Размещено на http://www.allbest.ru/

Московский государственный университет путей сообщения Кафедра “Экономическая информатика”

Кодирование и защита информации в документообороте

Методические указания к выполнению практических

и лабораторных работ

В.И. МОРОЗОВА, К.Э. ВРУБЛЕВСКИЙ

Москва - 2009

Морозова В.И., Врублевский К.Э. Кодирование и защита информации в документообороте. Методические указания к выполнению практических и лабораторных работ - М .: МИИТ, 2010 - 55 c.

В методических указаниях рассматриваются основные методы криптографии и стеганографии, особенности кодирования информации, используемой в документообороте предприятия. Дана краткая характеристика имеющихся на рынке готовых программных продуктов по криптографии и стеганографии. Предлагается перечень и описание некоторых программных методов по защите информации, а также задача оценки стойкости этих методов в зависимости от времени полного перебора паролей.

Приводятся задания к лабораторной и практической работам по использованию методов защиты информации и оценки их стойкости.

Методические указания предназначены для студентов специальности 080801 «Прикладная информатика (в экономике)» при изучении дисциплины «Информационная безопасность».

© Московский государственный

университет путей сообщения

(МИИТ), 2009

Содержание

• Введение
• 1. Защита документооборота в вычислительных системах
• 2. Криптографические методы защиты
• 2.1 Примеры криптографических методов защиты информации
• 2.1.1 Шифрование методом IDEA
• 2.1.2 Шифрование методом RC
• 2.1.3 Шифрование методом Джиффорда
• 2.1.4 Шифрование методом SAFER K
• 2.1.5 Криптосистема Эль-Гамаля
• 2.1.6 Шифрование методом Вернам
• 2.1.7 Шифрование методом аналитических преобразований
• 2.2 Сокрытие информации методом стеганографии
• 2.2.1 Цифровая стеганография методом LSB
• 3. Присутствующие на рынке программные продукты по защите информации
• 3.1 Программа Max File Encryption
• 3.2 Программа WinDefender
• 3.3 Программа Files Cipher
• 3.4 Программа Invisible Secrets
• 3.5 Программа Steganos Security Suite
• 4. Оценка стойкости методов защиты информации
• 5. Задание к лабораторной работе
• 6. Задание к практической работе
• Заключение
• Список литературы

Введение

Современное общество все в большей степени становится информационно-обусловленным, успех любого вида деятельности все сильней зависит от обладания определенными сведениями и от отсутствия их у конкурентов. И чем сильней проявляется указанный эффект, тем больше потенциальные убытки от злоупотреблений в информационной сфере, и тем больше потребность в защите информации.

Как передать информацию нужному адресату в тайне от других? Каждый человек в разное время и с разными целями наверняка пытался решить для себя эту практическую задачу. Выбрав подходящее решение, он, скорее всего, повторил изобретение одного из способов скрытой передачи информации, которым уже не одна тысяча лет. Размышляя над задачей тайной передачи информации, нетрудно прийти к выводу, что есть три возможности: документооборот защита криптографический шифрование

1. Создать абсолютно надежный, недоступный для других канал связи между абонентами. Однако, при современном уровне развития науки и техники сделать такой канал связи между удаленными абонентами для неоднократной передачи больших объемов информации практически нереально.

2. Использовать общедоступный канал связи, но передавать по нему нужную информацию в преобразованном виде так, чтобы восстановить ее мог только адресат. Разработкой методов преобразования (шифрования) информации с целью ее защиты от незаконных пользователей занимается криптография.

3. Использовать общедоступный канал связи, но скрыть сам факт передачи информации. Разработкой средств и методов сокрытия факта передачи сообщения занимается стеганография.

В настоящее время в связи с широким распространением компьютеров известно много тонких методов сокрытия защищаемой информации внутри больших объемов информации, хранящейся в компьютере. Наглядный пример - сокрытие текстового файла в графическом. Следует отметить, что иногда ошибочно относят стеганографию к криптографии. Конечно, с помощью стеганографии можно скрывать и предварительно зашифрованные тексты, но, вообще говоря, стеганография и криптография - принципиально различные направления в теории и практике защиты информации.

Настоящие методические указания направлены на ознакомление и изучение методов как криптографической, так и стеганографической защиты информации.

1. Защита документооборота в вычислительных системах

Документы являются информационной основой деятельности организации, поскольку именно в них сосредоточено более 80% её информационных ресурсов. Кроме того документооборот является, по существу, упорядоченным обменом этой информацией между работниками и подразделениями. Таким образом, повышение эффективности работы с документами в организации непосредственно сказывается на эффективности выполнения организацией своих функций, будь то улучшение обслуживания граждан государственным либо муниципальным учреждением или повышение конкурентоспособности коммерческого предприятия.

Делопроизводство как система правил и технологий работы с документами охватывает процессы подготовки документов (документирование) и организацию работы с документами (хранение, использование, движение) вплоть до их уничтожения или передачи на архивное хранение.

Важнейшим технологическим процессом работы с документами в организации является документооборот - движение документов с момента их создания или получения и до завершения исполнения, отправки или сдачи в дело. Под документооборотом понимаются следующие процессы: регистрация документов, организация и контроль их рассмотрения и исполнения.

Защита документооборота - один из важнейших вопросов для предприятий с территориально распределенной структурой.

При электронном документообороте возникают различные угрозы со стороны пользователей, которые можно разделить на две основные категории:

- угрозы конфиденциальности информации;

- угрозы целостности информации.

Конфиденциальность информации можно обеспечить с помощью шифрования, а сохранить целостность информации поможет использование электронной цифровой подписи (ЭЦП). ЭЦП позволит также установить авторство посланного документа. Для наиболее надежного подхода к защите следует использовать в комплексе шифрование и ЭЦП, что также можно совместить с каким-либо дополнительным сервисом, например, сжатием информации (архивацией).

В качестве примера таких систем можно привести специализированный архиватор электронных документов Crypton ArcMail, предлагаемый фирмой "Анкад". Алгоритм создания специализированного архива (архива для передачи по сети) приведен на рис. 1.1.

Рис. 1.1. Алгоритм создания специализированного архива

Организованный таким образом файл-архив можно передавать по сети без каких-либо опасений. При создании архива исходные файлы подписываются на секретном ключе (СК) ЭЦП абонента сети, после чего файлы сжимаются и получаемый в результате сжатия архив шифруется на случайном временном ключе. Абоненты, которым предназначается архив, могут расшифровать его с помощью записанного в архив зашифрованного временного ключа. Временный ключ зашифровывается на парно-связном ключе, вычисляемом по алгоритму Диффи-Хеллмана из СК отправителя и открытого ключа (ОК) ЭЦП абонента-адресата.

Предположим, что существует некий сертификационный центр (СЦ), в котором на специальном ключе (ключе-сертификате) подписывается ОК абонента сети перед передачей его другим абонентам. Открытый ключ-сертификат должен храниться у всех абонентов сети для проверки целостности всех используемых в сети ОК. При таком варианте рекомендуется при проверке ЭЦП какого-либо документа автоматически проверять подпись соответствующего ОК (что обычно и делается автоматически программными средствами).

Таким образом, сами открытые ключи могут храниться в открытом виде, а персональная дискета, помимо СК владельца, должна содержать еще и ключ-сертификат.

СЦ можно совместить с центром распределения ключей. Это будет выделенное рабочее место, используемое как для генерации ключей абонентов, так и для их сертификации и рассылки абонентам. Даже в случае генерации ключей непосредственно абонентами на местах СЦ можно использовать для рассылки абонентам заверенных открытых ключей, как показано на рис.1.2.

Данная схема особенно рекомендуется при организации электронного документооборота между несколькими юридическими лицами.

Рис. 1.2. Обмен ключами через СЦ

Порядок распределения ключей состоит в следующем:

- абонент создает персональную дискету с собственными ключами; СК закрывается паролем;

- для собственного ОК формируется подпись на собственном СК; ОК записывается на дискету для передачи;

- создается юридический документ на бумаге (например, письмо), в котором указываются: данные о владельце (Ф. И. О., должность, место работы), сам ОК (распечатка в шестнадцатеричном коде), полномочия владельца (перечень документов, которые уполномочен удостоверять владелец ОК). Данный документ должен быть оформлен таким образом, чтобы иметь юридическую силу в случае возникновения спорных вопросов о принадлежности подписи и полномочиях владельца. Если в письме не установлено полномочий, то они определяются по должности и месту работы;

- данный документ вместе с ОК пересылается в СЦ;

- СЦ проверяет юридическую силу полученного документа, а также идентичность ОК на дискете и в документе.

В ответ абонент получает:

- сертифицированные открытые ключи всех абонентов (в т.ч., и свой);

- сертифицированные файлы с полномочиями владельцев открытых ключей;

- ключ-сертификат как в виде файла, так и в виде юридического документа;

- владелец проверяет истинность ключа-сертификата, а также подписи всех полученных им открытых ключей и файлов. При успешной проверке ОК записываются в соответствующий каталог, а ключ-сертификат - на персональную дискету.

При большом числе абонентов сети рекомендуется использовать базы данных ОК. В этом случае вместо отдельных ОК СЦ пересылает абоненту одинаковый для всех абонентов файл базы данных, содержащий все используемые ОК.

Согласно сказанному выше, персональная дискета должна содержать следующее:

- секретный ключ владельца;

- открытые ключи-сертификаты по числу СЦ.

В качестве ключа СЦ может быть использован собственный СК абонента; в этом случае при получении ОК другого абонента его необходимо подписать. При этом на персональную дискету следует записать свой ОК для проверки целостности ОК других абонентов.

Удачным решением ряда проблем, связанных с выбором шифратора, является использование криптосервера. Криптосервер представляет собой отдельный компьютер в ЛВС, оснащенный аппаратным шифратором и используемый для шифрования информации для абонентов сети по их запросам. Зашифрованная информация может впоследствии использоваться абонентом по его усмотрению, в том числе для передачи по глобальную вычислительную систему (ГВС). Информация абонента может быть также автоматически подписана криптосервером.

Порядок работы криптосервера может быть, например, таким:

- абонент направляет на криптосервер открытые данные;

- происходит взаимная аутентификация абонента и криптосервера. Для идентификации абонента используется его персональная смарт-карта, содержащая используемые для аутентификации СК абонента и ОК криптосервера;

- после успешной аутентификации криптосервер зашифровывает данные на персональном ключе абонента (выбираемом из хранящейся на сервере таблицы ключей абонентов) и подписывает их;

- абонент получает зашифрованные и подписанные данные.

2. Криптографические методы защиты

При наличии простых средств хранения и передачи информации существовали и не потеряли значения и сегодня следующие методы ее защиты от преднамеренного доступа:

F ограничение доступа;

F разграничение доступа;

F разделение доступа (привилегий);

F контроль и учет доступа;

F законодательные меры;

F криптографическое преобразование информации.

С увеличением объемов, сосредоточением информации, увеличением количества пользователей и другими причинами повышается вероятность преднамеренного несанкционированного доступа к данным (НСД). В связи с этим развиваются старые и возникают новые дополнительные методы защиты информации в вычислительных системах:

методы функционального контроля, обеспечивающие обнаружение и диагностику отказов, сбоев аппаратуры и ошибок человека, а также программные ошибки;

методы повышения достоверности информации;

методы защиты информации от аварийных ситуаций;

методы контроля доступа к внутреннему монтажу аппаратуры, линиям связи;

методы разграничения и контроля доступа к информации;

методы идентификации и аутентификации пользователей, технических средств, носителей информации и документов;

методы защиты от побочного излучения и наводок информации.

Криптографическая защита информации - преобразование исходной информации с целью ее недоступности для ознакомления и использования лицами, не имеющими на это полномочий.

Процесс маскировки сообщения способом, позволяющим скрыть его суть, называется зашифрованием. Зашифрованное сообщение называется шифртекстом.

Процедура обратного превращения шифртекста в открытый текст называется расшифрованием (дешифрование). На основе ключа шифрованный текст преобразуется в исходный. Исходное сообщение называется открытым текстом (см. рис. 2.1).

Рис. 2.1. Последовательность зашифрования и расшифрования

Итак, криптография дает возможность преобразовать информацию таким образом, что ее прочтение (восстановление) возможно только при знании ключа.

Криптосистемы разделяются на симметричные и с открытым ключом.

В симметричных криптосистемах и для шифрования, и для расшифрования используется один и тот же ключ.

В системах с открытым ключом используется два ключа - открытый и закрытый, которые математически связаны друг с другом. Информация шифруется с помощью открытого ключа, который доступен всем желающим, а расшифровывается с помощью закрытого ключа, известного только получателю сообщения.

Известны различные подходы к классификации методов криптографического преобразования информации. По виду воздействия на исходную информацию методы криптографического преобразования информации могут быть разделены на четыре группы (см. рис. 2.2).

Размещено на http://www.allbest.ru/

Рис. 2.2. Методы криптографического преобразования информации

Все традиционные криптографические системы можно подразделить на:

1. Шифры перестановки, к которым относятся:

- Шифр перестановки "скитала".

- Шифрующие таблицы.

- Применение магических квадратов.

2. Шифры простой замены, к которым относятся:

- Полибианский квадрат.

- Система шифрования Цезаря.

- Аффинная система подстановок Цезаря.

- Система Цезаря с ключевым словом.

- Шифрующие таблицы Трисемуса.

- Биграммный шифр Плейфейра.

- Криптосистема Хилла.

- Система омофонов.

3. Шифры сложной замены, к которым относятся:

- Шифр Гронсфельда.

- Система шифрования Вижинера.

- Шифр "двойной квадрат" Уитстона.

- Одноразовая система шифрования.

- Шифрование методом Вернама.

- Роторные машины.

4. Шифрование методом гаммирования.

5. Шифрование, основанное на аналитических преобразованиях шифруемых данных.

Более полный список методов можно найти в литературе (например, Шнайер Б. Прикладная криптография. - М.: Триумф, 2002), список которой приведен в конце настоящих методических указаний.

2.1 Примеры криптографических методов защиты информации

2.1.1 Шифрование методом IDEA

На рис. 2.3 представлена обобщенная схема алгоритма шифрования методом IDEA.

Описание алгоритма. 64-битовый блок данных делится на четыре 16-битовых субблока. Эти четыре субблока становятся входом в первый цикл алгоритма. Всего выполняется восемь циклов. Между циклами второй и третий субблоки меняются местами. В каждом цикле имеет место следующая последовательность операций:

(1) умножение субблока X1 и первого подключа.

(2) сложение субблока Х2 и второго подключа.

(3) сложение субблока Х3 и третьего подключа.

(4) умножение субблока Х4 и четвертого подключа.

(5) сложение результатов шагов (1) и (3).

(6) сложение результатов шагов (2) и (4).

(7) умножение результата шага (5) и пятого подключа.

(8) сложение результатов шагов (6) и (7).

(9) умножение результата шага (8) с шестым подключим.

(10) сложение результатов шагов (7) и (9).

(11) сложение результатов шагов (1) и (9).

(12) сложение результатов шагов (3) и (9).

(13) сложение результатов шагов (2) и (10).

(14) сложение результатов шагов (4) и (10).

Рис. 2.3. Обобщенная схема алгоритма шифрования методом IDEA.

Условные обозначения:

- умножение (дизъюнкция) - «и»

- сложение - (конъюнкция) - «или»

- «исключающее или» - XOR

Х1, Х2, Х3, X4 - 16-битовые субблоки открытого текста

Y1, Y2, Y3, Y4 - 16-битовые субблоки шифртекста

Z_[1..52] - 16-битовые подключи (субблоки ключа)

Выходом цикла являются четыре субблока, которые получают как результаты выполнения шагов (11), (12), (13) и (14). В завершение цикла переставляют местами два внутренних субблока (за исключением последнего цикла), и в результате формируется вход для следующего цикла.

После восьмого цикла осуществляют заключительное преобразование выхода:

(1) умножение субблока X1 и первого подключа.

(2) сложение субблока Х2 и второго подключа.

(3) сложение субблока Х3 и третьего подключа.

(4) умножение субблока Х4 и четвертого подключа.

Наконец, эти результирующие четыре субблока Y1...Y4 вновь объединяют для получения блока шифртекста.

Алгоритм IDEA использует 128-битовый ключ для шифрования данных блоками по 64 бита. Каждый раунд использует шесть 16-битных ключей, заключительное преобразование использует четыре подключа, т.е. всего в алгоритме используется 52 подключа. Процесс дешифрования аналогичен процессу шифрования. Дешифрование состоит в использовании зашифрованного текста в качестве входа в ту же самую структуру IDEA, но с другим набором ключей.

2.1.2 Шифрование методом RC6

Алгоритм RC6 является продолжением криптоалгоритма RC5, разработанного Рональдом Ривестом - очень известной личностью в мире криптографии. RC5 был незначительно изменен для того, чтобы соответствовать требованиям AES по длине ключа и размеру блока. При этом алгоритм стал еще быстрее, а его ядро, унаследованное от RC5, имеет солидный запас исследований.

Алгоритм является сетью Фейштеля с 4 ветвями смешанного типа: в нем два четных блока используются для одновременного изменения содержимого двух нечетных блоков. Затем производится обычный для сети Фейштеля сдвиг на одно машинное слово, что меняет четные и нечетные блоки местами. Сам алгоритм предельно прост и изображен на рис. 2.4. Разработчики рекомендуют при шифровании использовать 20 раундов сети, хотя в принципе их количество не регламентируется. При 20 повторах операции шифрования алгоритм имеет самую высокую скорость среди 5 финалистов AES.

Рис. 2.4. Обобщенная схема алгоритма шифрования методом RC6.

Преобразование T(x) очень просто: T(X)=(X*(X+1)) mod 2^N. Оно используется в качестве нелинейного преобразования с хорошими показателями перемешивания битового значения входной величины.

Шифрование для RC6-w/r/b (w - длина слова в битах, r - ненулевое количество итерационных циклов шифрования, b - длина ключа в байтах) описывается следующим образом:

Вход:

Исходный текст, записанный в 4-х w-битовых регистрах A,B,C,D.

Число циклов шифрования r.

Ключевая таблица S[0.. 2r + 3] w-битовых слов.

Выход:

Шифрованный текст в регистрах A, B, C, D

Процедура:

B = B + S[0];

D = D + S[1];

for i=1 to r do

{

t = (B * (2 * B + 1)) << log2w

u = (D * (2 * D + 1)) << log2w

A = (A xor t) << u + s[2*i]

C =(C xor U)<< t) + s[2*i+1]

(A,B,C,D) = (B,C,D,A)

}

A = A + S[2*r +2]

C = C + S[2*r +3]

Исходный файл разбивается на порции по 128 бит. Эти порции, в свою очередь, состоят из четырех блоков (которые как раз и используются в четырех ветвях сети Фейштеля). Первая порция считывается, и к четным блокам прибавляются по модулю 2^N первые два 32-битовых слова ключа. Далее, блоки считываются последовательно в цикле из файла. На каждой итерации производится сдвиг на машинное слово, что меняет четные и нечетные блоки местами. В цикле над четными блоками производится операция преобразования T(X)=(X*(2*X+1)) mod 2^N и циклический сдиг влево на log₂32 = 5 бит. Далее, над преобразованными блоками и исходными нечетными блоками производится операция XOR и циклический сдвиг влево на количество бит, хранимое после преобразования в четных блоках. Заключительная операция в цикле сложение по модулю 2^N с (2*i)-м и (2*i+1)-м 32-битовыми словами ключа. Далее, как было сказано выше, четные и нечетные блоки меняются местами и начинается новая итерация цикла. После окончания цикла к нечетным блокам прибавляются по модулю 2^N последние два 32-битовых слова ключа.

Дешифрование описывается следующим образом:

Вход:

Шифрованный текст, записанный в 4-х w-битовых регистрах A,B,C,D

Число циклов шифрования r

Ключевая таблица S[0.. 2r + 3] w-битовых слов.

Выход:

Исходный текст в регистрах A,B,C,D

Процедура:

C = C - S[2*r +3]

A = A - S[2*r +2]

for i=r downto 1 do

{

(A,B,C,D) = (D,A,B,C)

u =(D * (2 * D + 1))<< log₂w

t = (B * (2 * B + 1))<< log₂w

C = (C - S[2*i+1]<< t) xor u

A = (A - S[2*i]) <<u) xor t

}

D = D - S[1]

B = B - S[0]

Алгоритм вычисления ключей для RC6-w/r/b выглядит следующим образом:

Пользователь задает ключ длиной b байтов. Достаточное число ненулевых байтов дописывается в конец, чтобы получилось целое число слов. Затем эти байты записываются, начиная с младшего в массив из слов, т.е. первый байт ключа записывается в L[0], и т.д., а L[c-1] при необходимости дополняется со стороны старших разрядов нулевыми байтами. В результате работы алгоритм генерации ключей будет вычислено 2r + 4 слов, которые будут записаны в массиве S[0.. 2r + 3].

Константы P₃₂ = b7e15163 и Q₃₂ = 9e3779b9 - это константы, получаемые из двоичного представления е - 2, где е - основание натурального логарифма, и ф - 1, где ф - золотое сечение соответственно.

Алгоритм вычисления ключей для RC6:

Вход:

Определенный пользователем b-байтовый ключ, предварительно загруженный в массив L[0..c-1].

Число раундов шифрования r.

Выход:

Ключевая таблица S[0.. 2r + 3] w-битовых слов.

Процедура:

S[0] := P₃₂

for I := 1 to 2*r+3 do

S[k] := S[k-1] +Q₃₂

v = 3 * max{c,2*r + 4}

A = B = I = j

for I := 1 to v do

{

A = S[i] = (S[i] + A + B) << 3

B = L[j] = (L[j] + A + B) <<(AA + BB)

I = (i+1) mod (2*r+4);

j = (j+1) mod c;

}

После того, как пользователь задает исходный ключ, который записывается в исходный массив L, начинает формироваться ключевая таблица S. Первый элемент S = b7e15163. Далее, в цикле для всех 2*r+3 элементов таблицы S ее элементы задаются следующим образом: каждый следующий элемент равен предыдущему плюс константа 9e3779b9. Далее, определяется, что больше, число ненулевых элементов массива L или 2*r+4. Это значение, помноженное на 3, используется далее в качестве предела итераций для цикла. В новом цикле снова преобразуются элементы таблицы S. Каждый элемент S[i] равен сумме самого себя, предыдущего элемента S[i1] и предыдущего элемента L[i1]. К этому значению применяется циклический сдвиг влево на 3 бит. Аналогичным образом в этом же цикле рассчитывается i-й элемент массива L, за исключение того, что сдвиг влево производится на число бит, равное сумме L[i] и S[i]. Каждые следующие индексы массивов I и j равны самим себе, взятым с увеличением на 1 по модулю (2*r+4) или с соответственно.

2.1.3 Шифрование методом Джиффорда

Дэвид Джиффорд (David Gifford) изобрел потоковый шифр и использовал его для шифрования сводок новостей в районе Бостона с 1984 по 1988 год. Алгоритм использует единственный 8-байтовый регистр: b₀, b₁, ..., b₇. Ключом является начальное состояние регистра. Алгоритм работает в режиме OFB, открытый текст абсолютно не влияет на работу алгоритма (см. рис. 2.5).

Рис. 2.5. Алгоритм Джиффорда

Для генерации байта ключа k_i конкатенируем b₀ и b₁, а также конкатенируем b₄ и b₇. Перемножим полученные числа, получая 32-битовое число. Третьим слева байтом и будет k_i.

Для обновления регистра возьмем b₁ и сдвинем вправо «с приклеиванием» (sticky) на 1 бит следующим образом: крайний левый бит одновременно и сдвигается, и остается на месте. Возьмем b₇ и сдвинем его на один бит влево, в крайней правой позиции должен появиться 0. Выполним операцию XOR над измененным значением b₁, измененным b₇ и b₀. Сдвинем первоначальный байт регистра на 1 байт вправо и поместим этот байт в крайнюю левую позицию.

Этот алгоритм оставался стойким на протяжении всего времени существования, но он был взломан в 1994 году. Выяснилось, что многочлен обратной связи не был примитивным и, таким образом, мог быть вскрыт.

2.1.4 Шифрование методом SAFER K-64

Аббревиатура SAFER K-64 означает Secure And Fast Encryption Routine with a Key of 64 bits (стойкая и быстрая программа шифрования 64-битовым ключом). Этот алгоритм, не находящийся в частной собственности, разработан Джеймсом Мэсси (James Massey) для корпорации Cylink и используется в некоторых ее продуктах. Правительство Сингапура собирается использовать этот алгоритм (но с 128-битовым ключом) в широком спектре приложений. Использование алгоритма не ограничено патентом, авторскими правами или чем-то еще.

Алгоритм работает с 64-битовым блоком и 64-битовым ключом. В отличие от DES, этот алгоритм представляет собой итеративный блочный шифр, а не сеть Файстеля. Иными словами, в некоторых раундах применяется одна и та же функция. В каждом раунде используются два 64-битовых подключа. Алгоритм оперирует только байтами.

Рассмотрим описание алгоритма SAFER K-64.

Блок открытого текста разделяется на восемь байтовых подблоков: B₁, B₂, ..., B₇, B₈. Затем подблоки обрабатываются в r раундах алгоритма. Наконец подблоки подвергаются заключительному преобразованию. На каждом раунде используются два подключа: K_2i-1 и K_2i.

На рис. 2.6 показан раунд алгоритма SAFER K-64. Сначала над подблоками выполняется либо операция XOR, либо сложение с байтами подключа К_2r-1. Затем восемь подблоков подвергаются одному из двух нелинейных преобразований (см. формулы 2.1, 2.2):

у = 45^х mod 257 (если х = 128, то у = 0)(2.1)

у = Iog₄₅ х (если х = 0, то у = 128)(2.2)

Эти операции выполняются в конечном поле GF(257), причем 45 - примитивный корень этого поля. В практических применениях SAFER K-64 эти операции эффективнее реализовать с помощью таблицы подстановок вместо постоянных вычислений новых результатов.

Далее подблоки либо подвергаются операции XOR, либо складываются с байтами подключа K_2r. Результат этой операции проходит через три уровня линейных операций, предназначенных для усиления лавинного эффекта.

Puc. 2.6. Раунд алгоритма SAFER

Каждая операция называется псевдоадамаровым преобразованием (Pseudo-Hadamard Transform - РНТ). Если на вход РНТ подать а₁ и а₂, то выходом будут (см. формулы 2.3 и 2.4):

b₁ = (2a₂ + а₂) mod 256(2.3)

b₂ = (a₁ + а₂) mod 256(2.4)

После r раундов выполняется заключительное преобразование. Оно совпадает с первым этапом каждого раунда. Над В₁, В₄, В₅ и В₈ выполняется операция XOR с соответствующими байтами последнего подключа, а В₂, В₃, В₆ и В₇ складываются с соответствующими байтами последнего подключа. В результате и получается шифртекст,

Расшифрование представляет собой обратный процесс: сначала выполняется заключительное преобразование (с вычитанием вместо сложения), затем r инвертированных райндов. Обратное преобразование РНТ (Inverse РНТ- IPHT) представляет собой (см. формулы 2.5 и 2.6):

a₁ = (b₁ + b₂) mod 256(2.5)

a₂ = (-b₁ + 2b₂) mod 256(2.6)

Мэсси рекомендует использовать 6 раундов, но для большей безопасности число раундов можно увеличить.

Генерировать подключи совсем не трудно. Первый подключ К₁ - это просто ключ пользователя. Последующие ключи генерируются следующей процедурой (см. формулу 2.7):

К_i+1 = (K_i <<< 3i) + c_i(2.7)

Символ "<<<" обозначает циклический сдвиг влево. Сдвиг выполняется побайтово, а с_i - константа раунда. Если с_ij - это j-ый байт константы i-го раунда, то для расчета всех констант раундов можно использовать формулу 2.8:

c_ij = 45^{45 ^ ((9i + j) mod 256) mod 257} mod 256(2.8)

Обычно эти значения хранятся в таблице.

Описание алгоритма SAFER K-128.

Этот альтернативный способ развертки ключа разработан Министерством внутренних дел Сингапура, а затем встроен Мэсси в алгоритм SAFER. В данном случае используются два ключа, К_a и К_b, по 64 бит каждый. Тонкость состоит в том, что генерируются две параллельные последовательности подключей, которые затем используются поочередно. Это означает, что при выборе К_a = К_b 128-битовый ключ совместим с 64-битовым ключом К_a.

Рассмотрим стойкость алгоритма SAFER K-64.

Мэсси показал, что при использовании 8 раундов алгоритм SAFER K-64 абсолютно стоек к дифференциальному криптоанализу, а 6 раундов - достаточно стоек. При использовании всего 3-х раундов против этого алгоритма становится неэффективным и линейный криптоанализ.

Кнудсен (Knudsen) обнаружил слабое место в развертке ключей: практически для каждого ключа существует не менее одного (иногда даже девять) других ключей, который при шифровании какого-то другого открытого текста превращают его в тот же шифртекст. Количество различных открытых текстов, которые оказываются одинаковыми шифртекстами, находится в промежутке от 2²² до 2²⁸. Хотя такое вскрытие не может повлиять на надежность SAFER как алгоритма шифрования, оно значительно уменьшает его стойкость при использовании в качестве однонаправленной хэш-функции. В любом случае Кнудсен рекомендует использовать не менее 8 раундов.

2.1.5 Криптосистема Эль-Гамаля

Система Эль-Гамаля - это криптосистема с открытым ключом, основанная на проблеме логарифма. Система включает как алгоритм шифрования, так и алгоритм цифровой подписи.

Множество параметров системы включает простое число p и целое число g, степени которого по модулю p порождают большое число элементов Z_p. У пользователя А есть секретный ключ a и открытый ключ y, где y = g^a (mod p). Предположим, что пользователь В желает послать сообщение m пользователю А. Сначала В выбирает случайное число k, меньшее p. Затем вычисляет по формуле 2.9:

Y₁ = g^k (mod p) и y₂ = m^ (y^k (mod p)) (2.9)

где ^ обозначает побитовое «исключающее ИЛИ».

В посылает А пару (y₁, y₂). После получения шифрованного текста пользователь А вычисляет по формуле 2.10:

m = (y₁^amod p) ^ y₂ (2.10)

Известен вариант этой схемы, когда операция ^ заменяется на умножение по модулю p. Это удобно в том смысле, что в первом случае текст (или значение хэш-функции) необходимо разбивать на блоки той же длины, что и число y (mod p). Во втором случае этого не требуется, и можно обрабатывать блоки текста заранее заданной фиксированной длины (меньшей, чем длина числа p). Уравнение расшифрования в этом случае будет таким (см формулу 2.11):

m = y₂/y₁ mod p(2.11)

Однако схема Эль-Гамаля не лишена определенных недостатков. Среди них можно указать следующие:

1. отсутствие семантической стойкости. Если g - примитивный элемент Zp, то за полиноминальное время можно определить, является ли некоторое число x квадратичным вычетом или нет.Это делается возведением в степень x^(p-1)/2mod p. Если результат равен 1, то x - квадратичный вычет по модулю p, если равен -1, то x - квадратичный невычет. Далее пассивный противник проверяет, являются ли g^k и g^y квадратичными вычетами. g^ky будет квадратичным вычетом тогда и только тогда, когда и g^k,и g^y будут квадратичными вычетами. Если это так y₂ = m* y^k (mod p) будет квадратичным вычетом тогда и только тогда, когда само сообщение m будет квадратичным вычетом. То есть пассивный противник получает некоторую информацию об исходном тексте, имея лишь шифрованный текст и открытый ключ получателя.

2. делимость шифра. Если дан шифрованный текст (y₁, y₂), то мы можем получить другой шифрованный текст, изменив только вторую часть сообщения. В самом деле, умножив y₂ на g^u (u?0), мы получим шифртекст для другого сообщения m = m* g^u.

Для защиты от подобных атак Шнорром и Якобсоном было предложено объединить схему шифрования Эль-Гамаля с цифровой подписью Шнорра, что позволяет не только шифровать сообщение, но и аутентифицировать его.

2.1.6 Шифрование методом Вернам

Шифрование заключается в проведении обратимых математических, логических, комбинированных и других преобразований исходной информации, в итоге чего зашифрованная информация представляет собой хаотический набор букв, цифр, символов и двоичных кодов. Для ознакомления с шифрованной информацией применяется обратный процесс: декодирование (дешифрование). Для преобразования данных обычно используется некоторый алгоритм или устройство, реализующее данный алгоритм, которые могут быть известны широкому круги лиц. Исходными данными для алгоритма шифрования служат информация, подлежащая шифрования, и ключ шифрования. Ключ содержит управляющую информацию, которая определяет выбор преобразования на определенных шагах алгоритма и величины операндов, используемые при реализации алгоритма шифрования.

Шифр Вернама (другое название: англ. One-time pad -- схема одноразовых блокнотов) -- в криптографии система симметрического шифрования, изобретённая в 1917 году сотрудниками Мейджоромо и Гильбертом Вернамом. Шифр Вернама является единственной системой шифрования, для которой доказана абсолютная криптографическая стойкость.

Для произведения шифртекста открытый текст объединяется операцией «исключающее ИЛИ» с ключом (называемым одноразовым блокнотом или шифроблокнотом). При этом ключ должен обладать тремя критически важными свойствами:

1. быть истинно случайным;

2. совпадать по размеру с заданным открытым текстом;

3. применяться только один раз.

Шифр назван в честь телеграфиста AT&T Гильберта Вернама, который в 1917 году построил телеграфный аппарат, который выполнял эту операцию автоматически -- надо было только подать на него ленту с ключом. Не будучи шифровальщиком, тем не менее, Вернам верно заметил важное свойство своего шифра -- каждая лента должна использоваться только один раз и после этого уничтожаться. Это трудноприменимо на практике -- поэтому аппарат был переделан на несколько закольцованных лент с взаимно простыми периодами.

В 1949 году Клод Шеннон опубликовал работу, в которой доказал абсолютную стойкость шифра Вернама. Других шифров с этим свойством не существует. Это по сути означает, что шифр Вернама является самой безопасной криптосистемой из всех возможных. При этом условия, которым должен удовлетворять ключ, настолько сильны, что практическое использование шифра Вернама становится трудно осуществимым. Поэтому он используется только для передачи сообщений наивысшей секретности.

На практике можно один раз физически передать носитель информации с длинным истинно случайным ключом, а потом по мере необходимости пересылать сообщения. На этом основана идея шифроблокнотов: шифровальщик при личной встрече снабжается блокнотом, каждая страница которого содержит ключ. Такой же блокнот есть и у принимающей стороны. Использованные страницы уничтожаются.

Кроме того, если есть два независимых канала, в каждом из которых вероятность перехвата низка, но отлична от нуля, шифр Вернама также полезен: по одному каналу можно передать зашифрованное сообщение, по другому -- ключ. Для того чтобы расшифровать сообщение, перехватчик должен прослушивать оба канала.

Шифр Вернама может применяться, если есть односторонний защищённый канал: ключ передаётся в одну сторону под защитой канала, сообщения в другую сторону защищаются ключом.

Не является шифром Вернама, но близка к нему схема одноразовых кодов: например, кодовое слово «Альфа» означает «Возвращаюсь».

Недостатки:

· Для работы шифра Вернама необходима истинно случайная последовательность нулей и единиц (ключ). По определению, последовательность, полученная с использованием любого алгоритма, является не истинно случайной, а псевдослучайной. То есть, нужно получить случайную последовательность неалгоритмически (например, используя распад ядер, создаваемый электронным генератором белый шум или другие достаточно случайные события). Чтобы сделать распределение предельно близким к равномерному, случайная последовательность обычно прогоняется через хэш-функцию наподобие MD5.

· Проблемой является тайная передача последовательности и сохранение её в тайне. Если существует надёжно защищённый от перехвата канал передачи сообщений, шифры вообще не нужны: секретные сообщения можно передавать по этому каналу. Если же передавать ключ системы Вернама с помощью другого шифра (например, DES), то полученный шифр окажается защищённым ровно настолько, насколько защищён DES. При этом, поскольку длина ключа та же, что и длина сообщения, передать его не проще, чем сообщение. Шифроблокнот на физическом носителе можно украсть или скопировать.

· Возможны проблемы с надёжным уничтожением использованной страницы. Этому подвержены как бумажные страницы блокнота, так и современные электронные реализации с использованием компакт-дисков или флэш-памяти.

· Если третья сторона каким-то образом узнает сообщение, она легко восстановит ключ и сможет подменить послание на другое такой же длины.

· Шифр Вернама чувствителен к любому нарушению процедуры шифрования. Например, контрразведка США часто расшифровывала советские и немецкие послания из-за неточностей генератора случайных чисел (программный генератор псевдослучайных чисел у немцев и машинистка, бьющая по клавишам, в СССР). Бывали случаи, когда одна и та же страница блокнота применялась дважды -- США также расшифровывали такие послания.

Тем не менее, схема шифроблокнотов достаточно надёжна при ручной шифровке. Вышеперечисленные недостатки можно также устранить, если применить квантовую криптографию, в частности, протокол BB84 для генерации и передачи одноразовых блокнотов. В случае использования квантовой криптографии шифр Вернама также будет достаточно надёжным.

2.1.7 Шифрование методом аналитических преобразований

Достаточно надежное закрытие информации может быть обеспечено при использовании для шифрования некоторых аналитических преобразований.

Для этого можно использовать методы алгебры матриц, например, умножение матрицы на вектор по правилу (см. формулу 2.12):

(2.12)

Если матрицу |A_ij| использовать в качестве ключа, а вместо компонента вектора В_j подставить символы исходного текста, то компоненты вектора C_j будут представлять собой символы зашифрованного текста.

Приведем пример использования такого метода, взяв в качестве ключа квадратную матрицу третьего порядка (см. формулу 2.13):

(2.13)

Заменим буквы алфавита цифрами, соответствующими их порядковому номеру в алфавите: А - 0, Б - 1, В - 3, и т.д. Тогда отрывку произвольного текста "ПОГРЕБ" будет соответствовать последовательность 16, 15, 4, 17, 6, 2. По принятому алгоритму шифрования выполним необходимые действия (см. формулу 2.14):

(2.14)

При этом зашифрованный текст будет иметь вид: 93,143,163,60,91,110.

Расшифрование осуществляется с использованием того же правила умножения матриц на вектор, только в качестве основы берется матрица, обратная той, с помощью которой осуществляется закрытие, а в качестве вектора-сомножителя - соответствующее количество символов закрытого текста; тогда значениями вектора-результата будут цифровые эквиваленты знаков открытого текста.

Обратной к данной, как известно, называется матрица, получающаяся из так называемой присоединенной матрицы делением всех ее элементов на определитель данной матрицы. В свою очередь присоединенной называется матрица, составленная из алгебраических дополнений А, к элементам данной матрицы, которые вычисляются по формуле 2.15:

,(2.15)

где D_ij - определитель матрицы, получаемый вычеркиванием i^-ой ее строки и j^-го столбца.

Определителем же, как известно, называется алгебраическая сумма n! членов (для определителя n^-го порядка), составленная следующим образом: членами служат всевозможные произведения n элементов матрицы, взятых по одному в каждой строке и в каждом столбце, причем член суммы берется со знаком плюс, если его индексы составляют четную подстановку, и со знаком минус - в противном случае. Для матрицы третьего порядка, например, определитель вычисляется по следующей формуле 2.16:

(2.16)

2.2 Сокрытие информации методом стеганографии

Методы стеганографии позволяют скрыть не только смысл хранящейся или передаваемой информации, но и сам факт хранения или передачи закрытой информации.

Первые следы стеганографических методов теряются в глубокой древности. Например, известен такой способ скрытия письменного сообщения: голову раба брили, на коже головы писали сообщение и после отрастания волос раба отправляли к адресату.

Из детективных произведений хорошо известны различные способы тайнописи между строк обычного, незащищаемого текста: от молока до сложных химических реактивов с последующей обработкой.

Также из детективов известен метод «микроточки»: сообщение записывается с помощью современной техники на очень маленький носитель (микроточку), который пересылается с обычным письмом, например, под маркой или где-нибудь в другом, заранее обусловленном месте.

В компьютерных системах практическое использование стеганографии только начинается, но проведенные исследования показывают ее перспективность. В основе всех методов стеганографии лежит маскирование закрытой информации среди открытых файлов. Обработка мультимедийных файлов в компьютерных системах выявила практически неограниченные возможности перед стеганографией.

В настоящее время можно выделить три тесно связанных между собой направления в стеганографии:

- сокрытие данных (сообщений);

- цифровые водяные знаки;

- заголовки.

Сокрытие данных. В настоящее время наиболее распространенным, но наименее стойким является метод замены наименьших значащих битов или LSB-метод [14, стр.34]. Он заключается в использовании погрешности дискретизации, т.е. прерывности, при оцифровки, которая всегда существует в оцифрованных изображениях или аудио- и видеофайлах. Данная погрешность равна наименьшему значащему разряду числа, определяющему величину цветовой составляющей элемента изображения (пикселя). Поэтому модификация младших битов в большинстве случаев не вызывает значительной трансформации изображения и не обнаруживается визуально. При этом, имея файл изображения размером 200 Кбайт, мы можем скрыть в нем до 50 Кбайт произвольных данных так, что невооруженному глазу эти изменения не будут заметны. Лидерство метода LSB среди стеганографических алгоритмов объясняется следующими причинами:

1. мультимедиаконтейнеры не вызывают подозрений: можно без проблем отправить другу свою фотографию или симпатичный пейзаж;

2. младшие биты оцифрованных изображений, звука или видео могут иметь различное распределение в зависимости от применявшихся параметров аналого-цифрового преобразования, от дополнительной компьютерной обработки и от прочих факторов (эта особенность делает метод наименее значащих битов наиболее защищенным от обнаружения вложения);

3. В-третьих, реализации LSB для большинства стандартов файлов-контейнеров не требуют значительных затрат времени и сил.

Другим популярным методом встраивания сообщений является использование особенностей форматов данных, использующих сжатие с потерей данных (например, JPEG) [15]. Этот метод (в отличии от LSB) более стоек к геометрическим преобразованиям и обнаружению канала передачи, так как имеется возможность в широком диапазоне варьировать качество сжатого изображения, что делает невозможным определение происхождения искажения.

Цифровые и водяные знаки. В современных системах формирования цифровых водяных знаков используется принцип встраивания метки, являющейся узкополосным сигналом, в широком диапазоне частот маркируемого изображения. Указанный метод реализуется при помощи двух различных алгоритмов и их возможных модификаций. В первом случае информация скрывается путем фазовой модуляции информационного сигнала (несущей) с псевдослучайной последовательностью чисел. Во втором - имеющийся диапазон частот делится на несколько каналов и передача производится между этими каналами. Относительно исходного изображения метка является некоторым дополнительным шумом (например, зернистость картинки или помехи музыки), но так как шум в сигнале присутствует всегда, его незначительное возрастание за счет внедрения метки не дает заметных на глаз искажений. Кроме того, метка рассеивается по всему исходному изображению, в результате чего становится более устойчивой к вырезанию.

Сокрытие внедряемых данных, которые в большинстве случаев имеют большой объем, предъявляет серьезные требования к контейнеру: размер контейнера в несколько раз должен превышать размер встраиваемых данных.

Цифровые водяные знаки используются для защиты авторских или имущественных прав на цифровые изображения, фотографии или другие оцифрованные произведения искусства. Основными требованиями, которые предъявляются к таким встроенным данным, являются надежность и устойчивость к искажениям.

Цифровые водяные знаки имеют небольшой объем, однако, с учетом указанных выше требований, для их встраивания используются более сложные методы, чем для встраивания просто сообщений или заголовков.

Заголовки используются в основном для маркирования изображений в больших электронных хранилищах (библиотеках) цифровых изображений, аудио- и видеофайлов.

В данном случае стеганографические методы используются не только для внедрения идентифицирующего заголовка, но и иных индивидуальных признаков файла.

Внедряемые заголовки имеют небольшой объем, а предъявляемые к ним требования минимальны: заголовки должны вносить незначительные искажения и быть устойчивы к основным геометрическим преобразованиям.

Но у всех трех направлениях стеганографии имеется ограничение. Для большинства современных методов, используемых для сокрытия сообщения в цифровых контейнерах, имеет место следующая зависимость надежности системы от объема встраиваемых данных (см. рис. 2.7):

Рис. 2.7. Зависимость надежности стегоконтейнера от размера сообщения.

Данная зависимость показывает, что при увеличении объема встраиваемых данных снижается надежность системы (при неизменности размера контейнера). Таким образом, используемый в стегосистеме контейнер накладывает ограничения на размер встраиваемых данных.

Стеганография может использоваться для разных целей, к примеру:

1) Законные цели включают водяные знаки на изображениях в целях защиты прав собственности.

2) Цифровые подписи, известные как fingerprinting (отпечатки), указывают в основном, на объекты, защищенные законом об авторском праве, являются обычными для стеганографии, так как содержатся в файлах, являясь частью их, и потому сложно обнаружимыми обыкновенным человеком.

...