Глава 9 информационно-криптографические технологии

Необходимым условием эффективности электронного документооборота в правовых автоматизированных информационных системах (АИС), в том числе в ГАС РФ «Правосудие», является обеспечение требуемого уровня конфиденциальности и секретности циркулирующей привилегированной информации. В противном случае возможны раскрытие, модификация (с целью дезинформации), случайное или преднамеренное разрушение, а также несанкционированное использование информации, которое может привести к тяжелым последствиям (катастрофическому отказу АИС, принятию деструктивных или необоснованных организационно-правовых решений, нарушению принципа законности и др.).

Все принципиально возможные нарушения конфиденциальности информации можно отнести к трём категориям, таким как незаконная выдача информации, незаконная модификация информации, незаконный отказ в доступе.

Проблема обеспечения конфиденциальности информации в АИС заключается в контроле полномочий субъектов и объектов АИС (пользователей, программно-технических средств и ресурсов АИС), контроле операций по выборке информационных массивов (ИМ), т.е. массивов данных и машинных программ, и посылке данных на хранение, в установлении правил взаимодействий и разграничении доступа.

Существующие информационно-криптографические технологии защиты привилегированной информации от несанкционированного доступа (НСД) и использования (НСИ), применяемые в юридической деятельности, базируются на целесообразном комплексировании специальных формализованных методов, алгоритмов и процедур преобразования (шифрования и кодирования) привилегированной информации, обеспечивающих скрытие её смыслового содержания.

9.1. Принципы и показатели эффективности криптографической защиты информации

Можно условно выделить три основных исторических периода применения криптографических методов для защиты содержательной привилегированной информации:

прикладная тривиальная криптография (50 г. до н. э. – 50-е гг. XX в.);

симметричная криптография с закрытым (секретным) ключом (50-е гг. XX в. – 70-е гг. XX в.);

асимметричная криптография с открытыми (публичными) ключами (70-е гг. XX в. – н/вр.).

Начало первого периода связано с применением так называемого «шифра Цезаря¹», суть которого состояла в том, что в зашифрованных сообщениях императора каждая буква X латинского алфавита (26 букв и пробел) заменялась на третью букву справа по формуле шифра (см. табл. 9.1):

Y = (X + 3)mod27,

где mod27 – операция нелинейного (циклического) вычитания по модулю 27 (чтобы буквы в зашифрованном сообщении тоже соответствовали латинскому алфавиту).

Таблица 9.1

Латинская алфавитно-цифровая матрица

A	B	C	D	E	F	G	H	I	J	K	L	M	N
1	2	3	4	5	6	7	8	9	10	11	12	13	14

O	P	Q	R	S	T	U	V	W	X	Y	Z	­­_
15	16	17	18	19	20	21	22	23	24	25	26	27

Пример. Для передачи условного сообщения с текстом: ”Game is over” в уме выполняются следующие операции побуквенного сложения и вычитания по mod27 (см. таб. 9.2):

Таблица 9.2

Шифрование сообщения по методу Цезаря

G

A

M

E

_

I

S

_

O

V

E

R

7+3

1+3

13+3

5+3

27+3mod27

9+3

19+3

27+3mod 27

15+3

22+3

5+3

18+3

J

D

P

H

C

L

V

C

R

Y

H

U

В результате получается зашифрованное сообщение, содержащее текст: ”Jdphclvcryhu”, которое расшифровывается в обратном порядке.

В настоящее время криптографическая защита привилегированной информации на основе её шифрования и кодирования исследуется по следующим направлениям [3]:

выбор рациональных (надёжных) систем и методов шифрования;

обоснование путей реализации систем шифрования;

разработка правил использования криптографических методов в процессе функционирования эргасистем;

оценка эффективности криптографической защиты.

Методы защитных преобразований при передаче ИМ (данных) используются уже давно, поэтому требования к ним сформировались практически, основные из них:

• применяемый метод должен быть надёжным (применяемый шифр достаточно «стойким»), т.е. попытка раскрыть исходный ИМ, имея только преобразованный ИМ (ПИМ) должна быть невыполнимой;

• объём ключа не должен затруднять его запоминание и пересылку, т.е. должен быть небольшим;

• алгоритм преобразования ИМ и ключ, используемые для зашифрования (закодирования) и расшифрования (раскодирования), не должны быть очень сложными: затраты на защитные преобразования должны быть приемлемы при заданном уровне конфиденциальности ИМ;

• ошибки в шифровании не должны вызывать потерю информации. Из-за появления ошибок передачи ПИМ по каналам связи не должна исключаться возможность его надёжной расшифровки на приёмном конце;

• длина ПИМ не должна превышать длину исходного ИМ, что обусловлено трудоёмкостью передачи ПИМ по каналам связи;

• необходимые временные и стоимостные ресурсы на шифрование и дешифрование информации определяются требуемым уровнем конфиденциальности информации.

В той или иной степени этим требованиям отвечают некоторые виды криптоалгоритмов:

• перестановки (транспозиционные);

• замены (транскрипционные), в том числе аналитических преобразований;

• гаммирования (аддитивные).

Эти криптоалгоритмы составляют основу методического обеспечения криптографической защиты информации. При этом методы перестановки и замены (подстановки) обычно характеризуются короткой длиной ключа, и их надёжность определяется сложностью алгоритмов преобразования. Для аддитивных методов характерны простые алгоритмы преобразования, а их надёжность основана на увеличении длины ключа.

Стойкость криптоалгоритма (определяемая как величина обратная показателю возможностей его вскрытия статистическим анализом ПИМ) у простых методов преобразования (простая перестановка, простая замена и др.) низка и уже при незначительном объёме ПИМ криптоалгоритм можно вскрыть статистическим путём. Сложные методы преобразования (например, гаммирование при «бесконечной» длине ключа-гаммы) являются достаточно стойкими относительно вскрытия их статистическими методами. Однако, при наличии дополнительной преобразованной информации (например, вариантов одного и того же ИМ в различные моменты времени) и сложные методы преобразования не могут обеспечить в практическом плане абсолютной защиты информации.

Стойкость криптоалгоритмов в общем случае связана с практической вычислительной сложностью их раскрытия и должна по правилу Керкхоффа² [5] определяться только секретностью ключа (т.е. сам алгоритм преобразования может быть известен). В качестве выражения для стойкости часто используется среднее количество работы (в единицах времени), необходимой для нахождения ключа на основе n знаков ПИМ при использовании наилучшего из известных методов анализа данного криптоалгоритма.

Можно также использовать уровень стойкости E, определяемый как характеристика усложнения (упрощения) обратных преобразований ПИМ по отношению к прямым или к так называемому порогу U производительности современных ЭВМ, равному приблизительно 10⁸ оп/с, для некоторого временного интервала Т:

E = 10 lg(L/U T) дБ , (9.1)

где L – количество элементарных арифметических операций обратных преобразований, реализующих наилучший известный метод криптоанализа.

В качестве прагматических показателей эффективности криптографической защиты информации на практике используются ожидаемое безопасное время (ОБВ) T_о и вероятность P_о определения пароля-стринга по его отображениям.

Под ОБВ понимается полупроизведение числа возможных паролей и времени, требуемого для того, чтобы опробовать каждый пароль из последовательности запросов:

T_о = R^wt₁/2 = (R^w/2)[n/V + (t_о + t_з )/f + t_п], (9.2)

где R – размер (число символов) алфавита A, из которого составляется пароль; t₁ – время одной попытки получить доступ (опробования одного пароля); t_о – время отключения ЭВМ при вводе неверного пароля; t_з – время (дополнительное) искусственной задержки отключения ЭВМ; t_п – время печати сообщения об ошибке; n = w + r – значность передаваемого сообщения (включая w символов пароля и r служебных символов) при попытке получить доступ; V – скорость передачи (телеграфирования, если A = <0, 1>) в линии связи; f – число разрешённых попыток.

Вероятность P_w того, что пароль может быть раскрыт посторонним лицом за время T (в месяцах), в течение которого непрерывно предпринимаются попытки открытия пароля с помощью ЭВМ, имеет асимптотический характер (поскольку после неудачной попытки опробованный вариант пароля вычеркивается из списка возможных) и представляется в виде:

P_w {t < T}  N_T /R^w, (9.3)

где N_T – число попыток за время T (месяцев); R^w – число возможных паролей.

Преобразуем правую часть (9.3) при t₁ = min:

N_T /R^w = (T30246060 / R^wt₁) = 2,59210⁶ TV /R^w(w+r). (9.4)

Из (9.3) и (9.4) получим модифицированную формулу Дж. Андерсона³:

2,59210⁶ TV /(w+r)P_w  R^w. (9.5)

В выражении (9.5) наибольшее влияние (превышающее один порядок) на вероятность P_w раскрытия пароля оказывает величина w. В случае, если {T, V, n = w+r, R} = const, то различная длина w пароля будет давать различную вероятность P_w правильного его отгадывания, поэтому w выбирают с учётом (9.5) при заданной вероятности P_w = P^о (обычно P^о = [0,01;...; 0,000001]) следующим образом:

w  [ lg(TV/n) + lg 2,592 + 6 – lg(P^о)]/lgR

или

w  [ lg(TV/n) + 6,44 – lg(P^о)]/lgR. (9.6)

Например, процедура ввода оператором в ЭВМ запроса длиной n = 10 смв (символов) включает ввод имени (r символов) и пароля (w символов) со скоростью V = 1 смв/с. Алфавит A, из которого составляются пароли, содержит 32 буквы русского кириллического алфавита (без й) и пробел, т.е. R = 33.

После ввода неверного пароля ЭВМ отключается, процедура отключения занимает время t_о = 3 с. Повторный ввод пароля осуществляется после того, когда будет напечатано сообщение об ошибке, время печати t_п = 4 с. После трёх попыток (f = 3) введения неправильных (ошибочных) паролей происходит отключение ЭВМ от оператора.

Необходимо выбрать рациональную длину w пароля-стринга так, чтобы вероятность P_w его непрерывного отгадывания в течение одного (T = 1) месяца была не больше 0,01. И требуется оценить степень конфиденциальности информационных массивов (ИМ), содержащихся во внутримашинной информационной базе ЭВМ.

В данном случае R = 33, P^о  10^–2, поэтому длину w пароля можно определить из модифицированного выражения (9.6):

w  0,66 lg(TV/n) + 5,54.

Для T = 1 мес, V = 1 смв/с, n = 10 смв имеем:

w  (– 0,66 + 5,54) или w  4,88.

Отсюда рациональная длина пароля-стринга w* = 5 смв.

Тогда ОБВ будет равно:

T = R^wt₁/2 = (R^w/2)(n/V + t_п + t_о/f) = (33⁵/2)(10/1 + 4 + 3/3)  2,910⁸ c 

 10 лет.

Если, кроме того, после каждой неудачной попытки автоматически предусматривается пятнадцатисекундная задержка (t_з = 15 c), то T_о возрастает в 1,3 раза (t_о/f = (3 + 15)/3 = 6).

С целью обеспечения защиты информации и самого пароля (при вводе в ЭВМ) увеличивают R, w, t_з и вводят блокировку терминала после нескольких (обычно f = 2 или 3) неудачных попыток доступа.

Необходимо также обеспечивать безопасность паролей при хранении и распределении. Как правило, в памяти ЭВМ хранятся эталонные пароли, полученные по алгоритмам «необратимых» (плохообратимых) преобразований [3] из исходных паролей абонентов. В данных алгоритмах можно использовать, в частности, полиномиальное «необратимое» представление на основе применения семейства полиномов :

Y(C, X) = (Xⁿ + C₁X^{n – 1} + ... + C_{n – 1}X + C_n)mod R, (9.7)

где X – исходный пароль в явной форме; C , i = 1,…,n – любые произвольные целые числа (выбираются разработчиками криптоалгоритмов, операторами, пользователями и др.); R – сравнительно большая величина (например, примерно 2⁶⁴); mod – оператор вычитания по правилу модуля (R), обеспечивающий необратимость отображения; Y – эталонный (преобразованный) пароль.

После успешной аутентификации субъекта необходимо также установить его полномочия по отношению к элементам данных (файлу, записи, полю и др.). При этом анализируются права субъекта и терминала на доступ, требуемые действия, сами элементы данных и их значения, порядок использования элементов данных, состояние базы данных и знаний АИС, регламент (время) их использования и др. Для обеспечения процедуры установления полномочий часто применяют так называемую матрицу установления полномочий (МУП), в которой каждый элемент d_ij определяет права доступа i-го объекта АИС к j-му ресурсу. Элементы d_ij могут представлять собой строку битов или указатели на специализированные процедуры анализа попыток доступа.

Например, строки битов могут означать (табл. 9.3):

0000 – запрет всех видов доступа;

0001 – право считывать элементы данных;

0010 – право дополнять (присоединять) элементы данных;

0011 – право считывать и дополнять элементы данных;

0100 – право исполнять (если элемент данных - процедура);

0101 – право считывать и исполнять элементы данных;

0110 – право дополнять и исполнять элементы данных;

0111 – право считывать, дополнять и исполнять;

1000 – право заменять (удалять) элементы данных;

1111 – право считывать, дополнять, исполнять и заменять.

МУП, как правило, хранится в специальной внешней памяти ЭВМ как отдельный файл в преобразованном виде.

Таблица 9.3

Вариант простой матрицы установления полномочий субъектов

Место расположения терминала	Элементы данных
	Имя объекта	Учётный номер	Каталог файлов	Файлы объекта	Ключи к файлам
Отдел кадров	1111	1111	1111	0000	1000
Бухгалтерия	0001	0001	0011	0000	0000
Деканат ОЮФ	0001	0001	0001	0101	0000
Деканат ЗЮФ	0001	0001	0001	0101	0000
Деканат ФНО	0001	0001	0001	0101	0000

Используются и более сложные варианты МУП, в которых учитываются категории конфиденциальности ИМ (например, основанные на иерархической классификации данных [1, 2]).

Комбинированные алгоритмы преобразования, используемые в реальных эргасистемах, как правило, унифицируют и стандартизируют с целью обеспечения необходимой степени защиты ИМ во всех возможных подсистемах и комплексах. К стандартизированным алгоритмам преобразования информации предъявляются следующие основные требования:

высокий уровень защиты ИМ от НСД и необнаруженной модификации;

простота для понимания, но наличие достаточной степени сложности, делающей его раскрытие более дорогостоящим, чем получаемый при этом выигрыш;

независимость ни от какой «конфиденциальности» алгоритма, а зависимость только от ключа преобразования;

экономичность в реализации и эффективность в действии;

приспосабливаемость для выполнения обратных преобразований;

доступность всем субъектам-операторам.