- •«Утверждаю»
- •Конспект лекций
- •Средства обеспечения информационной безопасности в телекоммуникационных системах
- •Литература
- •Основные понятия информационной безопасности (иб)
- •1.1. Постановка задачи сетевой безопасности
- •1.2. Основные понятия информационной безопасности
- •1.3. Классификация угроз безопасности корпоративных сетей
- •Пути реализации угроз безопасности сети
- •1.4. Обеспечение безопасности сетей передачи данных
- •1.4.1. Основные виды политики безопасности
- •1.4.2. Построение системы защиты сети
- •1.5. Базовые технологии безопасности сетей
- •1.5.1. Аутентификация
- •1.5.2. Авторизация доступа
- •1.5.3. Аудит
- •1.5.4. Технология защищенного канала
- •Принципы криптографической защиты информации
- •2.1. Схема симметричной криптосистемы
- •2.2. Схема асимметричной криптосистемы
- •2.3. Аппаратно-программные средства защиты компьютерной информации
- •3. Современные симметричные криптосистемы
- •3.1 Классическая сеть Фейстеля
- •3.2. Американский стандарт шифрования данных des
- •Функция h завершающей обработки ключа
- •3.2.1. Основные режимы работы алгоритма des
- •Режим "Электронная кодовая книга"
- •Режим "Сцепление блоков шифра"
- •Режим "Обратная связь по шифру"
- •Режим "Обратная связь по выходу"
- •3.3. Области применения алгоритма des
- •3.4. Комбинирование блочных алгоритмов
- •3.5. Алгоритм шифрования данных idea
- •Подключи шифрования и расшифрования алгоритма idea
- •3.6. Отечественный стандарт шифрования данных
- •Режим простой замены
- •Режим гаммирования
- •Режим гаммирования с обратной связью
- •Режим выработки имитовставки
- •3.7. Блочные и поточные шифры
- •Основные характеристики криптосистем
- •4. Асимметричные криптосистемы
- •4.1. Концепция криптосистемы с открытым ключом
- •4.2. Однонаправленные функции
- •4.3. Криптосистема шифрования данных rsa
- •4.3.1. Процедуры шифрования и расшифрования в
- •4.3.2. Безопасность и быстродействие криптосистемы
- •Оценки длин ключей для асимметричных криптосистем, бит
- •4.4. Схема шифрования Полига – Хеллмана
- •4.5. Схема шифрования Эль Гамаля
- •Скорости работы схемы Эль Гамаля
- •4.6. Комбинированный метод шифрования
- •Длины ключей для симметричных и асимметричных криптосистем при
- •5. Идентификация и проверка подлинности
- •5.1. Основные понятия и концепции
- •5.2. Идентификация и аутентификация пользователя
- •5.2.1 Типовые схемы идентификации и аутентификации
- •5.2.2. Биометрическая идентификация и
- •5.3. Взаимная проверка подлинности пользователей
- •5.4. Протоколы идентификации с нулевой передачей
- •5.4.1. Упрощенная схема идентификации с нулевой
- •6. Электронная цифровая подпись
- •6.1. Проблема аутентификации данных и электронная
- •6.2. Однонаправленные хэш-функции
- •6.2.1. Однонаправленные хэш-функции на основе
- •Схемы безопасного хэширования, у которых длина хэш-значения
- •6.2.2. Отечественный стандарт хэш-функции
- •6.3. Алгоритмы электронной цифровой подписи
- •6.3.1. Алгоритм цифровой подписи rsa
- •6.3.2. Алгоритм цифровой подписи Эль Гамаля (egsa)
- •6.3.3. Алгоритм цифровой подписи dsa
- •6.3.4. Отечественный стандарт цифровой подписи
- •6.4. Цифровые подписи с дополнительными
- •6.4.1. Схемы слепой подписи
- •6.4.2. Схемы неоспоримой подписи
- •7. Управление криптографическими ключами
- •7.1. Генерация ключей
- •7.2. Хранение ключей
- •7.2.1. Носители ключевой информации
- •7.2.2. Концепция иерархии ключей
- •7.3. Распределение ключей
- •7.3.1. Распределение ключей с участием центра
- •7.3.2. Протокол аутентификации и распределения
- •7.3.3. Протокол для асимметричных криптосистем с
- •7.3.4. Прямой обмен ключами между пользователями
6.3.4. Отечественный стандарт цифровой подписи
Отечественный стандарт цифровой подписи обозначается как ГОСТ P 34.10-94 [40]. Алгоритм цифровой подписи, определяемый этим стандартом, концептуально близок к алгоритму DSA. В нем используются следующие параметры:
p – большое простое число длиной от 509 до 512 бит либо от 1020 до 1024 бит;
q – простой сомножитель числа (p –1), имеющий длину 254…256 бит.
a – любое число, меньшее (p –1), причем такое, что aq mod p=1;
x – некоторое число, меньшее q;
y = aх mod p.
Кроме того, этот алгоритм использует однонаправленную хэш-функцию H(x). Стандарт ГОСТ Р 34.11-94 определяет хэш-функцию, основанную на использовании стандартного симметричного алгоритма ГОСТ 28147-89.
Первые три параметра p, q и a являются открытыми и могут быть общими для всех пользователей сети. Число x является секретным ключом. Число y является открытым ключом.
Чтобы подписать некоторое сообщение m, а затем проверить подпись, выполняются следующие шаги.
1. Пользователь A генерирует случайное число k, причем k < q.
2. Пользователь А вычисляет значения
r = (ak mod p) mod q,
s = (x r + k (H(m))) mod q.
Если H(m) mod q=0, то значение H(m) mod q принимают равным единице. Если r=0, то выбирают другое значение k и начина-ют снова.
Цифровая подпись представляет собой два числа:
r mod 2256 и s mod 2256.
Пользователь А отправляет эти числа пользователю В.
3. Пользователь В проверяет полученную подпись,
вычисляя
v = H(m)q–2 mod q,
z1 = (s v) mod q,
z2 = ((q – r) v) mod q,
u = ( mod p) mod q.
Если u = r, то подпись считается верной.
Различие между этим алгоритмом и алгоритмом DSA заключается в том, что в DSA
s = (k–1 (x r + (H(m)))) mod q,
что приводит к другому уравнению верификации.
Следует также отметить, что в отечественном стандарте ЭЦП параметр q имеет длину 256 бит. Западных криптографов вполне устраивает q длиной примерно 160 бит. Различие в значениях параметра q является отражением стремления разработчиков отечественного стандарта к получению более безопасной подписи.
Этот стандарт вступил в действие с начала 1995 г.
6.4. Цифровые подписи с дополнительными
функциональными свойствами.
Рассматриваемые в этом разделе цифровые подписи обладают дополнительными функциональными возможностями, помимо обычных свойств аутентификации сообщения и невозможности отказа подписавшего лица от обязательств, связанных с подписанным текстом. В большинстве случаев они объединяют базовую схему цифровой подписи, например, на основе алгоритма RSA, со специальным протоколом, обеспечивающим достижение тех дополнительных свойств, которыми базовая схема цифровой подписи не обладает.
К схемам цифровой подписи с дополнительными функциональными свойствами относятся:
схемы слепой (blind) подписи,
схемы неоспоримой (undeniable) подписи.
6.4.1. Схемы слепой подписи
В отличие от обычных схем цифровой подписи, описанных в разделе 6.3, схемы слепой подписи (иногда называемые схемами подписи вслепую) являются двусторонними протоколами между отправителем А и стороной В, подписывающей документ.
Основная идея этих схем заключается в следующем. Отправитель А посылает порцию информации стороне В, которую В подписывает и возвращает А. Используя полученную подпись, сторона А может вычислить подпись стороны В на более важном для себя сообщении m. По завершении этого протокола сторона В ничего не знает ни о сообщении m, ни о подписи под этим сообщением.
Цель слепой подписи состоит в том, чтобы воспрепятствовать подписывающему лицу В ознакомиться с сообщением стороны А, которое он подписывает, и с соответствующей подписью под этим сообщением. Поэтому в дальнейшем подписанное сообщение невозможно связать со стороной А.
Приведем пример применения слепой подписи. Схема слепой подписи может найти применение в тех случаях, когда отправитель А (клиент банка) не хочет, чтобы подписывающая сторона В (банк) имела возможность в дальнейшем связать сообщение m и подпись sB(m) c определенным шагом выполненного ранее протокола.
В частности, это может быть важно при организации анонимных безналичных расчетов, когда сообщение m могло бы представлять денежную сумму, которую А хочет потратить. Когда сообщение m c подписью sB(m) предъявляется банку В для оплаты, банк В не сможет проследить, кто именно из клиентов предъявляет подписанный документ. Это позволяет пользователю А остаться анонимным. Принципы организации системы анонимных безналичных расчетов с использованием так называемой “электронной наличности” (“цифровых денег”) на базе протоколов слепой подписи рассмотрены в.
Для построения протокола слепой подписи необходимы следующие компоненты:
Механизм обычной цифровой подписи для подписывающей стороны В. Пусть sB(Х) обозначает подпись стороны В на документе Х.
Функции f () и g () (известные только отправителю) такие, что
g ( sB ( f ( m ))) = sm ( m ),
при этом f () - маскирующая (blinding) функция,
g () - демаскирующая (unblinding) функция,
f (m) - замаскированное (blinded) сообщение m.
При выборе sB, f и g существует ряд ограничений.
Выберем в качестве алгоритма подписи sB для стороны В схему цифровой подписи RSA (см. п.6.3) с открытым ключом (N, E) и секретным ключом D, причем
N = P Q - произведение двух больших случайных простых чисел.
Пусть k - некоторое фиксированное целое число, взаимно простое с N, т.е. НОД (N, k) = 1.
Маскирующая функция f: Zn Zn
определяется как f (m)= m kE mod N,
а демаскирующая функция g: Zn Zn
определяется как g (m) = k-1m mod N. При таком выборе f, g и s получаем
g (sB (f (m))) = g (sB (m kE mod N)) = g (mD k mod N) = mD mod N = sB (m),
что соответствует требованию 2.
Согласно протоколу слепой подписи, который предложил Д.Чом [121], отправитель А сначала получает подпись стороны В на замаскированном сообщении m*. Используя эту подпись, сторона А вычисляет подпись В на заранее выбранном сообщении m, где 0 m N-1. При этом стороне В ничего неизвестно ни о значении m, ни о подписи, связанной с m.
Пусть сторона В имеет для подписи по схеме RSA открытый ключ (N, E) и секретный ключ D. Пусть k - случайное секретное целое число, выбранное стороной А и удовлетворяющее условиям 0 k N-1 и НОД (N, k) = 0.
Протокол слепой подписи Д.Чома включает следующие шаги:
Отправитель А вычисляет замаскированное сообщение m* = m kE mod N и посылает его стороне В.
Подписывающая сторона В вычисляет подпись s* = (m*)D mod N и отправляет эту подпись стороне А.
Сторона А вычисляет подпись s = k-1 s*mod N, которая является подписью В на сообщение m.
Нетрудно видеть, что
(m*)D (mkE)D mDk (mod N),
поэтому
k-1 s* mD k k-1 mD (mod N).
Д.Чом разработал несколько алгоритмов слепой подписи для создания системы анонимных безналичных электронных расчетов eCash [49, 108].