10. Стойкость ключа
Принципиальным при рассмотрении криптосистем является способ раскрытия ключа, основанный на криптоанализе, поскольку остальные пути предотвращения перехвата ключевой информации связаны с организационными и техническими мероприятиями.
Под раскрытием ключа путем криптоанализа понимают определение ключа путем его угадывания (подбора).
Принципиально все криптосистемы подвержены такой атаке. Она является наиболее слабой.
Для того, чтобы нападающий не смог добиться успеха этим методом, требуется аккуратность в выборе длины ключа и процедур его генерации.
В настоящее время длина ключа, равная 80 бит, считается безопасной. В ряде шифров предусматривается использование ключа длиной 128 и 256 бит. Некоторые криптосистемы не ограничивают пользователя каким-либо фиксированным размером ключа и предоставляют ему право выбора длины ключа в широком диапазоне.
Распределение ключей в криптосистеме является одной из дорогостоящих процедур.
При использовании одноключевой (симметричной) криптографии принципиальным является необходимость наличия в системе связи защищенного канала, по которому секретный ключ доставляется к приемнику и передатчику (в частном случае от передатчика к приемнику).
В качестве передачи по защищенному каналу может служить доставка сообщения через доверенное лицо (курьера), предварительный контакт абонентов или другие способы, в том числе охраняемые линии связи.
( Методы двухключевой криптографии позволяют осуществить передачу секретного ключа связи по открытому каналу.)
Вопрос распределения ключей является очень важным, поскольку обычным требованием является смена ключей от сеанса (связи) к сеансу или после передачи определенного объема информации. Нарушение этого правила упрощает задачу раскрытия шифра.
Простейшая схема двусторонней связи представлена на рис. 1.1. В этом случае каждый сеанс связи может осуществляться с использованием одного ключа. Если криптографическая система объединяет N абонентов в сеть, то необходимо распределить между пользователями по крайней мере N(N — 1)/2 ключей.
При достаточно большом N это становится проблематичным, так как число распределяемых ключей растет по квадратичному закону.
Отправитель Источник ключа Получатель
(источник сообщений)
( приёмник сообщений)
Защищённый канал
связи
Шифратор
Канал
связи
Дешифратор
Рис. 1.Схема секретной связи
В одном из вариантов создается некоторый доверительный центр, называемый центром распределения ключей (ЦРК) и являющийся частью общей сети.
ЦРК снабжает всех абонентов различными секретными ключами
Кi (i = 1,2,3,... N), каждый из которых используется только для связи с центром.
Секретная связь между любыми двумя абонентами i и j осуществляется следующим образом (рис.2).
Центр распределения
ключей Кi
Ekj(kij) Ekj (kij)
Аj
Аn
Канал распределения ключей
Рис.2. Вариант распределения ключей
Абонент Аi связываясь с Аj,-, пересылает в центр выбранный им ключ связи kij-, зашифрованный ключом Ki. ЦРК дешифрует послание, зашифровывает ключ kij ключом Kj и в таком виде пересылает сеансовый ключ абоненту Aj.
После этого секретная связь между данными абонентами может быть осуществлена по открытому каналу.
В этой схеме требуется распределить только N ключей.
Поскольку качество выбора сеансового ключа влияет на уровень секретности связи, то эту процедуру можно передать на исполнение ЦРК, в штате которого состоят более опытные специалисты. В таком варианте абоненты Ai и Аj запрашивают у ЦРК сеансовый ключ.
ЦРК генерирует и направляет им ключ kij, зашифрованный ключами K I и Kj., соответственно для абонентов Ai и Aj
Наиболее удачное решение проблемы распределения сеансовых ключей предоставляют методы двухключевой криптографии
Для передачи информации большого объема они мало пригодны ввиду малой скорости преобразований Однако, для передачи сеансовых ключей связи по открытому каналу они являются превосходным инструментом. В настоящее время применяются гибридные криптосистемы, в которых шифрование осуществляется при помощи одноключевой криптосистемы, а распределение ключей — при помощи двухключевой.
В гибридных криптосистемах достигается высокая скорость шифрования, которая характерна одноключевым шифрам, и удобство распределения ключей, предоставляемое днухключевыми шифрами.
Х ранение информации в зашифрованном виде предполагает хранение секретного ключа или множества секретных ключей, с помощью которых данные могут быть расшифрованы. Ключи должны храниться на защищенных от несанкционированного доступа носителях.
Если информация была зашифрована на одном ключе, то ее можно дешифровать и зашифровать на новом ключе.
В определенных случаях это позволяет формировать секретные архивы с использованием одного секретного ключа.
Ключ, на котором информация была зашифрована первоначально, подлежит гарантированному уничтожению.
Процедура уничтожения ключа должна выполняться под контролем владельца секретного ключа.
Старые ключи представляют для злоумышленника такой же интерес как и действующие ключи. Используя старые ключи и копии старых шифртекстов, можно легко восстановить секретную информацию.
Очевидно, что сеансовые ключи должны гарантированно уничтожаться как на приемном пункте, так и на передающем.
При смене основного ключа (мастер ключа) он должен гарантированно уничтожаться также и в центре распределения ключей.
Количество используемых ключей зависит от конкретных особенностей эксплуатации криптосистемы (числа абонентов, объема передаваемой информации, особенностей алгоритма шифрования).
Одной из фундаментальных проблем криптографии является аутентификация секретного ключа. Эта проблема известна под названием проблемы первого контакта.
Процедуры аутентификации ключа должны гарантировать тот факт, что секретный ключ действительно передан от легального абонента.
Простейшим вариантом является передача ключа в опечатанном пакете или обмен ключами при личном контакте лиц, которые планируют в будущем пользоваться секретной связью.
При использовании двухключевых криптографических алгоритмов проблема аутентификации относится к открытым ключам, поскольку секретные ключи не попадают в поле зрения кого бы то ни было кроме владельца секретного ключа.
Однако, остальные абоненты должны быть уверены, что открытый ключ принадлежит именно ему, т. е. соответствует его секретному ключу.
Открытые ключи должны быть переданы с использованием процедуры аутентификации владельца секретного ключа. После этого двухключевые шифры могут быть использованы для аутентификации источника электронной информации.