- Скрытый бэкдор: встроенные изменения в алгоритмах или коде, позволяющие автору раскрывать ключи или расшифровывать данные.
- Манипуляция генерацией случайных чисел: намеренное ослабление или подмена генераторов для предсказуемости секретов.
- Сублиминальные каналы: техники передачи информации в рамках легитимных сообщений, незаметные для стандартного аудита.
- Атаки на подписи и ключевые соглашения: модификации процедур подписи или протоколов обмена, открывающие возможность восстановления секретных ключей.
- Аппаратные внедрения: уязвимости, реализованные в микросхемах, модулях или устройствах, обеспечивающие скрытую эксфилтрацию данных.
- Стеганография и каналы побочной информации: использование временных, энергопотребления или других побочных характеристик для передачи секретов.
- Анализ и обнаружение: методы аудита, верификации и формальной проверки, направленные на выявление kleptographic-внедрений.
- Правовые и этические аспекты: вопросы ответственности, доверия к поставщикам и необходимость процедур проверки цепочки поставок.