- •Основы криптографической защиты электронных документов
- •Основные требования к криптосистемам
- •Реализация криптографических методов
- •Законодательные основы в области криптографии
- •Политика использования криптографии в разных странах мира
- •Криптографические протоколы
- •Разновидности атак на протоколы
- •Шифрование в каналах связи компьютерной сети
- •Канальное шифрование
- •Сквозное шифрование
- •Комбинированное шифрование
- •Аппаратное и программное шифрование Аппаратное шифрование
- •Характеристика криптографических методов
- •Факторы, влияющие на выбор криптосистемы
- •Криптографические стандарты Стандарты безопасности финансовой отрасли (ansi x9)
- •Часть 1 этого стандарта называется Алгоритм цифровой подписи nist (National Institute of Standards and Technology).
- •Часть 2 называется Безопасный хэш-алгоритм nist.
- •Часть 3 описывает организационные аспекты, связанные с сертификатами для алгоритма dsa (Digital Signature Algorithm).
- •Стандарты ansi х12
- •Стандарты ieee
- •Стандарты Министерства обороны сша
- •Стандарты itu-t
- •Стандарты astm
- •Проблемы и перспективы криптографических систем Шифрование больших сообщений и потоков данных
- •Дополнительные материалы по криптографическим системам Слабые места криптографических систем
- •Атаки на архитектуру
- •Атаки на конкретные реализации
- •Атаки на оборудование
- •Атаки на модели доверительных отношений
- •Атаки на пользователей
- •Атака на средства восстановления после сбоев
- •Атака на средства шифрования
- •Предупреждение, а не выявление
- •Алгоритмы шифрования надежны только в теории
- •К вопросу о криптографических атаках
- •Почему криптосистемы ненадежны?
- •Скорость полного перебора на компьютере класса Pentium/166.
- •Специальные средства защиты
Основные требования к криптосистемам
Процесс криптографического закрытия данных может осуществляться как программно, так и аппаратно. Аппаратная реализация отличается существенно большей стоимостью, однако ей присущи и преимущества: высокая производительность, простота, защищенность и т.д. Программная реализация более практична, допускает известную гибкость в использовании.
Для современных криптографических систем защиты информации сформулированы следующие общепринятые требования:
зашифрованное сообщение должно поддаваться чтению только при наличии ключа;
число операций, необходимых для определения использованного ключа шифрования по фрагменту шифрованного сообщения и соответствующего ему открытого текста, должно быть не меньше общего числа возможных ключей;
число операций, необходимых для расшифровывания информации путем перебора всевозможных ключей должно иметь строгую нижнюю оценку и выходить за пределы возможностей современных компьютеров (с учетом возможности использования сетевых вычислений);
знание алгоритма шифрования не должно влиять на надежность защиты;
незначительное изменение ключа должно приводить к существенному изменению вида зашифрованного сообщения даже при использовании одного и того же ключа;
структурные элементы алгоритма шифрования должны быть неизменными;
дополнительные биты, вводимые в сообщение в процессе шифрования, должен быть полностью и надежно скрыты в шифрованном тексте;
длина шифрованного текста должна быть равной длине исходного текста;
не должно быть простых и легко устанавливаемых зависимостью между ключами, последовательно используемыми в процессе шифрования;
любой ключ из множества возможных должен обеспечивать надежную защиту информации;
алгоритм должен допускать как программную, так и аппаратную реализацию, при этом изменение длины ключа не должно вести к качественному ухудшению алгоритма шифрования.
Реализация криптографических методов
Проблема реализации методов защиты информации имеет два аспекта:
разработку средств, реализующих криптографические алгоритмы,
методику использования этих средств.
Каждый из криптографических методов может быть реализован либо программным, либо аппаратным способом.
Возможность программной реализации обуславливается тем, что все методы криптографического преобразования формальны и могут быть представлены в виде конечной алгоритмической процедуры.
При аппаратной реализации все процедуры шифрования и дешифpования выполняются специальными электронными схемами. Наибольшее распространение получили модули, реализующие комбинированные методы.
При этом непременным компонентов всех аппаратно реализуемых методов является гаммиpование. Это объясняется тем, что метод гаммиpования удачно сочетает в себе высокую кpиптостойкость и простоту реализации.
Наиболее часто в качестве генератора используется широко известный регистр сдвига с обратными связями (линейными или нелинейными). Минимальный период порождаемой последовательности равен 2N-1 бит. Для повышения качества генерируемой последовательности можно предусмотреть специальный блок управления работой регистра сдвига. Такое управление может заключаться, например, в том, что после шифрования определенного объема информации содержимое регистра сдвига циклически изменяется.
Другая возможность улучшения качества гаммиpования заключается в использовании нелинейных обратных связей. При этом улучшение достигается не за счет увеличения длины гаммы, а за счет усложнения закона ее формирования, что существенно усложняет кpиптоанализ.
Большинство зарубежных серийных средств шифрования основано на американском стандарте DES. Отечественные же разработки, такие как, например, устройство КРИПТОН, использует отечественный стандарт шифрования.
Основным достоинством программных методов реализации защиты является их гибкость, т.е. возможность быстрого изменения алгоритмов шифрования.
Основным же недостатком программной реализации является существенно меньшее быстродействие по сравнению с аппаратными средствами (примерно в 10 раз).
В последнее время стали появляться комбинированные средства шифрования, так называемые пpогpаммно-аппаpатные средства. В этом случае в компьютере используется своеобразный "криптографический сопроцессор" - вычислительное устройство, ориентированное на выполнение криптографических операций (сложение по модулю, сдвиг и т.д.). Меняя программное обеспечения для такого устройства, можно выбирать тот или иной метод шифрования. Такой метод объединяет в себе достоинства программных и аппаратных методов.
Таким образом, выбор типа реализации криптозащиты для конкретной ИС в существенной мере зависит от ее особенностей и должен опираться на всесторонний анализ требований, предъявляемых к системе защиты информации.
Тот, кто хочет приобрести шифровальные системы, прежде всего, должен получить четкое представление о двух важнейших компонентах любой системы: ключе и сертификате (key и certificate).
Ключ - это алгоритм или математическая формула, используемая при кодировании сообщения. Для того чтобы получатель мог расшифровать посланное ему сообщение, он сам должен знать этот алгоритм или формула; именно отсюда и происходит название "ключ".
Размер ключа (он измеряется в битах) определяет, насколько сложен алгоритм кодирования и насколько трудно будет злоумышленнику расшифровать сообщение, не зная ключа. Современные ключи, разрешенные к использованию исключительно на территории Соединенных Штатов, имеют длину 1024 бит. Однако вывозить за границу разрешено только ключи длиной не более 40 бит (рассматривается вопрос о длине ключа в 56 бит).
При работе с ключами можно следовать либо симметричной модели (используются только открытые ключи), либо асимметричной модели (используются как открытые, так и закрытые ключи).
При работе с симметричными моделями для кодирования и декодирования сообщений используется один и тот же алгоритм. Именно такой подход применяется в известной программе Филиппа Циммермана Pretty Good Privacy (PGP), рассчитанной на работу с открытыми ключами.
В PGP применяется так называемая модель равного доверия. Это означает, что отправитель знает получателя и доверяет ему, и поэтому не видит ничего плохого в том, чтобы передать ему ключ шифра. Именно тут и зарыта "pretty good" (в буквальном переводе - довольно хорошая) конфиденциальность. Хотя само использование алгоритма шифрования и затрудняет злоумышленнику доступ к содержанию сообщения, такой способ можно признать не более чем "довольно хорошим" по сравнению с прочими методами.
С другой стороны, нельзя не признать, что серьезное достоинство PGP состоит в отсутствии необходимости осуществлять управление ключами - именно потребность в таком управлении и составляет основной недостаток асимметричных ключей.
При работе с асимметричной моделью каждый из пользователей имеет свой открытый ключ, который хранится таким образом, чтобы он был доступен всем желающим. Тот, кто хочет послать зашифрованное сообщение, должен воспользоваться открытым ключом получателя. При декодировании сообщения получатель использует свой закрытый ключ. Закрытый ключ отличается от открытого ключа, однако между ними существует определенная математическая связь, так что расшифровать сообщение можно только при использовании закрытого ключа.
Работа с асимметричными ключами не требует доверия между отправителем и получателем. Это, конечно, хорошо. Однако работа по этой модели требует дополнительных административных усилий, поскольку ключи (и открытые и закрытые) надо, во-первых, где-то хранить, а во-вторых, время от времени обновлять.
Асимметричная технология используется в алгоритме, разработанном компанией RSA Data Securirty, и приобретенном недавно компанией Security Dynamics. В RSA используется технология, представляющая собой некое видоизменение основанного на равном доверии метода Data Encryption Standard (DES). Этот метод был разработан примерно десять лет назад Национальным институтом стандартов и технологий (National Institute of Standards and Technology) и используется до сих пор. Для каждой операции кодирования в DES генерируется случайный ключ (вместо повторного использования одного и того же ключа). Специалисты-шифровальщики утверждают, что RSA помогает решить ряд проблем (в частности, проблему доверия между отправителем и получателем), однако при этом возникает ряд новых затруднений.
Представим себе, что кто-то хочет послать кодированное сообщение. Первым делом он должен сгенерировать (случайным образом) ключ и с его помощью зашифровать сообщение. Однако, не зная этого ключа, никто не сможет декодировать зашифрованное сообщение, поэтому сам ключ DES тоже приходится кодировать с помощью открытого RSA-ключа получателя. Получатель затем декодирует DES-ключ с помощью закрытого RSA-ключа. Несколько тяжеловесно.
RSA очень громоздок и работает очень медленно. DES организован весьма эффективно и работает быстро, однако он не может обеспечить ту степень защиты, которую можно получить при работе по асимметричной модели.
RSA по-прежнему остается одной из самых известных шифровальных технологий, однако, бесспорно, в настоящее время используются и другие методы шифровки, основанные на асимметричной модели.
Например, другие производители используют альтернативный метод кодирования Диффи-Хеллмана, носящий имя своих создателей. Этот метод представляет собой другую математическую реализацию асимметричной модели. Именно он используется в продукте NetFortress (DSN).
Конечно, невозможно представить себе кодирование сообщений без использования ключей. Нельзя, однако, не признать, что никакое использование ключей не может помочь установить личность адресата сообщения.
Чтобы обеспечить безопасность сообщений, нужно решить две задачи: во-первых, обеспечить конфиденциальность информации, а во-вторых, добиться того, чтобы никто не совал в нее нос.
И тут на сцене появляется сертификат, называемый также электронной подписью. Сертификат можно уподобить электронному паспорту: благодаря нему можно убедиться, что отправитель и получатель действительно являются теми, за кого себя выдают.
Сертификат открытого ключа - это цифровой документ, позволяющий однозначно идентифицировать пользователя с открытым ключом. Сертификаты предназначены, для того чтобы удостоверить подлинность цифровых документов и гарантировать доставку сообщения только тем людям, которым оно адресовано. Как и цифровые подписи, сертификаты используются в качестве своеобразного персонального кода.
Выдачей сертификатов занимаются специальные уполномоченные службы CA (certification authority), своего рода клубы по интересам. Они самостоятельно определяют, кого следует принять в число своих членов, а кого нет. Такая служба может быть и правительственной организацией, которая выдает сертификаты пользователям и одновременно предоставляет правительству информацию о том, как следует интерпретировать тот или иной сертификат.
При выполнении некоторых транзакций нельзя ограничиваться сравнением сигнатуры, предоставленной службой CA. Перед предоставлением доступа к важным данным необходимо дополнительно проверить достоверность сертификата непосредственно во время транзакции. Для решения этой задачи вводятся различные механизмы определения статуса сертификата.
Самый старый способ заключается в ведении списка аннулированных сертификатов (certificate revocation list, CRL), который поддерживается службой CA для всех выданных ею цифровых документов. Сертификаты, выданные CA, считаются достоверными до тех пор, пока они не окажутся в списке CRL. Данный подход аналогичен способу выполнения транзакций, который применялся несколько десятков лет тому назад в кредитных картах. Ему были присущи те же недостатки.
Более новый метод (его стандарт в настоящее время находится в процессе разработки) основан на использовании службы сетевых каталогов, которая предоставляет информацию о статусе сертификата в режиме реального времени при помощи протокола статуса сертификата OCSP (online certificate status protocol). В этом случае сертификаты, выданные службой CA, считаются недействительными до тех пор, пока информация об их статусе не будет выбрана из каталога, поддерживаемого CA. Одно из преимуществ модели OCSP состоит в том, что предоставляемая информация может быть расширена за счет включения других пользовательских атрибутов (например, номера кредитной карты или домашнего адреса).
При работе с сертификатами можно использовать две схемы.
Во-первых, сертификаты может создавать и поддерживать сторонняя компания.
Во-вторых, любая компания сама может создавать и поддерживать сертификаты, используя при этом, например, продукт Entrust (Nortel), который к тому же обеспечивает кодирование сообщений. После того, как пользователь получает сертификат, он может использовать его в качестве своей электронной подписи.
При получении документа с электронной подписью, адресат знакомится со всей информацией, содержащейся в сертификате; к ней относится, в частности, имя отправителя, адрес отправителя и прочие данные, которые решено было включить в сертификат. Электронная подпись содержит также информацию о том, кто выдал сертификат, когда истекает срок его действия и какой уровень верификации установлен для данного сертификата.
Существуют сертификаты трех классов. Для сертификатов первого класса проверяется уникальность имени и правильность адреса электронной почты, а также то, что получатель сертификата имеет право на доступ к данному разделу электронной почты. Для второго класса мы проверяется имя, адрес, номер водительского удостоверения и полис социального страхования, а также дата рождения. Для сертификатов третьего класса проверяются все вышеперечисленные данные и осуществляется поиск по базе данных Equifax (информационное бюро по кредитам).
Сертификаты незаменимы в деле идентификации пользователей для всех организаций, озабоченных защитой данных. Тем не менее, пользователи признают, что организация, вынужденная прибегать к использованию шифровки и работе с сертификатами, может неодобрительно отнестись к идее доверить работу с сертификатами сторонней организации. Однако если от услуг сторонней организации будет решено отказаться, то немедленно возникнет проблема, откуда вообще возьмутся сертификаты.
С точки зрения администраторов сетей, работа с сертификатами тоже представляет определенную проблему. Если не обращаться к услугам сторонних компаний, то работа по управлению сертификатами приведет к существенному возрастанию административных накладных расходов, даже если пользоваться такой программой, как Entrust, где заложены функции управления. По большей части, сертификаты выдаются на определенный срок, например, на год. Следовательно, кто-то должен следить за их продлением. Кроме того, необходимо следить за аннулированием сертификатов увольняемых сотрудников и выдачей новых сертификатов принимаемым на работу.
Дополнительная нагрузка на менеджеров информационных систем связана с тем, что в настоящее время поднимается очередная волна выпуска новых протоколов, разрабатываемых различными промышленными компаниями. Создаются многочисленные интерфейсы API, охватывающие все области шифровальной технологии.
В настоящее время наибольшей популярностью пользуются два интерфейса API. Несмотря на то, что их часто называют стандартами, на деле это не более чем средства возможно более широкого распространения технологии работы с ключами производства какой-то определенной компании.
В настоящее время ведутся работы над следующими четырьмя протоколами: Secure Multipurpose Internet Mail Extensions (SMIME), Multipart Object Security Standard (MOSS), новая версия PGP, где допускается использование асимметричной модели ключей, и протокол Message Security Protocol.
MOSS - это API для Министерства обороны, и его использование будет обязательным для всех правительственных организация и всех частных компаний, ведущих дела с правительством.
С коммерческой точки зрения более сильными протоколами являются SMIME и PGP, Version 3.0. Их наборы функций больше подходят для коммерческого сектора. В частности, в них имеется совместимость с более ранними версиями и более развитые функции управления ключами и сертификатами.
Наиболее серьезные силы в области передачи данных по Internet собрал под свои знамена протокол SMIME. За его плечами - компании Microsoft (поддержку SMIME предполагается включить в Microsoft Exchange), Netscape и Qualcomm, производитель программного обеспечения для электронной почты Eudora.
В результате этого, выбор SMIME в качестве протокола кодирования оказывается весьма привлекательным для производителей программного обеспечения. Покупая продукты, поддерживающие SMIME, или наборы инструментальных средств разработчика под SMIME, они могут быть уверены, что будут в состоянии передавать информацию большому числу пользователей; именно это и называется стандартом де-факто. Покупатели же других протоколов будут вынуждены вести беседу сами с собой.
Тем не менее, SMIME в его теперешнем состоянии нельзя считать панацеей. Одна из его проблем состоит в том, что “расписываться приходится на внешней стороне запечатанного конверта", а, закодировав сообщение с помощью общего ключа получателя, отправитель уже не может вносить в него какие-либо изменения.
Наиболее простой критерий такой эффективности - вероятность раскрытия ключа или мощность множества ключей (М). По сути это то же самое, что и кpиптостойкость. Для ее численной оценки можно использовать также и сложность раскрытия шифра путем перебора всех ключей.
Однако этот критерий не учитывает других важных требований к криптосистемам:
невозможность раскрытия или осмысленной модификации информации на основе анализа ее структуры,
совершенство используемых протоколов защиты,
минимальный объем используемой ключевой информации,
минимальная сложность реализации (в количестве машинных операций), ее стоимость,
высокая оперативность.
Желательно использование некоторых интегральных показателей, учитывающих указанные факторы.
Для учета стоимости, трудоемкости и объема ключевой информации можно использовать удельные показатели - отношение указанных параметров к мощности множества ключей шифра.
Часто более эффективным при выборе и оценке криптографической системы является использование экспертных оценок и имитационное моделирование.
В любом случае выбранный комплекс криптографических методов должен сочетать как удобство, гибкость и оперативность использования, так и надежную защиту от злоумышленников циркулирующей в ИС информации.
Одним из главных препятствий на пути широкого распространения шифрования является строгие ограничения на вывоз шифровальных технологий, введенные федеральным правительством. По существу, шифровальная технология отнесена к той же категории, что и боеприпасы.
В соответствии с этими постановлениями, американские компании не имеют права экспортировать и устанавливать за границей программное обеспечение, работающее с ключами длиной более 40 бит. В то же время, компании других стран, например, Японии, могут свободно продавать технологии, где используются ключи длиной до 1024 бит.
В июле прошлого года в США рассматривалось предложение о создании системы депонирования ключей, согласно которому американские компании могут получить право экспорта ключей длиной свыше 40 бит только при выполнении условия, в соответствии с которым копии всех ключей должны храниться у определенной сторонней организации, откуда они могут быть затребованы представителями закона.