Идентификаторы субъектов не являются секретной информацией и могут храниться в КС в открытом виде.

Для нейтрализации угроз, связанных с хищением идентификаторов и подменой злоумышленником легального пользователя необходимы дополнительные проверки субъекта, заключающиеся в подтверждении им владения предъявленным идентификатором. Данные проверки проводятся на этапе аутентификации пользователя.

Под аутентификацией понимают подтверждение пользователем предъявленного идентификатора, проверка его подлинности и принадлежности именно данному пользователю. Аутентификация выполняется для устранения фальсификации на этапе идентификации.

В качестве аутентифицирующей информации может использоваться, например, пароль, секретный код, пин-код и т.д. Информация, используемая субъектом для аутентификации, должна сохраняться им в секрете. Хищение данной информации злоумышленником ведет к тому, что злоумышленник сможет пройти этап идентификации и аутентификации без обнаружения фальсификации.

Этапы идентификации и аутентификации пользователя объединяются в единой подсистеме, называемой подсистемой идентификации и аутентификации (И/АУ).

Атаки на подсистему идентификации и аутентификации пользователя являются одними из наиболее распространенных и привлекательных для злоумышленника, так как пройдя этап И/АУ злоумышленник получает все права легального пользователя, идентификатор которого был использован. В связи с этим, обеспечение стойкости ко взлому подсистемы И/АУ пользователя является очень важной задачей для безопасного функционирования компьютерной системы.

Стойкость к взлому подсистемы идентификации и аутентификации определяется гарантией того, что злоумышленник не сможет пройти аутентификацию, присвоив чужой идентификатор, либо украв его.

Наиболее распространенными методами идентификации и аутентификации пользователя являются:

- Парольные системы.

- Идентификация/аутентификация с использованием технических

устройств.

- Идентификация/аутентификация с использованием индивидуальных биометрических характеристик пользователя.

3.2 Парольные системы идентификации и аутентификации пользователей

Совокупность идентификатора и пароля пользователя - основные составляющие его учетной записи. База данных пользователей парольной системы содержит учетные записи всех пользователей КС, при этом сами пароли шифруются администратором сети, обычно с использованием хэш-функций.

Парольные системы являются зачастую «передним краем обороны» всей системы безопасности. Отдельные ее элементы могут быть расположены в местах, открытых для доступа потенциальному злоумышленнику (в том числе и база данных учетных записей пользователей). В связи с этим, парольные системы становятся одним из наиболее привлекательных для злоумышленника объектов атаки. Основными типами угроз безопасности парольных систем являются следующие.

1. Перебор паролей в интерактивном режиме.

2. Подсмотр пароля.

3. Преднамеренная передача пароля его владельцем другому лицу.

4. Кража базы данных учетных записей с дальнейшим ее анализом, подбором пароля.

5. Перехват вводимого пароля путем внедрения в КС программных закладок (клавиатурных шпионов); перехват пароля, передаваемого по сети.

6. Социальная инженерия.

Многие недостатки парольных систем связаны с наличием человеческого фактора, который проявляется в том, что пользователь зачастую стремится выбрать пароль, который легко запомнить (а значит и подобрать), или записать куда-нибудь свой сложный пароль. Легальный пользователь способен ввести пароль так, что его могут увидеть посторонние, передать пароль другому лицу намеренно или под влиянием заблуждения.

Для уменьшения деструктивного влияния человеческого фактора необходимо реализовать ряд требований к выбору и использованию паролей [5].

1. Задание минимальной длины пароля для затруднения подбора пароля злоумышленником «в лоб» и подсмотра.

2. Использование в пароле различных групп символов для усложнения подбора злоумышленником пароля.

3. Проверка и отбраковка пароля по словарю для затруднения подбора пароля злоумышленником с использованием словарей.

4. Установление максимального срока действия пароля для затруднения подбора пароля злоумышленником, в том числе и в режиме «off-line» при взломе предварительно похищенной базы данных учетных записей пользователей.

5. Применение эвристического алгоритма, бракующего «плохие» пароли для усложнения подбора пароля злоумышленником «по словарю» или с использованием эвристического алгоритма.

6. Ограничение числа попыток ввода пароля для предотвращения интерактивного подбора пароля злоумышленником.

7. Использование задержки при вводе неправильного пароля для предотвращения интерактивного подбора пароля злоумышленником.

8. Поддержка режима принудительной смены пароля пользователя для эффективности реализации требования, ограничивающего максимальный срок действия пароля.

9. Запрет на выбор пароля самим пользователем и автоматическая генерация паролей для затруднения использования злоумышленником эвристического алгоритма подбора паролей.

Количественная оценка стойкости парольных систем может быть выполнена с помощью рассматриваемого ниже подхода [4].

Пусть A - мощность алфавита паролей (количество символов, которые могут быть использованы при составлении пароля). Например, если при составлении пароля могут быть использованы только малые английские буквы, то A=26.

L - длина пароля.

- число всевозможных паролей длины L, которые можно составить из символов алфавита A. S также называют пространством атаки.

V - скорость перебора паролей злоумышленником.

T - максимальный срок действия пароля.

Тогда, вероятность P подбора пароля злоумышленником в течении срока его действия Т определяется по следующей формуле.

Эту формулу можно обратить для решения следующей задачи:

Задача. Определить минимальную мощность алфавита паролей A и минимальную длину паролей L, обеспечивающих вероятность подбора пароля злоумышленником не более заданной величины P, при скорости подбора паролей V, максимальном сроке действия пароля T.

Данная задача имеет неоднозначное решение. При исходных данных V,T,P однозначно можно определить лишь нижнюю границу S* числа всевозможных паролей. Целочисленное значение нижней границы вычисляется по формуле:

где - целая часть числа, взятая с округлением вверх.

После нахождения нижней границы S* необходимо выбрать такие A и L, чтобы выполнялось неравенство (3.2):

При выборе S, удовлетворяющего неравенству (3.2), вероятность подбора пароля злоумышленником (при заданных V и T) будет меньше или равна P.

При вычислениях по формулам (3.1) и (3.2), величины должны быть приведены к одной размерности.

Пример 3.1

Пусть задано: P = 10-6, T= 7 дней, V =10 паролей в минуту = 10*60*24*7=100800 паролей в неделю.

Тогда, .

Условию удовлетворяют, например, такие пары величин A и L, как A=26, L=8 (пароли состоят из 8 малых символов английского алфавита), A=36, L=6 (пароли состоят из 6 символов, среди которых могут быть малые латинские буквы и цифры).



4. Методы и средства криптографической защиты

4.1 Принципы криптографической защиты информации

Криптография представляет собой совокупность методов преобразования данных (шифрования), направленных на то, чтобы сделать эти данные бесполезными для противника. Эти преобразования позволяют решить проблему обеспечения конфиденциальности данных. Для ознакомления с зашифрованной информацией применяется обратный процесс - дешифрование.

Для шифрования обычно используется некоторый алгоритм или устройство, реализующее заданный алгоритм, которые могут быть известны широкому кругу лиц. Управление процессом шифрования осуществляется с помощью периодически меняющегося ключа шифрования, обеспечивающего каждый раз оригинальное представление информации при использовании одного и того же алгоритма или устройства. Знание ключа дешифрования позволяет просто и надежно расшифровать текст. Однако, без знания этого ключа процедура дешифрования может быть практически невыполнима даже при известном алгоритме. Ключ шифрования K - конкретное состояние некоторого параметра (параметров), обеспечивающее выбор одного преобразования из совокупности возможных для используемого метода шифрования.

Будем называть открытым текстом M исходное сообщение, которое шифруют для его сокрытия от посторонних лиц. Сообщение, формируемое в результате шифрования открытого текста, будем называть закрытым текстом (шифротекстом) С.

Обратной стороной криптографии является криптоанализ, который пытается решить обратную задачу, характерную для злоумышленника - раскрыть шифр, получив закрытый текст, не имея подлинного ключа шифрования.

Существуют несколько основных типов криптоаналитических атак [3]. Реализация каждой из них предполагает, что злоумышленник знает применяемый алгоритм шифрования.

1. Криптоаналитическая атака при наличии только известного закрытого текста С.

2. Криптоаналитическая атака при наличии известного открытого текста (атака по открытому тексту). В этом случае, криптоаналитику известен открытый текст M и соответствующий ему закрытый текст C. Задача криптоаналитика состоит в нахождении ключа шифрования K для возможности прямой расшифровки последующих шифротекстов.

3. Криптоаналитическая атака методом полного перебора всех возможных ключей. Такой подход требует привлечения предельных вычислительных ресурсов и иногда называется силовой атакой, атакой «в лоб», или brute-forcing.

4. Криптоаналитическая атака методом анализа частотности закрытого текста. Реализация данной атаки предполагает использование криптоаналитиком информации о частоте встречаемости символов в закрытом тексте с целью получения информации о символах открытого текста.

Основной характеристикой шифра является его криптостойкость, которая определяет его стойкость к раскрытию с помощью методов криптоанализа. Обычно эта характеристика определяется интервалом времени, необходимым для раскрытия шифра.

К шифрам, используемым для криптографической защиты информации, предъявляется ряд требований.

1.Зашифрованный текст должен поддаваться чтению только при наличии секретного ключа шифрования.

2.Закон Керхоффа - знание алгоритма шифрования не должно влиять на надежность защиты, стойкость шифра должна определяться только секретностью ключа. Иными словами, данное требование предполагает, что весь алгоритм шифрования, кроме значения секретного ключа, известен криптоаналитику противника.

3. При знании криптоаналитиком шифротекста С и соответствующего ему открытого текста M, для нахождения ключа шифрования необходим полный перебор ключей (невозможность криптоаналитической атаки по открытому тексту).

4. Незначительное изменение ключа шифрования или открытого текста должно приводить к существенному изменению вида шифротекста.

5. Алгоритм шифрования должен допускать как программную, так и аппаратную реализацию.

4.2 Традиционные симметричные криптосистемы

В симметричных криптосистемах (криптосистемах с секретным ключом) шифрование и дешифрование информации осуществляется на одном ключе K, являющемся секретным. Рассекречивание ключа шифрования ведет к рассекречиванию всего защищенного обмена. До изобретения схемы асимметричного шифрования единственным существовавшим способом являлось симметричное шифрование. Ключ алгоритма должен сохраняться в секрете обеими сторонами. Ключ алгоритма выбирается сторонами до начала обмена сообщениями.

Функциональная схема взаимодействия участников симметричного криптографического обмена приведена на рис. 4.1.

Рис. 4.1. Функциональная схема симметричной криптосистемы



В симметричной криптосистеме секретный ключ необходимо передать всем участникам криптографической сети по некоторому защищенному каналу.

В настоящее время симметричные шифры - это:

· блочные шифры. Обрабатывают информацию блоками определенной длины (обычно 64, 128 бит), применяя к блоку ключ в установленном порядке, как правило, несколькими циклами перемешивания и подстановки, называемыми раундами. Результатом повторения раундов является лавинный эффект - нарастающая потеря соответствия битов между блоками открытых и зашифрованных данных;

· поточные шифры, в которых шифрование проводится над каждым битом либо байтом исходного (открытого) текста с использованием гаммирования на основе генератора случайных чисел.

Существует не менее двух десятков алгоритмов симметричных шифров, существенными параметрами которых являются:

· стойкость;

· длина ключа;

· число раундов;

· длина обрабатываемого блока;

· сложность аппаратной/программной реализации.

Распространенными алгоритмами симметричного шифрования являются:

· DES и TripleDES (3DES).

· AES (Rijndael).

· ГОСТ 28147-89.

В частности, AES -- симметричный алгоритм блочного шифрования, принятый в качестве американского стандарта шифрования правительством США в 2002году, до него c 1977 года официальным стандартом США был алгоритм DES. По состоянию на 2006 год AES является одним из самых распространённых алгоритмов симметричного шифрования.

Шифры традиционных симметричных криптосистем можно разделить на следующие основные виды:

1. Шифры замены.

2. Шифры перестановки.

3. Шифры гаммирования.

Шифрование методом замены (подстановки)

Шифр подстановки - это метод шифрования, в котором элементы исходного открытого текста заменяются зашифрованным текстом в соответствии с некоторым правилом. Элементами текста могут быть отдельные символы (самый распространённый случай), пары букв, тройки букв, комбинирование этих случаев и так далее. В классической криптографии различают четыре типа шифра подстановки[8]:

· Одноалфавитный шифр подстановки (шифр простой замены) -- шифр, при котором каждый символ открытого текста заменяется на некоторый, фиксированный при данном ключе символ того же алфавита.

· Однозвучный шифр подстановки похож на одноалфавитный за исключением того, что символ открытого текста может быть заменен одним из нескольких возможных символов.

· Полиграммный шифр подстановки заменяет не один символ, а целую группу. Примеры: шифр Плейфера, шифр Хилла.

· Полиалфавитный шифр подстановки состоит из нескольких шифров простой замены. Примеры: шифр Виженера, шифр Бофора, одноразовый блокнот.

В качестве альтернативы шифрам подстановки можно рассматривать перестановочные шифры. В них, элементы текста переставляются в ином от исходного порядке, а сами элементы остаются неизменными. Напротив, в шифрах подстановки, элементы текста не меняют свою последовательность, а изменяются сами.

Шифры простой замены

В шифрах простой замены замена производится только над одним-единственным символом. Для наглядной демонстрации шифра простой замены достаточно выписать под заданным алфавитом тот же алфавит, но в другом порядке или, например, со смещением. Записанный таким образом алфавит называют алфавитом замены.

Шифр простой замены Атбаш [9], использованный для еврейского алфавита и получивший оттуда свое название. Шифрование происходит заменой первой буквы алфавита на последнюю, второй на предпоследнюю и т.д. Шифр Атбаш для английского алфавита:

Исходный алфавит:	A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
Алфавит замены:	Z Y X W V U T S R Q P O N M L K J I H G F E D C B A

Шифр Цезаря -- один из древнейших шифров. При шифровании каждая буква заменяется другой, отстоящей от ней в алфавите на фиксированное число позиций. Шифр назван в честь римского императора Гая Юлия Цезаря, использовавшего его для секретной переписки.

Общая формула шифра Цезаря имеет следующий вид:

С=P+K (mod M),

где P - номер символа открытого текста, С - соответствующий ему номер символа шифротекста, K - ключ шифрования (коэффициент сдвига), M - размер алфавита (для русского языка M = 32)

Для данного шифра замены можно задать фиксированную таблицу подстановок, содержащую соответствующие пары букв открытого текста и шифротекста.

Пример 4.1. Таблица подстановок для символов русского текста при ключе K=3 представлена в таблице 4.1. Данной таблице соответствует формула:



С=P+3 (mod 32)

Согласно формуле (4.2) открытый текст «БАГАЖ» будет преобразован в шифротекст «ДГЖГЙ».

Дешифрование закрытого текста, зашифрованного методом Цезаря согласно (4.1), осуществляется по формуле:

P=C-K (mod M)

Естественным развитием шифра Цезаря стал шифр Виженера. Например, шифрование с использованием ключа будет иметь результат:

Исходный алфавит:	A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
Алфавит замены:	E F G H I J K L M N O P Q R S T U V W X Y Z A B C D

Современным примером шифра Цезаря является ROT13. Он сдвигает каждый символ английского алфавита на 13 позиций. Используется в интернет-форумах, как средство для сокрытия основных мыслей, решений загадок и пр. [9].

Шифр с использованием кодового слова является одним из самых простых как в реализации, так и в расшифровывании. Идея заключается в том, что выбирается кодовое слово, которое пишется впереди, затем выписываются остальные буквы алфавита в своем порядке. Шифр с использованием кодового слова WORD.

Исходный алфавит:	A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
Алфавит замены:	W O R D A B C E F G H I J K L M N P Q S T U V X Y Z

Как мы видим, при использовании короткого кодового слова мы получаем очень и очень простую замену. Также мы не можем использовать в качестве кодового слова слова с повторяющимися буквами, так как это приведет к неоднозначности расшифровки, то есть двум различным буквам исходного алфавита будет соответствовать одна и та же буква шифрованного текста. Слово COD будет преобразованно в слово RLD [10].

Шифр простой моно-алфавитной замены является обобщением шифра Шифр простой моно-алфавитной замены является обобщением шифра Цезаря и выполняет шифрование по следующей схеме:

где - ключ шифрования, P - место символа в алфавите, .

Формула для определения Р при дешифровании выглядит следующим образом, где P* есть номер шифра буквы в алфавите :

a) если P* - K делится нацело на a, применяется формула:

b) если P* - K не делится нацело на a, применяется формула:

Пример.

Пусть M=26, a=3, K=4, НОД(3,26) = 1. Тогда получаем следующую таблицу подстановок для шифра простой моно-алфавитной замены.

Тогда открытый текст «CODE» будет преобразован в шифротекст «KUNQ». Расшифруем код по формулам (4.5). Получим слово «CODE».

Покажем это на таблице, оставив только существенную часть

Сделаем пояснение. Для буквы K разность (10 - 4) = 6 делится нацело на 3, значит, применяется формула 4.5.а и по ней восстанавливается ее прообраз, а именно, число равное 6 / 3 = 2, что соответствует букве С. Далее, для буквы U разность (20 - 4) не делится нацело на 3, значит, применяется формула 4.5.b

и по ней восстанавливается ее прообраз, а именно, буква О и т.д. В результате получим раскодированное слово CODE.

Шифр Гронсфельда. Данный шифр представляет собой модификацию шифра Цезаря с числовым ключом. При реализации данного шифра под буквами исходного сообщения записывают цифры числового ключа. Если ключ короче сообщения, то его запись циклически повторяют. Получение символа шифротекста осуществляют также, как это делается в шифре Цезаря, при этом смещение символа открытого текста производят на количество позиций, соответствующего цифре ключа, стоящей под ним.

Пример 4.3.

Пусть необходимо зашифровать исходное сообщение «НОЧЕВАЛА ТУЧКА ЗОЛОТАЯ», в качестве ключа возьмем К=193431.

Табл. 4.3. Табл. подстановок шифра Гронсфельда для ключа K=193431

Сообщение

Н

О

Ч

Е

В

А

Л

А

Т

У

Ч

К

А

З

О

Л

О

Т

А

Я

Ключ

1

9

3

4

3

1

1

9

3

4

3

1

1

9

3

4

3

1

1

9

Шифро- текст

О

Ч

Ь

Й

Е

Б

М

Й

Х

Ч

Ь

Л

Б

Р

С

П

С

У

Б

И

Для того, чтобы зашифровать первую букву сообщения Н, необходимо сдвинуть ее в алфавите русских букв на число позиций, соответствующее цифре ключа, т.е. на 1, в результате чего получим букву О.

Дешифрование шифротекста предполагает сдвиг его символов на необходимое число позиций в обратную сторону.

Шифрование методом Вернама

При шифровании открытого текста, каждый его символ представляется в двоичном виде [3]. Ключ шифрования также представляется в двоичной форме. Шифрование исходного текста осуществляется путем сложения по модулю 2 двоичных символов открытого текста с двоичными символами ключа:

Y=PK

Дешифрование состоит в сложении по модулю 2 символов шифротекста с ключом.

Рис. 4.2. Схема системы шифрования Вернама

Модификация системы шифрования Вернама используется для криптографической защиты информации в архиваторе ARJ. Формула (4.6) в этом случае принимает следующий вид:

Y=P(K+VALUE),

где VALUE - фиксированное значение.

Пример 4.4. Зашифруем с помощью системы Вернама открытый текст «БЛАНК» с помощью ключа «ОХ».

Преобразуем открытый текст «БЛАНК» в ASCII коды: Б=129, Л=139, A=128, Н=141, К=138. В двоичном виде последовательность 129, 139, 128, 141, 138 представится в виде 10000001 10001011 10000000 10001101 10001010.

Табл. 4.4. Двоичные коды слова БЛАНК

символ	код	,
		128	64	32	16	8	4	2	1
Б	129	1	0	0	0	0	0	0	1
Л	139	1	0	0	0	1	0	1	1
А	128	1	0	0	0	0	0	0	0
Н	141	1	0	0	0	1	1	0	1
К	138	1	0	0	0	1	0	1	0

Преобразуем ключ «ОХ» в ASCII коды: О=142, Х=149. В двоичном виде последовательность 142, 149 представится в виде 10001110 10010101.

Подпишем циклически ключ под открытым текстом и выполним сложение по модулю 2 соответствующих битов.

Шифрование методами перестановки

Шифрование перестановкой заключается в том, что символы открытого текста переставляются по определенному правилу в пределах некоторого блока этого текста. Данные преобразования приводят к изменению только порядка следования символов исходного сообщения.

При достаточной длине блока, в пределах которого осуществляется перестановка, и сложном неповторяющемся порядке перестановки можно достигнуть приемлемой для простых практических приложений стойкости шифра.

Метод простой перестановки

При шифровании методом простой перестановки производят деление открытого текста на блоки одинаковой длины, равной длине ключа. Ключ длины n представляет собой последовательность неповторяющихся чисел от 1 до n. Символы открытого текста внутри каждого из блоков переставляют в соответствии с символами ключа внутри блока. Элемент ключа Ki в заданной позиции блока говорит о том, что на данное место будет помещен символ открытого текста с номером Ki из соответствующего блока.

Пример 4.5. Зашифруем открытый текст «ПРИЕЗЖАЮДНЕМ» методом перестановки с ключом К=3142.

Табл. 4.6. Шифрование методом простой перестановки

1 П

2 Р

3 И

4 Е

1 З

2 Ж

3 А

4 Ю

1 Д

2 Н

3 Е

4 М

3

1

4

2

3

1

4

2

3

1

4

2

И

П

Е

Р

А

З

Ю

Ж

Е

Д

М

Н

Для дешифрования шифротекста необходимо символы шифротекста перемещать в позицию, указанную соответствующим им символом ключа Ki.

Табл. 4.7. Дешифрование методом простой перестановки

1 И

2 П

3 Е

4 Р

1 А

2 З

3 Ю

4 Ж

1 Е

2 Д

3 М

4 Н

3

1

4

2

3

1

4

2

3

1

4

2

П

Р

И

Е

З

Ж

А

Ю

Д

Н

Е

М

Алгоритм Гамильтона

Весьма высокую стойкость шифрования можно обеспечить усложнением перестановок по маршрутам типа гамильтоновских. При этом, для записи символов шифруемого текста используются вершины некоторого гиперкуба, а знаки зашифрованного текста считываются по маршрутам Гамильтона, причем используется восемь различных маршрутов. Размер ключа перестановки в данном случае равен восьми по числу вершин куба. Для примера, два из маршрутов Гамильтона представлено на рис. 4.2. Первому маршруту соответствует перестановка 4-0-2-3-1-5-7-6, второму 4-6-2-0-1-5-7-3 (нумерация символов в блоке осуществляется с нуля).



Рис. 4.2. Пример маршрутов Гамильтона

Пример 4.6. Зашифруем открытый текст «ВОСЕМЬ МАРШРУТОВ» с помощью перестановок Гамильтона при использовании в качестве ключа двух перестановок, представленных на рис. 4.2. Например, буква В меняется на букву М, стоящую на 4 месте текста согласно цифре ключа, буква О меняется на букву В и т.д.

Табл. 4.8. Шифрование методом Гамильтона

0	1	2	3	4	5	6	7	0	1	2	3	4	5	6	7
В	О	С	Е	М	Ь		М	А	Р	Ш	Р	У	Т	О	В
4	0	2	3	1	5	7	6	4	6	2	0	1	5	7	3
М	В	С	Е	О	Ь	М		У	О	Ш	А	Р	Т	В	Р

Для дешифрования используем те же ключи и постановку символов на их позиции в блоке согласно цифре ключа. При дешифровании буквы просто ставятся на свои места, а не меняются:

Табл. 4.9. Дешифрование методом Гамильтона

0	1	2	3	4	5	6	7	0	1	2	3	4	5	6	7
М	В	С	Е	О	Ь	М		У	О	Ш	А	Р	Т	В	Р
4	0	2	3	1	5	7	6	4	6	2	0	1	5	7	3
В	О	С	Е	М	Ь		М	А	Р	Ш	Р	У	Т	О	В

Шифрование методом гаммирования

Под гаммированием понимают наложение на открытые данные по определенному закону гаммы шифра (двоичного числа, сформированного на основе генератора случайных чисел) [3] .

Гамма шифра - псевдослучайная последовательность, вырабатываемая по определенному алгоритму, используемая для шифровки открытых данных и дешифровки шифротекста.

Общая схема шифрования методом гаммирования представлена на рис. 4.3.

Рис. 4.3. Схема шифрования методом гаммирования

Принцип шифрования заключается в формировании генератором псевдослучайных чисел (ГПСЧ) гаммы шифра и наложении этой гаммы на открытые данные обратимым образом, например, путем сложения по модулю два. Процесс дешифрования данных сводится к повторной генерации гаммы шифра и наложении гаммы на зашифрованные данные. Ключом шифрования в данном случае является начальное состояние генератора псевдослучайных чисел. При одном и том же начальном состоянии ГПСЧ будет формировать одни и те же псевдослучайные последовательности.

Перед шифрованием открытые данные обычно разбивают на блоки одинаковой длины, например, по 64 бита. Гамма шифра также вырабатывается в виде последовательности блоков той же длины.

Стойкость шифрования методом гаммирования определяется главным образом свойствами гаммы - длиной периода и равномерностью статистических характеристик. Последнее свойство обеспечивает отсутствие закономерностей в появлении различных символов в пределах периода. Полученный зашифрованный текст является достаточно трудным для раскрытия. По сути дела гамма шифра должна изменяться случайным образом для каждого шифруемого блока.

Обычно разделяют две разновидности гаммирования - с конечной и бесконечной гаммами. При хороших статистических свойствах гаммы стойкость шифрования определяется только длиной периода гаммы. При этом, если длина периода гаммы превышает длину шифруемого текста, то такой шифр теоретически является абсолютно стойким, т.е. его нельзя вскрыть при помощи статистической обработки зашифрованного текста, а можно раскрыть только прямым перебором. Криптостойкость в этом случае определяется размером ключа.

4.3 Элементы криптоанализа

Любая попытка со стороны злоумышленника расшифровать шифротекст C и получить открытый текст М не имея подлинного ключа, называется криптоаналитической атакой.

Криптоанализ -- наука о методах получения исходного значения зашифрованной информации, не имея доступа к секретной информации (ключу), необходимой для этого. В большинстве случаев под этим подразумевается нахождение ключа. Проще говоря, криптоанализ -- это взламывание кода, хотя этот термин имеет и строго технические значение.

Под термином «криптоанализ» также понимается попытка найти уязвимость в криптографическом алгоритме или протоколе. Хотя основная цель осталась неизменной с течением времени, методы криптоанализа претерпели значительные изменения, эволюционировав от использовния лишь ручки и бумаги до широкого применения вычислительных мощностей компьютеров в наши дни. Если раньше криптоаналитиками были большей частью лингвисты, то в наше время это удел «чистых» математиков.

Один из широко используемых методов криптоанализа для недостаточно криптостойких алгоритмов заключается в анализе частотности символов, встречающихся в зашифрованном тексте.

Особенностью большинства искусственных языков (и всех естественных) является то, что они имеют характерное частотное распределение букв и других знаков.

При этом многие, недостаточно стойкие простейшие алгоритмы шифрования сохраняют частотность символов в тексте. В основном этот недостаток свойственен простейшим методам замены (например, шифру Цезаря и ему подобным). Это распределение частотности дает криптоаналитику путь к раскрытию шифра [11].

Частотное распределение букв русского и английского алфавита в художественных текстах представлено ниже.



Исследовав шифротекст и обнаружив, что наиболее часто встречаемый в нем символ - это «Б», а второй по встречаемости - «К», криптоаналитик может сделать вывод, что символ «Б» это «Пробел», а «К» это буква «о».

Таким образом, путем анализа частотности символов шифротекста и сравнения их с частотностями букв русского (английского) текста можно составить таблицу замен и дешифровать шифротекст.

При вскрытии шифротекста необходимо иметь в виду, что отдельные буквы имеют примерно одинаковую частоту встречаемости в текстах. Например, буквы «а» и «е», «р» и «в», «л» и «с». Для таких букв сформированные замены могут оказаться неверными. В этом случае, необходим интеллектуальный эвристический анализ человеком полученного в результате дешифровки текста. Цель эвристического анализа - выявить те замены, которые оказались неверными (по смыслу текста), и сформировать верные замены.

Принимая во внимание выше приведенный факт, следует отметить, что дешифровка путем составления таблицы замен сразу всех символов закрытого текста может вызвать проблемы. Как правило, производят дешифровку первых 15-20 наиболее часто встречаемых в шифротексте символов, далее делают интеллектуальные подмены, далее остальные символы дешифруют по смыслу теста (принимая во внимание их частотности).

4.4 Современные симметричные системы шифрования

При построении стойких шифров необходимо использовать два основных принципа - рассеивание и перемешивание [3].

Рассеивание предполагает распространение влияния одного знака открытого текста на множество знаков шифротекста, что позволяет скрыть статистические свойства открытого текста.

Перемешивание предполагает использование таких шифрующих преобразований, которые усложняют восстановление взаимосвязи статистических свойств открытого текста и шифротекста.

Обычно для достижения эффектов рассеивания и перемешивания используют шифры, реализованные в виде последовательности простых традиционных шифров, каждый из которых вносит свой вклад в суммарное рассеивание и перемешивание. Наиболее часто при этом используют традиционные шифры перестановки и замены.

При многократном чередовании простых перестановок и замен, управляемых достаточно длинным секретным ключом, можно получить очень стойкий шифр с хорошим рассеиванием и перемешиванием. Большинство существующих стандартов шифрования построены в полном соответствии с данной методологией.

Алгоритм, изложенный в стандарте DES (Data Encryption Standard), широко применялся до 2002 года для шифрования данных в США [12]. Он был разработан фирмой IBM для собственных целей, но после был рекомендован к применению в качестве федерального стандарта шифрования. Алгоритм DES не является закрытым и был опубликован для широкого ознакомления. Алгоритм предназначен для шифровки и расшифровки блоков данных длиной по 64 бита под управлением 64-битового ключа, в котором значащими являются 56 бит. Дешифрование в DES выполняется путем повторения операций шифрования в обратной последовательности.

Обобщенная схема шифрования алгоритма DES представлена на рис. 4.4

Рис. 4.4. Обобщенная схема шифрования алгоритма DES

Число различных ключей DES-алгоритма равно 256 = 7*1016. Недавние исследования показали, что современная технология позволяет создать вычислительное устройство стоимостью около 1 млн. долларов, способное вскрыть секретный ключ с помощью полного перебора в среднем за 3,5 часа.

В настоящее время криптостойкость алгоритма DES не удовлетворяет реальным потребностям, в связи с чем данный алгоритм в настоящее время заменен в США на более стойкий алгоритм AES.

Российская Федерация имеет свой собственный стандарт симметричного шифрования. Этот стандарт закреплен ГОСТом №28147-89, принятом в 1989 году в СССР [13]. Данный стандарт обязателен для организаций, предприятий и учреждений, применяющих криптографическую защиту данных, относящихся к государственной тайне, хранимых и передаваемых в сетях ЭВМ и в отдельных вычислительных комплексах. Помимо нескольких тесно связанных между собой процедур шифрования, в стандарте описан алгоритм выработки имитовставки.

Имитовставка есть криптографическая контрольная комбинация, то есть код, вырабатываемый из исходных данных с использованием секретного ключа с целью имитозащиты, т.е. защиты данных от внесения в них несанкционированных изменений.

Алгоритм предусматривает четыре режима работы:

- шифрование данных в режиме простой замены;

- шифрование данных в режиме гаммирования;

- шифрование данных в режиме гаммирования с обратной связью;

- выработка имитовставки.

В ГОСТе ключевая информация состоит из двух структур данных - собственно ключа, необходимого для всех шифров, и таблицы замен. Ключ является массивом из восьми 32-битных элементов кода (всего 256 бит).

Имитовставка добавляется к зашифрованным данным для обеспечения их имитозащиты.

Рассмотрим вопрос качества ключевой информации и источников ключей. Ключ должен являться массивом статистически независимых битов, принимающих с равной вероятностью значения 0 и 1.

Если ключи вырабатываются с помощью генератора псевдослучайных чисел, то для отбраковки ключей с плохими статистическими характеристиками могут быть использованы различные статистические критерии. На практике обычно хватает двух критериев - для проверки равновероятного распределения битов ключа между значениями 0 и 1 обычно используется критерий «хи -квадрат», а для проверки независимости битов ключа - критерий серий.

4.5 Асимметричные криптосистемы

Принципы асимметричного шифрования

Наряду с вычислительной простотой и интуитивной понятностью симметричных криптосистем, они обладают рядом серьезных недостатков. К основным недостаткам симметричных криптосистем относят проблему распространения симметричных ключей и проблему их хранения [3].

При использовании симметричных криптосистем для шифрования информации между пользователями криптографической сети необходимо обеспечить безопасную передачу ключей шифрования между всеми доверенными пользователями (участниками криптографического обмена). При этом передача ключа шифрования обязательно должна осуществляться по закрытому каналу, так как перехват злоумышленником данного ключа ведет к компрометации всей криптографической сети.

В связи с этим, использование симметричных алгоритмов предполагает наличие взаимного доверия сторон. Вероятность компрометации ключей тем выше, чем большее количество пользователей входит в криптографическую сеть. Это является большим недостатком симметричных криптосистем.

В отличие от симметричных криптосистем, асимметричные криптосистемы используют различные ключи для шифрования и дешифрования сообщений.

Ключи в асимметричных криптосистемах всегда генерируются парами и состоят из двух частей - открытого ключа (ОК) и секретного ключа (СК).

Открытый ключ используется для шифрования информации, является доступным для всех пользователей и может быть опубликован в общедоступном месте для использования всеми пользователями криптографической сети. Дешифрование информации с помощью открытого ключа невозможно.

Секретный ключ является закрытым и не может быть восстановлен злоумышленником из открытого ключа. Этот ключ используется для дешифрования информации и хранится только у одного пользователя - сгенерировавшего ключевую пару.

Функциональная схема взаимодействия участников асимметричного криптографического обмена представлена на рис. 4.5.

В данной схеме участвует получатель секретного сообщения А и отправитель секретного сообщения B. ОКА - открытый ключ пользователя А, СКА - секретный ключ пользователя А. Ключевая пара (ОКА, СКА) сгенерирована на стороне получателя А, после чего открытый ключ данной пары ОКА отправляется по открытому каналу пользователю B. Предполагается, что злоумышленнику также известен открытый ключ ОКА.

Рис. 4.5. Функциональная схема асимметричной криптосистемы

Отправитель B, зная открытый ключ получателя А, может зашифровать на данном ключе открытый текст и переслать его пользователю А. Пользователь А с помощью своего секретного ключа, соответствующего ОКА, может дешифровать присланное пользователем B сообщение. Злоумышленник, зная ОКА и закрытый текст, не может получить доступ не к СКА, не к открытому тексту.

Рис 4.5 отражает только одностороннюю схему взаимодействия в рамках асимметричных криптосистем. Для реализации двустороннего обмена необходима реализация следующих шагов:

1. Пользователь A генерирует ключевую пару (ОКА, СКА).

2. Пользователь B генерирует ключевую пару (ОКB, СКB).

3. Пользователи A и B должны обменяться своими открытыми ключами. Пользователь А передает свой открытый ключ ОКА пользователю B, пользователь B передает свой открытый ключ ОКB пользователю A.

4. Пользователь А шифрует информацию для пользователя B на ключе ОКB, пользователь B шифрует информацию для пользователя A на ключе ОКA.

5. Пользователь А дешифрует информацию, присланную ему от пользователя B, на ключе СКА, пользователь B дешифрует информацию, присланную ему от пользователя A, на ключе СКB.

Обмен открытыми ключами в современных криптографических сетях, насчитывающих десятки и даже сотни тысяч пользователей более удобно реализовывать, используя специально выделенные для этого центры распределения ключей. Пользователь A может выложить на центр распределения ключей свой открытый ключ и любой другой пользователь, желающий шифровать информацию для A, может обратиться в данный центр и забрать его открытый ключ. Схема распределения ключей в данном случае может выглядеть следующим образом (рис. 4.6).

Рис. 4.6. Схема распределения ОК с использованием центра распределения ключей

В настоящее время все более распространенным подходом к распределению ключей становится подход, основанный на реализации инфраструктуры открытых ключей PKI и удостоверяющих центров (УЦ).

У. Диффи и М. Хеллман сформулировали требования, выполнение которых обеспечивает безопасность асимметричной криптосистемы [14]:

1. Вычисление ключевой пары (ОК, СК) должно быть достаточно простым.

2. Отправитель, зная открытый ключ получателя, может легко получить шифротекст.

3. Получатель, используя свой секретный ключ, может легко из шифротекста восстановить исходное сообщение.

4. Знание открытого ключа злоумышленником не должно влиять на криптостойкость системы. При попытке вычислить злоумышленником закрытый ключ по открытому, он должен наталкиваться на непреодолимую вычислительную проблему.

5. Злоумышленник, зная шифротекст и открытый ключ, на котором осуществлялось шифрование, при попытке восстановить исходный текст должен наталкиваться на трудно преодолимую вычислительную проблему.

Однонаправленные функции

Реализация асимметричных криптосистем основана на использовании однонаправленных функций [10].

Пусть X и Y - некоторые произвольные множества. Функция называется однонаправленной функцией, если для любого элемента можно легко вычислить его образ , однако, зная элемент , достаточно сложно получить его прообраз , хотя такой элемент x однозначно существует, хотя бы один.

Одним из основных критериев, по которому функцию f можно считать однонаправленной, является отсутствие эффективных алгоритмов обратного преобразования для ряда математических функций, что не позволяет обратить данную функцию за приемлемое время.

Рассмотрим несколько примеров однонаправленных функций, имеющих большое значение для криптографии.

Целочисленное умножение

Вычисление произведения двух очень больших целых чисел P и Q (N=P*Q) является несложной задачей для ЭВМ. Однако, решение обратной задачи, заключающейся в нахождении делителей P и Q большого числа N (в особенности, когда P и Q - большие простые числа), является практически неразрешимой задачей. Если N264 и PQ, то задача факторизации не разрешима за приемлемое время на современных ЭВМ. Поэтому целочисленное умножение можно считать однонаправленной функцией.

Модульная экспонента

Возведение очень большого числа A в очень большую степень x (), то есть вычисление , где модуль M тоже большое число, является также несложной задачей для ЭВМ. Однако решение обратной задачи - нахождения степени x по известным у, A, M является задачей дискретного логарифмирования, , которая практически не разрешима за приемлемое время на современных ЭВМ (эффективного алгоритма вычисления дискретного логарифма пока не найдено). Поэтому модульную экспоненту можно считать также однонаправленной функцией.

Рассмотрим простую интерпретацию сказанного. Пусть задано: А=2, х=2, М=4. Тогда = 0. Пусть А=2, х=3, М=4. Тогда = 0. Отсюда видно, что по у вычислить х можно только полным перебором всех вариантов даже, если известны А и М.

Кроме однонаправленных функций важное значение для криптографии с открытым ключом имеют однонаправленные функции с «потайным входом», эффективное обращение которых возможно, если известен секретный «потайной ход» (секретное число или другая информация, ассоциируемая с функцией).

Алгоритм шифрования RSA

Алгоритм RSA был предложен в 1978 году Р.Райвестом, А. Шамиром, А. Адлеманом и был назван по первым буквам фамилий его авторов. Данный алгоритм стал первым алгоритмом шифрования с открытым ключом. Надежность данного алгоритма основывается на трудности факторизации больших чисел и вычисления дискретных логарифмов [15,3].

В криптосистеме RSA открытый ключ ОК, секретный ключ СК, исходное сообщение М и шифротекст С являются целыми числами от 0 до N-1, где N - модуль.

Пусть пользователь А является получателем сообщения, которое ему должен переслать отправитель B.

Пользователь A должен вначале сгенерировать ключевую пару RSA, это он делает следующим образом.

Алгоритм формирования ключевой пары пользователем А

1. Выбираем случайные большие простые числа P и Q. Для обеспечения

максимальной безопасности P и Q выбирают примерно равной длины и хранят в секрете.

2. Вычисляем модуль . Формируем функцию Эйлера

.

3. Открытый ключ ОКА выбирается случайно таким образом, чтобы выполнялись следующие условия:

1< ОКA <, НОД(ОКА, ) = 1

4. Секретный ключ СКA находится по сформированному открытому ключу так, что

Здесь функция mod - функция взятия остатка от деления. Пользователь A может легко сформировать СКА, зная числа P и Q, а значит и .

Любой другой пользователь не может, зная открытый ключ ОКА вычислить СКА, так как ему не известны числа P и Q. Для их нахождения ему потребуется факторизовать известное ему большое число N, что является вычислительно сложной задачей.

Шифрование и дешифрование сообщений в криптосистеме RSA

Для того, чтобы зашифровать открытое сообщение M, отправитель B должен возвести его в степень открытого ключа пользователя А по модулю N. То есть шифрование выполняется в соответствие с формулой

Обращение данной функции, то есть определение значения M по известным значениям С, ОКА, N практически не осуществимо при больших N ().

Однако знание секретного ключа СКА позволяет обратить данную функцию, то есть решить задачу дешифровки криптограммы C. Для дешифровки криптограммы С необходимо возвести ее в степень секретного ключа пользователя А по модулю N. Таким образом, дешифрование сообщения выполняется в соответствие с формулой

Получатель А, который создает ключевую пару (ОКА,СКА) защищает два параметра: информационный идентификация хеширование интрасеть

· секретный ключ СКА.

· пару чисел P и Q.

Рассекречивание данных чисел приводит к тому, что злоумышленник сможет вычислить , а значит и вычислить секретный ключ СКА согласно (4.10).

Открытыми в криптосистеме RSA являются только значения ОКА и N.

В настоящее время разработчики криптоалгоритмов с открытым ключом на базе RSA предлагают применять в качестве чисел P, Q, N - числа длиной не менее 200 - 300 десятичных разрядов.

Пример 4.7. Зашифруем сообщение DAC по алгоритму RSA. Для простоты вычислений будем оперировать с небольшими числами P и Q.

Действия получателя А

1. Выберем P = 3 и Q = 11.

2. Найдем .

3.

4. В качестве ОКА необходимо выбрать значение, удовлетворяющее

условиям , . Пусть ОКА = 7.

5. Необходимо найти СКА, такой что .

Этому условию удовлетворяет число СКА = 3, определяемое подбором. Оно не единственно. Действительно, .

6. Отправляем пользователю B пару чисел по открытому каналу связи

(N = 33, ОКА = 7).

Действия отправителя B

Тогда открытый текст DAC запишется в виде последовательности чисел 413, то есть M1 = 4, M2 = 1, M3 = 3.

2. Сформируем шифротекст по формуле 4.8:

,

,

.

2. B отправляет для A криптограмму {C1, C2, C3 }= {16, 1, 9}.

Действия пользователя A

1. Раскрываем шифротекст по формуле 4.11:

,

,

Таким образом, восстановлено исходное сообщение M1 = 4 = D, M2 = 1 = A, M3 = 3 = C. Исходное сообщение - DAC.

4.6 Сравнение симметричных криптосистем с асимметричными

Достоинства:

· скорость (по данным Applied Cryptography -- на 3 порядка выше);

· простота реализации (за счет более простых операций);

· меньшая требуемая длина ключа при сопоставимой стойкости;

· изученность.

Недостатки:

· сложность управления ключами в большой сети, которые постоянно надо генерировать, передавать, хранить и уничтожать.

· сложность обмена ключами. Для применения необходимо решить проблему надежной передачи ключей каждому абоненту, так как нужен секретный канал для передачи каждого ключа обеим сторонам.

Для компенсации недостатков симметричного шифрования в настоящее время широко применяется комбинированная (гибридная) криптографическая схема, где с помощью асимметричного шифрования передается сеансовый ключ, используемый сторонами для обмена данными с помощью симметричного шифрования.

Отличительным свойством симметричных шифров является невозможность их использования для подтверждения авторства, так как ключ известен каждой стороне.



5. Контроль целостности информации. Электронно-цифровая подпись

5.1 Проблема обеспечения целостности информации

В настоящее время повсеместное внедрение информационных технологий отразилось и на технологии документооборота внутри организаций и между ними, между отдельными пользователями. Все большее значение в данной сфере приобретает электронный документооборот, позволяющий отказаться от бумажных носителей (или снизить их долю в общем потоке) и осуществлять обмен документами между субъектами в электронном виде. Преимущества данного подхода очевидны: снижение затрат на обработку и хранение документов, быстрый поиск. В эпоху «информационного бума» данный подход является единственным выходом из затруднительного положения, связанного с ростом объемов обрабатываемой информации.

Однако переход от бумажного документооборота к электроному ставит ряд проблем, связанных с обеспечением целостности передаваемого документа и аутентификации подлинности его автора.

Как для отправителя, так и для получателя электронного сообщения необходима гарантия того, что данное сообщение не было изменено в процессе его передачи. Необходима реализация технологии документооборота, затрудняющая злоумышленнику вносить преднамеренные искажения в передаваемый документ. Если же искажения в документ были внесены, то его получатель должен иметь возможность с вероятностью близкой к 100% распознать этот факт.

Проблема аутентификации подлинности автора сообщения заключается в обеспеч...