Алфёров А.П., Зубов А.Ю., Кузьмин А.С., Черемушкин А.В. Основы криптографии

Управление ключами

после передачи сообщения, поэтому ключ подписи должен сохраняться в тайне в течение достаточно короткого срока.

§ 16.1. Жизненный цикл ключей

Ключевая информация должна быть сменена до момента истечения срока действия ключа. Для этого может быть ис­ пользована действующая ключевая информация, протоколы распределения ключей и ключевые уровни (см. выше).

Для того чтобы ограничить ущерб от компрометации ключей, по возможности следует избегать зависимостей меж­ ду действующей и устанавливаемой ключевой информацией. Например, не рекомендуется защищать очередной сеансовый ключ с помощью действующего сеансового ключа. При хра­ нении секретных ключей должны быть приняты меры по обеспечению их конфиденциальности и аутентичности. При хранении открытых ключей должны быть приняты меры, по­ зволяющие проверить их аутентичность. Конфиденциаль­ ность и аутентичность могут быть обеспечены криптографи­ ческими, организационными и техническими мерами.

В зависимости от конкретных приложений могут выдви­ гаться различные требования к необходимости и длительно­ сти хранения используемых ключей. Так, например, открытые ключи, используемые для проверки цифровой подписи, в ряде случаев необходимо хранить длительное время, даже возмож­ но дольше, чем соответствующие секретные ключи, чтобы была возможность проверки отдельных подписей. В то же время во многих приложениях секретные ключи цифровой подписи не следует хранить длительное время, а тем более архивировать их, поскольку попадание их к посторонним ли­ цам может повлечь отказ от подписанного документа. Про­ блема отсутствия секретного ключа цифровой подписи из-за его преждевременного уничтожения (без компрометации) сравнительно легко может быть решена путем генерации но­ вого ключа, поскольку уничтоженный ключ не требуется для

411

I лава 1Ь

проверки ранее произведенных подписей. Аналогично этому открытые ключи, используемые для засекречивания инфор­ мации, не нуждаются в архивировании. С другой стороны, секретные ключи, используемые для расшифрования, должны определенное время храниться, поскольку в противном случае засекреченная информация будет утрачена.

Все криптосистемы, за исключением простейших, в кото­ рых используемые ключи зафиксированы раз и навсегда, ну­ ждаются в периодической замене ключей. Эта замена прово­ дится с помощью определенных процедур и протоколов, в ряде которых используются и протоколы взаимодействия с третьей стороной. Последовательность стадий, которые про­ ходят ключи от момента установления до следующей замены, называется жизненным циклом ключей и приведена ниже.

1.Регистрация пользователей. Эта стадия включает обмен первоначальной ключевой информацией, такой, как об­ щие пароли или РШ-коды, путем личного общения или пересылки через доверенного курьера.

2.Инициализация. На этой стадии пользователь устанавли­ вает аппаратное оборудование и/или программные сред­ ства в соответствии с установленными рекомендациями и правилами.

3.Генерация ключей. При генерации ключей должны быть приняты меры по обеспечению их необходимых крипто­ графических качеств. Ключи могут генерироваться как самостоятельно пользователем, так и специальным защи­ щенным элементом системы, а затем передаваться поль­ зователю по защищенному каналу.

4.Установка ключей. Ключи устанавливаются в оборудова­ ние тем или иным способом. При этом первоначальная ключевая информация, полученная на стадии регистрации пользователей, может либо непосредственно вводиться в

оборудование, либо использоваться для установления за­ щищенного канала, по которому передается ключевая ин­

412

Управление ключами

формация. Эта же стадия используется в последующем для смены ключевой информации.

5.Регистрация ключей. Ключевая информация связывается регистрационным центром с именем пользователя и со­ общается другим пользователям ключевой сети. При этом для открытых ключей создаются сертификационным цен­ тром ключевые сертификаты, и эта информация публику­ ется тем или иным способом.

6. Обычный режим работы. На этой стадии ключи исполь­ зуются для защиты информации в обычном режиме.

7. Хранение ключа. Эта стадия включает процедуры, необхо­ димые для хранения ключа в надлежащих условиях, обес­ печивающих его безопасность до момента его замены.

8. Замена ключа. Замена ключа осуществляется до истечения его срока действия и включает процедуры, связанные с генерацией ключей, протоколами обмена ключевой ин­ формацией между корреспондентами, а также с доверен­ ной третьей стороной. Для открытых ключей эта стадия обычно включает обмен информацией по защищенному каналу с сертификационным центром.

9.Архивирование. В отдельных случаях ключевая информа­ ция после ее использования для защиты информации мо­ жет быть подвергнута архивированию для ее извлечения со специальными целями (например, рассмотрения вопро­ сов, связанных с отказами от цифровой подписи).

10.Уничтожение ключей. После окончания сроков действия ключей они выводятся из обращения, и все имеющиеся их копии уничтожаются. При этом необходимо следить, что­ бы в случае уничтожения секретных ключей тщательно уничтожалась и вся информация, по которой возможно их частичное восстановление.

11.Восстановление ключей. Если ключевая информация уничтожена, но не скомпрометирована (например, из-за неисправности оборудования или из-за того, что оператор

413

/ лава 1Ь

забыл пароль) должны быть предусмотрены меры, даю­ щие возможность восстановить ключ из хранимой в соот­ ветствующих условиях его копии.

12. Отмена ключей. В случае компрометации ключевой ин­ формации возникает необходимость прекращения исполь­ зования ключей до окончания срока их действия. При этом должны быть предусмотрены необходимые меры оповещения абонентов сети. При отмене открытых клю­ чей, снабженных сертификатами, одновременно произво­ дится прекращение действия сертификатов.

§16.2. Услуги, предоставляемые доверенной третьей стороной

Вжизненном цикле управления ключами важную роль играет так называемая доверенная третья сторона, на функци­ ях которой мы ниже остановимся подробнее. Эти функции могут быть определены следующим образом.

1.Сервер имен абонентов — обеспечивает придание каждо­ му из абонентов индивидуального имени.

2.Регистрационный центр — обеспечивает включение каж­ дого из абонентов в данную сеть засекреченной связи и выдачу ему соответствующей ключевой информации.

3.Центр производства ключей.

4.Ключевой (идентификационный) сервер — обеспечивает установку общего сеансового ключа между двумя абонен­ тами путем передачи этого ключа по защищенному кана­ лу, образуемому сервером с каждым из абонентов. При этом может осуществляться и идентификация абонентов.

5.Центр управления ключами — обеспечивает хранение, архивацию, замену и отмену ключей, а также аудит дейст­

вий, связанных с жизненным циклом ключей.

6. Сертификационный центр — обеспечивает аутентич­ ность открытых ключей путем придания им сертификатов, заверенных цифровой подписью.

414

Управление ключами

7.Центр установки временных меток — обеспечивает при­ вязку временной метки к электронному сообщению или

транзакции, заверяя тем самым их наличие в определен­ ный момент времени.

8. Центр нотаризации — обеспечивает невозможность от­ каза от сделанного в определенный момент заявления, за­ фиксированного в электронной форме.

Остановимся подробнее на последних двух функциях.

Установка временных меток

Центр установки временных меток обеспечивает пользо­ вателей заверенными временными метками (в момент пред­ ставления этому центру документа в электронной форме), ко­ торые могут служить подтверждением наличия документа в определенный момент времени. Такие метки могут быть ис­ пользованы для проверки наличия подписанных контрактов в определенный момент времени или подтверждения наличия лабораторных записей в делах, связанных с патентами, а так­ же для обеспечения невозможности отказа от сделанной ранее электронной подписи.

Основная идея такого подхода состоит в следующем. До­ веренная третья сторона Т добавляет временную метку 1\ к представленному электронному документу или файлу дан­ ных, подписывает составленный таким образом документ (тем самым ручаясь за то, что он существовал в определенное вре­ менной меткой время) и возвращает подписанный документ вместе с меткой 1\ абоненту, представившему первоначальный документ. Последующая проверка состоит в проверке пра­ вильности подписи третьей стороны Т.

Если в качестве документа представлять доверенной третьей стороне Т не сам документ, а значение вычисленной от него хэш-функции, то будет обеспечена конфиденциаль­ ность этого документа при передаче по незащищенным кана­ лам связи, а также снизятся требования к пропускной способ­

415

Iлава 1Ь

ности используемых каналов и объему памяти, необходимому для хранения подписанных документов.

Нотаризация цифровых подписей

Термин “нотаризация” происходит от слова нотариус, ко­ торый, как известно, должен подтверждать правильность ко­ пий представленных документов для представления их треть­ им лицам — арбитрам.

Центр нотаризации служит для предотвращения опасно­ сти отказа подписавшего документ от своей цифровой подпи­ си в последующем, при изменении обстоятельств. При использовании нотаризационного центра предполагается на­ личие третьего лица — арбитра, который не входит в центр нотаризации, но доверяет нотаризационному центру.

Заметим, что имеется существенная разница между сле­ дующими двумя внешне сходными задачами.

1. Сторона А убеждается, что цифровая подпись 5 была сделана в момент времени /0.

2. Сторона А пытается убедить других в момент времени

>Аъ что подпись 5* была действительна в момент времени /о- Первая задача решается стандартным способом с исполь­

зованием симметричной шифрсистемы в отсутствие не дове­ ряющих друг другу сторон.

Особенностью второй задачи как раз и является наличие не доверяющих друг другу сторон. При этом, поскольку циф­ ровой подписи можно доверять только при условии нераз­ глашения секретного ключа, возникает опасность, что подпи­ савший сообщение может намеренно разгласить свой секрет­ ный ключ, а затем объявить цифровую подпись поддельной.

Для предотвращения этой угрозы используется дентр но­ таризации, который функционирует следующим образом. Абонент, получивший подпись на документе (или ^ значении вычисленной от него хэш-функции), представляет его в центр нотаризации. Центр нотаризации проверяет подпись, готовит

416

Управление ключами

составной документ, состоящий из исходного документа, ин­ формации, подтверждающей правильность его цифровой под­ писи, и временной метки. Затем подписывает этот составной документ своей цифровой подписью. Через определенный промежуток времени, который может быть определен для оповещения в случае компрометации секретных ключей, до­ кумент, подписанный нотаризационным центром, должен признаваться истинным всеми сторонами, доверяющими дан­ ному центру, даже в случае объявления о компрометации сек­ ретных ключей.

Контрольные вопросы

1.В чем состоят цели управления ключами?

2.В чем состоит политика безопасности?

3.Как могут быть классифицированы ключи в зависимости от предназначения и сроков их действия?

4.Какие стадии включает в себя жизненный цикл ключей?

5.Какие услуги могут быть предоставлены доверенной третьей стороной?

417

Глава 17

Некоторые практические аспекты использования шифрсистем

§17.1. Анализ потока сообщений

В ряде случаев, когда противник не может дешифровать информацию, передаваемую между абонентами системы шифрованной связи, он тем не менее в состоянии извлечь по­ лезную информацию из анализа интенсивности потока за­ шифрованных сообщений между различными абонентами этой системы.

Так, например, усиление потока сообщений в военной системе связи может служить одним из признаков подготовки наступательной операции, внезапное увеличение потока со­ общений между двумя компаниями является признаком появ­ ления объекта, являющегося предметом их общего интереса и т. д.

В некоторых практических ситуациях возникает необхо­ димость скрытия потока сообщений между абонентами сис­ темы. Такое скрытие может быть осуществлено либо путем сокращения (и, в идеале, прекращения передачи информации) по каналам, доступным для перехвата противником, либо пу­ тем добавления сообщений, не имеющих какого-либо смысла (пустые сообщения). Идеальным же средством скрытия пото­ ка сообщений является использование непрерывного линей­ ного шифрования канала связи между каждой парой абонен­ тов сети. Вместе с тем эта мера приводит к значительному удорожанию связи, поскольку требует круглосуточного ис­ пользования каналов.

418

Некоторые практические аспекты

§ 17.2. Ошибки операторов

Практика криптоанализа свидетельствует о том, что мно­ гие системы шифрованной связи, обеспечивающие надежную защиту информации при исправной работе, не смогли проти­ востоять усилиям криптоаналитиков из-за ошибок шифро­ вальщиков или неисправностей оборудования этих систем.

Простейшим примером ошибки шифровальщика является ситуация, описанная в гл. 6. Приведем еще один пример из этой области. Предположим, что оператор дисковой шифрмашины ошибочно установил угловое положение первого диска, зашифровал телеграмму и отправил ее получателю. Получатель, получив телеграмму и установив правильные уг­ ловые положения дисков, естественно, не смог расшифровать эту телеграмму, о чем и послал уведомление отправителю. Если, получив такое уведомление, отправитель установит диски в правильное положение и снова направит зашифро­ ванную телеграмму получателю, то он даст возможность про­ тивнику, ведущему перехват, легко прочитать эту телеграмму и, кроме того, установить часть ключа используемой шифрмашины. Противник может распознать такое событие, на­ блюдая за потоком сообщений, зная шифрмашину и опреде­ ляя путем анализа те ошибки шифровальщиков, появление которых наиболее вероятно. При этом следует иметь в виду, что слабая обученность шифровальщиков и стрессовая ситуа­ ция значительно увеличивают вероятности ошибок.

При эксплуатации ручных и электромеханических систем для избежания таких ошибок предусматривались методы са­ мопроверки шифровальщика. Так, он должен был зашифро­ вать (но не передавать) некоторое тестовое сообщение (на­ пример, состоящее из определенного числа символов) после установки ключа и перед началом передачи реального сооб­ щения. Полученный результат сравнивался с правильно за­ шифрованной версией того же сообщения, рассылаемой вме­ сте с ключом.

419

I лава 7/

В современных электронных шифраторах подобные про­ цедуры проверки проводятся автоматически, так же как и блокировки всех опасных с криптографической точки зрения ошибочных действий шифровальщика.

§ 17.3. Физические и организационные меры при использовании шифрсистем

Для того чтобы криптографические средства защиты обеспечивали надежную защиту информации, необходимо, помимо их высокой криптографической стойкости, позабо­ титься о том, чтобы противник не мог обойти эти средства путем анализа физических процессов, сопровождающих их работу, или получения шифровальных ключей через операто­ ров, обслуживающих эти устройства.

Выходной сигнал электронного шифратора гаммирования представляет собой последовательность импульсов двух ви­ дов, один из которых соответствует нулю, а другой — едини­ це. В силу особенностей реализации электронных схем им­ пульсы, соответствующие одному и тому же знаку, обычно несколько отличаются друг от друга. Эти отличия не должны превосходить определенных пределов для того, чтобы другие части системы могли их распознать. Однако для шифраторов одного этого требования мало. Например, при реализации схемы сложения по модулю 2 может сложиться ситуация, ко­ гда из-за несовершенства электронной схемы противник смо­ жет различать четыре типа сигналов, соответствующих ре­ зультатам операций

Хотя в результате операции ( 0 + 1 ) той 2 должен появляться такой же сигнал, как и в результате операции ( 1 + 0) той 2,

420