125 Кібербезпека / 5 Курс / 5.2_Методи побудови і аналізу криптосистем / Література / пiдручник
.pdf1. Базовые криптографические протоколы |
89 |
В} Ек, (М ),MACK~ (м);
г) Ек, (м),Ек! (МАСк! (М)); д) Ек, (м),МАСК2 (ЕКI (М));
е) Ек] (МАСК2 (М)),мАСKz ( Ек, (М)) ; ж) Ек, (М,МАСк! (м)),МАСК1 (М);
з) Ек, (М , А), где А - идентификатор отправителя (В расшифро
вывает шифртекст и проверяет, что вторая часть открытого текста совпадает с идентификатором отправителя).
Для каждого способа объясните, обеспечивает ли он требуемые свойства (секретность, целостность, подлинность). Какие из этих способов предпочтительнее? Какие непригодны для использования? Почему?
12. Назовите известные вам режимы работы блочных шифров, позволяющие обеспечить:
только секретность сообщений; только подлинность сообщений;
•одновременно секретность и подлинность сообщений.
Какие из этих режимов считаются лучшими по соотношению
«стойкость/скорость»?
13. Какие режимы алгоритмов шифрования ГОСТ 28147-89 и DES предпочтительнее использовать для шифрования полей базы данных автоматизированной банковской системы с ИК, содержащей сведения о клиентах (идентификаторы, открытые ключи, номера ИК, состояние счета, отметка о включении ИК в стоп-лист и т. д.), доступ к которой осуш:ествляется в режиме реального времени, и почему?
14.Рассматривается схема цифровой подписи с восстановлением сообщения из стандарта ISOIIEC 9796. Какой максимальной длины (В байтах) может быть сообщение, если требуется, чтобы подпись имела длину 512 бит?
15.Как, используя схему проверяемого разделения секрета Фельдмана, трем абонентам Sl' S2, 8з совместно сгенерировать об щее для них случайное число, если допускается, что кто-то один ИЗ них может обманывать остальных, пересылая неверные сообщения?
Глава 2 ИНФРАСТРУКТУРА кгипгосисгвм
Под инфраструктурой понимаются составные части общего уст ройства системы, носящие вспомогательный, подчиненный характер и обеспечивающие нормальную деятельность системы в целом. Применительно к криптографическим системам речь идет о таких вспомогательных элементах) которые берут на себя организацию работы с секретными и открытыми ключами, включая их генерацию, распространение, хранение и уничтожение, и освобождают боль шинство участников системы от необходимости решения второсте пенных для них задач и выполнения несвойственных для них функ ций. В этой главе мы рассмотрим основное содержание концепции управления криптографическими ключами в современном понима нии, а на отдельных ее элементах остановимся более подробно.
2-~1. Управление ключами
в основе большинства средств защиты, применяемых в инфор мационных системах) лежат криптографические алгоритмы и прото
колы или механизмы защиты, которые так или иначе используют их. При конструировании алгоритмов и протоколов предполагается, что секретные и открытые ключи, необходимые для выполнения крип тографических операций, уже имеются у субъектов системы. Им ос
тается только грамотно использовать средства защиты, в которых
реализованы соответствующие криптографические алгоритмы и протоколы. Однако на практике применение криптографических средств защиты информации сталкивается с необходимостью гра мотно распоряжаться криптографическими ключами всех участни ков системы. Задачи генерации, распространения, хранения, унич тожения криптографических ключей принято относить к одному из разделов прикладной криптографии, получившему название управ
ление ключами.
2.1.1. Основные понятия и определения
Ключевым отношением называется состояние, в котором взаи
модействующие стороны разделяют общие данные - ключевой ма-
2. Инфраструктура криптоснстем |
91 |
териал, необходимые ДЛЯ выполнения криптографических алгорит
мов и протоколов.
Управление ключами (key management) - это совокупность тех нологий и процедур, посредством которых устанавливаются и под
держиваются ключевые отношения между участниками криптогра фического протокола.
Напомним, что в соответствии с методологией, принятой в со временной криптографии, стойкость любой криптосистемы опреде ляется только степенью безопасности используемых в ней ключей, так как все долговременные элементы криптосистемы (множество правил шифрования, его механизм и пр.) рано или поздно станут известными злоумышленнику. Этот принцип был сформулирован еще в конце XIX в. И получил название правила Керкхоффса (Kerckhoffs' аеыаетха). Цель хорошей криптографическойконструкции - свести более сложные проблемы к надлежащему управлению и безопасному хранению небольшого количества криптографических ключей, безопасность которых и доверие к ним пользователей дос тигается путем их физической изоляции и организационных мер за щиты. При этом для обеспечения безопасности криптографических ключей хороши любые доступные методы:
технические средства охраны (изолированные помещения, сиг нализация и т. п.); защищенная от взлома аппаратура (очень важно обеспечить на
дежную аугентификацию пользователя при работе с нею!);
•концентрация ключевого материала в небольшом количестве легко наблюдаемых и внушающих доверие компонентов системы.
Цель управления ключами - поддерживать ключевые отношения таким образом, который исключает проявление угроз ключевому
материалу, основными из которых являются следующие:
утрата конфиденциальности (секретности) секретных крипто графических ключей; уграта аутентичности секретных или открытых ключей: требо
вание аутентичности означает возможность проверки идентич ности лица, обладающего ключевым материалом, действитель
ному владельцу ключа;
92 |
Запечкиков С. В. Криптографические протоколы и их применение |
несанкционированное использование секретных или открытых ключей, например использование недействительного ключа, не
целевое использование ключа.
Компрометация ключа - событие, в результате которого про изошла или могла произойти утрата одного из свойств криптогра фического ключа, обеспечивающего безопасность криптосистемы.
Таким образом, можно заключить, что основными задачами
управления ключами являются:
обеспечение секретности, подлинности и целостности для сек ретных криптографических ключей; обеспечение подлинности и целостности для открытых крип тографических ключей.
Здесь под секретными криптографическими ключами понима ются как общие секретные ключи симметричных криптосистем, так и секретные ключи асимметричных криптосистем (которые в отли чие от первых не являются общими для двух или более участников системы, а известны исключительно своим владельцам).
На практике дополнительной целью управления ключами явля ется согласие с действующей политикой безопасности системы.
Основным международным стандартом в области управления криптографическими ключами является стандарт Международной организации по стандартизации и Международной электротехниче ской комиссии ISOIIEC 11770, состоящий из трех частей:
ISOIIEC 11770-1 - «Кеу management - Introduction».
ISOIIEC 11770-2 - «Кеу management - Symmetric techniques». ISOIIEC 11770-3 - «Кеу management - Аsупunеtriс techniques».
8 названном стандарте задачи управления ключами выводятся из необходимости обеспечения безопасности криптографических ключей на всех этапах их жизненного цикла.
2.1.2. Жизненный цикл криптографических ключей
Жизненный цикл криптографического Ключа - это последова тельность состояний, в которых пребывает ключевой материал за
время своего существования в криптосистеме.
Как известно, любой объект (например, любое промышленное
изделие) имеет определенное, конечное время жизни, за которое он
2. Инфраструктура криптосистем |
93 |
проходит определенные стадии своего развития от «рождения» до
«гибели». Не являются в этом смысле исключением и криптографи ческие ключи. Для любого объекта стандартизации стандартами 180
определяютсячетыре стадии жизненногоцикла: предоперационная,
операционная,постоперационная,стадия выхода из эксплуатации.
Применительнок криптографическимключамэти стадииозначают следующее. На предоперационнойстадии ключ еще не доступен для штатого использования в криптосистеме. Находясь в операционной
стадии жизненногоцикла, ключ доступен пользователямкриптосисте
мы и применяется ими в штатомрежиме. На постоперационнойста дии ключ более не используетсяв штатномрежиме, но доступ к нему возможенв особом режимедля специальныхцелей. На стадии выхода из эксплуатацииключ более недоступен,а все записи, содержащиезна
чение ключа, удаленыиз криптосистемы.
Внутри перечисленныхобщих стадий жизненногоцикла можно более точно выделить различныесостояния, или фазы, жизненного цикла, в которыхпребываетключ, а такжеусловияпереходовмежду ними (рис. 2.1).
1. Регистрация пользователя: субъект становится авторизован ным пользователем криптосистемы, приобретает или создает безо пасным одноразовым способом начальный ключевой материал (па роли, персональные коды и др.).
2. Инициализация пользователя: субъект криптосистемы ини циализирует свои криптографические приложения, например, про изводит инсталляцию программного и аппаратного обеспечения,
включая инсталляцию на него начального ключевого материала, по
лученного во время регистрации.
3. Генерация ключа: производится таким образом, чтобы гаран тировать необходимые свойства для приложения или алгоритма и случайность (в смысле возможности предсказания его противником с пренебрежимо малой вероятностью). Субъект может генерировать свои собственные ключи или приобретать ключи от доверенного
компонента криптосистемы.
4. Инсталляция ключа: ключевой материал инсталлируется для функционального использования в программном или аппаратном обеспечении субъекта, включая ручной ввод пароля или персональ ного кода, запись на магнитный диск, в постоянную память, микро электронную схему или на другие носители. Начальный ключевой
94 |
Запечников С. В. Криптографическиепротоколы 11l/X примененив |
материал может служить для установления сеанса с доверенным
компонентом криптосистемы, во время которого в реальном мас
штабе времени согласуются рабочие ключи. Во время последова тельных обновлений новый ключевой материал заменяет исполь зуемый.
|
|
|
|
|
|
1. Регистрация |
Предопер ционная |
|
|
|
|
|
|
|
пользователя |
стадия |
|
|
|
|
|
|
|
|
|
|
г---------- |
|
|
|
|
||||
I |
|
|
|
|
|
|
|
|
I |
|
|
|
|
|
|
|
|
I |
|
|
|
|
|
|
|
|
I |
|
|
|
|
|
|
|
|
I |
|
|
|
|
|
|
|
|
I |
|
|
|
|
|
|
|
|
I |
|
|
|
|
|
|
|
|
· |
|
|
|
|
|
|
Опер ционная |
|
I |
|
|
|
|
|
|
|
|
·, |
|
|
|
|
|
|
|
|
· |
|
|
|
|
|
|
стадия |
|
I |
|
|
|
|
|
|
|
|
I |
|
|
|
|
|
|
|
|
I |
|
|
|
|
|
|
|
|
I |
|
лотеря |
|
без |
|
|||
I |
|
|
|
|||||
I |
Т |
|
|
|
|
|||
I |
|
|
|
|
|
|
|
|
I |
|
|
|
|
|
|
|
|
·II |
|
компрометации |
|
|||||
· |
|
|
|
|
|
|
|
|
· |
|
|
|
|
б. Штатное |
|
||
I |
|
|
|
|
использование |
|
||
·I |
|
|
|
|
ключа |
|
||
, |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
I |
|
|
|
|
|
|
|
|
I |
|
|
|
|
|
|
|
|
I |
|
|
|
|
|
|
|
|
I |
|
|
|
|
|
|
|
|
I |
|
|
|
|
|
|
|
|
I |
|
|
|
|
|
|
|
|
· |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Архивация ключа |
|
|
|
|
|
|
|
|
|
|
-·-· |
--·---- |
|
·-·-·-·-·-·;i~~~~; ·-·-·-·-·-·-·-·--- ------------ |
---~;;;~;;; |
||||
----'~.. |
|
Движенпеключа |
7 - резерВ1Ч)оваштеключа |
|||||
________)- |
Спстемныесобытия |
11 -ВОССПIНОВЛeIO-Iе ключа |
||||||
Рис. 2.1. Жизненный цикл криптографических ключей
2. Инфраструктура криптасистем |
95 |
5. Регистрация ключа: одновременно с |
инсталляцией ключа |
ключевой материал может быть публично записан как ассоцииро ванный с уникальным именем субъекта системы. Для открытых ключей регистрация может выполняться специально выделенной третьей стороной, при посредстве которой они становятся доступ ными для остальных субъектов через открытые директории или дру
гие средства.
6. Штатное использование ключа: при нормальных обстоятель
ствах это состояние продолжается, пока не истечет период, преду
смотренный регламентом системы (так называемый криптопериод ключау; но он может быть разделен, например, для пар секретного и открытого ключей шифрования (когда открытый ключ более не яв ляется действительным для шифрования, а секретный ключ остается в нормальном использовании для расшифрования). Цель жизненного цикла - содействовать операционной доступности ключевого мате риала для стандартных криптографических целей. Иными словами, эта фаза жизненного цикла является самой основной, центральной, ради которой реализуются все остальные фазы, да и сама инфра
структура криптосистемы.
7. Резервирование ключа: копирование ключевого материала на независимом, безопасном носителе обеспечивает источник данных для восстановления ключа. Резервирование подразумевает кратко
временное хранение ключа во время операционного использования.
8.Обновление ключа: по истечении периода, предусмотренного регламентом, операционный ключевой материал заменяется на но вый. Это может включать процедуры генерации ключа, наследова ния ключа, выполнение протоколов распределения ключей. Для от крытых ключей обновление и регистрация новых ключей обычно включает безопасные коммуникационные протоколы с доверенной третьей стороной.
9.Архивация ключа: ключевой материал, более не используемый
вштатном режиме, может быть заархивирован, чтобы обеспечить
источник восстановления ключа при специальных обстоятельствах (например, в случае возникновения конфликтов о принадлежности цифровой подписи). Архивация подразумевает долговременное хра
нение ключей в постоперационной стадии, при этом могуг приме-
96 |
Запечниное С. В. Криптографические протоколы 11 '/Х применение |
няться алгоритмы сжатия данных с целью сокращения объема хра нимых ключей.
10. Вывод из эксплуатации и уничтожение: когда более нет не обходимости поддерживать ассоциацию ключа с субъектом, ключ выводится из эксплуатации, т. е. удаляется из всех публичных запи сей и все копии ключа уничтожаются. В случае секретных ключей должны быть безопасно стерты все «следы» ключа. Это действие является обратным к регистрации ключа (фаза И2 5).
11.Восстановление ключа: если ключевой материал потерян, но при этом не случилось компрометации (сбой оборудования, забыт пароль), должно быть возможно восстановить ключевой материал с безопасной резервной копии.
12.Аннулирование ключа: может быть необходимо удалить клю
чи из операционного использования до истечения предполагаемого срока по различным причинам, включая компрометацию ключей или выбытие владельца ключа из системы.
Изображенный на рис. 2.1 жизненный цикл ключа более соот ветствует асимметричным криптосистемам. В симметричных он, как правило, проще (например, сеансовые ключи не регистрируются, не резервируются, не восстанавливаются, не архивируются).
Важно обратить внимание на то, что с точки зрения обеспечения безопасности криптографических ключей ни одна из указанных ста дий жизненного цикла и ни одно из СОСТОЯНИЙ ключа не является более или менее важным по сравнению с другими. Действительно, если безопасность ключа нарушена хотя бы на одной из стадий, хо тя бы в одном ИЗ состояний или при переходе из одного СОСТОЯНИЯ в другое, то это приведет к нарушению безопасности криптосистемы в целом. Различные фазы жизненного цикла отличаются только с точки зрения технической сложности обеспечения безопасности ключей, но с точки зрения логической организации процесса управ ления ключами все они равноправны и в равной степени важны. ПРИ разработке и эксплуатации систем криптографической защиты ин формации большое внимание должно уделяться вопросам грамотной организации управления криптографическими ключами на всех эта
пах их жизненного цикла,
С точки зрения сложности обеспечения безопасности ключей выделяют четыре наиболее ответственные фазы, на которых необ-
2. Инфраструктура криптосистем |
97 |
ходимо решать задачи управления ключами: генерация) распростра
нение, хранение и уничтожение ключей. Из них самой сложной для реализации и самой потенциально опасной является фаза распро странения ключей, включающая транспортировку ключей между участниками криптосистемы. По этой причине далее мы остановим ся на вопросах распространения криптографических ключей более подробно.
2.1.3. Модели управления ключами
В сложной криптосистеме участники - абоненты криптосисте мы - могут не иметь изначально криптографических ключей для связи друг с другом. Более того) в системе с большим числом або
нентов они могут даже не знать друг друга, или число участников
системы вообще может быть неопределенным или меняющимся. В связи с этим необходимо предусмотреть способы координации действий участников по управлению своими криптографическими ключами, т. е. ввести управление ключами в масштабах всей систе мы в целом. Для организованного управления ключами должна под держиваться какая-либо модель управления ключами. В криптоси стеме может быть реализована одна из двух моделей управления ключами: децентрализованное либо централизованное (трехсторон нее) управление ключами.
Децентрализованное управление ключами подразумевает от сутствие единого центра управления криптографическими ключами в системе. Все процедуры по обслуживанию жизненного цикла клю ча в этом случае выполняются самими абонентами криптосистемы.
Если в рассматриваемую систему входят лишь два участника, модель управления ключами носит название двухточечной (ройи-ю point). АбонентыА и В имеют либо один ключ К для передачидан ных в обоих направлениях,либо раздельные ключи КАВ и КВА дЛЯ однонаправленной передачи данных. Все процедуры жизненного цикла ключейвыполняюттолькодва абонента,не привлекаяникого более.
Если в криптосистемеп абонентов, приходим к модели полной ключевойматрицы.Тогдакаждая пара участниковi и} имеет ключи парно-выборочной связи Kij и Kj j для однонаправленной передачи данных. Если Kij = ~i, матрица - симметрическая; i-й абонент для
98 Запечников С. В. Криптографическиепротоколы и /а примененив
связи со всеми остальными должен хранить i-й столбец этой матри цы, т. е. n-1 ключ. Эта система надежна против компрометации, но требует хранения очень большого количества ключей - п(п-1) шт. (или 11(11-1)/2, если матрицасимметрическая).
Централизованное (трехстороннее) управление ключами предполагаетналичие в системе, помимо «рядовых» абонентов, спе циально выделенного участника - «третьей стороны». Т. Она вы полняет функции центра распределения ключей (key distriЬиtiоn сетеп - KDC) либо центра трансляцииключей (key translation сеп
ter-KTC).
Когда в системеработаетKDC) любые два участника А и В име ют общие ключи для общения с KDC, но не имеют ключей для связи друг с другом. Ключи генерируются КDC централизованно, после чего они рассылаются всем заинтересованным сторонам. В нашем случае либо непосредственно от КDC к А и от KDC к В, либо оба ключа от КDC направляются к А, будучи зашифрованы на ключах соответствующих абонентов, а затем А перенаправляет В его ключ.
Когда в системе имеется КТС, участники А и В имеют общие с КТС ключи, но ключи парной связи генерируются ими самостоя тельно, а КТС выполняет лишь функцию пересылки (трансляции) ключей от одного участника к другому. Трансляция ключа парной связи) выработанного А, может происходить одним из двух спосо бов: либо КТС принимает ключ от А, зашифрованный на ключе, об щем для А и КТС, а затем перешифровывает его на ключе, общем
дЛЯ КТС и В, и посылает его В, либо перешифрованный ключ на правляет обратноА, а затем А перенаправляет его В.
В любой из моделей «третья сторона» Т - это может быть и КDC, и КТС - может работать в различных режимах.
1. Линейный режим (т-Ипе). В этом случае Т .. промежуточная сторона, включенная в тракт передачи данных между А и В. Т слу жит средством связи между абонентами А и В в реальном масштабе времени. Примерам такого режима является межсетевой экран, вы полняющий криптографические функции.
2. Режим реального времени (on-line). Здесь Т вовлекается в ка ждый сеанс выполнения протокола, если в нем участвует хотя бы один из абонентов А, В (или оба сразу). Однако в этом случае А и В осуществляютсвязь напрямую, а не через Т. Примером такой ситуа-