Лекция 1. Основные понятия криптологии.
1.1. Предмет, цель и задание курса «Прикладная криптология».
Предметом учебной дисциплины являются:
Общие принципы построения систем криптографической защиты информации;
ключевые системы, криптоалгоритмы и криптопротоколы, составляющие основу криптографической защиты информации в современных компьютерных сетях и их криптографические свойства;
общие подходы относительно выбора параметров криптосистем, алгоритмы их построения и тестирования;
общая методика организации подсистем криптографической защиты информации в компьютерных системах и сетях.
Цель изучения учебной дисциплины состоит в том, чтобы научить студентов решать вопросы соответствия средств криптографической информации, планируемых к внедрению, современным требованиям, а также развить у студентов навыки практического применения стандартных подходов для обеспечения надлежащего уровня криптографической защиты информации сети связи.
Задачами учебной дисциплины является формирование следующих навыков:
уметь характеризовать принципы построения современных криптографических систем, ориентироваться в терминологии и формулировках теоретических результатов относительно их стойкости;
уметь предоставить рекомендации относительно использования стандартных криптоалгоритмов и криптопротоколов для обеспечения надлежащего уровня защиты информации;
уметь характеризовать существенные параметры и потенциальные слабости типичных криптографических алгоритмов и протоколов;
уметь использовать и реализовывать стандарты в области криптографической защиты информации.
уметь характеризовать основные методы стеганографической защиты информации;
уметь характеризовать перспективы развития криптографии.
1.2. Роль криптологических методов и систем криптографической защиты информации в современном обществе.
Жизнеспособность общества все в большей мере определяется уровнем развития информационной среды. Информация играет все более весомую роль в функционировании государственных и общественных институтов, в жизни каждого человека. В современных условиях сформировался новый вид трудовой деятельности, связанный с получением, распространением и хранением информации. Промышленное общество трансформируется в информационное.
Информатизация ведет к созданию единого мирового информационного пространства, к унификации информационных технологий различных стран.
Новые технологии сулят грандиозные перспективы. Вместе с тем, катастрофически возрастает цена потерь в случае нештатного функционирования или снижения надежности систем обработки и передачи информации. Следует признать, что в настоящее время все более зримо проявляется зависимость экономики от качества систем защиты информации, в том числе, криптографических.
В современных условиях защита информации становится все более актуальной и одновременно все более сложной проблемой. Это обусловлено как массовым применением методов автоматизированной обработки данных, так и широким распространением методов и средств несанкционированного доступа к информации. Поэтому особую роль в организации противодействия потенциальным угрозам занимает подход, при котором средства защиты информации используются комплексно, каждое в соответствии со своим предназначением.
Внедрение и активное использование современных информационных технологий существенно повысили уязвимость информации, циркулирующей в современных информационно-телекоммуникационных системах.
Несанкционированное искажение, копирование, уничтожение информации в настоящее время затрагивает не только процессы, относящиеся к сфере государственного управления, но и интересы физических лиц.
Как следствие, возрастает ответственность за принятие точных и ответственных решений в ситуации, когда даже отдельные ошибки способны привести к тяжелым последствиям в сфере экономики, финансов, экологии.
С движением общества по пути технического прогресса не только неуклонно возрастают объемы обрабатываемой информации, но и все более проявляется фактор необходимости своевременной ее обработки.
В сложившихся условиях, очевидно, перспективным является внедрение технологий, основанных на электронном документообороте.
Использование подобных технологий приводит к необходимости использования ЭВМ для решения специфических задач, таких как обеспечение уверенности в гарантиях ответственности лиц, отдающих распоряжения, ответственности исполнителей за своевременное выполнение распоряжений и т.д. Возник ряд новых задач, имеющих практическое значение, например задача принятия нотариальных решений в автоматическом режиме. Для решения указанных задач, необходимо наличие специфических алгоритмов.
Оказалось, что принципы построения соответствующих алгоритмов разработаны в криптологии, науке изучающей методы построения и анализа систем защиты информации, основанных на математических преобразованиях данных с использованием секретных параметров. Такие системы называются криптографическими. Применение криптографических систем защиты информации позволяет обеспечить надежность электронного документооборота.
Криптология традиционно разделяется на криптографию и криптоанализ. Методы криптографии ориентированы на создание систем защиты информации.
К области криптоанализа относятся подходы к осуществлению несанкционированного доступа аналитическим путем к информации, защищенной криптографическими методами.
Криптоаналитики исследует вопросы стойкости абстрактных и реальных криптосистем. Оба направления криптологии взаимодействуют, дополняя друг друга, что позволило решить ряд указанных актуальных задач и внедрить в практику достаточно эффективные системы криптографической защиты информации.
1.3. Актуальность проблемы надежности реальных систем КЗИ.
Причины, по которым действующие криптосистемы следует рассматривать как потенциально ненадежные, таковы.
1. Отсутствие полных формальных критериев качества криптосистем, а также невозможность на практике выполнения (в полном объеме) требований, исходя из которых разработчики обосновывали вывод о достаточном уровне защиты информации;
2. При массовом применении криптосистем, проявляются неучтенные маловероятные ситуации, в которых стойкость криптосистемы снижается.
3. Дополнительный источник потенциальной ненадежности криптосистем - возможность создавать криптосистемы с сознательно внесенными слабостями (лазейками).
Из этих положений можно сделать выводы о наличии следующих факторов, специфичных для практической криптологии.
1. Нереальность помощи извне для развития криптографического потенциала государства (рассчитывать можно только на свои силы).
2. Неизбежность скрытого соревнования между криптографами и криптоаналитиками, а также в параметрах вычислительной мощности в глобальном масштабе.
3. Необходимость унификации криптосистем со стандартами, принятыми в развитых странах (политический и экономический фактор)
4. Необходимость опережающего овладения технологиями, которые обеспечивали бы защиту информации на современном научно-техническом уровне, в условиях ограниченного доступа к современным разработкам и проектам.
Необходимо подчеркнуть, что обеспечению надежности отдельной криптосистемы способствует стратегия взаимодействия пользователей, направленная на согласованные действия по обеспечению надлежащего уровня криптологического обеспечения систем связи.
Важность указанного подхода объясняется тем, что при эксплуатации криптографических систем защиты информации, возникают факторы, касающиеся каждого пользователя.
Например, очевидно, что коммерческие криптосистемы одного и того же производителя могут применяться различными абонентами.
Следовательно, необходимо сохранять в секрете обнаруженные в ходе эксплуатации эффективные подходы, а также недоработки, снижающие стойкость действующей криптосистемы, по крайней мере, пока не завершится ее замена или модификация. В данном случае, наиболее важно, чтобы недостатки системы не были обнаружены злоумышленником.
Разумной стратегией в подобных случаях является смена криптосистемы, без раскрытия сути обнаруженных недоработок.
По этой причине, каждому пользователю в ходе внедрения и эксплуатации криптосистемы, следует учитывать необходимость ее соответствия современным стандартам, независимо, является ли унификация на данный момент действительно актуальной. Перечень примеров можно легко продолжить.