Баричев С. Криптография без секретов

ключами именно с тем пользователем, который ему нужен. Опасность имитации в

этом случае остается.

В качестве обобщения сказанного о распределении ключей следует сказать

следующее. Задача управления ключами сводится к поиску такого протокола

распределения ключей, который обеспечивал бы:

возможность отказа от центра распределения ключей;

взаимное подтверждение подлинности участников сеанса;

подтверждение достоверности сеанса механизмом запроса-ответа,

использование для этого программных или аппаратных средств;

использование при обмене ключами минимального числа сообщений.

Проблемы и перспективы криптографических систем

Шифрование больших сообщений и потоков данных

Эта проблема появилась сравнительно недавно с появлением средств

мультимедиа и сетей с высокой пропускной способностью, обеспечивающих

передачу мультимедийных данных.

До сих пор говорилось о защите сообщений. При этом под ними

подразумевалась скорее некоторая текстовая или символическая информация.

Однако в современных ИС и информационных системах начинают применяться

технологии, которые требуют передачи существенно больших объемов данных.

Среди таких технологий:

факсимильная, видео и речевая связь;

голосовая почта;

системы видеоконференций.

Объем передаваемой информации разных типов можно представить на

условной диаграмме.

|Объем | | | | | | | | | |

|информации | | | | | | | | | |

| | | | | | | | | | |

| | | | | | | | | | |

| | | | | | | | | | |

| | | | | | | | | | |

| | | | | | | | | | |

Так как передача оцифрованной звуковой, графической и видеоинформации

во многих случаях требует конфиденциальности, то возникает проблема

шифрования огромных информационных массивов. Для интерактивных систем типа

телеконференций, ведения аудио или видеосвязи, такое шифрование должно

осуществляться в реальном масштабе времени и по возможности быть

“прозрачным” для пользователей.

Это немыслимо без использования современных технологий шифрования.

Наиболее распространенным является потоковое шифрование данных. Если в

описанных ранее криптосистемах предполагалось, что на входе имеется

некоторое конечное сообщение, к которому и применяется криптографический

алгоритм, то в системах с потоковым шифрованием принцип другой.

Система защиты не ждет, когда закончится передаваемое сообщение, а

сразу же осуществляет его шифрование и передачу.

Потоковое шифрование данных

Наиболее очевидным является побитовое сложение входящей

последовательности (сообщения) с некоторым бесконечным или периодическим

ключом, получаемым например от генератора ПСП[18]. Примером стандарта

потокового шифрования является RC4, разработанный Ривестом. Однако,

технические подробности этого алгоритма держатся в секрете[19].

Другим, иногда более эффективным методом потокового шифрования является

шифрование блоками. Т.е. накапливается фиксированный объем информации

(блок), а затем преобразованный некоторым криптографическим методом

передается в канал связи.

Использование “блуждающих ключей”

Как было неоднократно отмечено, проблема распределения ключей является

наиболее острой в крупных информационных системах. Отчасти эта проблема

решается (а точнее снимается) за счет использования открытых ключей. Но

наиболее надежные криптосистемы с открытым ключом типа RSA достаточно

трудоемки, а для шифрования мультимедийных данных и вовсе не пригодны.

Оригинальные решения проблемы “ блуждающих ключей” активно

разрабатываются специалистами. Эти системы являются некоторым компромиссом

между системами с открытыми ключами и обычными алгоритмами, для которых

требуется наличие одного и того же ключа у отправителя и получателя.

Идея метода достаточно проста.

После того, как ключ использован в одном сеансе по некоторому правилу

он сменяется другим. Это правило должно быть известно и отправителю, и

получателю. Зная правило, после получения очередного сообщения получатель

тоже меняет ключ. Если правило смены ключей аккуратно соблюдается и

отправителем и получателем, то в каждый момент времени они имеют одинаковый

ключ. Постоянная смена ключа затрудняет раскрытие информации

злоумышленником.

Основная задача в реализации этого метода - выбор эффективного правила

смены ключей. Наиболее простой путь - генерация случайного списка ключей.

Смена ключей осуществляется в порядке списка. Однако, очевидно список

придется каким-то образом передавать.

Другой вариант - использование математических алгоритмов, основанных на

так называемых перебирающих последовательностях. На множестве ключей путем

одной и той же операции над элементом получается другой элемент.

Последовательность этих операций позволяет переходить от одного элемента к

другому, пока не будет перебрано все множество.

Наиболее доступным является использование полей Галуа. За счет

возведения в степень порождающего элемента можно последовательно переходить

от одного числа к другому. Эти числа принимаются в качестве ключей.

Ключевой информацией в данном случае является исходный элемент, который

перед началом связи должен быть известен и отправителю и получателю.

Надежность таких методов должна быть обеспечена с учетом известности

злоумышленнику используемого правила смены ключей.

Интересной и перспективной задачей является реализация метода

“блуждающих ключей” не для двух абонентов, а для достаточно большой сети,

когда сообщения пересылаются между всеми участниками.

Шифрование, кодирование и сжатие информации

Эти три вида преобразования информации используются в разных целях, что

можно представить в таблице.

|Вид преобразования |Цель |Изменение объема |

| | |информации после |

| | |преобразования. |

|Шифрование |передача конфиденциальной |обычно не изменяется,|

| |информации; |увеличивается лишь в |

| |обеспечение аутентификации и|цифровых сигнатурах и|

| |защиты от преднамеренных |подписях |

| |изменений; | |

|Помехоустойчивое |защита от искажения помехами|увеличивается |

|кодирование |в каналах связи | |

|Сжатие (компрессия) |сокращение объема |уменьшается |

| |передаваемых или хранимых | |

| |данных | |

Как видно эти три вида преобразования информации отчасти дополняют друг

друга и их комплексное использование поможет эффективно использовать каналы

связи для надежной защиты предаваемой информации.

Особенно интересным представляется возможность объединения методов

кодирования и шифрования. Можно утверждать, что по сути кодирование - это

элементарное шифрование, а шифрование - это элементарное помехоустойчивое

кодирование.

Другая возможность - комбинирование алгоритмов шифрования и сжатия

информации. Задача сжатия состоит в том, чтобы преобразовать сообщение в

пределах одного и того же алфавита таким образом, чтобы его длина

(количество букв алфавита) стала меньше, но при этом сообщение можно было

восстановить без использования какой-то дополнительной информации. Наиболее

популярные алгоритмы сжатия - RLE, коды Хаффмана, алгоритм Лемпеля-Зива.

Для сжатия графической и видеоинформации используются алгоритмы JPEG и

MPEG.

Главное достоинство алгоритмов сжатия с точки зрения криптографии

состоит в том, что они изменяют статистику входного текста в сторону ее

выравнивания[20]. Так, в обычном тексте, сжатом с помощью эффективного

алгоритма все символы имеют одинаковые частотные характеристики и даже

использование простых системы шифрования сделают текст недоступным для

криптоанализа.

Разработка и реализация таких универсальных методов - перспектива

современных информационных систем[21].

Реализация криптографических методов

Проблема реализации методов защиты информации имеет два аспекта:

разработку средств, реализующих криптографические алгоритмы,

методику использования этих средств.

Каждый из рассмотренных криптографических методов могут быть

реализованы либо программным, либо аппаратным способом.

Возможность программной реализации обуславливается тем, что все методы

криптографического преобразования формальны и могут быть представлены в

виде конечной алгоритмической процедуры.

При аппаратной реализации все процедуры шифрования и дешифрования

выполняются специальными электронными схемами. Наибольшее распространение

получили модули, реализующие комбинированные методы.

При этом непременным компонентов всех аппаратно реализуемых методов

является гаммирование. Это объясняется тем, что метод гаммирования удачно

сочетает в себе высокую криптостойкость и простоту реализации.

Наиболее часто в качестве генератора используется широко известный

регистр сдвига с обратными связями (линейными или нелинейными). Минимальный

период порождаемой последовательности равен 2N-1 бит. Для повышения

качества генерируемой последовательности можно предусмотреть специальный

блок управления работой регистра сдвига. Такое управление может

заключаться, например, в том, что после шифрования определенного объема

информации содержимое регистра сдвига циклически изменяется.

Другая возможность улучшения качества гаммирования заключается в

использовании нелинейных обратных связей. При этом улучшение достигается не

за счет увеличения длины гаммы, а за счет усложнения закона ее

формирования, что существенно усложняет криптоанализ.

Большинство зарубежных серийных средств шифрования основано на

американском стандарте DES. Отечественные же разработки, такие как,

например, устройство КРИПТОН, использует отечественный стандарт шифрования.

Основным достоинством программных методов реализации защиты является их

гибкость, т.е. возможность быстрого изменения алгоритмов шифрования.

Основным же недостатком программной реализации является существенно

меньшее быстродействие по сравнению с аппаратными средствами (примерно в 10

раз).

В последнее время стали появляться комбинированные средства шифрования,

так называемые программно-аппаратные средства. В этом случае в компьютере

используется своеобразный “криптографический сопроцессор”[22] -

вычислительное устройство, ориентированное на выполнение криптографических

операций (сложение по модулю, сдвиг и т.д.). Меняя программное обеспечения

для такого устройства, можно выбирать тот или иной метод шифрования. Такой

метод объединяет в себе достоинства программных и аппаратных методов.

Таким образом, выбор типа реализации криптозащиты для конкретной ИС в

существенной мере зависит от ее особенностей и должен опираться на

всесторонний анализ требований, предъявляемых к системе защиты информации.

Заключение

В книге сделан обзор наиболее распространенных в настоящее время

методов криптографической защиты информации.

Выбор для конкретных ИС должен быть основан на глубоком анализе слабых

и сильных сторон тех или иных методов защиты. Обоснованный выбор той или

иной системы защиты в общем-то должен опираться на какие-то критерии

эффективности. К сожалению, до сих пор не разработаны подходящие методики

оценки эффективности криптографических систем.

Наиболее простой критерий такой эффективности - вероятность раскрытия

ключа или мощность множества ключей (М). По сути это то же самое, что и

криптостойкость. Для ее численной оценки можно использовать также и

сложность раскрытия шифра путем перебора всех ключей.

Однако, этот критерий не учитывает других важных требований к

криптосистемам:

невозможность раскрытия или осмысленной модификации информации на основе

анализа ее структуры,

совершенство используемых протоколов защиты,

минимальный объем используемой ключевой информации,

минимальная сложность реализации (в количестве машинных операций), ее

стоимость,

высокая оперативность.

Желательно конечно использование некоторых интегральных показателей,

учитывающих указанные факторы.

Для учета стоимости, трудоемкости и объема ключевой информации можно

использовать удельные показатели - отношение указанных параметров к

мощности множества ключей шифра.

Часто более эффективным при выборе и оценке криптографической системы

является использование экспертных оценок и имитационное моделирование.

В любом случае выбранный комплекс криптографических методов должен

сочетать как удобство, гибкость и оперативность использования, так и

надежную защиту от злоумышленников циркулирующей в ИС информации.

Содержание

От автора 1

Введение 2

Терминология 3

Требования к криптосистемам 4

Симметричные криптосистемы 6

Перестановки 7

Системы подстановок 7

Гаммирование 13

Датчики ПСЧ 13

Стандарт шифрования данных ГОСТ 28147-89 15

Системы с открытым ключом 19

Алгоритм RSA 20

Криптосистема Эль-Гамаля 24

Криптосистемы на основе эллиптических уравнений 25

Электронная подпись 26

Электронная подпись на основе алгоритма RSA 27

Цифровая сигнатура 29

Управление ключами 32

Генерация ключей 32

Накопление ключей 32

Распределение ключей 33

Проблемы и перспективы криптографических систем 36

Шифрование больших сообщений и потоков данных 36

Использование “блуждающих ключей” 37

Шифрование, кодирование и сжатие информации 39

Реализация криптографических методов 40

Заключение 42

-----------------------

[1] IMHO

[2] Здесь и далее m - объем используемого алфавита.

[3] n-граммой называется последовательность из n символов алфавита.

[4] К вопросу о том, существует ил не существует абсолютно надежная

криптосистема.

[5] Материал предоставлен Ю. Г. Писаревым

[6] ГОСТ 28147-89 закрыт грифом ДСП поэтому дальнейшее изложение сделано по

изданию Спесивцев А.В. и др. «Защита информации в персональных ЭВМ», М.,

Радио и связь, 1992.

[7] В настоящее время он возглавляет компанию RSA Data Security

[8] Например, в нашумевшей программе PGP

[9] В браузерах Интернет от Microsoft и Netscape

[10] В теории чисел показано, что вероятность того, что число порядка n

будет простым составляет 1/ln n

[11] Данные оценки сделаны с учетом развития вычислительной техники вплоть

до 2004 года.

[12] Однако общего мнения по поводу предпочтительности того или иного

метода нет.

[13] В РФ принятые стандарты цифровой подписи Р38 и Р39, также как и ГОСТ

28147-89 имеют гриф ДСП

[14] При этом разделяют слабую и сильную однозначность. При слабой

однозначности для заданного значения T практически невозможно отыскать

другой текст Т’, для которого H(k, T) = H(k, T’). При сильной однозначности

для любого текста T невозможно найти другой подходящий текст, имеющий то же

значение хэш-функции.

[15] Факт теории вероятностей: в группе из 23 человек с вероятностью больше

0.5 два и более человека родились в одно и то же число.

[16] В отличие от хэш-функции - этот класс преобразований предполагает

вычисление для аргументов фиксированной длины также фиксированных по длине

значений.

[17] Государственная программа США, предполагающая централизованное

хранение всех ключей, используемых организациями а частными лицами.

[18] Отчасти это метод похож на гаммирование и информацию о способах

генерации ПСП можно почерпнуть из соответствующей главы. Но важным отличием

потокового шифрования является то, что шифрованию подвергаются не символы

сообщения, а отдельные биты.

[19] Данный алгоритм является собственностью RSA Data Security, и на его

экспорт правительством США наложены серьезные ограничения.

[20] Принципиально важно с точки зрения криптостойкости, чтобы сначала

осуществлялось сжатие информации а потом шифрование, но не наоборот.

[21] Так, в криптографическом пакете PGP перед шифрованием информации

происходит ее сжатие по алгоритму, лицензированному у PKWARE.

[22] А то и просто специализированный шифровальный микропроцессор как,

например, Clipper/

-----------------------

Криптографическая система

исходный

текст

шифрованный

текст

КЛЮЧ

шифрованный

текст

исходный

текст

Криптографическая система

КЛЮЧ

Гаммирование

Подстановки

Симметричные

криптосистемы

Блочные шифры

Перестановки

Отправитель

Адресат

исходный

текст

шифрованный

текст

исходный

текст

Система

с открытым ключом

Система

с открытым ключом

Закрытый ключ

Открытый ключ

подделка

модификация

отказ

Пользователь В

Пользователь А

сообщение

Нарушитель

перехват

повтор

маскировка

передача

проверка

подпись

Исходный текст

Исходный текст

Исходный текст

Подпись

Исходный текст ’

Открытый ключ А

Закрытый ключ А

сообщение

сигнатура

Пользователь А

V, V'

сообщение, K'

Пользователь В

Пользователь А

Посредник С

V, V'

видео

графика

звук

текст

Пользователь А

шифрованный

поток

сообщение

(поток)

шифратор

КЛЮЧ

(ПСП)

Страницы: 1, 2, 3, 4, 5