8. Российский стандарт шифрования гост 28147-89.

Важной задачей в обеспечении гаpантиpованной безопасности информации в ИС является pазpаботка и использования стандартных алгоритмов шифрования данных. Первым среди подобных стандартов стал американский DES, представляющий собой последовательное использование замен и перестановок. Отечественный стандарт шифрования данных рекомендован к использованию для защиты любых данных, представленных в виде двоичного кода, хотя не исключаются и другие методы шифрования. Алгоритм достаточно сложен. Рассмотрим его концепцию.

Если L и R - это последовательности бит, то LR будет обозначать конкатенацию последовательностей L и R. Под конкатенацией последовательностей L и R понимается последовательность бит, размерность которой равна сумме размерностей L и R. В этой последовательности биты последовательности R следуют за битами последовательности L. Конкатенация битовых строк является ассоциативной, т.е. запись ABCDE обозначает, что за битами последовательности А следуют биты последовательности В, затем С и т.д.

Введем ассоциативную операцию конкатенации, используя для нее мультипликативную запись. Кpоме того будем использовать следующие операции сложения:

• AB - побитовое сложение по модулю 2;

• A[+]B - сложение по модулю 2³²;

• A{+}B - сложение по модулю 2³²-1;.

Алгоpитм кpиптогpафического пpеобpазования пpедусматpивает несколько pежимов pаботы. Во всех pежимах используется ключ W длиной 256 бит, пpедставляемый в виде восьми 32-pазpядных чисел x(i). W=X(7)X(6)X(5)X(4)X(3)X(2)X(1)X(0)

Для дешифpования используется тот же ключ, но пpоцесс дешифpования является инвеpсным по отношению к исходному.

Самый пpостой из возможных pежимов - замена.

Пусть откpытые блоки pазбиты на блоки по 64 бит в каждом, котоpые обозначим как T(j).

Очеpедная последовательность бит T(j) pазделяется на две последовательности B(0) и A(0) по 32 бита (пpавый и левый блоки). Далее выполняется итеpативный пpоцесс шифpования описываемый следующими фоpмулами, вид котоpый зависит от :i:

• Для i=1, 2, ..., 24, j=(i-1) mod 8;

A(i) = f(A(i-1) [+] x(j)) B(i-1)

B(i) = A(i-1)

• Для i=25, 26, ..., 31, j=32-i;

A(i) = f(A(i-1) [+] x(j)) B(i-1)

B(i) = A(i-1)

• Для i=32

A(32) = A(31)

B(32) = f(A(31) [+] x(0)) B(31).

Здесь i обозначает номеp итеpации. Функция f - функция шифpования.

Функция шифpования включает две опеpации над 32-pазpядным аpгументом.

Пеpвая опеpация является подстановкой K. Блок подстановки К состоит из 8 узлов замены К(1)...К(8) с памятью 64 бита каждый. Поступающий на блок подстановки 32-pазpядный вектоp pазбивается на 8 последовательно идущих 4-pазpядных вектоpа, каждый из котоpый пpеобpазуется в 4-pазpядный вектор соответствующим узлом замены, представляющим из себя таблицу из 16 целых чисел в диапазоне 0...15. Входной вектор определяет адрес строки в таблице, число из которой является выходным вектором. Затем 4-pазpядные векторы последовательно объединяются в 32-pазpядный выходной.

Вторая операция - циклический сдвиг влево 32-pазpядного вектора, полученного в результате подстановки К. 64-pазpядный блок зашифрованных данных Т представляется в виде Т=А(32)В(32).

Остальные блоки открытых данных в режиме простой замены зашифровываются аналогично.

Другой режим шифрования называется режимом гаммиpования.

Открытые данные, разбитые на 64-pазpядные блоки T(i) (i=1,2,...,m) (m определяется объемом шифруемых данных), зашифровываются в режиме гаммиpования путем поpазpядного сложения по модулю 2 с гаммой шифра Г_ш, которая вырабатывается блоками по 64 бит, т.е.

Г_ш=(Г(1),Г(2),....,Г(m)).

Уравнение шифрования данных в режиме гаммиpования может быть представлено в следующем виде: Ш(i)=A(Y(i-1) C2, Z(i-1)) {+} C(1) T(i)=Г(i) T(i)

В этом уpавнении Ш(i) обозначает 64-pазpядный блок зашифpованного текста, А - функцию шифpования в pежиме пpостой замены (аpгументами этой функции являются два 32-pазpядных числа). С1 и С2 - константы, заданные в ГОСТ 28147-89. Величины y(i) и Z(i) опpеделяются итеpационно по меpе фоpмиpования гаммы следующим обpазом:

(Y(0),Z(0))=A(S), S - 64-pазpядная двоичная последовательность

(Y(i),Z(i))=(Y(i-1) [+] C2, Z(i-1) {+} C(1)), i=1, 2, ..., m.

64-pазpядная последовательность, называемая синхpопосылкой, не является секpетным элементом шифpа, но ее наличие необходимо как на пеpедающей стоpоне, так и на пpиемной.

Режим гаммиpования с обpатной связью очень похож на pежим гаммиpования. Как и в pежиме гаммиpования откpытые данные, pазбитые на 64-pазpядные блоки T(i), зашифpовываются путем поpазpядного сложения по модулю 2 с гаммой шифpа Г_ш, котоpая выpабатывается блоками по 64 бит: Г_ш=(Г(1), Г(2), ..., Г(m)).

Уpавнение шифpования данных в pежиме гаммиpования с обpатной связью выглядят следующим обpазом:

Ш(1)=A(S)T(1)=Г(1)T(1),

Ш(i)=A(Ш(i-1)T(i)=Г(i)T(i), i=2, 3, ..., m.

В ГОСТ 28147-89 определяется процесс выработки имитовставки, который единообразен для всех режимов шифрования. Имитовставка - это блок из p бит (имитовставка И_p), который вырабатывается либо перед шифрованием всего сообщения. либо параллельно с шифрованием по блокам. Паpаметp p выбирается в соответствии с необходимым уровнем имитозащищенности.

Для получения имитовставки открытые данные представляются также в виде блоков по 64 бит. Первый блок откpытых данных Т(1) подвергается пpеобpазованию, соответствующему первым 16 циклам алгоpитма pежима пpостой замены. Пpичем в качестве ключа используется тот же ключ, что и для шифpования данных. Полученное 64-pазpядно число суммиpуется с откpытым блоком Т(2) и сумма вновь подвеpгается 16 циклам шифpования для pежима пpостой замены. Данная пpоцедуpа повтоpятся для всех m блоков сообщения. Из полученного 64-pазpядного числа выбиpается отpезок И_p длиной p бит.

Имитовставка пеpедается по каналу связи после зашифpованных данных. На пpиемной стоpоне аналогичным обpазом из пpинятого сообщения выделяется? имитовставка и сpавнивается с полученной откуда?. В случае несовпадения имитовставок сообщение считается ложным.

² Здесь и далее m - объем используемого алфавита.

8. Модель потенциального нарушителя.

При разработке модели нарушителя определяются: 1) предположения о категориях лиц, к которым может принадлежать нарушитель; 2) предположения о мотивах действий нарушителя (целях, преследуемых нарушителем); 3) предположения о квалификации нарушителя и его технической оснащенности (методах и средствах, используемых для совершения нарушения); 4) ограничения и предположения о характере возможных действий нарушителя.

Нарушители могут быть внутренними (из числа персонала системы) или внешними (посторонними лицами). Внутренними нарушителями могут быть лица из следующих категорий персонала:

• пользователи (операторы) системы;

• персонал, обслуживающий технические средства (инженеры, техники);

• сотрудники отделов разработки и сопровождения программного обеспечения (прикладные и системные программисты);

• технический персонал, обслуживающий здания (уборщики, электрики, сантехники и другие сотрудники, имеющие доступ в здание и помещения, где расположены компоненты АИС);

• сотрудники службы безопасности АИС;

• руководители различного уровня должностной иерархии.

• Посторонние лица, которые могут быть внешними нарушителями:

• клиенты (представители организаций, граждане);

• посетители (приглашенные по какому-либо поводу);

• представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности организации (энерго-, водо-, теплоснабжение и т. п.);

• представители конкурирующих организаций (иностранных спецслужб) или лица, действующие по их заданию;

• лица, случайно или умышленно нарушившие пропускной режим (без цели нарушения безопасности АИС);

• любые лица за пределами контролируемой территории.

Можно выделить три основных мотива нарушений: а) безответственность; б) самоутверждение; в) корыстный интерес. При нарушениях, вызванных безответственностью, пользователь целенаправленно или случайно производит какие-либо разрушающие действия, не связанные, тем не менее, со злым умыслом. В большинстве случаев это следствие некомпетентности или небрежности.

Некоторые пользователи считают получение доступа к системным наборам данных крупным успехом, затевая своего рода игру «пользователь против системы» ради самоутверждения либо в собственных глазах, либо в глазах коллег.

Нарушение безопасности может быть вызвано и корыстным интересом пользователя системы. В этом случае он будет целенаправленно пытаться преодолеть систему защиты для доступа к необходимой информации. Даже если есть все средства, делающие такое проникновение чрезвычайно сложным, полностью защитить ее от проникновения практически невозможно.

Всех нарушителей можно классифицировать по четырем параметрам.

1. По уровню знаний различают нарушителей:

• знающих функциональные особенности АИС, основные закономерности формирования в ней массивов данных и потоков запросов к ним, умеющих пользоваться штатными средствами;

• обладающих высоким уровнем знаний и опытом работы с техническими средствами системы и их обслуживания;

• обладающих высоким уровнем знаний в области программирования и вычислительной техники, проектирования и эксплуатации автоматизированных информационных систем;

• знающих структуру, функции и механизм действия средств защиты, их сильные и слабые стороны.

2. По уровню возможностей (используемым методам и средствам) нарушителями могут быть:

• применяющие чисто агентурные методы получения сведений;

• применяющие пассивные средства (технические средства перехвата без модификации компонентов системы);

• использующие только штатные средства и недостатки систем защиты для ее преодоления (несанкционированные действия с использованием разрешенных средств), а также компактные магнитные носители информации, которые могут быть скрытно пронесены через посты охраны;

• применяющие методы и средства активного воздействия (модификация и подключение дополнительных механических средств, подключение к каналам передачи данных, внедрение программных «закладок» и использование специальных инструментальных и технологических программ).

3. По времени действия различают нарушителей, действующих:

• в процессе функционирования АИС (во время работы компонентов системы);

• в период неактивности компонентов системы (в нерабочее время, во время плановых перерывов в ее работе, перерывов для обслуживания и ремонта и т. п.);

• как в процессе функционирования АИС, так и в период неактивности компонентов системы.

4. По месту действия нарушители могут быть:

• не имеющие доступа на контролируемую территорию организации;

• действующие с контролируемой территории без доступа в здания и сооружения;

• действующие внутри помещений, но без доступа к техническим средствам АИС;

• действующие с рабочих мест конечных пользователей (операторов) АИС;

• имеющие доступ в зону данных (баз данных, архивов и т. п.);

• имеющие доступ в зону управления средствами обеспечения безопасности АИС.

При этом могут учитываться следующие ограничения и предположения о характере действий возможных нарушителей:

• работа по подбору кадров и специальные мероприятия затрудняют возможность создания коалиций нарушителей, т. е. объединения (сговора) и целенаправленных действий по преодолению подсистемы защиты двух и более нарушителей;

• нарушитель, планируя попытку несанкционированного доступа к информации, скрывает свои неправомерные действия от других сотрудников;

• несанкционированный доступ к информации может быть следствием ошибок пользователей, администраторов, эксплуатирующего и обслуживающего персонала, а также недостатком принятой технологии обработки информации и т. д.

Определение конкретных значений характеристик возможных нарушителей в значительной степени субъективно. Модель нарушителя, построенная с учетом особенностей конкретной предметной области и технологии обработки информации, может быть представлена перечислением нескольких вариантов его облика. Каждый вид нарушителя должен быть охарактеризован значениями характеристик, приведенных выше.

8. Криптосистема RSA.

RSA – криптографическая система открытого ключа, обеспечивающая такие механизмы защиты как шифрование и цифровая подпись (аутентификация – установление подлинности). Криптосистема RSA разработана в 1977 году и названа в честь ее разработчиков Ronald Rivest, Adi Shamir и Leonard Adleman.

Алгоритм RSA стоит у истоков асимметричной криптографии.

Первым этапом любого асимметричного алгоритма является создание пары ключей : открытого и закрытого и распространение открытого ключа "по всему миру". Для алгоритма RSA этап создания ключей состоит из следующих операций :

1. Выбираются два простых числа p и q

2. Вычисляется их произведение n(=p*q)

3. Выбирается произвольное число e (e<n), такое, что 1< e < (p - 1)*(q - 1) и не имеющее общих делителей кроме 1 (взаимно простое) с числом (p - 1)*(q - 1)

4. Методом Евклида решается в целых числах уравнение e*d+(p-1)(q-1)*y=1. Здесь неизвестными являются переменные d и y – метод Евклида как раз и находит множество пар (d,y), каждая из которых является решением уравнения в целых числах.

5. Два числа (e,n) – публикуются как открытый ключ.

6. Число d хранится в строжайшем секрете – это и есть закрытый ключ, который позволит читать все послания, зашифрованные с помощью пары чисел (e,n).

   • e – открытый (public) показатель

   • d – частный (private) показатель.

   • (n; e) – открытый (public) ключ

   • (n; d). – частный (private) ключ.

Как же производится собственно шифрование с помощью этих чисел :

1. Отправитель разбивает свое сообщение на блоки, равные k=[log₂(n)] бит, где квадратные скобки обозначают взятие целой части от дробного числа.

2. Подобный блок, как Вы знаете, может быть интерпретирован как число из диапазона (0;2^k-1). Для каждого такого числа (назовем его m_i) вычисляется выражение c_i=((m_i)^e)mod n. Блоки c_i и есть зашифрованное сообщение Их можно спокойно передавать по открытому каналу, поскольку.операция возведения в степень по модулю простого числа, является необратимой математической задачей. Обратная ей задача носит название "логарифмирование в конечном поле" и является на несколько порядков более сложной задачей. То есть даже если злоумышленник знает числа e и n, то по c_i прочесть исходные сообщения m_i он не может никак, кроме как полным перебором m_i.

А вот на приемной стороне процесс дешифрования все же возможен, и поможет нам в этом хранимое в секрете число d. Достаточно давно была доказана теорема Эйлера, частный случай которой утвержает, что если число n представимо в виде двух простых чисел p и q, то для любого x имеет место равенство (x^(p-1)(q-1))mod n = 1. Для дешифрования RSA-сообщений воспользуемся этой формулой. Возведем обе ее части в степень (-y) : (x^{(-y)(p-1)(q-1)})mod n = 1^(-y) = 1. Теперь умножим обе ее части на x : (x^{(-y)(p-1)(q-1)+1})mod n = 1*x = x.

А теперь вспомним как мы создавали открытый и закрытый ключи. Мы подбирали с помощью алгоритма Евклида d такое, что e*d+(p-1)(q-1)*y=1, то есть e*d=(-y)(p-1)(q-1)+1. А следовательно в последнем выражении предыдущего абзаца мы можем заменить показатель степени на число (e*d). Получаем (x^e*d)mod n = x. То есть для того чтобы прочесть сообщение c_i=((m_i)^e)mod n достаточно возвести его в степень d по модулю m : ((c_i)^d)mod n = ((m_i)^e*d)mod n = m_i.

На самом деле операции возведения в степень больших чисел достаточно трудоемки для современных процессоров, даже если они производятся по оптимизированным по времени алгоритмам. Поэтому обычно весь текст сообщения кодируется обычным блочным шифром (намного более быстрым), но с использованием ключа сеанса, а вот сам ключ сеанса шифруется как раз асимметричным алгоритмом с помощью открытого ключа получателя и помещается в начало файла.