Ich glaube, Ihre Liste der Anforderungen ist zu einschränkend, um ein vernünftiges Schema zu entwickeln. Es kann jedoch möglich sein, etwas zu finden, wenn Sie Ihre Kriterien ein wenig lockern.

Ohne Angabe der Form, Alice muss Bob ein Zeichen geben. Dieses Signal schaltet den Status von Alices Not vom Standardstatus auf den entgegengesetzten Status um. Wenn der Standardstatus ist, dass Alice nicht in Not ist und das Signal in Not wechselt, kann der Gegner das System immer schlagen, indem er einfach die gesamte Kommunikation unterbricht (d. H. Die Internetleitung vor dem Einbruch abschneidet).

Umgekehrt muss, wie @Karrax meint, die Standardeinstellung sein, dass Alice in Not ist und das Signal sie umschaltet, bis sie eine Zeitüberschreitung aufweist. Zu diesem Zeitpunkt muss Alice erneut signalisieren, um ihre Nicht-Not zu bewahren Status. Es gibt zwei Probleme: die Art des Signals und die Länge des Timeout-Zeitraums.

Es gibt viele Möglichkeiten, das Signal so zu implementieren, dass das Kerckhoffs-Grundgesetz gilt. Ein Beispiel wäre ein Panikkennwort. Beachten Sie, dass es nicht ausreicht, zwei Passwörter (oder Schlüssel oder Token usw.) zu haben, ein echtes und ein panisches, da ein Gegner, der das System kennt, Folgendes tun könnte: Sagen Sie Alice, dass er weiß, dass sie zwei Passwörter hat, und bitten Sie sie, zu schreiben beide werfen nach unten, werfen eine Münze, um zu entscheiden, welche sie verwenden möchten, und kommen 50% der Zeit mit dem Angriff davon. Kompliziertere Schemata umgehen dies: siehe das Papier (Eigenwerbung, ich weiß: Entschuldigung).

Eine andere weit entfernte Möglichkeit, das Signal zu implementieren, könnte darin bestehen, Alices Hautleitwert als Maß dafür zu verwenden, wie nervös sie ist. Ein solcher Vorschlag war letztes Jahr bei Usenix Security.

Der schwierigere Punkt ist das Timeout. Wenn das Timeout zu lang ist, kann der Gegner einbrechen und bis zum Ende des letzten Signals fertig sein. Wenn es zu kurz ist, haben Sie ein großes Usability-Problem. In der Tat würde ich argumentieren, dass Sie ein Usability-Problem haben, egal was mit diesem Ansatz.

Aus diesem Grund glaube ich nicht, dass es möglich ist, genau das Problem zu lösen, das Sie möchten.

Eine Möglichkeit, das Problem zu lösen, besteht darin, dass Alice eine Nachricht unter der passiven Überwachung des Gegners zuverlässig (ohne Änderung) übertragen kann (denken Sie daran, dass er alle Nachrichten blockieren kann, wenn er aktiv ist). In diesem Fall kann die Standardeinstellung sein, dass Alice nicht in Not ist und Alice einfach einen vorher festgelegten Mechanismus (wie ein Notwort) mit Bob verwenden würde. In diesem Fall ist das Problem im Wesentlichen die Steganographie, und da Alice das Signal nur mit menschlichen Berechnungen (d. H. Kognitivem Zwangswiderstand) codieren muss, können Sie niemals beweisen, dass das Schema sicher ist. Sie können sich nur darauf verlassen, dass es vernünftig erscheint.

Mir scheint, Sie verschmelzen zwei Problembereiche. Das erste ist das einfache Problem der Zwangscodes, bei dem es sich um ein gründlich untersuchtes Problem der menschlichen Sicherheit handelt. (Und eine, auf die es oft keine gute Antwort gibt - Leo Marks hat einmal die "Sicherheitsüberprüfungen" des SOE-Agenten als gut für die Beruhigung des Agenten und nicht viel mehr beschrieben.)

Der zweite Problembereich ist die technische Der Kommunikationskanal kann durch die Anwesenheit und das Wissen des Angreifers beeinträchtigt werden.

Der Grund, warum Sie diese möglicherweise in Konflikt bringen, liegt darin, dass Sie anscheinend fragen, ob Schutzmaßnahmen für den technischen Kanal vorhanden sind das kann das Zwangscode-Problem lösen. Meine Antwort lautet: Nein, da jeder von Ihnen eingerichtete Schutz genau denselben Bestanden / Nicht Bestanden-Kriterien für einen Zwangscode unterliegt. An diesem Punkt kehren Sie direkt zum Problem des Zwangscodes zurück. Eine der schwierigsten Auswirkungen eines Zwangscodes besteht beispielsweise darin, die laufende Kommunikation mit einer kompromittierten Partei aufrechtzuerhalten, die den Angreifer täuscht, zu glauben, dass er Sie täuscht (der Angreifer schießt also nicht, wissen Sie, der Agent). Mein Punkt ist, es gibt einfach keine technologische Lösung, um einen Menschen zu täuschen, der die Kommunikation eines anderen Menschen (Stimme, Text, Morsecode, was auch immer) beurteilt. Das Problem des Zwangscodes tritt auf der menschlichen Ebene auf. Es spielt keine Rolle, ob Sie auf der nächsten Ebene unverschlüsselte UDP- oder IPSec- oder Quantenkryptografie haben.

Ich habe keine Ahnung, ob dies für Sie hilfreich ist :)

Wenn Alice tippt, gibt sie bereits ständig sowohl die Bestätigung ein, dass sie der richtige physische Mensch ist, als auch die Eingabe ihres aktuellen Stressniveaus.

Wir übertragen einfach das Tastendynamik, die sie beim Tippen verwendet, um eine Biometrik für ihr physisches Selbst, einen Einblick in ihren gegenwärtigen Geisteszustand (Stresslevel) sowie eine Methode zu erhalten, die plausible Leugnung bietet. Textprotokolle der Konversation geben diese Informationen nicht wieder.

Die Tastenanschlagdynamik hat sich als zuverlässig genug erwiesen, dass mehr als 15 Unternehmen irgendeine Form dieser Lösung verkaufen, um den einen oder anderen Bedarf zu decken.

Meine erste Antwort sollte in Anlehnung an @ PulpSpys "Panik-Passwort" lauten - tatsächlich habe ich so etwas ursprünglich im ursprünglichen Chat erwähnt ... :)
(Und insgesamt sieht es so aus, als ob er hat die vollständigste Antwort, hat sogar die Forschung, sich zu sichern :)).

Wie @gowenfawr erwähnt, handelt es sich jedoch effektiv um ein Problem mit dem menschlichen Raum, und selbst das Panikkennwort hätte Schwierigkeiten, die Verschmelzung der beiden Problemräume zu umgehen.

Eine andere Lösung - und die Anwendbarkeit würde stark vom Szenario abhängen - würde einschränken, was der authentifizierte Benutzer tun kann (muss) . Dies würde nicht zutreffen, wenn Alice Bob einfach signalisieren möchte, dass ihr Leben in Gefahr ist; Dies könnte in einer Situation relevant sein, wie sie von @ this.josh in einem Kommentar erwähnt wird:

... die Schurkenpartei zwingt Sie physisch, dh hält eine Waffe an Ihren Kopf und zwingt sie Sie können eine Nachricht an eine entfernte Partei senden. d.h. "Alle Gelder von Konto 12345 auf Konto 67890 überweisen" Sie können davon ausgehen, dass der Angreifer weiß, wie das Kommunikationsprotokoll funktionieren soll, sodass der Angreifer eine erhebliche Abweichung feststellen kann.

Anstatt dass Alice versucht, Bob nicht zu signalisieren, die Übertragung durchzuführen, während sie gezwungen wird, sollte das System nicht zulassen Eine solche Übertragung muss einfach auf der Grundlage einer IM-Nachricht von Alice durchgeführt werden.
Dies passt irgendwo zwischen "Least Privilege" und "adaptive authentication" ...

Ähnlich Als die Bankensicherheit härter wurde, gab es einen "Trend", die Familienmitglieder von Bankmanagern zu entführen und die Bankmanager zu zwingen, den Bankdiebstahl für sie durchzuführen.
Banken kämpften dagegen an (erfolgreich? I. Ich bin mir nicht sicher), indem ich selbst dem Bankdirektor untersage, zu viel Bargeld alleine herauszuholen.

Mit anderen Worten, anstatt sich um Alices Identität zu sorgen, beschränken Sie ihre Möglichkeiten - dann gibt es auch weniger Anreize, Alice eine Waffe physisch an den Kopf zu legen, da sie nicht helfen kann, selbst wenn sie wollte.

Beachten Sie, dass dies nicht die Titelfrage (wie zu signalisieren) beantwortet, sondern zunächst versucht, die Situation zu umgehen.
Und dies würde Alice wiederum nicht helfen, zu signalisieren Bob, dass ihr Leben in Gefahr ist - es sei denn, Bob würde wissen, dass Alice es nicht einmal versuchen würde, und daher ist die Einhaltung des Zwangs das eigentliche Signal. (Kreisverkehrslogik, ich weiß ...)

Was ist, wenn Sie eine Routine festlegen oder überprüfen, dass Sie immer in Situationen ohne Notfälle initiieren? Auf diese Weise befolgen Sie beim Diktieren oder Beobachten nicht die Routine und wissen, dass die Abdeckung aufgeblasen ist.

Sie kann versehentlich ausgelöst werden, wenn Sie dies auch vergessen, aber natürlich sollten Sie dies nicht tun, wenn dies der Fall ist von solcher Bedeutung.

Bearbeiten: Kein System wird jemals 100% sicher sein. Sie werden es nur sicher genug bekommen. Sie könnten die IM-Software und andere erforderliche Tools auf einem ROM-Chip brennen und auf einem geeigneten Gerät verwenden und möglicherweise sicher genug sein. Von dem Szenario, das große Mengen an Securitytube erfordert, tun Sie natürlich gerade genug, um auch die Clients zu sichern.

Eine andere Idee ist es, das Geheimnis der Aktien zu einer harten mathematischen Herausforderung zu machen, die auf dem Papier gelöst werden kann. In Not behaupten Sie einfach, Sie lösen es anders als tatsächlich.

Hier gibt es nur zwei Faktoren.1. Möglichkeit, jede gewünschte Nachricht zu senden2. Möglichkeit zur Auswahl des Empfängers

Nehmen Sie im schlimmsten Fall an, dass die Schurkenpartei die Nachricht lesen kann.

Dies führt zu 4 möglichen Situationen, die alle fehlschlagen, wenn herkömmliche Methoden befolgt werden da die Schurkenpartei dasselbe lesen und alle Parameter beeinflussen kann.

[Wenn sie nicht lesen können - Diese gesamte Diskussion ist sinnlos :)]

Lösung: Der Überprüfungsprozess sollte nicht Lassen Sie sich nicht von dem starten, der in Schwierigkeiten ist. Das ist der Schlüssel. Es muss von demjenigen gestartet werden, der frei ist. Es kann sich um ein vorab festgelegtes Frage-Antwort-Paar handeln. Falsche Antwort bedeutet einfach Ärger. Sie können immer die richtige Antwort geben, wenn Sie keine Probleme haben. Sogar eine Situation ohne Antwort kann als Problem angesehen werden.

Die einzige Frage ist, wie derjenige, der frei ist, damit anfängt. Mögliche Antwort: Tun Sie es jeden Tag zu einer vordefinierten Zeit. Es ist die einzig mögliche / mehr mögliche Lösung, die man sich vorstellen kann. Grund dafür ist, dass Sie sich das Recht nehmen, den Empfänger aus der Schurkenpartei auszuwählen und auch die Möglichkeit, die richtige Antwort aus einer unvorstellbar großen Anzahl möglicher Antworten zu senden.

Der Prozess ist zufällig und daher sind die Probleme, die der Schurkenpartei entstehen, höher als bei anderen Lösungen. Dies ist ein sehr möglicher Weg, um das von Ihnen aufgeworfene Problem zu lösen. Alle anderen mögen in der einen oder anderen Situation scheitern, aber das bietet die meiste Hoffnung.

Ich muss nur an eine Kindergeschichte und einen Nachrichtenartikel denken.

In einer Geschichte wurde eine Schwester entführt und gezwungen, ihren Bruder anzurufen, um ihn in die Falle zu locken. Sie benutzte seinen Spitznamen, den sie noch nie zuvor verwendet hatte, weil sie weiß, dass er ihn hasste.

In dem Nachrichtenartikel ging es um eine Einrichtung zur Behandlung von psychischen Problemen bei Kindern. Laut dem Nachrichtenartikel wurden die Kinder dort misshandelt und es wurde enthüllt, weil eine Mutter mit ihrem Kind einverstanden war, ein "!" anstelle eines "," in der Zeile "Liebe Mutter" eines Buchstabens.

Bei Sofortnachrichten kann dies die Verwendung von Smilies oder die Zeichensetzung am Zeilenende sein (unabhängig davon, ob ein Punkt verwendet wird oder nicht) ).

Diese beiden Ideen verstoßen offensichtlich gegen Kerckhoffs Gesetz.

Sie können ein zweistufiges Signal verwenden, wenn Sie keine schnelle Antwort erwarten. Der erste Schritt könnte beispielsweise die Verwendung (für Sie) ungewöhnlicher Typografie (wie Auslassungspunkte, Diakritika oder aller Großbuchstaben) oder eines Verweises auf einen Namen sein, den keiner von Ihnen kennt . Darauf sollte sofort ein bestimmter, harmloser Satz wie "Bist du da?" oder "Hast du diesen schicken Laptop schon gekauft?"

folgen Wenn Sie sich in einem aktiven Gespräch befinden, können Sie ein dreistufiges Signal mit Bestätigung verwenden. Nach dem Empfang der Notsignalinitialisierung könnte die andere Person etwas Bestimmtes wie "Sind Sie [Ihr Partner / Bruder / anderer]?" Jetzt der Ton der Antwort antworten könnte feststellen, ob es sich um ein echtes Notsignal oder einfach um einen Fehler handelt. Zum Beispiel würde eine einfache sachliche Antwort ( "Nein, ich bin es" ) die Situation entwaffnen, während eine sarkastische / aufgeregte / emotionale Antwort ( "Nein, es ist ihr empfindungsfähiger Stuhl" em) > / "Warum stellst du immer wieder dumme Fragen?" ) würde auf einen echten Notfall hinweisen. Das Schöne an einer solchen Methode ist, dass die Eindringlinge die beiden Personen wirklich gut kennen müssen, um festzustellen, dass dies nicht ihre übliche Art der Kommunikation ist.

Protokoll:

Wenn Alice und Bob sich normal unterhalten, sendet Alice regelmäßig eine spezielle Passphrase, die nicht für Mallory geeignet ist. Nachdem Bob diese Nachricht erhalten hat, kann er es sein zuversichtlich, dass Alice bis zu diesem Zeitpunkt nicht unter Zwang stand.

gültiges Transaktionsbeispiel:

  Alice: Hallo Bob.Bob: Was ist los? Alice: Trent hat gerade meinen neuen orangefarbenen AK-47 geliefert. Alice: Bitte nimm $ 973 von meinem Konto und lege ihn auf Trents Konto. Bob: Warte ... Bob: OK, es ist geschafft. Bob: Das hört sich nicht so an Sie.Bob: Ich dachte, Sie sagten, orangefarbene AK-47 sehen schrecklich aus? // Alice öffnet eine Schublade, schaut in eine Datei mit der eindeutigen Bezeichnung PASSWORDS und gibt dann Folgendes ein: Alice: Sudo macht mich zu einer Sandhexe, Bob.// Bob blättert durch seine Rolodex.// Die Kamera zoomt auf Bobs Hand und hält eine Rolodex-Karte mit ALICE auf der oberen Lasche. // und "sudo mach mich zu einem Sandhexen, Bob." Handdruck in der Nähe des unteren Randes. Alice: Das Streumuster von Freds orangefarbenem AK-47 sieht abscheulich aus. Alice: Trents orangefarbener AK-47 ist völlig anders.  

Zwangstransaktionsbeispiel:

  // Geräusche von Glasscherben.// Mallory tritt durch eine ehemalige Glasschiebetür und // legt Alice eine Waffe an den Kopf.// Mallory: Alice , sagen Sie Bob, er soll 100.000 USD auf das Schweizer Bankkonto 555-1212 überweisen. Alice: Bob, überweisen Sie 100.000 USD auf das Schweizer Bankkonto 555-1212.Bob: Warte ... Bob: OK, es ist geschafft.// Alice: OK, er erledigt. Können Sie mich jetzt gehen lassen? // Mallory: Das wird mich nicht täuschen.  

Ursprüngliches Ende:

  // Mallory: Nach Kerckhoffs Prinzip, // Ich weiß, dass du eine Art Bestätigungskennwort hast. Tippe das jetzt ein.Alice: sudo korrekte Pferdebatterie, Bob.// Bob denkt bei sich: Huh? Dies kann kein weiteres falsch geschriebenes "Sandwich" sein .// Bob denkt: Dies muss eine echte Zwangssituation sein.Bob: Verifiziert.// Mallory schießt eine Kugel durch Alices Handy und Laptop, // was es unmöglich macht Alice ruft Bob sofort zurück und bricht die Transaktion ab.
Bob: Alice? // Bob wartet eine Minute, aber Alice antwortet nie.// Bob schickt Trent, um nach Alice zu sehen.// Mallory schreitet durch eine ehemalige Glasschiebetür. / / Blitz silhouettiert kurz Mallory, // dann sehen wir nur noch Regen und Dunkelheit.  

Quentin Tarantino endet:

  // Mallory: Nach Kerckhoffs Prinzip // Ich weiß, dass Sie eine Art haben der Bestätigung Passwort Ding. Geben Sie das jetzt ein.// Alice: Es ist so lang und kompliziert, ich kann mich nicht daran erinnern.// Alice: Es ist in meiner PASSWORDS-Datei geschrieben.// Alice öffnet eine Schublade und zieht eine Datei mit der eindeutigen Bezeichnung PASSWORDS heraus. // Mit der anderen Hand zieht sie eine orangefarbene AK-47 (Tschechows Waffe) heraus.  

Details:

Seit Bob anfangs weiß nicht, ob Alice gezwungen wird oder nicht, daher muss ein Signal von Alice zu Bob übertragen werden, das Bob erkennt, dass Alice unter Zwang steht oder nicht.

Doch nachdem Mallory eingebrochen ist, Mallory blockiert jede Nachricht, wie "und die Blumen waren auch schön", die sogar eine winzige entfernte Möglichkeit hat, eine speziell codierte Nachricht zu sein, die bedeutet "Bob! Mallory ist hier mit einer Waffe an meinem Kopf!".

Daher muss sich das Protokoll auf das Fehlen einer Nachricht stützen, die angibt, dass Alice unter Zwang steht, und auf eine positive Nachricht, die angibt, dass Alice frei ist.

Um zu vermeiden, dass Kerckhoffs verletzt wird Prinzip müssen wir annehmen, dass Mallory Kno ws, dass es eine positive Nachricht gibt, die angibt, dass Alice frei ist. Um zu verhindern, dass Mallory diese Nachricht selbst auf Alices Tastatur eingibt, muss die Nachricht für Mallory nicht erratbar sein.

Von Wenn Mallory zuerst die Transaktion anfordert und später bestätigt, dass sie sie wirklich haben möchte, indem sie das Nachwort für die Passphrase sendet, kann sie die Sitzung nicht entführen, nachdem sich Alice mit einer Passphrase "angemeldet" hat.

potenzieller Fehler: Wenn Mallory zurückblättern und Alices vorherigen Gesprächsverlauf anzeigen kann, kann er möglicherweise herausfinden, wie die eigentliche Passphrase lautet. Es gibt mehrere "einmalige Passphrasen" -Umgehungen.