125 Кібербезпека / 5 Курс / 5.2_Методи побудови і аналізу криптосистем / Література / пiдручник
.pdf
2. Инфраструктура криптасистем |
99 |
ции является доверенный сервер распределения ключей, работаю щий в реальном масштабе времени.
3. Отложенный режим (o.ff-line). В этом режиме Т не вовлекает
ся в протокол в реальном времени, но приготовляет некоторую
предварительную информацию, которая доступна хотя бы одному из абонентов А, В (или обоим сразу) и используется ими во время вы полнения сеансов протокола. Такой режим реализуется, например, в удостоверяющих центрах, которые сертифицируют открытые ключи (будут рассмотрены в подразд. 2.1.6).
Вне зависимости от режима работы, реализуемого в каждом конкретном случае, преимущества трехсторонней модели управле ния ключами заключаются в высокой производительности и отсут ствии необходимости хранения большого количества ключей каж
дым из «рядовых» участников криптосистемы.
2.1.4. Структура ключевой системы
симметричных криптасхем
Ключевая система криптосхемы - это множество ключей крип
тосхемы и правила их использования.
Ключевая система любой криптосхемы строится таким образом, чтобы она соответствовала ряду условий и ограничений, которые можно сформулировать в виде набора практических правил и прин ципов организации криптосистем, образующих своеобразный свод правил «техники безопасности» для криптографа.
1. Принципы «функционального» разделения ключей.
1.1. Принцип целевого использования ключей. Криптографиче ские ключи, применяемые для различных целей, должны быть раз личными. Не допускается использование одного и того же ключа для двух или более различных назначений. Ключи используются
только ПО тому назначению, которое предопределено в момент их
создания. Необходимость введения этого правила объясняется тем, что, например, требования к ключам, используемым в блочном шифре и в схеме цифровой подписи, могут различаться как по длине ключа, так и по качеству псевдослучайного генератора, а также по наличию у ключа специальных математических свойств. Еще один аргумент в пользу этого правила заключается в том, что криптограф, проектируя криптосистему, никогда не может знать, каким образом
100Запечников С. В. Криптографические протоколы 11 '/Х примененив
инасколько корректно ключи будут использоваться прикладными программами, реализующими эту криптосистему. Ограничения по использованию ключа могут быть усилены физической защитой или криптографическими методами.
1.2.Принцип иерархии ключей. Любая сложная криптосистема включает многоуровневую ключевую систему. Впервые это было сформулировано в американском стандарте по управлению ключами для финансовой индустрии Х 9.17. Действительно, можно выделить два типа информации, защищаемой секретными ключами: пользова тельские данные и сам ключевой материал криптосистемы. Ключи,
защищающие пользовательские данные, в соответствии с принци пом целевого использования ключей подразделяются на ключи шифрования, ключи цифровой подписи, ключи аутентификации и др. Таким образом, приходим к необходимости каким-то образом структурировать ключевую систему, чтобы в ней была обеспечена надежная защита обоих типов ключей. Упомянутый выше стандарт предлагает упорядочить ключи сложной криптосистемы в виде ие рархической схемы, включающей мастер-ключи, ключи шифрова ния ключей и ключи шифрования данных.
Мастер-ключи (МК) - ключи высшего уровня иерархии, которые сами защищаются некриптографическими средствами: физически ми, аппаратными, организационными, юридическими и пр. Они рас
пределяются вручную или инсталлируются в систему на предопера
ционной стадии самой информационной системы (изделия) и оста ются неизменными в течение всего жизненного цикла. МК защищаются мерами процедурного контроля, физической или логи ческой изоляцией их от посторонних субъектов.
Ключи шифрования ключей (КШК) - симметричные ключи или открытые ключи шифрования, используемые для транспортировки или хранения других ключей, например в протоколах транспорти ровки ключей. Безопасность КШК обеспечивается уровнем МК.
Ключи шифрования данных (КШД) - ключи, которые использу ются для выполнения криптографических операций над данными пользователя (шифрование, аутентификация). Обычно это кратко временные (сеансовые) симметричные ключи. Однако и асиммет ричные секретные ключи цифровой подписи также могут рассмат риваться как кшд.
2. Инфраструктура криптосистем |
101 |
Ключи верхних уровней применяются для защиты ключей ниж 'них уровней. Это позволяет сделать атаки на схемы шифрования бо лее затруднительными (меньшим становится объем шифртекста) и снизить ущерб от возможной компрометации каждого ключа.
2. Принципы «временного» разделения ключей. Криптапериод ключа - это период времени, в течение которого
ключ остается действительным для санкционированного использо вания в системе. Криптопериод ограничивает использование ключей на фиксированный период, после которого они должны быть заме
нены.
Введение криптопериода ключей может служить следующим
целям:
ограничению информации, связанной с определенным ключом, доступной для криптоанализа противником; ограничению ущерба - количества раскрытой информации -
в случае компрометации ключа;
ограничению использования определенной технологии (напри мер, лицензионного программного обеспечения) в пределах оце
ночного времени жизненного цикла;
ограничению времени, доступного для криптоанапитика против
ника с МОЩными вычислительными ресурсами.
Введение криптопериодов влечет за собой (довольно условное) подразделение всех ключей криптосистемы по временному признаку
на долговременные и кратковременные.
Долговременные ключи (long-term keys), к которым относятся, как правило, мастер-ключи, а часто также КШК и другие ключи, способствующие обмену ключами, защищают кратковременные ключи. Долговременные ключи типичны для прикладных программ, требующих хранения данных в течение более или менее длительно
го промежутка времени.
Кратковременные ключи (short-term keys) - это ключи, вырабо танные посредством протоколов обмена ключами или транспорти ровки ключей (что будет рассмотрено в разд. 2.2), которые исполь зуются часто как КШД или сеансовые ключи для одного единственного сеанса связи между абонентами криптосистемы. Та
кие ключи типичны для коммуникационных прикладных программ.
102Запечкиков С. В. Криптографические протоколы 11 и'С примененив
спонятием криптопериода ключа связана еще одна тонкость. Понятие время жизни ключа следует отличать от понятия время га
рантированной защиты. Первое означает предполагаемый период использования ключа законным владельцем, второе - расчетное время, которое ключ будет противостоять атакам криптоаналитика, Это не время, затрачиваемое противником на криптоанализ, а время
до того момента, когда криптоанализ станет реально возможным с учетом быстро возрастающей вычислительной мощности современ ных средств вычислительной техники.
Выбор ключей и организация ключевой системы в соответствии с принципами «функционального» и «временного» разделения клю чей формируют структуру ключевой системы, Т. е. ее строение, взаиморасположение и связь ее составных ключей - криптографиче ских ключей.
2.1.5. Методы распространения открытых ключей
В последнее время преимущественное распространение получи ли такие средства и системы защиты информации, в которых веду щую роль играют методы криптографической защиты информации,
основанные на асимметричных криптосистемах, а симметричные
играют по отношению к ним подчиненную роль и используются как
необходимое средство в тех случаях, когда асимметричные методы не удовлетворяют требованиям высокой производительности крип тосистемы. Примером такого подхода являются, в частности, вирту альные частные сети, банковские системы для выполнения финансо вых транзакций. В связи с этим ведущую роль приобретает именно
организация управления ключами асимметричных криптосистем.
Она, в свою очередь, включает две подзадачи: управление частными
секретными ключами участников и управление их открытыми клю
чами.
Задача управления секретными ключами здесь проще, чем в
симметричных криптосистемах, так как секретные ключи никогда не
выходят за пределы собственности их владельцев: нет необходимо сти передавать их по каким-либо каналам связи, распространять среди других участников. Оставшиеся задачи генерации, надежного хранения и распространения секретных ключей участниками асим
метричных криптосистем вполне решаемы традиционными средст-
2. Инфраструктура криптосистем |
103 |
вами, хорошо отработанными в процессе развития симметричных
криптосистем.
Как отмечалось выше, наиболее сложным для обеспечения безо пасности открытых ключей является этап распространения их среди участников криптосистемы. Известен целый ряд методов решения этой задачи.
1. Передача открытого ключа через доверенный канал связи, обеспечивающий секретность, целостность и аутентичность.
2.Прямой доступ субъектов в доверенную базу данных (файл, директорию).
3.Использование доверенного сервера в режиме реального вре
мени.
4.Использование сервера в режиме отложенного доступа и ме тода сертификации открытых ключей.
5.Использование криптосистем, неявно гарантирующих аутентичность открытых ключей, в том числе:
а) системы, основанные на идентификаторах; б) системы с неявно сертифицированными открытыми ключами
(например, схемы Gunther и Girault).
Среди всех перечисленныхметодов преобладающимна пракгике является метод сертификации открытых ключей. Остальные в силу
многочисленных причин находят лишь ограниченное применение.
2.1.6. Метод сертификации открытых ключей. Инфраструктура открытых ключей
Задача управления открытыми ключами является новой по срав
нению с задачами, возникавшими в симметричных криптосистемах,
и требует своих особых подходов. Из-за необходимости ее решения возникло отдельное научно-практическое направление прикладной криптографии, а сама идея решения этой задачи выразилась в созда нии специальной инфраструктуры в рамках криптосистемы, полу чившей наименование инфраструктуры открытых ключей (что является дословным переводом английского термина Public Кеу
lnfrastructure - РК/).
Инфраструктура открытых ключей (ИОК) - это универсальная концепция организованной поддержки криптографических средств
защиты информации в крупномасштабных информационных систе-
104 Запечников С. В. Криптографнческие протоколы и их примененив
мах в соответствии с принятыми в них политиками безопасности, которая реализует управление криптографическими ключами на всех этапах их жизненного цикла, обеспечивая взаимодействие всех средств защиты распределенной системы.
Логически МОК объединяет механизмы, субъекты, правила и взаимосвязи, которые необходимы для доступа к криптографиче ским ключам и для ассоциирования открытых ключей со своими
владельцами.
Физически МОК состоит из программ, форматов данных, комму никационных протоколов, политик и процедур, требуемых для ис
пользования в организации криптосистем с открытым ключом.
ИОК может быть интегрирована со всеми основными операци онными системами (ОС), сетевым ПО и основными прикладными программами (ПП). Чтобы использовать сервисы, предоставляемые МОК, в прикладных программах, они должны быть адаптированы или должны быть разработаны новые прикладные программы.
Важно иметь ввиду) что создание инфраструктуры открытых ключей имеет целью комплексную поддержку всего жизненного цикла открытых криптографических ключей в целом, а не только каких-либо отдельных его фаз, например распространения ключей (хотя последняя задача и является технически наиболее сложной).
Международные организации, занимающиеся стандартизацией информационных технологий, разработали рядмоделей ИОХ, из ко торых наиболее известными и распространенными являются модели
SPKI, РК1Х и APKI. |
. |
Модель SРЮ (Simple Public Кеу Infrastructure) - наиболее про
стая модель МОК, разработанная Международной инженерной орга низацией по сети Интернет (IETF). Проект SPKI направлен на соз дание простой, минимально необходимой криптографической ИН фраструктуры и представлен двумя документами серии RFC
(Request for Comments):
RFC 2692 - «SPКI Requirements»; RFC 2693 - «SРЮ Certificate Theory».
Модель pКJ){ (Public Кеу Infrastructure for Х.509) о~еспечивает
существенно более широкую функциональность и основана на стан дарте Международного телекоммуникационного союза ITU Х.509. Ее составляют несколько уже утвержденных стандартов RFC и по-
2. Инфраструктура криптосистем |
105 |
рядка 20 проектов (draft) стандартов RFC. К утвержденным стандар там относятся:
RFC 2459 - «Intemet Х.509 Public Кеу Infrastructure Certificate and CRL»;
RFC 2510 - «Internet Х.509 Public Кеу Infrastructure Certificate Management ProtocoIs»;
RFC 2511 - «Intemet Х.509 Certificate Request Message Еоппаг»; RFC 2527 - «Internet Х.509 Public Кеу Infrastructure Certificate
Policy and Certification Practices Fгаmеwогk»;
RFC 2528 - «Intemet Х.509 Public Кеу Infrastгucture Representation of Кеу Exchange AIgorithm (КЕА) Keys in Internet Х.509 Public Кеу Iпfrаstгuсtш"е Certificates»;
RFC 2559 - «Intemet Х.509 Public Кеу Infrastructure Operational Protocols - LDАРvЪ>;
RFC 2560 - «Intemet Х.509 Public Кеу Infrastructure Опliпе Certificate Status ProtocolOCSP»;
RFC 2585 - «Internet Х.509 PubIic Кеу Infrastructure Operational Protocols - FГP and Н'П'Р»;
RFC 2559 - «Intemet Х.509 Public Кеу Infrastmcture LDAPv2 Schema».
В настоящее время именно модель PKIX претендует стать стан дартом ИОК не только в сети Интернет, но и вообще в любых сетях, построенных на базе коммуникационной архитектуры TCP/IP.
Элементы технологии ИОК реализуются множеством произво дителей программного обеспечения, включая такие известные фир мы, как 1ВМ, RSA, Entrust Technologies и др. На уровне отдельной организации, систем документооборотамежду организациямиили в пределах одной отрасли эта технологияуже может быть реализована имеющимисяпрограммнымисредствами. На государственномуров не в России реализация ИОК - это, по-видимому, вопрос более или менее недалекого будущего: по крайней мере такую перспективу от крывает принятый в январе 2002 г. Федеральный закон РФ от 10 января 2002 г. NQ l-ФЗ «Об электронной цифровой подписи», В Российской Федерации он является основным документом, регу лирующим правовые аспекты деятельности, связанной с задачами управления ключами и функционированием удостоверяющих цен тров. На глобальном, общемировом уровне работы по стандартиза-
106 Запечников С. В. Криптографические протоколы и их пршteuеuuе
цИИ ИОК на базе сети Intemet ведутся рядом международныхорга низаций.
Рассмотрим вкратце основное содержаниеметода сертифика ции открытыхЮ110чеЙ.
Пусть имеется криптосистема,включающаябольшое число уча стников (рис. 2.2). Среди участников криптосистемы выделяется один, специальный, которому доверяют все остальные. Он получает названиеудостоверяющий центр, или центр сертификации ключей, или агентство сертификации (Certification Authority - СА). Его функции может выполнять, например, администратор системы, ос нащенный соответствующим аппаратным и программным обеспече нием (сервер регистрации и сертификации ключей). Все остальные участники являются обычными, «рядовыми» абонентами криптоси
стемы.
Участники. криптасистемы
(S"" P.J
~
Храншшще сертификатов Участники. криптосистемы
Рис. 2.2. Процессы получения и использования сертификатов
участниками криптосистемы
2. Инфраструктура криптасистем |
107 |
При введении в систему каждого из этих участников - возьмем для примера участника А - он должен пройти процедуру регистра ции в криптосистеме (что соответствует первой фазе жизненного цикла его криптографического ключа). Для этого он контактирует с удостоверяющим центром, чтобы зарегистрировать свой открытый ключ и получить от него так называемый сертификат своего от крытого ключа. Удостоверяющий центр должен проверить пред ставленные ему учетные данные, а также (что очень важно!) знание
секретного ключа, соответствующего представленному для регист рации открытому ключу. Решить эту задачу можно различными спо собами: в самом простом случае удостоверяющий центр может по просить А зашифровать на своем секретном ключе текст заданного формата и проверить правильность его расшифрования при помощи
представленного открытого ключа, а можно воспользоваться прото
колом доказательства знания с нулевым разглашением знания.
Сертификат открытого ключа - специальная структура дан ных, состоящая из полей данных и поля подписи. Поле данных со держит как минимум какие-либо признаки абонента (идентифика тор, атрибуты) и его открытый ключ. Поле подписи - это цифровая
подпись удостоверяющего центра под полем данных, логически свя зывающая признаки абонента с его открытым ключом.
Все абоненты, заинтересованные в связи с абонентом А, получа ют впоследствии его сертификат либо путем обмена с абонентом А, либо извлекая его из открытого общедоступного справочника, кото рый заводится в криптосистеме. Сертификат, таким образом, являет
ся средством для хранения, распространения и передачи через не
безопасные каналы связи открытых ключей без опасения их необна
ружимого изменения.
Различают две формы сертификатов открытых ключей: иденти фикационные и атрибутные.
В идентификационном сертификате обязательно присутствует идентификатор субъекта - владельца ключа, по которому можно од нозначно установить его личность. Основным стандартом по иден тификационным сертификатам является стандарт Международного телекоммуникационного союза ПU Х.509. В соответствии со стан
дартом Х.509 сертификат имеет следующий формат (рис. 2.3).
108 Запечников С. В. Криптографическиепротоколы 11 их примененне .
--
Верспя сертификата
Серийный номер сертпфпкага
Пдентификагор алгоритма цифровой подпнсп,
используемого удостоверяющпм центром
ИМЯ удостоверяющего центра (днректорнальное ИМЯ по стандарту x.soo)
Перпод действия сершфнката
Имя владельца открытого ключа (цирекгорпальное ИАШ по егандарту Х. 500)
Информация об открытом ключе владельца:
•
•
цдентпфпкатор апгоргпма;
значение ОТКРЬПQГQ КШОЧ:1.
Унпкальный пденгификатор удостоверяющего центра, выпустившего сертпфпкат (у2)
Уникальный идентификатор владельца открытого ключа ("..2)
Поле расшпренпя (\'3): содержанце не определено
Цифроваяподппеь удостоверяющего центра
под всеми предыдущпмп по пявш
Рис. 2.3. Формат сертификата открытого ключа 110 стандарту тз Х.509
Сертификат состоит из двух полей: поля данных и поля подписи. Поле данных имеет формат, описанный в стандарте. Поле подписи содержит цифровую подпись удостоверяющего центра под полем данных. Существует две версии этого стандарта, которые принято обозначать Х.509у2 и Х.509у3. Различие между ними заключается в том, ЧТО в версии 2 определены поля «Уникальный идентификатор удостоверяющего центра, выпустившего сертификат» и «Уникаль ный идентификатор владельца открытого ключа», а в версии 3 стан
дарта эти поля исключены, но предусмотрено наличие в поле дан
ных дополнительного поля расширения, содержание которого не определено: оно может специфицироваться другими стандартами, зависеть от области применения информационной системы и т. п.
Самыми разработанными и широко применяемыии на практике логическими моделями ИОК на базе идентификационных сертифи
катов являются следующие: