2.5.2. Криптографические методы защиты данных

Криптографическая защита информации направлена в первую очередь на преодоление угроз, связанных с хищением информации. Смысл криптозащиты в том, чтобы свести результативность хищения к минимуму по причине невозможности использования зашифрованной информации. При этом информация в исходной форме, называемая открытым текстом, заменяется информацией в непонятной форме, называемойкриптограммой, которая хранится или передается по каналам связи. Процесс преобразования открытого текста в криптограмму называется шифрованием, обратный процесс – дешифрованием.

Традиционные требования к криптографическим средствам защиты можно сформулировать следующим образом:

1. метод должен быть надежен, то есть восстановление текста при владении только криптограммой, но без ключа должно быть практически невыполнимой задачей;

2. из-за трудностей, связанных с запоминанием или пересылкой ключа, объем ключа не должен быть большим;

3. из-за трудностей, связанных со сложными преобразованиями, процессы шифрования и дешифрования должны быть простыми;

4. из-за возможности появления ошибок передачи дешифрование криптограммы, содержащей ошибки не должно приводить к размножению ошибок в полученном тексте;

5. из-за трудностей передачи объем криптограммы не должен превышать объема текста.

Криптозащита реализуется с учетом правила, называемого правилом Кирхгофа: «Противнику известно все, кроме ключа, используемого для шифрования открытого текста». Т.е. подразумевается, что методика и реализация системы шифрования и дешифрования известна злоумышленнику. Реализацией может быть программа, аппаратный модуль или аппаратно-программная система. Ключом в общем случае называют некоторый набор изменяемых параметров алгоритма шифрования, с использованием которого производится и шифрование, и дешифрование. Без знания ключа процедура дешифрования должна быть максимально затруднена (практически нецелесообразна с точки зрения временных затрат) даже при наличии у злоумышленника программного, аппаратного или аппаратно-программного модуля, идентичного тому, который имеется у адресата.

Сложность обеспечения безопасности с помощью криптографических средств защиты информации (КСЗИ) возрастает с увеличением сложности средств связи и информационных технологий. Основные трудности связаны со следующими факторами:

а) средство реализации криптографического алгоритма в компьютерной системе представляет собой равноправный с прочими ресурс, т.е., как правило, является программой и использует данные системы;

б) ключевая информация является данными компьютерной системы с возможностью доступа со стороны других программ и с прохождением при обработке через ряд внешних по отношению к системе криптографической защиты программных модулей;

в) функционирование системы криптографической защиты происходит не автономно, а выполняется под управлением операционной системы и различных программ – посредников, которые при желании могут произвольно искажать вводимую и выводимую из системы криптографической защиты информации информацию;

г) программная среда, в которой работает система криптографической защиты, устроена иерархично, т.е. для выполнения типовых функций все программы используют одни и те же фрагменты кода и данные;

д) работа системы криптографической защиты сопряжена с возможностью возникновения ошибочных ситуаций в аппаратной и программной среде компьютерной системы.

В связи с этим, для обеспечения безопасности информации в ИТКС (информационной телекоммуникационной системе) необходимо эффективно решать следующий круг научно-технических задач:

а) обеспечивать оптимальную, формально проверяемую реализацию криптографических алгоритмов в рамках эксплуатируемых ИТКС программных и аппаратных платформ;

б) обеспечивать при проектировании системы криптографической защиты меры обеспечения отказоустойчивости, защиты от сбоев и искажений аппаратных компонентов;

в) обеспечивать защищенность системы криптографической защиты и ее ресурсов (ключевой информации) от НСД со стороны других программ;

г) гарантировать качество управления системы криптографической защиты со стороны ОС и программ-посредников, в т.ч. и в условиях ошибочных и преднамеренных действий пользователя.

Таким образом, следует подчеркнуть, что систему криптографической защиты нельзя рассматривать изолированно от других методов обеспечения информации, т.е. подход к обеспечению безопасности информации в ИТКС должен быть системным и комплексным. Так, например, весьма уязвимым местом при применении криптографических методов является возможная утечка ключей шифрования, следовательно, криптографические методы должны сочетаться с организационными и административными мерами, препятствующими такой утечке. С другой стороны, криптографические методы помогают решать и ряд других задач, которые прямо не связаны с упомянутой выше угрозой. Так, например, они могут быть использованы в процедурах аутентификации пользователей.

Криптографическая защита информации стандартизирована: DES(1978 г., США), ГОСТ 28147-89 (СССР).

Периоды развития криптологии:

4. Эра донаучной криптологии.

5. С 1949 г. (работа К.Шеннона «Теория связи в секретных системах», в которой проведено фундаментальное научное исследование шифров и важнейших вопросов их стойкости) – период существования криптологии как прикладной математической дисциплины.

6. С 1976 г. (работа У.Диффи, М.Хеллмана «Новые направления в криптографии», где показано, что секретная связь возможна без предварительной передачи секретного ключа) – период использования криптографии с открытым ключом.

Криптология делится на два направления:

• криптография занимается поиском и исследованием математических методов преобразования информации;

• криптоанализ – исследованием возможностей расшифровывания информации без знания ключей.

Разделы криптографии:

• симметричные криптосистемы;

• асимметричные криптосистемы (криптосистемы с открытым ключом);

• системы электронной подписи;

• управление ключами.

2.5.2.1. Криптоанализ

Распространенными методами криптоанализа являются статистические методы, при которых используются знания статистических свойств открытого текста и сопоставление их с найденными статистическими закономерностями перехваченных криптограмм, на основании чего может быть раскрыт текст или ключ. Одним из традиционных методов криптоанализа при использовании естественных языков является так называемый частотный анализ, основанный на том, что языки имеют характерное частотное распределение букв или других знаков (частота – частость их употребления). Некоторые системы шифрования не меняют этих закономерностей, что обеспечивает достаточно легкое их раскрытие.

Для определения возможности применения частотного анализа можно использовать так называемый индекс соответствия, представляющий собой оценку суммы квадратов вероятностей каждой буквы криптограммы. Крайнее значение индекса указывает на возможность использования частотного анализа. И, наоборот, его применение практически бесполезно при равномерном распределении символов в криптограмме.

Кроме того, может использоваться так называемый метод вероятных слов, в котором при сопоставлении некоторой небольшой части криптограммы с известным фрагментом текста пытаются найти ключ и с его помощью расшифровать весь текст. Требуемый фрагмент открытого текста может быть найден с помощью статистических методов или просто угадан, исходя из предполагаемого содержания или структуры открытого текста.

2.5.2.2. Классические методы шифрования

К классическим (базовым) методам шифрования относятся:

• методы подстановки;

• методы перестановки;

• аддитивные методы.

Классические методы шифрования могут использоваться как составные элементы и симметричных, и асимметричных систем шифрования.

Суть методов подстановки в том, что каждому символу алфавита, в котором выполнен открытый текст, ставят в соответствие символ этого же или другого алфавита или алфавитов и получают криптограмму путем соответствующей подмены.

Методы подстановки, в которых используется один алфавит, называются моноалфавитными, более одного – многоалфавитными. В качестве алфавитов в многоалфавитных методах может использоваться один и тот же алфавит, циклически сдвигаемый после каждого использования. Недостаток моноалфавитных методов в том, что текст криптограммы характеризуется теми же частотными закономерностями, что и открытый текст, следовательно, обладает невысокой защищенностью от статистического криптоанализа.

В качестве ключа в методах подстановки может использоваться закодированная информация об используемом алфавите, его сдвиге и т.п.

Методы перестановки не используют подмену символов, а сводятся к перестановке символов исходного открытого текста в соответствии с некоторым алгоритмом. Простейший метод состоит в том, что берется квадратная матрица и заполняется символами открытого текста по строкам, а затем считывается по столбцам.

Одним из усложнений метода перестановок является метод маршрутов Гамильтона. Он сводится к тому, что открытый текст разбивается на последовательности символов одинаковой длины (например, 8), каждая из которых подвергается перестановке в соответствии правилом, специфичным для каждой последовательности.

Правило перестановки является в данном случае ключом.

Суть аддитивных методов сводится к следующему. Пусть задан открытый текст в некотором алфавите и некоторая последовательность букв этого же алфавита такой же длины, которая играет роль ключа. Тогда криптограмму можно получить так: буквы взаимнооднозначно закодировать целыми числами; произвести сложение чисел, соответствующих буквам текста и ключа, находящихся в одинаковых местах, по модулю, равному числу букв в алфавите; и опять вернуться от чисел к буквам.

Из сказанного следует, что алгоритм преобразования чрезвычайно прост. Проблемой становится порождение ключевой последовательности. Если ключ выбирается случайно, и его длина не меньше длины текста, то система теоретически абсолютно секретна, ее нельзя раскрыть. Однако, в вычислительной криптографии такой подход к формированию ключевой последовательности неприемлем. Чаще всего в вычислительной криптографии пользуются псевдослучайными ключами, порождаемыми в результате работы какого-либо детерминированного алгоритма преобразования информации. В качестве такового чаще всего используются датчики или генераторы случайных чисел (генераторы псевдослучайных последовательностей – ПСП).

2.5.2.3. Симметричные криптосистемы

В симметричных системах и для шифрования, и для дешифрования используется один и тот же ключ. Основным недостатком симметричного шифрования является то, что ключ должен быть известен и отправителю, и получателю. Это означает, что он должен быть передан, и, соответственно, может быть перехвачен злоумышленником в процессе передачи.

Симметричные системы используют классические методы шифрования, в частности, в различных сочетаниях, обеспечивая при этом два принципа, обозначенных К. Шенноном: рассеивание и перемешивание.

Рассеивание означает, что каждый символ открытого текста отражается не в одном символе криптограммы, а во множестве (его влияние «рассеивается» на множество символов криптограммы). В результате «рассеиваются» и статистические свойства открытого текста.

Перемешивание способствует дальнейшему скрытию статистических взаимосвязей между открытым текстом и криптограммой. Суть принципа перемешивания ясна из его названия.

Рассеивание и перемешивание вполне обеспечиваются принципом составного или комбинированного шифрования, заключающимся в последовательном использовании нескольких простых шифров (например, подстановок и перестановок).

Наибольшую популярность приобрели следующие алгоритмы:

1) Алгоритм DES.

Алгоритм DES(DataEncryptionStandard) был до 2002 года федеральным стандартом США на шифрование данных. Этот алгоритм разбивает открытый текст на 64-битные блоки и зашифровывает их по отдельности, используя 64-битный ключ. Алгоритм заключается в многоэтапном выполнении операций «исключающее ИЛИ» (сложение по модулю 2) над составными частями блока открытого текста и ключа.

2) Алгоритм IDEA.

Алгоритм IDEA(InternationalDataEncryptionAlgorithm) оперирует 64-битными блоками открытого текста, шифруя их 128-битным ключом. ОтDESего принципиально отличает использование кроме операции «сложение по модулю 2» операций «сложение по модулю 2¹⁶» и «умножение по модулю 2¹⁶+1». Это значительно затрудняет криптоанализ.

3) Алгоритм ГОСТ 28147-89.

Этот алгоритм можно считать отечественным аналогом DES. В нем выполняется работа с 256-битовым ключом и используется сложение по модулю 2³².

4) Алгоритм AES.

Необходимость разработки новых методик шифрования была вызвана развитием микроэлектроники, которое, с одной стороны, сделало менее критичными требования экономичного использования ресурсов системами шифрования, с другой стороны, обеспечило значительные успехи криптоанализа, сделавшие возможным взлом криптосистем DES.

5) Алгоритм AES.

Новым американским национальным стандартом стал AES(AdvancedEncryptionStandard).

AESимеет ряд технологических отличий от алгоритмаDESи нашего ГОСТ. Результатами являются следующие преимущества:

1. Возможность изменения размеров блока, ключа, количества раундов.

2. Повышенная сложность.

3. Оптимизация (для обеспечения сопоставимой сложности структурам предыдущего поколения потребовалось бы вдвое больше шагов).

2.5.2.4. Асимметричные криптосистемы

Асимметричные системы были разработаны в целях ликвидации необходимости передачи ключа. Для построения такой системы в общем случае необходимо следующее:

• отправитель и получатель должны пользоваться разными ключами или разными алгоритмами;

• ключи отправителя и получателя должны быть связаны однозначным соотношением;

• по одному из ключей должно быть крайне сложно определить другой.

В асимметричных методах используется два ключа. Несекретный ключ используется для шифрования, секретный, известный только получателю, – для дешифрования. Самым популярным асимметричным методом является RSA(Райвест, Шамир, Адлеман), основанный на операциях с большими (например, 100-значными) простыми числами и их произведениями (рисунок 1).

Асимметричные методы позволяют реализовать т.наз. электронную подпись или электронное заверение сообщения. Идея состоит в том, что отправитель посылает два экземпляра сообщения – открытое и дешифрованное его секретным ключом. Получатель может зашифровать с помощью открытого ключа отправителя дешифрованный экземпляр и сравнить с открытым. Если они совпадут, личность и подпись отправителя можно считать установленными.

2.5.2.5. Электронно-цифровая подпись (ЭЦП)

Важным свойством системы RSAявляется то, что она обеспечивает проверкуаутентичностипередаваемой информации при условии знания секретного ключа только отправителем и шифровании сообщения с помощью секретного ключа. При этом будем полагать, что для проверки аутентичности используется открытый ключ отправителя (рисунок 2). Действительно, автором такого сообщения может быть только владелец секретного ключа, т.е. отправитель сообщения. Естественно, при этом не достигается конфиденциальности передачи сообщения, поскольку его может прочитать любой, знающий открытый ключ отправителя.

Рисунок 1. Схема использования метода RSA

Рисунок 2. Схема использования метода RSA для реализации механизма ЭЦП

Тем самым получен криптографический аналог обыкновенной подписи под некоторой информацией, называемой электронной цифровой подписью (ЭЦП).

ЭЦП является инструментом взаимодействия пользователей, при котором они могут достоверно передавать друг другу информацию, точно определять источник той или иной информации, полученной по электронным каналам, а сам источник информации не мог бы отрицать свое авторство.

В рассмотренной схеме текст самого уже подписанного отправителем сообщения оказался незащищенным от преднамеренных искажений на приемной стороне. Для решения этой проблемы будет логичным в качестве открытого текста, из которого будет формироваться ЭЦП, использовать информацию, существенно зависящую от содержания сообщения, но значительно меньшего объема. Еще одним аргументом в пользу этого является упомянутая ранее большая стоимость операций RSA. Такую информацию называют хеш-значением сообщения, а способ или алгоритм получения хеш-значения – хеш-функцией. Таким образом, основными компонентами ЭЦП являются хеш-функция, представляющая собой алгоритм сворачивания текста в более короткий, и некоторый криптографический алгоритм, который, воздействуя на хеш-значение, формирует ЭЦП.

Таким образом, после введения этого крайне существенного дополнения процесс передачи сообщения с использованием ЭЦП будет выглядеть следующим образом (рисунок 3).

Отправитель с помощью своего секретного ключа и асимметричного алгоритма шифрует передаваемую информацию. Перед шифрованием сообщение сворачивается, т.е. над ним производится математическое преобразование, которое описывается хэш-функцией. Полученную в результате этих действий двоичную последовательность и принято называть цифровой подписью. Далее отправитель по открытому каналу посылает цифровую подпись и незашифрованное сообщение. На приемной стороне получатель с помощью открытого ключа из цифровой подписи получает хешированную версию сообщения, а над открытым сообщением выполняет хеширование по известной функции хеширования, получая тем самым две хешированных версии сообщения, которые должны совпасть, если подпись не подделана, а открытое сообщение не искажено.

Рисунок 3. Схема использования механизма ЭЦП

Отечественные стандарты и средства использования ЭЦП

Данная хэш-функция определена для использования совместно с pоссийским стандартом электронной цифровой подписи ГОСТ Р34.10-94 «Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма».

Первым отечественным стандартом ЭЦП является принятый в 1994 году ГОСТ Р34.10-94 «Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма». Предлагаемый в этом ГОСТе алгоритм представляет собой один из вариантов рассмотренного ранее алгоритма RSA. Криптостойкость алгоритма основана на сложности решения задачи дискретного логарифмирования в конечном поле, т.е. определении показателя степени по основанию и результату его возведения в искомую степень.

За последние 20 лет достигнут существенный прогресс в решении задачи дискретного логарифмирования. Последним достижением в этой области является метод так называемого решета числового поля. Результаты, полученные с использованием данного метода и тенденции развития вычислительной техники, не позволяют в долгосрочной перспективе рассматривать схему, предлагаемую названным ГОСТом в качестве надежного алгоритма криптографической защиты. Это послужило мотивацией для разработки проекта нового ГОСТа ЭЦП с вступлением в действие в 2002 году.

Основные особенности предложенной концепции ЭЦП состоят в следующем.

1. Максимальная преемственность по отношению к действовавшему стандарту. Во-первых, предлагаемая схема представляет собой тот же вариант асимметричного алгоритма, адаптированный для использования вместо операций умножения и возведения в степень в конечном поле из pэлементов аналогичных операций на эллиптической кривой над этим же полем. Во-вторых, она позволяет использовать действующий стандарт функции хеширования. В-третьих, длина подписи остается без изменений. Все это существенно облегчает модификацию многочисленных существующих программных и аппаратных реализаций, определяемых действовавшим ранее стандартом.

2. Высокие криптографические качества, гарантирующие при сохранении в тайне секретного ключа невозможность подделки подписи в течение нескольких десятков лет даже с учетом развития вычислительной техники и совершенствования соответствующих математических методов криптоанализа.

3. Возможность высокоскоростной реализации процедур выработки и проверки ЭЦП на различных вычислительных платформах. ГОСТ определяет только математические формулы для операций на эллиптической кривой и не устанавливает какие-либо конкретные алгоритмы выполнения этих операций. Разработчики концепции опытным путем доказали возможность построения эффективных алгоритмов, позволяющих на бытовом компьютере выполнять генерацию и проверку подписи по новой схеме приблизительно с той же скоростью, что и для действовавшего стандарта.

В операционные системы Microsoft(начиная сWindows2000) входит интерфейс программирования приложенийMicrosoftCryptoAPI, предназначенный для использования разработчиками ПО криптографических функций в своих программах и предоставляющий стандартизированный доступ к системным функциям и функциям криптопровайдеров.

Криптопровайдер – это набор сервисных библиотек, предназначенный для выполнения криптографических функций. Идея, реализованная в ОС Microsoft, заключается в следующем. Программные обеспечение, которому необходимы криптографические функции (например, поддержка ЭЦП), обращается к криптопровайдеру через стандартизированные системные функции. Сам криптопровайдер может переключаться по необходимости, например, перерабатываться его разработчиком в соответствии с вступающими в действие нормативами и стандартами. Для взаимодействия криптоповайдера с операционной системой предназначен протоколMicrosoftCryptographicServiceProvider(CSP).

Наиболее популярными отечественными продуктами, предназначенными для криптографической защиты информации и, в частности, использования ЭЦП, является семейство КриптоПро. В семейство продуктов КриптоПро входят продукты, которые могут использоваться непосредственно, библиотеки, которые могут внедряться в программное обеспечение его разработчиками, а также серверные аппаратно-программные комплексы, предназначенные для формирования и удостоверения сертификатов цифровых подписей. Продукты КриптоПро используют протокол MicrosoftCSP.