КЛЕПТОРИЗИК ЯК ОКРЕМИЙ КЛАС РИЗИКУ ЦИФРОВОЇ ДОВІРИ

Михайло Шелест; Юлія Ткач

doi:10.28925/2663-4023.2026.32.1197

Автор(и)

Михайло Шелест Національний університет «Чернігівська політехніка» https://orcid.org/0000-0001-7110-4876
Юлія Ткач Національний університет «Чернігівська політехніка» https://orcid.org/0000-0002-8565-0525

DOI:

https://doi.org/10.28925/2663-4023.2026.32.1197

Ключові слова:

клепторизик; клептографія; цифрова довіра; криптографічні бекдори; архітектура довіри; ризики кібербезпеки, інформаційна безпека.

Анотація

У цій статті представлено клепторизик як окремий клас ризиків цифрової довіри, що виникають через навмисно вбудовані, контрольовані слабкі місця в архітектурі криптографічних та інформаційних систем. На відміну від традиційних ризиків кібербезпеки, які виникають через недоліки впровадження або операційні вразливості, клепторизик виникає на етапі проектування та існує незалежно від його активації. У статті формалізовано концепцію клепторизику, визначено його ключові властивості та відрізнено його від традиційних категорій ризиків. Запропоновано компактну модель життєвого циклу, яка описує формування, легітимізацію, приховане існування та потенційну активацію клепторизику. Історичні тематичні дослідження, включаючи криптографічні пристрої Crypto AG та генератор випадкових чисел Dual_EC_DRBG, демонструють, що такі ризики можуть існувати в рамках формально сумісних та широко розгорнутих систем. Результати дослідження показують, що клепторизик є архітектурною характеристикою, а не операційною подією. У цій роботі обґрунтовується перехід від інцидентно-орієнтованої кібербезпеки до архітектурно-орієнтованої парадигми аналізу довіри та окреслено наслідки для управління довірою, криптографічної гарантії та розробки систем безпеки, що враховують клепторизики.

Завантаження

Дані завантаження ще не доступні.

Посилання

Abelson, H., Anderson, R., Bellovin, S., Benaloh, J., Blaze, M., Diffie, W., Gilmore, J., Green, M., Landau, S., Neumann, P., Rivest, R., & Schiller, J. (2015). Keys under doormats: Mandating insecurity by requiring government access to all data and communications. Journal of Cybersecurity, 1(1), 69–79. https://doi.org/10.1093/cybsec/tyv009

Anderson, R. (2020). Security engineering: A guide to building dependable distributed systems (3rd ed.). Wiley.

International Organization for Standardization. (2018). ISO 31000: Risk management—Guidelines. ISO.

Miller, G. (2020, February 11). The intelligence coup of the century: For decades, the CIA read the encrypted communications of allies and adversaries. The Washington Post.

National Institute of Standards and Technology. (2018). Risk management framework for information systems and organizations: A system life cycle approach for security and privacy (NIST SP 800-37 Rev. 2). https://doi.org/10.6028/NIST.SP.800-37r2

National Institute of Standards and Technology. (2012). Recommendation for random number generation using deterministic random bit generators (NIST SP 800-90A).

National Institute of Standards and Technology. (2014). Dual EC in X9.82 and SP 800-90.

Organisation for Economic Co-operation and Development. (2014). Building digital government strategies: Principles and practices. OECD Publishing. https://doi.org/10.1787/9789264223639-en

Schneier, B. (2015). Applied cryptography: Protocols, algorithms, and source code in C (20th anniversary ed.). Wiley.

Shumow, D., & Ferguson, N. (2007). On the possibility of a back door in the NIST SP800-90 Dual EC PRNG. In Advances in cryptology—CRYPTO 2007 (Rump session).

Swissinfo.ch. (2020, November 10). Swiss intelligence benefited from CIA-Crypto spying affair.

Young, A., & Yung, M. (1997). Kleptography: Using cryptography against cryptography. In Advances in cryptology—EUROCRYPT ’97 (Lecture Notes in Computer Science, Vol. 1233, pp. 62–74). Springer.

Tkach, Y. M., & Shelest, M. Y. (2025). Kleptography: From backdoor to trust policy in the digital age. Chernihiv Polytechnic National University.