В российской ИТ-компании «Криптонит» (входит в «ИКС Холдинг») криптографы представили модель для анализа безопасности протоколов анонимной аутентификации, применяемых в сетях 5G. Разработка, получившая название sigmaAuth (σAuth), направлена на повышение устойчивости мобильных сетей к кибератакам и защиту цифровой идентичности пользователей.

Предложенная модель позволяет выявлять уязвимости в протоколах связи и подтверждать их стойкость с помощью строгих математических доказательств. σAuth уже может применяться для анализа отечественных решений 5G-AKA-GOST и S3G-5G, которые сейчас проходят этап стандартизации в техническом комитете ТК26. Ожидается, что модель станет основой для дальнейшего совершенствования протоколов, обеспечивающих защиту от атак на анонимность, повторное использование сообщений и компрометацию ключей.

Согласно отчёту GSMA Intelligence, в конце 2024 года число подключений в сетях 5G по всему миру достигло 2 миллиардов. При этом 5G обеспечивает подключение не только смартфонов, но и промышленных систем, транспорта, датчиков, что создаёт широкую поверхность атаки. Одним из уязвимых элементов является процесс аутентификации: злоумышленники могут перехватывать сообщения, отслеживать пользователей или подделывать цифровые идентификаторы.

«Модель σAuth формализует понятие анонимности и учитывает сценарии, при которых нарушитель, например, может получить доступ к IoT-оборудованию. Это особенно важно сегодня, когда защита постоянных идентификаторов, таких как IMSI и SUPI, играет ключевую роль в обеспечении безопасности», — комментирует Владимир Бельский, заместитель руководителя лаборатории криптографии компании «Криптонит».

Эксперт отдела перспективных исследований компании «Криптонит» Никита Габдуллин предложил методику, которая поможет снизить частоту ошибок ИИ при смене данных за счёт более точного прогнозирования поведения нейросетей.

Нейросети — основа искусственного интеллекта, но они не наделены разумом. С точки зрения математика это лишь сложные математические функции, которые преобразуют входные данные в выходные через последовательность вычислений, организованных в слои.

При таком преобразовании возможны ошибки, которые трудно предугадать, а их последствия могут быть весьма плачевными. Например, неоднократно сообщалось о проблемах с автопилотами Tesla, которые допускали ошибки в распознавании объектов. Они не видели велосипедистов со спины и не замечали пустые грузовые платформы на перекрёстках, а внезапно появившиеся красные круги на придорожных рекламных стендах воспринимали как запрещающие сигналы светофора и включали экстренное торможение. В целом автопилоты склонны неверно интерпретировать условия в нестандартных дорожных ситуациях просто потому, что не сталкивались с ними во время обучения.

Другой показательный пример — история пользователя Reddit, который следовал рекомендациям ИИ от Google и попытался приготовить оливковое масло с чесноком. Казалось бы, ну какие тут могут быть последствия, кроме невкусного блюда? Однако ИИ предложил метод, который привёл к образованию культуры Clostridium botulinum — возбудителя ботулизма, опасного для жизни заболевания. Такие истории предостерегают от слепого доверия к ИИ даже в бытовых задачах.

В практической криптографии особое внимание уделяется атакам по побочным каналам (side-channel attacks). Они позволяют злоумышленникам извлекать секретную информацию, не взламывая сам алгоритм шифрования, а лишь анализируя особенности его исполнения на физических устройствах. Эти атаки особенно опасны, поскольку обходят традиционные способы защиты.

Такие косвенные методы атак становятся возможны потому, что вычислительные устройства в процессе работы поглощают электрическую энергию, излучают электромагнитные и акустические волны, а также исполняют инструкции за разное время. Всё это происходит в зависимости от изменения данных на регистрах и может нести информацию о ключе шифрования, нарушая секретность по Шеннону.

К атакам по побочным каналам потенциально уязвимы даже самые передовые криптографические схемы, включая постквантовые, разрабатываемые на будущее для противодействия взлому с использованием квантового компьютера.

Методам защиты постквантовых криптографических схем от атак по побочным каналам посвящено исследование заместителя руководителя лаборатории криптографии по научной работе компании «Криптонит» Ивана Чижова и магистра МГУ Дмитрия Смирнова. Данное исследование представлено в рамках выступления на конференции РусКрипто’2025. В нём рассматривается группа схем постквантовой электронной подписи, построенных на основе протокола идентификации Штерна. Одной из них является российский «Шиповник» – разработка экспертов-криптографов компании «Криптонит» в рамках деятельности рабочей группы Технического комитета Росстандарта (ТК 26).

Системный разработчик ИТ-компании «Криптонит» написал статью про новый инструмент на Rust, который облегчает запуск моделей машинного обучения и их внедрение в приложения. Дальше публикуем текст от первого лица.

Статья написана по материалам выступления Михаила на RustCon 2024. Посмотреть видеозапись доклада можно в VK Видео.

Специалист отдела перспективных исследований компании «Криптонит» Игорь Нетай на протяжении нескольких лет изучал фундаментальную проблему быстрой потери точности вычислений. Она связана с повсеместно применяемым форматом экспоненциальной записи чисел и наиболее остро затрагивает сферы AI, HPC и Big Data.

Команда KryptoNet компании «Криптонит» выступила в финале Всероссийского хакатона по биометрии и заняла третье место в решении задачи «атака на биометрическое представление». Команду представляли сотрудники лаборатории искусственного интеллекта. Это был крайне интересный опыт, которым спешим поделиться в статье.

Призовой фонд хакатона, организованного Центром Биометрических Технологий, составил полтора миллиона рублей. Часто эпитет «всероссийский» добавляют просто ради звучного названия, но в этот раз конкурс был действительно масштабный. В нём приняли участие 55 команд из разных регионов страны. В финал прошли только 24 команды, включая нашу. В ходе заключительного этапа конкурса на выбор предложили три кейса. Мы выбрали кейс от СБП и Мир Plat.Form: «Создание инструмента для восстановления изображения из вектора биометрических персональных данных».

Формулировка задачи

По условию кейса произошла утечка данных из некоторой биометрической системы (БС). В результате неё злоумышленникам стали доступны изображения лиц и их биометрические представления (эмбеддинги).

От участников хакатона требовалось научиться генерировать фейковые портреты, которые смогут обмануть систему (или, говоря более строго — построить атаку на биометрическое представление). Используя перехваченные эмбеддинги, нужно было научиться генерировать новые изображения лиц, биометрические представления которых будут максимально близки к перехваченным.

При решении такого рода задач биометрическая система обычно представляет собой «чёрный ящик», но организаторы сообщили участникам конкурса об использовании в БС модели InsightFace buffalo_l, однако, пользоваться этим знанием для построения атаки было запрещено.