25. Алгоритм симметричного шифрования Rijndael. Нелинейное преобразование.

Нелинейное преобразование F матрицы данных состоит из трех шагов: замены байтов матрицы на новые значения, циклического сдвига строк матрицы влево, умножения матрицы данных слева на постоянную матрицу-циркулянт M:

Последовательная схема преобразования данных показана на рисунках 8.6, 8.7, 8.8.

Побайтовая замена.

Рис.8.6. Схема побайтовой замены матрицы

В ходе побайтовой замены каждый байт матрицы данных заменяется на новое значение того же размера, индексируя общий для всех байтов вектор замен S 8-в-8 бит:

a_ij = S[b_ij], 1 ≤ i ≤ 4, 1 ≤ j ≤ n,

где n - число столбцов матрицы данных - 4, 6 или 8.

Сдвиг строк в двумерном массиве на различные смещения.

В ходе данной операции каждая строка матрицы данных, кроме первой, циклически сдвигается влево на определенное число позиций, зависящее от номера строки и от размера блока данных:

Рис.8.7. Cдвиг строк в двумерном массиве на различные смещения.

Умножение на постоянную матрицу.

На этом шаге матрица данных слева умножается на постоянную матрицу -циркулянт M:

При выполнении матричного умножения операции сложения и умножения элементов обеих матриц выполняются в конечном поле GF(2⁸). Матрица M является циркулянтом: каждая ее строка получается циклическим сдвигом предыдущей строки вправо на один элемент. Элементы матрицы выбраны таким образом, чтобы свести к минимуму трудоемкость операции умножения: в ней присутствуют лишь небольшие по значению числа 01, 02 и 03, половина элементов - единичные, т.е. реального умножения выполнять для них не требуется. Этим самым обеспечивается высокая эффективность возможных реализаций этой операции.

Рис. 8.8. Умножение на матрицу -циркулянт

27. Алгоритм симметричного шифрования Rijndael. Основные параметры.

Rijndael, AES. Федеральный стандарт шифрования США. Утвержден министерством торговли в качестве стандарта 4 декабря 2001 года, решение вступило в силу с момента опубликования в федеральном реестре (06.12.01).

1997 год, Бельгия.

Йоан Дамен (Joan Daemen) Винсент Раймен (Vincent Rijnmen)

Архитектура

Квадрат

Параметры

128, 192, 256	pазмер блока, бит
128, 192, 256	pазмер ключа, бит
10, 12, 14	число раундов
128, 192, 256 (равен размеру блока)	pазмер ключевого элемента, бит
11, 13, 15 (на 1 больше числа раундов)	число ключевых элементов

Патент

Не запатентован

Особенности

1. Так как алгоритм может быть сформулирован в терминах всего лишь двух операций, - побитового суммирования по модулю 2 и индексированного извлечения из памяти, выполняемых над байтами, - он может быть эффективно реализован на любых компьютерных платформах от младших микроконтроллеров до суперпроцессоров. В силу тех же причин, а также потому что архитектура алгоритма допускает высокую степень параллелизма, он может быть также эффективно реализован в аппаратуре. В конечном итоге именно приведенные выше факторы вкупе с высокой стойкостью алгоритма предопределили его победу в конкурсе на место нового стандарта.

2. Прямое и обратное преобразования в шифре имеют одинаковую алгоритмическую структуру и различаются константами сдвига, ключевыми элементами, узлами замен и константами умножения.

Замечания

В качестве стандарта принят вариант шифра только с размером блока 128 бит.

Число раундов шифрования определяется в зависимости от размера блока и ключа по следующей таблице:

РАЗМЕР БЛОКА	РАЗМЕР КЛЮЧА
	128	192	256
	ЧИСЛО РАУНДОВ
128	10	12	14
192	12	12	14
256	14	14	14

Иными словами, из двух размеров выбирается максимальный, и если он равен 128 бит, то используется 10 раундов, если 192 бита, то 12, и если 256 - то 14 раундов шифрования.

31. Общая схема алгоритма DES

Алгоритм представляет собой сбалансированную сеть Файстеля с начальной и конечной битовыми перестановками, конечная перестановка является обращением начальной. Схема преобразования данных при зашифровании блока изображена на рисунке 8.1.

Рис.8.1. Структурная схема преобразования данных по алгоритму DES

Зашифрование 64-битового блока данных T^о (входной параметр алгоритма) начинается с начальной перестановки битов в нем IP. Затем шифруемый блок разделяется на две 32-битовые части (старшую - L₀ и младшую - R₀ ), с которыми выполняются 16 раундов преобразования в соответствии с архитектурными принципами сети Файстеля. На каждом раунде старшая половина блока модифицируется путем побитового прибавления к ней по модулю 2 (операция ) результата вычисления функции шифрования (f), зависящей от младшей половины блока (R_i–1) и 48-битового ключевого элемента (k_i). Между раундами старшая и младшая половины блока меняются местами. Таким образом, на каждом раунде кроме последнего младшая половина блока становится старшей, а модифицированная с помощью функции шифрования старшая – младшей половиной блока.

На последнем раунде происходит то же самое за исключением обмена значениями половин блока. Затем полублоки объединяются в полный

блок, в котором выполняется конечная битовая перестановка (IP^–1), обратная начальной. Результат последней операции и является выходным значением цикла шифрования – зашифрованным блоком T^ш. Шестнадцать 48-битовых ключевых элементов k_i, 1 ≤ i ≤ 16, используемых в цикле шифрования, являются параметрами алгоритма и вырабатываются из 56-битового ключа в ходе рассмотренной ниже процедуры генерации ключевой последовательности. Процедура расшифрования блока данных идентична процедуре зашифрования с тем отличием, что ключевые элементы в ней используются в порядке, обратном порядку их использования при зашифровании. Таким образом, если при зашифровании ключевые элементы используются в порядке возрастания номеров

k₁, k₂, k₃, k₄, k₅, k₆, k₇, k₈, k₉, k₁₀, k₁₁, k₁₂, k₁₃, k₁₄, k₁₅, k₁₆,

то при расшифровании они должны использоваться в обратном порядке:

k₁₆, k₁₅, k₁₄, k₁₃, k₁₂, k₁₁, k₁₀, k₉, k₈, k₇, k₆, k₅, k₄, k₃, k₂, k₁.

Начальная и обратная ей конечная битовые перестановки алгоритма DES являются стандартными и должны включаться в реализацию алгоритма в неизменном виде.

Схема преобразования данных (функция шифрования) приведена на рисунке 8.2.

Рис. 8.2. Функция шифрования – схема преобразования данных

На вход функции шифрования поступает 32-битовая половина шифруемого блока R_i-1, и 48-битовый ключевой элемент k_i . Сначала 32-битовый блок данных расширяется до 48 битов дублированием некоторых двоичных разрядов (функция E). Затем полученный расширенный блок побитово суммируется по модулю 2 с ключевым элементом (операция " "). Полученный в результате суммирования 48-битовый блок данных разделяется на восемь 6-битовых элементов данных, обозначенных h₁,h₂,…,h₈ соответственно, причем h₁ содержит шесть самых старших битов 48-битового блока, h₂ – шесть следующих по старшинству битов и т.д., наконец, h₈ – шесть самых младших битов блока. Далее каждое из значений h_i преобразуется в новое 4-битовое значение t_i с помощью соответствующего узла замен (S_i). После этого полученные восемь 4-битовых элементов данных вновь объединяются в 32-битовый блок в том же самом порядке их старшинства. Наконец, в полученном 32-битовом блоке выполняется перестановка битов (IP). Результат последней операции и является выходным значением функции шифрования.

В алгоритме DES ключевые элементы вырабатываются из ключа с использованием сдвигов и битовых выборок-перестановок. Таким образом, – и это очень важно, – ключевые элементы состоят исключительно из битов исходного ключа, "перетасованных" в различном порядке. Ключ имеет размер 64 бита, однако реально для выработки ключевых элементов используются только 56 из них. Самые младшие биты каждого байта ключа не попадают в ключевые элементы и служат исключительно для контроля четности.

32. Несанкционированный доступ к информации

Программные и аппаратные методы защиты информации являются наиболее развитыми средствами и позволяют обеспечить:

1.защиту от несанкционированного доступа к автоматизированным системам и их ресурсам;

2.разграничение доступа к информационным ресурсам, в т.ч. к внешним устройствам, в соответствии с уровнем полномочий пользователей;

3.защиту от несанкционированных модификаций программ и данных и различного рода проникающих разрушающих воздействий;

4.контроль целостности программ и данных;

5.создание изолированной программной среды с исключением возможности несанкционированного входа в ОС;

6.введение новых дополнительных защитных механизмов в соответствии с возникшими потребностями пользователей.

Несанкционированный доступ (НСД) является наиболее распространенным и многообразным видом компьютерных нарушений.

Суть НСД состоит в получении пользователем (нарушителем) доступа к объекту в нарушение правил разграничения доступа, установленных в соответствии с принятой в организации политикой безопасности. НСД использует любую ошибку в системе защиты и возможен при нерациональном выборе средств защиты, их некорректной установке и настройке. НСД может быть осуществлен как штатными средствами АС, так и специально созданными аппаратными и программными средствами. Основные каналы несанкционированного доступа:

1.все штатные каналы доступа к информации (терминалы пользователей, оператора, администратора системы, средства отображения и документирования информации, каналы связи) при их использовании нарушителем, а также законными пользователями вне пределов их полномочий;

2.технологические пульты управления;

3линии связи между аппаратными средствами АС;

4.побочные электромагнитные излучения от аппаратуры, линий связи, сетей электропитания и заземления.

К основным способам НСД относятся:

1.непосредственное обращение к объектам доступа;

2.создание программных и технических средств, выполняющих обращение к объектам доступа в обход технических средств;

3.модификация средств защиты, позволяющая осуществить НСД;

4.внедрение в технические средства АС программных или технических механизмов, нарушающих структуру и функции АС и позволяющие осуществить НСД.

Наиболее распространенные нарушения:

-перехват паролей;

-"маскарад";

-незаконное использование привилегий.

Перехват паролей осуществляется специально разработанными программами. При попытке законного пользователя войти в систему программа-перехватчик имитирует на экране дисплея ввод имени и пароля пользователя, которые сразу пересылаются владельцу программы-перехватчика, после чего на экран выводится сообщение об ошибке и управление возвращается операционной системе. Пользователь предполагает, что допустил ошибку при введении пароля. Он повторяет ввод и получает доступ в систему. Владелец программы-перехватчика, получивший имя и пароль законного пользователя, может теперь использовать их в своих целях. Существуют и другие способы перехвата и подбора паролей.

"Маскарад" – это выполнение каких-либо действий одним пользователем от имени другого пользователя, обладающего соответствующими полномочиями. Целью "маскарада" является приписывание каких-либо действий другому пользователю, либо присвоение полномочий и привилегий другого пользователя. "Маскарад" особенно опасен в банковских системах электронных платежей, где неправильная идентификация клиента из-за "маскарада" злоумышленника может привести к большим убыткам законного клиента банка.

Незаконное использование привилегий. Большинство систем защиты устанавливает определенные наборы привилегий для выполнения заданных функций. Каждый пользователь получает свой набор привилегий: обычные пользователи – минимальный, администраторы – максимальный. Несанкционированный захват привилегий приводит к возможности выполнения нарушителем определенных действий в обход системы защиты. Незаконный захват привилегий возможен либо при наличии ошибок в системе защиты, либо из-за халатности администратора при управлении системой и назначении привилегий.

Злоумышленник может использовать как пассивные, так и активные методы вторжения.

При пассивном вторжении (перехвате информации) нарушитель только наблюдает за прохождением информации по каналам связи, не вторгаясь ни в информационный поток, ни в содержание передаваемой информации. Как правило, злоумышленник может определить пункты назначения и идентификаторы, либо только факт прохождения сообщения, его длину и частоту обмена, то есть произвести анализ трафика в данном канале.

При активном вторжении нарушитель стремится подменить информацию, передаваемую в сообщении. Он может выборочно модифицировать, изменить или добавить правильные или ложные сообщения, удалить, задержать или изменить порядок следования сообщений. Злоумышленник может также аннулировать и задержать все сообщения, передаваемые по каналу. Компьютерные сети характерны тем, что кроме обычных локальных атак, осуществляемых в пределах одной системы, против объектов сетей предпринимают так называемые удаленные атаки. Под удаленной атакой понимают информационное разрушающее воздействие на распределенную компьютерную сеть, программно осуществленное по каналам связи.

33. Основные параметры алгоритма DES.

Название/статус	DES (Data Encryption Standard). Федеральный стандарт шифрования США в 1977-2001 годах.
Время/место разработки	Создан в 1972-1975 годы в корпорации IBM. В качестве федерального стандарта США принят в 1977 году. В 2001 году заменён на новый стандарт.
Авторы	Группа под руководством д-ра. У.Тачмена.
Архитектура	Классическая сбалансированная сеть Фейстеля с начальной и конечной битовыми перестановками общего вида.
Параметры	размер блока, бит 64 размер ключа, бит 56 (64, 8 из которых служат для контроля четности) число раундов 16 размер ключевого элемента, бит 48 число ключевых элементов 16 (равно числу раундов)
Особенности	Широкое использование битовых перестановок в DES делает алгоритм неудобным для программных реализаций на универсальных процессорах, а сами такие реализации крайне неэффективными. По сравнению с Российским стандартом шифрования DES содержит вдвое меньше раундов, однако его оптимальная реализация для процессоров линии Intel x86 уступает реализации Российского стандарта по скорости в 3-5 раз в зависимости от марки процессора, эта разница увеличивается от младших моделей к старшим. Кроме того, по единодушному мнению криптографов начальная и конечная битовые перестановки бесполезны с криптографической точки зрения, а размера ключа в 56 бит явно недостаточно для обеспечения приемлемой стойкости, взламываетя методом прямого перебора с помощью распределенной сети или спецпроцессора. Незапатентован.

30. Программно-аппаратные методы защиты компьютерной информации.

К аппаратно-программным средствам защиты относятся электронные устройства и специальные программы, которые реализуют самостоятельно или в комплексе с другими средствами следующие способы защиты:

1идентификацию (распознавание) и аутентификацию (проверку подлинности) субъектов (пользователей, процессов) АС;

2разграничение доступа к ресурсам АС;

3контроль целостности данных;

4обеспечение конфиденциальности данных;

5регистрацию и анализ событий, происходящих в АС;

6резервирование ресурсов и компонентов АС.

При проектировании эффективной системы защиты следует учитывать следующие принципы:

1экономическая эффективность – стоимость средств защиты должна быть меньше, чем размеры возможного ущерба;

2минимум привилегий – каждый пользователь должен иметь минимальный набор привилегий, необходимых для работы;

3простота – защита тем более эффективна, чем легче пользователю с ней работать;

4отключаемость защиты – при нормальном функционировании защита не должна отключаться, только в особых случаях администратор безопасности может отключить систему защиты;

5открытость проектирования механизмов защиты. Специалисты, имеющие отношение к системе защиты, должны полностью представлять себе принципы ее функционирования, и в случае возникновения затруднительных ситуаций адекватно на них реагировать;

6всеобщий контроль – любые исключения из множества контролируемых субъектов и объектов защиты снижают защищенность АС;

6независимость системы защиты от субъектов защиты;

7отчетность – система защиты должна предоставлять доказательства корректности своей работы;

8ответственность – личная ответственность лиц, занимающихся обеспечением безопасности информации;

9изоляция и разделение – объекты защиты целесообразно разделять на группы таким образом, чтобы нарушение защиты в одной из групп не влияло на безопасность других групп;

10полнота и согласованность – надежность системы защиты должна быть полностью специфицирована и протестирована;

11параметризация – защита становится более эффективной и гибкой, если она допускает изменение своих параметров администратором безопасности;

12принцип враждебного окружения – система защиты должна проектироваться в расчете на враждебное окружение, то есть исходить из предположения, что пользователи имеют наихудшие намерения, что они будут совершать серьезные ошибки и искать пути обхода механизмов защиты;

13привлечение человека – наиболее важные и критические решения должны приниматься человеком;

14отсутствие излишней информации о существовании механизмов защиты. Они должны быть по возможности скрыты от пользователей, работа которых должна контролироваться.

34. Основные режимы шифрования ГОСТ 28147-89.

ГОСТ 28147-89 предусматривает три режима шифрования данных:

-простая замена,

-гаммирование,

-гаммирование с обратной связью,

и один дополнительный режим выработки имитовставки.

В любом из этих режимов данные обрабатываются блоками по 64 бита, на которые разбивается массив, подвергаемый криптографическому преобразованию, именно поэтому ГОСТ относится к блочным шифрам. Однако в двух режимах гаммирования есть возможность обработки неполного блока данных размером меньше 8 байт, что существенно при шифровании массивов данных с произвольным размером, который может быть не кратным 8 байтам.

Введем обозначения:

Tо, Tш – массивы соответственно открытых и зашифрованных данных;

Тiо, Тiш – i-тые по порядку 64-битные блоки соответственно открытых и зашифрованных данных: ТО = (То1,То2,...Тоn), Тш = (Тш1,Тш2,...Тшn), 1 ≤ i ≤ n, последний блок может быть неполным: |Тоi| = |Tшi| = 64 при 1 ≤ i ≤ n-1, 1 ≤ |Ton| = |Tшn| ≤ 64;

где n – число блоков в массиве данных;

Шифрование в режиме простой замены

Зашифрование в данном режиме заключается в применении цикла 32-З к блокам открытых данных, расшифрование – цикла 32-Р к блокам зашифрованных данных. Это наиболее простой из режимов, 64-битовые блоки данных обрабатываются в нем независимо друг от друга.

Гаммирование – это наложение (снятие) на открытые (зашифрованные) данные криптографической гаммы, то есть последовательности элементов данных, вырабатываемых с помощью некоторого криптографического алгоритма, для получения зашифрованных (открытых) данных. Для наложения гаммы при зашифровании и ее снятия при расшифровании должны использоваться взаимно обратные бинарные операции, например, сложение и вычитание по модулю 2⁶⁴ для 64-битных блоков данных. В ГОСТе для этой цели используется операция побитного сложения по модулю 2, поскольку она является обратной самой себе и к тому же наиболее просто реализуется.

Гаммирования с обратной связью

Данный режим очень похож на режим гаммирования и отличается от него только способом выработки элементов гаммы – очередной элемент гаммы вырабатывается как результат преобразования по циклу 32-З предыдущего блока зашифрованных данных, а для зашифрования первого блока массива данных элемент гаммы вырабатывается как результат преобразования по тому же циклу синхропосылки. Этим достигается зацепление блоков – каждый блок шифротекста в этом режиме зависит от соответствующего и всех предыдущих блоков открытого текста. Поэтому данный режим иногда называется гаммированием с зацеплением блоков. На стойкость шифра факт зацепления блоков не оказывает никакого в