125 Кібербезпека / 5 Курс / 5.2_Методи побудови і аналізу криптосистем / Література / пiдручник
.pdf
J, Базовыекриптографическиепротоколы |
79 |
Схема проверяемого разделения секрета Педерсена. Числа p,QJg,K определяются так же, как и в предыдущей схеме; не z; -
открытое общедоступное число, но такое, что d Е Zq' где gd =
=h (mod р) неизвестно.
Чтобы распределить секрет К, дилер выбирает два многочлена
8(),у(-) |
степени t-1 над полем Z'1 с коэффициентом 80 =к и слу- |
|||
чайными коэффициентами |
{5/1! }IIIE{I" ..,t-l} |
И |
{Уm}me{0.....t-1} соответст |
|
венно, т. е. |
|
|
|
|
|
8(z)=8 0 +81z+52z |
2 +... +5r_1Z H |
Е Zq [z], 80 = К, |
|
y(z) =уо +Y1z +Y2Z2 +... +Yt-\zt-l Е Zq [z1, |
Уа - случайное число, |
|||
и распространяет всем участникам схемы Р;, i =1,п величину |
||||
ЕIn =g 5,,, |
• hу", (mod р), т =О,t |
-1 . Затем дилер D секретно пересылает |
||
всем Pj, i |
= 1,12 их доли {ир wJ,где И; == 8(i), Wj =уи). |
|||
Проверочное уравнение для участника Pj :
" |
.. 2 |
.1-1 |
gIl; lz'V; = ( Ео) • ( Е,)' . (Е2)' |
••• ( е., )' (mod р) . |
|
При положительном результате проверки будет выполнено ра
венство
(g50 11уо ). (gБ1/ZVIУ...(gБ1-I/1ун уl-l =gSо+51;+...+Бнr~-1 .11yu+yji+..·+Yt-1i -1 =
= gБ(i) '!1.Y(i) (mod р).
Схема Педерсена обеспечивает теоретико-информационную секретность, так как даже если вычислительно неограниченный про- тивник, видящий g к/1 Уо (mod р) умеет решать задачу дискретного
логарифмирования и может вычислить К + dyo ( modq), это все рав но не дает ему никакой информации о секрете К. Таким образом, схема Педерсена не позволяет противнику вычислить g к , тогда как схема Фельдмана обладает лишь теоретико-сложностной стойко стью относительно знания противником g к .
80Запечников С. 8. Криптографические протоколы и 'IX примененив
1.8.Технические средства поддержки
. криптографических протоколов
Большинство криптографических протоколов требует для своей реализации определенных технических средств. Можно выделить несколько основных целей, для которых это необходимо:
защищенное хранение секретных данных; аппаратная реализация криптографических алгоритмов или фраг
ментов протоколов;
•средства аутентификации пользователей.
Существует большая номенклатура технических средств под держки криптографических протоколов:
криптографические сопроцессоры;
•специализированные платы с реализацией криптографических функций;
•пластиковые карты;
•портативные генераторы паролей; устройства для шифрования аналоговых сигналов и др.
Все перечисленные устройства реализуются, как правило, на ба зе интегральных микроэлектронных схем. При необходимости они могут быть реализованы в защищенном исполнении. Как оценить степень их защиты? Специальные российские и международные
стандарты по оценке степени защищенности аппаратуры на сего
дняшний день отсутствуют, за исключением стандарта ISO/IEC 15408 - «Общие критерии» (ГОСТ р ИСО/МЭК 15408), определяю щего общую методологию оценки защищенности продуктов и сис тем информационных технологий. Упомянутый стандарт не содер жит никакой конкретной методологии оценки ни криптографиче ских средств защиты информации, ни аппаратных блоков. Других международных или российских стандартов этого профиля в на стоящий момент нет.
В связи с отсутствием других стандартов целесообразно в каче стве образца возможной методики оценки защищенности крипто графических модулей рассмотреть федеральный стандарт США
FIPS 140 - «Security Requirements for Cryptographic Modules», кото
рый является практически единственным руководством в этой об ласти. Стандарт использует ряд понятий, которые приведены ниже.
J. Базовые криптографическиепротоколы |
81 |
Криптографический модуль (криптомодуль) - это совокупность аппаратного, программного и микропрограммного обеспечения или некоторая их комбинация, которая реализует криптографическую логику или процессы защиты (включая криптографические алгорит мы или генерацию ключей) и содержится внутри некоторого физи ческого объема.
Политика безопасности криптографического модуля - точная спецификация правил безопасности, при которых будет функциони ровать криптографический модуль, включая правила, вытекающие из требований стандарта FIPS 140, и дополнительные правила, нала гаемые производителем оборудования.
Интерфейс криптомодуля - логическая часть криптографиче ского модуля, которая специфицирует множество точек входа или выхода, обеспечивающих доступ к модулю, включая потоки инфор мации или физический доступ.
Критический параметр безопасности - это информация, свя занная с безопасностью, которая появляется в открытом тексте либо в другой незащищенной форме, разглашение или модификация ко торой может компрометировать защиту криптомодуля или защиту информации, обрабатываемой модулем. Это могут быть секретные криптографические ключи либо данные, связанные с аутентифика цией (пароли, РIN-коды).
В стандарте изложен определенный набор критериев оценки, объединенных в следующие группы:
требования к спецификации криптографического модуля; требования к спецификации интерфейсов криптомодуля; роли, сервисы и способы аутентификации субъектов информа ционной системы криптомодулем;
•требования по описанию криптомодуля на базе модели конечно
го автомата (Finite State Machine);
требования по физической безопасности, в том числе по безо пасности одночиповых и многочиповых криптомодулей и требо вания к защите и тестированию отклонений параметров внешней
среды;
•требования по безопасности операционной системы;
•система управления криптографическими ключами, включая ге нерацию случайных и псевдослучайных чисел и криптографиче-
82 |
Запечкиков С. В. Криптографические протоколы и ихпримененив |
ских ключей) обмен ключами и распределение ключей, ввод вывод ключей, хранение и уничтожение ключей; требования к уровню электромагнитных излучений и наводок; требования по самотестированию устройства; гарантии, принятые в процессе конструирования устройства; способы предотвращения иных атак.
В соответствии с этим набором критериев выделяют четыре сте пени защищенности устройств:
1. Класс «SеqJ1гity Levell» - устройства без защиты. Это самый низкий уровень защиты: предполагается только реализация в уст ройстве некоторых алгоритмов шифрования без всяких дополни тельных мер защиты, предотвращающих несанкционированный дос туп к криптографическим алгоритмам либо критическим парамет рам безопасности. Таким устройством может быть плата
персонального компьютера, пластиковая карта и др.
2. Класс «Бесипсу Leve! 2» - устройства, свидетельствующие о взломе. На устройстве имеются покрытия и(или) печати, свидетель
ствующие о его вскрытии или попытке вскрытия, ударопрочные
замки. Допускается программная реализация алгоритмов в много
пользовательских средах с разделением времени) где применяются операционные системы) соответствующие функциональным требо ваниям «Общих критериев» по классу защищенности EAL2, с опи санным профилем защиты функций контроля доступа и аутентифи кацией по ролям,
3. Класс «Бесипзу Level 3» - устройства, предотвращающие взлом. Устройство активно пытается предотвратить доступ к крити ческим параметрам безопасности внутри криптомодуля (посредст вом обнуления данных при вскрытии корпуса). В устройстве ис пользуется аутентификация, основанная на идентификаторах субъ екта доступа. Порты ввода-вывода критических параметров безопасности должны быть физически отделены от других портов приема-передачи данных) ввод-вывод осуществляется в зашифро ванном виде или через процедуры разделения знания частей секрета. Допускается программная реализация алгоритмов в многопользова
тельских средах, где применяются операционные системы, соответ
ствующие функциональным требованиям «Общих критериев» по
1. Базовые криптографические протоколы |
83 |
классу защищенности EAL3, с дополнительными функциональными требованиями по образованию доверенных путей передачи данных и реализации модели политики безопасности. Выполнение последнего набора требований предотвращает смешение открытых текстов с шифртекстами и предотвращает неумышленную передачу крипто графических ключей в открытом виде.
4. Класс «Security Level 4» - устройства, уничтожающие дан ные при взломе. Устройства этого класса обеспечивают высший уро вень защиты: физическая защита реализует «конверт» вокруг крип томодуля С возможностью обнаружить проникновение в модуль, предпринятое любым способом (для физически незащищенных сред). Устройства либо обнаруживают флуктуации параметров внешней среды и обнуляют критические параметры безопасности, либо проводят строгое тестирование сбоев среды для того, чтобы обеспечить гарантии того, что флуктуации за пределами нормально
го режима не могут повлиять на компрометацию защиты модуля.
При программной реализации в многопользовательских средах с разделением времени должны удовлетворяться все требования для класса «Security Level 3», но операционная система должна быть оценена по классу EAL4 с дополнительными требованиями форма лизации модели политики безопасности, поддерживаемой устройст вом, анализа побочных каналов утечки информации и описанием модульной структуры устройства.
В США существует также программа оценки криптографиче ских модулей в соответствии с этим стандартом - CMVP (Cryptographic Module Validatiol1 Рпоятт}. Система оценки криптографи ческих модулей в основных чертах аналогична системе оценки про дуктов и систем информационных технологий по «Общим
критериям», в том числе повторяются все основные ее элементы: ак кредитованные лаборатории, процесс сертификации средств защиты
и т. д.
При реализации криптосистем очень широкое распространение получил такой вид защищенных устройств) как пластиковые кар ты. Классификация пластиковых карт приведена на рис. 1.4.
84 Запечников С. В. Криптографическиепротоколы 11их примененив
г |
|
|
Пластиковые карты |
|
I |
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
~ |
Карты с маг- |
|
|
|
|
|
|
|
|
|
|
|
|
|
нитной полосой |
|
|
|
|
|
|
|
-- |
|
|
||||
|
|
|
|
|
|
|
I |
|
Гибридные |
|||||
|
|
|
|
|
|
|
I |
|
карты |
|||||
|
|
|
|
|
|
|
|
|
|
|||||
~ |
ПолупрОБОДНИ- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
~ |
|
|
|||||
|
КОБые карты |
|
|
~ |
|
|
Карты с погиче- |
|||||||
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
ской схемой |
|||||||
|
|
|
|
|
Карты с памятью |
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
~ |
Карты-счетчики |
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
lr |
|
Контактные |
|
|
|
|
|
||||
|
Микропроцес- |
|
|
|
|
|
~ |
КартысДВОЙНЫМ |
||||||
~ |
сорные карты |
|
|
|
|
|
интерфейсом |
|||||||
|
|
|
|
|
||||||||||
|
(смарт-карты) |
~ |
|
|
|
|
|
|
|
|
|
|||
|
|
|
Бесконтактные |
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|||||||
|
|
|
... |
|
|
+ |
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|||||
|
|
«Бпизкодейст- |
|
|
Удаленного |
|
||||||||
|
|
вующие» |
|
|
взаимодействия |
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
+ |
|
|
|
.,j.,.. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
Активные |
|
|
|
|
Пассивные |
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
- |
|
|
|
~ |
Другие виды |
|
|
|
|
|
|
|
Оrnические |
|||||
|
|
|
|
|
|
|
|
|
|
|||||
карт |
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
~ |
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
Штрих-кодовые |
|
|
~ Перфорационные |
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Рис. 1.4. Классификация пластиковых карт
Карты с магнитной полосой впервые начали использоваться в конце 60-х гг. в США в автоматах для вьщачи наличных денег. Магнитные карты имеют функции хранения данных, записи на кар ту и чтения с карты, В соответствии со стандартами IS0 магнитные
1. Базовые криптографические протоколы |
85 |
карты имеют три магнитные дорожки, на одну из которых разреше
на запись данных, другие доступны только для чтения. Основными недостатками карт с магнитной полосой являются возможность их сравнительно легкой подделки, низкая надежность, очень ограни ченная память, а также полная их пассивность, т. е. неспособность к самостоятельной обработке информации, сравнительно высокая стоимость и низкая надежность устройств чтения магнитных карт. В магнитных картах используются достаточно простые средства за
щиты от подделки: магнитные «водяные знаки» и метод «сэндви ча» - одна полоса содержит участки с различными уровнями намаг ниченности. В настоящее время магнитные карты используются в основном в системах с малоценной информацией, где подделка кар
ты или ее выход из строя по техническим причинам не нанесет
большого ущерба системе.
Следующим этапом развития пластиковых карт стало появление полупроводниковых карт. Такая карта содержит в своем составе ин
тегральную микросхему, в которой объединены как минимум два типа памяти: постоянная (RОМ) и эпектрически перепрограммируе мая (перезаписываемая) постоянная память (EEPROM), а также ло гическую схему для управления ячейками памяти. На поверхность карты выведены металлические контакты для взаимодействия с уст ройством доступа. Взаимодействие с внешней аппаратурой осуще ствляется за счет физического контакта электрических цепей карты и устройства доступа. При этом доступ к ячейкам памяти карты
осуществляется через управляющую логическую схему.
Интеллектуапьные карты (ИК), или смарт-карты, - это пла
стиковые карты со встроенным программируемым микропроцессо
ром. Геометрические параметры таких карт не отличаются от опи санных ранее типов пластиковых карт. Главное отличие ИК от пас сивных пластиковых карт заключается в способности обрабатывать хранящуюся и поступающую информацию при помощи встроенного микропроцессора. Применение микропроцессора позволило карди нально изменить роль пластиковой карты в автоматизированной
системе: микропроцессор позволил, например, осуществлять кон троль доступа к памяти ИК во время взаимодействия с автоматизи рованной системой, выполнять ряд других специфических функций,
как правило криптографического характера. ИК, кроме выполнения
86 |
Запечников С. В. Криптографические протоколы 111":: применсние |
алгоритмов, связанных с их целевым назначением (например, осу ществления финансовых транзакций), выполняют в основном крип тографические преобразования информации (схемы шифрования, цифровой подписи, аутентификации и др.). Кроме того, ИК могут дополнительно снабжаться средствами логической и даже биомет рической аутентификации владельца карты. Типовые характеристи ки современных ИК таковы: объем ROM - 2...64 Кбайт, RAМ - 4 ... 128 Кбайт, EEPROM - 2... 16 Кбайт, в них используются в основ ном 16- и 32-разрядные микропроцессоры. Существует два типа микропроцессорных ИК, различающиеся принципом взаимодейст вия с устройством считывания: контактные и бесконтактные.
Основным аппаратным устройством ИК является интегральная
микросхема, вмонтированная в пластиковую основу, находящаяся под металлическими контактными площадками. Физически инте гральная микросхема занимает лишь небольшую часть площади по верхности карты; карта имеет больший размер только из соображе ний удобства пользования ею. В основе аппаратной организации ИК лежит шинная архитектура вычислительной системы. Основные компоненты интегральной микросхемы карты - это микропроцес сор, схемы памяти, схемы ввода/вывода, схемы синхронизации, схе мы защиты, схемы инициализации (стартовые цепи) и внутренняя шина (электрическая магистраль). Интегральная микросхема карты чаще всего выполняется в виде физически защищенного от внешних воздействий модуля, на поверхность которого в особо ответствен
ных случаях может наноситься специальное оптически непрозрач
ное покрытие, не позволяющее «увидеть» внутреннюю структуру
модуля. Программное обеспечение смарт-карты включает операци онную систему карты, прикладное программное обеспечение (ПО) и идентификационную информацию.
На пластиковой карте может храниться разнообразная информа ция, имеющая отношение к ее владельцу, в том числе криптографи ческие ключи, персональные данные. На карте таюке могут аппарат но реализовываться разнообразные криптографические алгоритмы: схемы открытого шифрования, цифровой подписи, блочные и по точные шифры, хеш-функции, генераторы псевдослучайных функ ций, идентификационные примитивы. Конкретные примеры исполь зования пластиковых карт в криптографических протоколах будут
рассмотрены в последующих разделах.
J. Базовые криптографические протоколы |
87 |
Контрольные вопросы и задачи к гл. 1
1. Каковы основные свойства криптографического протокола? Приведите примеры процедур обмена сообщениями, которые явля ются криптографическими протоколами и которые ими не являются.
2. Б чем заключаются свойства полноты и корректности инте рактивного доказательства?
3. В чем отличие интерактивных систем доказательства с нуле вым разглашением знания от интерактивных систем доказательства? Сохраняется ли свойство нулевого разглашения при последователь ном и параллельном выполнении протоколов?
4. Что понимается под компрометацией криптографического протокола? Приведите примеры:
атаки по известным ключам;
словарной атаки.
5. Имеется схема открытого шифрования RSA, где d - секретный ключ участника Р; е - открытый ключ, соответствующий этому секретному ключу; п - модуль схемы шифрования. Р имеет шифр текст С. Р хочет доказать V знание секретного ключа d, но так, что бы V не узнал этот ключ и чтобы он не смог расшифровать какой либо шифртекст (в том числе и С). Как это можно сделать? (Пред ложите протокол доказательства с нулевым разглашением знания.) Вычислительные возможности Р и V в процессе обмена полиноми
ально ограничены.
6. Известна формула Андерсена определения длины пароля:
S =l:-NX'~ |
|
t 2 |
т' |
где S,- время безопасности(раскрытия)пароля(в течениеэтоговре мени пароль сохраняеттайну);
т- скорость ввода пароля, симв./мин;
х- длина пароля, симв.;
N - мощность алфавита;
L - число вводимых символов и др. знаков, необходимых для инициализации опознания (может быть больше длины пароля).
Постройте графики зависимости времени безопасности: а) PIN-кода;
б) цифроалфавитного пароля (русский алфавит).
88 |
Занечников С. В. Криптографическиепротоколы 11 '/Х применение |
ОТ ДЛИНЫ пароля при условии:
ручного ввода символов на ЮIавиатуре (Т::: 120); автоматизированного подбора паролей (Т::: 1200),
считая, что число попыток ввода пароля неограниченно, а для ввода
пароля необходимо набрать его на клавиатуре и нажать клавишу
<Enter>.
7. Проведите сравнение протоколов аутентификации, основан ных на доказательствах с нулевым разглашением знания (Фиата - Шамира, Guillou - Quisquater, Шнорра), по следующим параметрам: вычислительной сложности протокола для доказывающего и прове ряющего, количеству передаваемых байтов данных, дополнительной памяти, необходимой Р и У. Сделайте вывод о сравнительной эф фективности протоколов. (Необходимые параметры выберите само стоятельно.)
8. Как преобразовать протокол аутентификации Шнорра в схему цифровой подписи?
9.Предположим, что к данным, предназначенным для передачи
вканал связи согласно техническим условиям отправителю необхо димо применить: алгоритм блочного шифрования (шифр считать идеальным), алгоритм помехоустойчивого кодирования, алгоритм сжатия. В каком порядке следует применять эти алгоритмы и поче му? На каком этапе в случае необходимости нужно сгенерировать цифровую подпись отправителя? Имеет ли эта'задача однозначное
решение?
10. Поясните, в каких случаях для обеспечения подлинности со общений необходимо применять цифровую подпись, а в каких - хеш-функции с ключом, В чем преимущества и недостатки каждого
метода? |
, |
11. Пусть (Е! D) - |
схема симметричного шифрования, МАе - |
криптографическая хеш-функция с ключом. Пусть А и В имеют об щие ключи: К, - для шифрования, К2 - для хеш-функции. Они хотят передать сообщение т таким образом, чтобы была обеспечена сек ретность, целостность и подлинность сообщения. Им предложены следующие способы выполнения протокола:
а) М,МАСК2 (Ек, (М)); б) ЕК1 (М,МАСК2 (М));