Оборудование        15.06.2019   

Введение в криптографию. Общие вопросы, проблемы и решения

  • Предисловие
  • Базовая терминология
  • Основные алгоритмы шифрования
  • Цифровые подписи
  • Криптографические хэш-функции

Предисловие

Разные люди понимают под шифрованием разные вещи. Дети играют в игрушечные шифры и секретные языки. Это, однако, не имеет ничего общего с настоящей криптографией. Настоящая криптография (strong cryptography ) должна обеспечивать такой уровень секретности, чтобы можно было надежно защитить критическую информацию от расшифровки крупными организациями --- такими как мафия, транснациональные корпорации и крупные государства. Настоящая криптография в прошлом использовалась лишь в военных целях. Однако сейчас, с становлением информационного общества, она становится центральным инструментом для обеспечения конфиденциальности.

По мере образования информационного общества, крупным государствам становятся доступны технологические средства тотального надзора за миллионами людей. Поэтому криптография становится одним из основных инструментов обеспечивающих конфиденциальность, доверие, авторизацию, электронные платежи, корпоративную безопасность и бесчисленное множество других важных вещей.

Криптография не является более придумкой военных, с которой не стоит связываться. Настала пора снять с криптографии покровы таинственности и использовать все ее возможности на пользу современному обществу. Широкое распространение криптографии является одним из немногих способов защитить человека от ситуации, когда он вдруг обнаруживает, что живет в тоталитарном государстве, которое может контролировать каждый его шаг.

Базовая терминология

Представьте, что вам надо отправить сообщение адресату. Вы хотите, чтобы никто кроме адресата не смог прочитать отправленную информацию. Однако всегда есть вероятность, что кто-либо вскроет конверт или перехватит электронное послание.

В криптографической терминологии исходное послание именуют открытым текстом (plaintext или cleartext ). Изменение исходного текста так, чтобы скрыть от прочих его содержание, называют шифрованием (encryption ). Зашифрованное сообщение называют шифротекстом (ciphertext ). Процесс, при котором из шифротекста извлекается открытый текст называют дешифровкой (decryption ). Обычно в процессе шифровки и дешифровки используется некий ключ (key ) и алгоритм обеспечивает, что дешифрование можно сделать лишь зная этот ключ.

Криптография --- это наука о том, как обеспечить секретность сообщения. Криптоанализ --- это наука о том, как вскрыть шифрованное сообщение, то есть как извлечь открытый текст не зная ключа. Криптографией занимаются криптографы , а криптоанализом занимаются криптоаналитики .

Криптография покрывает все практические аспекты секретного обмена сообщениями, включая аутенфикацию, цифровые подписи, электронные деньги и многое другое. Криптология --- это раздел математики, изучающий математические основы криптографических методов.

Основные алгоритмы шифрования

Метод шифровки/дешифровки называют шифром (cipher ). Некоторые алгоритмы шифрования основаны на том, что сам метод шифрования (алгоритм) является секретным. Ныне такие методы представляют лишь исторический интерес и не имеют практического значения. Все современные алгоритмы используют ключ для управления шифровкой и дешифровкой; сообщение может быть успешно дешифровано только если известен ключ. Ключ, используемый для дешифровки может не совпадать с ключом, используемым для шифрования, однако в большинстве алгоритмов ключи совпадают.

Алгоритмы с использованием ключа делятся на два класса: симметричные (или алгоритмы секретным ключом) и асиметричные (или алгоритмы с открытым ключом). Разница в том, что симметричные алгоритмы используют один и тот же ключ для шифрования и для дешифрования (или же ключ для дешифровки просто вычисляется по ключу шифровки). В то время как асимметричные алгоритмы используют разные ключи, и ключ для дешифровки не может быть вычислен по ключу шифровки.

Смметричные алгоритмы подразделяют на потоковые шифры и блочные шифры . Потоковые позволяют шифровать информацию побитово, в то время как блочные работают с некоторым набором бит данных (обычно размер блока составляет 64 бита) и шифруют этот набор как единое целое. Начальное представление о них можно получить в статье об алгоритмах.

Ассиметричные шифры (также именуемые алгоритмами с открытым ключом, или --- в более общем плане --- криптографией с открытым ключом) допускают, чтобы открытый ключ был доступн всем (скажем, опубликован в газете). Это позволяет любому зашифровать сообщение. Однако расшифровать это сообщение сможет только нужный человек (тот, кто владеет ключом дешифровки). Ключ для шифрования называют открытым ключом , а ключ для дешифрования --- закрытым ключом или секретным ключом .

Современные алгоритмы шифровки/дешифровки достаточно сложны и их невозможно проводить вручную. Настоящие криптографические алгоритмы разработаны для использования компьютерами или специальными аппаратными устройствами. В большинстве приложений криптография производится программным обеспечением и имеется множество доступных криптографических пакетов.

Вообще говоря, симметричные алгоритмы работают быстрее, чем ассиметричные. На практке оба типа алгоритмов часто используются вместе: алгоритм с открытым ключом используется для того, чтобы передать случайным образом сгенерированный секретный ключ, который затем используется для дешифровки сообщения.

Многие качественные криптографические алгоритмы доступны широко - в книжном магазине, библиотеке, патентном бюро или в Интернет. К широко известным симметричным алгоритмам относятся DES и IDEA, Наверное самым лучшим асимметричным алгоритмом является RSA. На страничке литературы приведен список хороших учебников по криптографии и смежным вопросам.

Цифровые подписи

Некоторые из асимметричных алгоритмов могут использоваться для генерирования цифровой подписи . Цифровой подписью называют блок данных, сгенерированный с использованием некоторого секретного ключа. При этом с помощью открытого ключа можно проверить, что данные были действительно сгенерированы с помощью этого секретного ключа. Алгоритм генерации цифровой подписи должен обеспечивать, чтобы было невозможно без секретного ключа создать подпись, которая при проверке окажется правильной.

Цифровые подписи используются для того, чтобы подтвердить, что сообщение пришло действительно от данного отправителя (в предположении, что лишь отправитель обладает секретным ключом, соответствующим его открытому ключу). Также подписи используются для проставления штампа времени (timestamp ) на документах: сторона, которой мы доверяем, подписывает документ со штампом времени с помошью своего секретного ключа и, таким образом, подтверждает, что документ уже существовал в момент, объявленный в штампе времени.

Цифровые подписи также можно использовать для удостоверения (сертификации --- to certify ) того, что документ принадлежит определенному лицу. Это делается так: открытый ключ и информация о том, кому он принадлежит подписываются стороной, которой доверяем. При этом доверять подписывающей стороне мы можем на основании того, что ее ключ был подписан третьей стороной. Таким образом возникает иерархия доверия. Очевидно, что некоторый ключ должен быть корнем иерархии (то есть ему мы доверяем не потому, что он кем-то подписан, а потому, что мы верим a-priori, что ему можно доверять). В централизованной инфраструктуре ключей имеется очень небольшое количество корневых ключей сети (например, облеченные полномочиями государственные агенства; их также называют сертификационными агенствами --- certification authorities ). В распределенной инфраструктуре нет необходимости иметь универсальные для всех корневые ключи, и каждая из сторон может доверять своему набору корневых ключей (скажем своему собственному ключу и ключам, ею подписанным). Эта концепция носит название сети доверия (web of trust ) и реализована, например, в PGP.

Цифровая подпись документа обычно создается так: из документа генерируется так называемый дайджест (message digest ) и к нему добавляется информация о том, кто подписывает документ, штамп времени и прочее. Получившаяся строка далее зашифровывается секретным ключом подписывающего с использованием того или иного алгоритма. Получившийся зашифрованный набор бит и представляет собой подпись. К подписи обычно прикладывается открытый ключ подписывающего. Получатель сначала решает для себя доверяет ли он тому, что открытый ключ принадлежит именно тому, кому должен принадлежать (с помощью сети доверия или априорного знания), и затем дешифрует подпись с помощью открытого ключа. Если подпись нормально дешифровалась, и ее содержимое соответствует документу (дайджест и др.), то сообщение считается подтвержденным.

Свободно доступны несколько методов создания и проверки цифровых подписей. Наиболее известным является алгоритм RSA.

Криптографические хэш-функции

Криптографические хэш-функции используются обычно для генерации дайджеста сообщения при создании цифровой подписи. Хэш-функции отображают сообщение в имеющее фиксированный размер хэш-значение (hash value ) таким образом, что все множество возможных сообщений распределяется равномерно по множеству хэш-значений. При этом криптографическая хэш-функция делает это таким образом, что практически невозможно подогнать документ к заданному хэш-значению.

Криптографические хэш-функции обычно производят значения длиной в 128 и более бит. Это число значительно больше, чем количество собщений, которые когда-либо будут существовать в мире.

Много хороших криптографических хэш-функций доступно бесплатно. Широко известные включают MD5 и SHA.

Криптографические генераторы случайных чисел

Криптографические генераторы случайных чисел производят случайные числа, которые используются в криптографических приложениях, например - для генерации ключей. Обычные генераторы случайных чисел, имеющиеся во многих языках программирования и программных средах, не подходят для нужд криптографии (они создавались с целью получить статистически случайное распределение, криптоаналитики могут предсказать поведение таких случайных генераторов).

В идеале случайные числа должны основываться на настоящем физическом источнике случайной информации, которую невозможно предсказать. Примеры таких источников включают шумящие полупроводниковые приборы, младшие биты оцифрованного звука, интервалы между прерываниями устройств или нажатиями клавиш. Полученный от физического источника шум затем "дистиллируется" криптографической хэш-функцией так, чтобы каждый бит зависел от каждого бита. Достаточно часто для хранения случайной информации используется довольно большой пул (несколько тысяч бит) и каждый бит пула делается зависимым от каждого бита шумовой информаци и каждого другого бита пула криптографически надежным (strong ) способом.

Когда нет настоящего физического источника шума, приходится пользоваться псевдослучайными числами. Такая ситуация нежелательна, но часто возникает на компьютерах общего назначения. Всегда желательно получить некий шум окружения --- скажем от величины задержек в устройствах, цифры статистики использования ресурсов, сетевой статистики, прерываний от клавиатуры или чего-то иного. Задачей является получить данные, непредсказуемые для внешнего наблюдателя. Для достижения этого случайный пул должен содержать как минимум 128 бит настоящей энтропии.

Криптографические генераторы псевдослучайных чисел обычно используют большой пул (seed-значение), содержащий случайную информацию. Биты генерируется путем выборки из пула с возможным прогоном через криптографическую хэш-функцию, чтобы спрятать содержимое пула от внешнего наблюдателя. Когда требуется новая порция бит, пул перемешивается путем шифровки со случайным ключом (его можно взять из неиспользованной пока части пула) так, чтобы каждый бит пула зависел от каждого другого бита. Новый шум окружения должен добавляться к пулу перед перемешиваниям, дабы сделать предсказание новых значений пула еще более сложным.

Несмотря на то, что при аккуратном проектировании криптографически надежный генератор случайных чисел реализовать не так уж и трудно, этот вопрос часто упускают из вида. Таким образом, следует подчеркнуть важность криптографического генератора случайных чисел --- если он сделан плохо, он может легко стать самым уязвимым элементом системы.

Доступны несколько примеров криптографических генераторов случайных чисел.

Обеспечиваемая шифром степень защиты

Хорошие криптографические системы создаются таким образом, чтобы сделать их вскрытие как можно более трудным делом. Можно построить системы, которые на практике невозможно вскрыть (хотя доказать сей факт обычно нельзя). При этом не требуется очень больших усилий для реализации. Единственное, что требуется --- это аккуратность и базовые знания. Нет прощения разработчику, если он оставил возможность для вскрытия системы. Все механизмы, которые могут использоваться для взлома системы надо задокументировать и довести до сведения конечных пользователей.

Теоретически, любой шифровальный алгоритм с использованием ключа может быть вскрыт методом перебора всех значений ключа. Если ключ подбирается методом грубой силы (brute force ), требуемая мощность компьютера растет экспоненциально с увеличением длины ключа. Ключ длиной в 32 бита требует 2^32 (около 10^9) шагов. Такая задача под силу любому дилетанту и решается на домашнем компьютере. Системы с 40-битным ключом (например, экспортный американский вариант алгоритма RC4) требуют 2^40 шагов --- такие компьютерные мощности имеются в большинстве университетов и даже в небольших компаниях. Системы с 56-битными ключами (DES) требуют для вскрытия заметных усилий, однако могут быть легко вскрыты с помощью специальной аппаратуры. Стоимость такой аппаратуры значительна, но доступна для мафии, крупных компаний и правительств. Ключи длиной 64 бита в настоящий момент, возможно, могут быть вскрыты крупными государствами и уже в ближайшие несколько лет будут доступны для вскрытия преступными организацими, крупными компаниями и небольшими государствами. Ключи длиной 80 бит могут в будущем стать уязвимыми. Ключи длиной 128 бит вероятно останутся недоступными для вскрытия методом грубой силы в обозримом будущем. Можно использовать и более длинные ключи. В пределе нетрудно добиться того, чтобы энергия, требуемая для вскрытия (считая, что на один шаг затрачивается минимальный квантовомеханический квант энергии) превзойдет массу солнца или вселенной.

Однако, длина ключа это еще не все. Многие шифры можно вскрыть и не перебирая всех возможных комбинаций. Вообще говоря, очень трудно придумать шифр, который нельзя было бы вскрыть другим более эффективным способом. Разработка собственных шифров может стать приятным занятием, но для реальных приложений использовать самодельные шифры не рекомендуется если вы не являетесь экспертом и не уверены на 100 процентов в том, что делаете.

Вообще говоря, следует держаться в стороне от неопубликованных или секретных алгоритмов. Часто разработчик такого алгоритма не уверен в его надежности, или же надежность зависит от секретности самого алгоритма. Вообще говоря, ни один алгоритм, секретность которого зависит от секретности самого алгоритма не явяется надежным. В частности, имея шифрующую программу, можно нанять прграммиста, который дизассемблирует ее и восстановит алгоритм методом обратной инженерии. Опыт показывает, что большинство секретных алгоритмов, ставших впоследствии достоянием общественности, оказались до смешного ненадежными.

Длины ключей, используемых в криптографии с открытым ключом обычно значительно больше, чем в симметричных алгоритмах. Здесь проблема заключается не в подборе ключа, а в воссоздании секретного ключа по открытому. В случае RSA проблема эквивалентна разложению на множители большого целого числа, которое является произведением пары неизвестных простых чисел. В случае некоторых других криптосистем, проблема эквивалентна вычислению дискретного логарифма по модулю большого целого числа (такая задача считается примерно аналогичной по трудности задаче разложения на множители). Имеются криптосистемы, которые используют другие проблемы.

Чтобы дать представление о степени сложности вскрытия RSA, скажем, что модули длиной 256 бит легко факторизуются обычными программистами. Ключи в 384 бита могут быть вскрыты исследовательской группой университета или компании. 512-битные ключи находятся в пределах досягаемости крупных государств. Ключи длиной в 768 бит вероятно не будут надежны продолжительное время. Ключи длиной в 1024 бит могут считаться безопасными до тех пор, пока не будет существенного прогресса в алгоритме факторизации; ключи длиной в 2048 большинство считает надежными на десятилетия. Более подробную информацию о длинах ключей RSA можно почерпнуть из статьи Брюса Шнайера (Bruce Scheier).

Важно подчеркнуть, что степень надежности криптографической системы определяется ее слабейшим звеном . Нельзя упускать из вида ни одного аспекта разработки системы --- от выбора алгоритма до политики использования и распространения ключей.

Криптоанализ и атаки на криптосистемы

Криптоанализ - это наука о дешифровке закодированных сообщений не зная ключей. Имеется много криптоаналитических подходов. Некоторые из наиболее важных для разработчиков приведены ниже.

  • Атака со знанием лишь шифрованного текста (ciphertext-only attack ): Это ситуация, когда атакующий не знает ничего о содержании сообщения, и ему приходтся работать лишь с самим шифрованным текстом. На практике, часто можно сделать правдоподобные предположения о структуре текста, поскольку многие сообщения имеют стандартные заголовки. Даже обычные письма и документы начинаются с легко предсказумой информации. Также часто можно предположить, что некоторый блок информации содержит заданное слово.
  • Атака со знанием содержимого шифровки (known-plaintext attack ): Атакующий знает или может угадать содержимое всего или части зашифрованного текста. Задача заключается в расшифровке остального сообщения. Это можно сделать либо путем вычисления ключа шифровки, либо минуя это.
  • Атака с заданным текстом (chosen-plaintext attack ): Атакующий имеет возможнот получить шифрованный документ для любого нужного ему текста, но не знает ключа. Задачей является нахождение ключа. Некоторые методы шифрования и, в частности, RSA, весьма уязвимы для атак этого типа. При использовании таких алгоритмов надо тщательно следить, чтобы атакующий не мог зашифровать заданный им текст.
  • Атака с подставкой (Man-in-the-middle attack ): Атака направлена на обмен шифрованными сообщениями и, в особенности, на протокол обмена ключами. Идея заключается в том, что когда две стороны обмениваются ключами для секретной коммуникации (например, используя шифр Диффи-Хелмана, Diffie-Hellman), противник внедряется между ними на линии обмена сообщениями. Далее противник выдает каждой стороне свои ключи. В результате, каждая из сторон будет иметь разные ключи, каждый из которых известен противнику. Теперь противник будет расшифровывать каждое сообщение своим ключом и затем зашифровывать его с помощью другого ключа перед отправкой адресату. Стороны будут иметь иллюзию секретной переписки, в то время как на самом деле противник читает все сообщения.

Одним из способов предотвратить такой тип атак заключается в том, что стороны при обмене ключами вычисляют криптографическую хэш-функцию значения протокола обмена (или по меньшей мере значения ключей), подписывают ее алгоритмом цифровой подписи и посылают подпись другой стороне. Получатель проверит подпись и то, что значение хэш-функции совпадает с вычисленным значением. Такой метод используется, в частности, в системе Фотурис (Photuris).

    Атака с помощью таймера (timing attack ): Этот новый тип атак основан на последовательном измерении времен, затрачиваемых на выполнение операции возведения в стенень по модулю целого числа. Ей подвержены по крайней мере следующие шифры: RSA, Диффи-Хеллман и метод эллиптических кривых. В статье Пола Кочера подробно рассмотрен этот метод.

Имеется множество других криптографических атак и криптоаналитических подходов. Однако приведенные выше являются, по-видимому, наиболее важными для практической разработки систем. Если кто-либо собирается создавать свой алгоритм шифрования, ему необходимо понимать данные вопросы значительно глубже. Одно из мест, где можно начать систематическое изучение информации --- это замечательная книга Брюса Шнейера "Прикладная криптография" (Bruce Schneier, Applied Cryptography).

Перевод статьи Tatu Ylonen "Introduction to Cryptography"

Введение в криптографию - страница №1/5

1.2. Из истории криптографии 7

1.3. Модели источников открытых текстов 16

1.3.1 Детерминированные модели 16

1.3.2 Вероятностные модели 17

1.4. Модели шифров 20

2. Симметричные криптосистемы и их свойства 23

2.1. Шифры замены 23

2.2. Шифры перестановки 25

2.3. Поточные криптосистемы 28

2.4. Блочные криптосистемы 34

2.4.1. Принципы построения блочных криптосистем 34

2.4.2. Режимы шифрования 37

2.4.3. Усложнение блочных криптосистем 40

2.4.4. Блочная криптосистема DES 41

2.4.5. Блочная криптосистема ГОСТ 28147-89 43

2.4.6. Конкурс AES и блочная криптосистема Rijndael 44

3. Методы криптоанализа симметричных криптосистем 49

3.1. Задачи и принципы криптоанализа 49

3.2. Метод полного перебора 50

3.3. Методы бесключевого чтения 52

3.4. Методы криптоанализа с использованием теории

статистических решений 56

3.5. Линейный криптоанализ 59

3.6 Дифференциальный (разностный) криптоанализ 64

4. Теория стойкости криптосистем 68

4.1. Совершенно стойкие криптосистемы 68

4.2. Идеально стойкие криптосистемы 70

4.3. Практическая стойкость криптосистем 73

4.4. Имитостойкость и помехоустойчивость криптосистем 76

Литература 80

1. Введение в криптографию
Исторический процесс развития средств и методов защиты информации выработал три основных способа защиты.

Первый способ защиты информации – физическая защита от противника материального носителя информации (пергамента, бумаги, магнитной ленты и т.д.), например, передача информации специальным курьером с охраной, перстень с контейнером для тайного послания и т.п.

Второй способ защиты информации – стеганография. Применение стеганографии обеспечивает сокрытие от противника самого факта передачи информации. Стеганографическая защита информации обеспечивается различными способами, например:

Использованием «невидимых» носителей информации (микропленок);

Применением симпатических чернил, которые становятся видимыми при соответствующей химической обработки носителя информации;

Маскированием секретной информации обычным посланием и т.д.

В современной стеганографии имеется достаточно широкий спектр методов защиты информации .

Третий, наиболее надежный и распространенный способ защиты информации – криптографический. Именно криптографическим методам защиты информации и посвящено данное учебное пособие.


1.1. Основные понятия и определения криптографии
Рассмотрим основные понятия, принятые в криптографии , и вначале определим, что такое криптография.

Криптография - это раздел прикладной математики (криптологии), изучающий модели, методы, алгоритмы, программные и аппаратные средства преобразования информации (шифрования) в целях сокрытия ее содержания, предотвращения видоизменения или несанкционированного использования. На решение взаимообратных задач нацелен криптоанализ. Криптоанализ - это раздел прикладной математики (криптологии), изучающий модели, методы, алгоритмы, программные и аппаратные средства анализа криптосистем или их входных и выходных сигналов с целью извлечения конфиденциальных параметров, включая открытый текст. Таким образом, криптография и криптоанализ составляют единое целое и образуют науку - криптологию , которая с самого начала развивалась как двуединая наука.

Исторически центральным понятием криптографии является понятие шифра. Шифром называется совокупность обратимых криптографических преобразований множества открытых текстов на множество зашифрованных текстов, проводимых с целью их защиты. Конкретный вид криптографического преобразования открытого текста определяется с помощью ключа шифрования. Открытым текстом называют исходное сообщение, которое подлежит зашифрованию. Под зашифрованием понимается процесс применения обратимого криптографического преобразования к открытому тексту, а результат этого преобразования называется шифртекстом или криптограммой . Соответственно, процесс обратного криптографического преобразования криптограммы в открытый текст называется расшифрованием .

Расшифрование нельзя путать с дешифрованием. Дешифрование (дешифровка , взлом ) - процесс извлечения открытого текста без знания криптографического ключа на основе перехваченных криптограмм. Таким образом, расшифрование проводится законным пользователем, знающим ключ шифра, а дешифрование - криптоаналитиком.

Криптографическая система - семейство преобразований шифра и совокупность ключей. Само по себе описание криптографического алгоритма не является криптосистемой. Только дополненное схемами распределения и управления ключами оно становится системой.

Классификация криптосистем представлена на рис. 1.1.




Рис. 1.1. Классификация криптосистем
Более полная классификация криптосистем приведена, например в .

Симметричные криптосистемы (криптосистемы с секретным ключом ) построены на принципе сохранения в тайне ключа шифрования. На рис. 1.2 представлена упрощенная структурная схема симметричной криптосистемы. Перед использованием симметричной криптосистемы пользователи должны получить общий секретный ключ и исключить доступ к нему злоумышленника. Открытое сообщение
подвергается криптографическому преобразованию
и полученная криптограмма по открытому каналу связи передается получателю, где осуществляется обратное преобразование
с целью выделения исходного открытого сообщения
.

Рис. 1.2. Упрощенная структурная схема симметричной криптосистемы


Симметричные криптосистемы классифицируются по различным признакам : по виду криптографического преобразования; по конструктивным принципам; по виду защищаемой информации; по криптографической стойкости и т.д. Чаще всего используются первые два признака классификации. В связи с этим множество симметричных криптосистем делится:

По виду криптографического преобразования – на шифры перестановки, шифры замены и композиционные шифры;

По конструктивным принципам – на поточные криптосистемы и блочные криптосистемы.

Под шифром перестановки понимается переупорядочение букв исходного сообщения, в результате которого он становиться нечитаемым. Под шифром замены понимается преобразование, которое заключается в замене букв исходного сообщения на другие буквы по более или менее сложному правилу. Композиционные шифры строятся на основе шифров замены и перестановки. Блочные симметричные криптосистемы (БСК) представляют собой семейство обратимых криптографических преобразований блоков исходного сообщения. Поточные криптосистемы (ПСК) преобразуют посимвольно исходное сообщение в криптограмму.

Отличительной особенностью асимметричных криптосистем (криптосистем с открытым ключом ) является то, что для зашифрования и расшифрования информации используются разные ключи. На рис. 1.3 представлена упрощенная структурная схема асимметричной криптосистемы. Криптосистема с открытым ключом определяется тремя алгоритмами: генерации ключей, шифрования и расшифрования. Алгоритм генерации ключей позволяет получить пару ключей
, причем
. Один из ключей публикуется, он называется открытым , а второй , называется закрытым (или секретным) и храниться в тайне. Алгоритмы шифрования
и расшифрования
таковы, что для любого открытого текста
выполняется равенство
.

Рис. 1.3. Упрощенная структурная схема асимметричной криптосистемы


1.2. Из истории криптографии
По мнению ряда специалистов, криптография по возрасту – ровесник египетских пирамид. В документах древних цивилизаций (Индии, Египта, Месопотамии) есть сведения о системах и способах составления шифрованных писем.

В криптографии с древних времен использовались два вида шифров: замены (подстановки) и перестановки. Историческим примером шифра замены является шифр Цезаря (I век до н.э.), описанный историком Древнего Рима Светонием. Гай Юлий Цезарь использовал в своей переписке шифр собственного изобретения. Применительно к русскому языку он состоит в следующем. Выписывается алфавит, а затем под ним выписывается тот же алфавит, но с циклическим сдвигом на три буквы влево:



А

Б

В

Г

Д

Е



Э

Ю

Я

Г

Д

Е

Ё

Ж

З



А

Б

В

Зашифрование заключается в выборе буквы из первой строки и замену ее на букву второй строки, расшифрование представляет собой обратную операцию. Например, РИМ – УЛП. Ключом шифра Цезаря является величина циклического сдвига. Гай Юлий Цезарь всю жизнь использовал один и тот же ключ – сдвиг на 3 буквы. Приемник Юлия Цезаря – Цезарь Август использовал тот же шифр, но со сдвигом на одну букву. Светоний не приводит фактов дешифрования шифра Цезаря, однако в те времена, когда царила всеобщая неграмотность, даже обычное открытое послание могло остаться непрочитанным.

Одним из первых физических приборов, реализующих шифр перестановки является скитала . Он был изобретен в древней Спарте (V век до н.э.). Кроме Древней Греции прибор скитала использовался широко и в Древнем Риме. Скитала (в переводе - «жезл») представляет собой цилиндр заданного диаметра. На цилиндр наматывался ремень из пергамента, на который наносился текст сообщения вдоль оси цилиндра. Затем ремень сматывался и отправлялся получателю сообщения. Последний, имея аналогичный цилиндр, расшифровывал сообщение. Ключом шифра является диаметр скитала. Изобретение дешифровального устройства приписывается Аристотелю. Он предложил использовать для дешифрования конусообразное «копье», на которое наматывался перехваченный ремень, до тех пор, пока не появлялся осмысленный текст.

Одним из первых исторических имен, которое упоминается в связи с криптографией, это имя Энея - легендарного полководца, защитника Трои. В области тайнописи Энею принадлежат два изобретения. Первое из них – так называемый диск Энея . Его принцип прост. На диске размером 10-15 см и толщиной 1-2 см высверливались отверстия по числу букв алфавита. В центре диска закреплена катушка с нитью. При зашифровании нитка последовательно протягивалась через отверстия соответствующие буквам послания. Диск отсылался получателю, который вытягивал нитку из отверстий и получал сообщение в обратном порядке. Другим устройством является линейка Энея . Здесь вместо диска использовалась линейка с числом отверстий, равным числу букв в алфавите. Буквы по отверстиям располагались в произвольном порядке. К линейке прикреплялась катушка с нитью. При шифровании нить протягивалась через отверстие, соответствующее букве шифруемого послания, при этом на нити в месте прохождения отверстия завязывался узелок. Таким образом, зашифрованное послание представляло собой нить с узелками, в которой каждой букве ставилось в соответствие расстояние между узелками нити. Ключом шифра являлся порядок следования букв по отверстиям линейки. Аналогичное линейке Энея кипу (узелковое письмо) получило широкое распространение у индейцев Центральной Америки.

Еще оно изобретение древних греков – квадрат Полибия (Полибий – греческий государственный деятель, полководец, историк III века до н.э):



A

B

C

D

E

A

A

B

C

D

E

B

F

G

H

I,J

K

C

L

M

N

O

P

D

Q

R

S

T

U

E

V

W

X

Y

Z

Применительно к современному латинскому алфавиту шифрование по этому квадрату заключалось в следующем. Шифруемая буква заменялась на координаты квадрата, в котором она записана. Так буква R заменяется на DB. При расшифровании каждая пара букв определяет соответствующую букву сообщения. Например, TABLE – DDAAABCAAE. Ключом этого шифра является сам квадрат. Усложненный вариант квадрата Полибия заключается в произвольном порядке записи букв в квадрате. При этом для запоминания такого произвольного порядка использовался лозунг, который представлял собой слово, записываемое без повтора букв в квадрат, а оставшиеся клетки квадрата заполнялись по порядку их следования остальными буквами алфавита. Например, THE APPLE соответствует THEAPL.

Интересно отметить, что в несколько измененном виде квадрат Полибия дошел до наших дней и получил название «тюремный шифр». Для его использования достаточно знать только естественный порядок букв в алфавите. Стороны квадрата обозначаются не буквами, а цифрами. Каждая цифра кодируется определенным количеством стуков. При передаче сообщения сначала «отстукивается» номер строки, а затем номер столбца. «Тюремный шифр» строго говоря, не является шифром, это способ кодировки сообщения с целью его приведения к виду удобному для передачи по каналу связи (тюремная стена).

Во времена средневековья европейская криптография приобрела сомнительную славу, отголоски которой слышаться и в наши дни. Дело в том, что криптографию стали отождествлять с черной магией, астрологией, алхимией, к шифрованию призывались мистические силы. Для шифрования сообщений рекомендовалось использовать «магические квадраты» . Магия этих квадратов заключалась в том, что сумма чисел по строкам, столбцам и полным диагоналям равнялась одному числу. Шифрование по «магическому квадрату» заключалось в следующем. Буквы сообщения вписывались в квадрат согласно записанным в них числам, а в пустые клетки вставлялись произвольные буквы. Шифртекст выписывался в оговоренном заранее порядке. Например, сообщение ПРИЕЗЖАЮ СЕГОДНЯ зашифрованное с помощь «магического квадрата»:


16 У

3 И

2 Р

13 Д

5 З

10 Е

11 Г

8 Ю

9 С

6 Ж

7 А

12 О

4 Е

15 Я

14 Н

1 П

имеет вид УИРДЗЕГЮСЖАОЕЯНП. Данный шифр – обычный шифр перестановки, однако считалось, что особую стойкость ему придает волшебство «магического квадрата».

В XV веке аббат Тритемий сделал два новаторских предложения в области криптографии: он предложил шифр «Аве Мария» и шифр, основанный на периодически сдвигаемом ключе. Наиболее серьезное предложение Тритемия, дошедшее до наших дней, заключается в придуманной им таблице:



A

B

C

D



W

X

Y

Z

B

C

D

E



X

Y

Z

A

C

D

E

F



Y

Z

A

B



















Y

Z

A

B



U

V

W

X

Z

A

B

C



V

W

X

Y

Первая буква текста шифруется по первой строке, вторая буква по второй строке и так далее. Первая строка одновременно является строкой букв открытого текста. Например, FIGHT – FJIKX. В первоначальном варианте в шифре Тритемия отсутствовал ключ. Секретом являлся сам способ шифрования. Дальнейшее усложнение шифра шло двумя путями: введением произвольного порядка расположения букв в таблице; усложнением порядка выбора строк таблицы при шифровании. Следует сказать, что шифр Цезаря является частным случаем шифра Тритемия.

Шифр «Аве Мария» основан на принципе замены букв шифруемого текста на целые слова, из которых составлялись внешне невинные сообщения. Например, Н – «Я», «ЗДЕСЬ»; Е – «ЖДУ», «БУДУ»; Т – «ДОМА», «ВЕЧЕРОМ». Тогда открытому сообщению НЕТ могут соответствовать послания «Я ЖДУ ДОМА», «ЗДЕСЬ БУДУ ВЕЧЕРОМ».

В XVII веке английский философ и ученый лорд-канцлер Френсис Бэкон выдвинул главные требования к шифрам: «Они не должны поддаваться дешифрованию, не должны требовать много времени для написания и чтения, не должны возбуждать никаких подозрений». Эти требования актуальны и сегодня.

Широко использовали шифры и братства «вольных каменщиков» (масонов). Шифр «вольных каменщиков» является шифром замены и вопреки распространенному мнению не является стойким, но представляет определенный интерес. Шифрование заключается в замене букв открытого текста символами по правилу:



А:

B:

C:

J.

K.

L.

S

T

U

D:

E:

F:

M.

N.

O.

V

W

X

G:

H:

I:

P.

Q.

R.

Y

Z

Например, APPLE соответствует криптограмме вида:

:

.

.

.

:

При походе на Россию Наполеон использовал шифр «вольных каменщиков» в низших звеньях своей связи, однако шифр достаточно быстро был раскрыт русскими дешифровальщиками.

В XVI веке итальянец Альберти впервые выдвинул идею двойного шифрования, т.е. текст после первого шифрования подвергался повторному шифрованию. Альберти также принадлежит шифр, который он называл «шифром, достойным королей». Реализация шифра осуществлялась с помощью шифровального диска. На внешний неподвижный диск наносились буквы и цифры под которыми располагались буквы и цифры внутреннего подвижного диска. Процесс шифрования прост – буквам и цифрам открытого текста ставились в соответствие буквы и цифры внутреннего диска. После зашифровывания слова послания внутренний диск сдвигался на один шаг. Начальное положение дисков заранее оговаривалось. Диск Альберти с незначительными изменениями использовался вплоть до начала XX века.

В XVI веке заметный вклад в развитие криптографии внесли Матео Ардженти, Жовани Батиста Белазо, Джовани Батиста Порта, Кордано и др. Матео Ардженти был криптографом папы римского, именно ему принадлежит идея использования слова-лозунга для придания алфавиту легко запоминаемого смешанного вида. Ардженти также предложил вставлять в шифртекст большое количество букв «пустышек», устранять пунктуацию, не вставлять в шифртекст открытые слова («клер»), заменять буквы шифртекста на цифры. Белазо и Порта развили идеи Ардженти в своих трудах «Шифр сеньора Белазо» и «О тайной переписке».

Существенный вклад в развитие криптографии внес математик, врач и философ Кордано. Предложенный им шифр вошел в историю под названием «решетка Кордано». «Решетка Кордано» - это шифр перестановки, суть которого заключается в следующем. Брался лист плотного материала (картон, пергамент), представляющий собой квадрат в котором вырезаны «окна». При шифровании квадрат накладывался на лист бумаги и сообщение вписывалось в «окна», затем квадрат поворачивался на 90 градусов и сообщение продолжали записывать в «окна» повернутого квадрата. Такая процедура продолжалась до полного поворота квадрата на 360 градусов. Главное требование «решетки Кордано» - при всех поворотах «окна» не должны попадать на дно и тоже место, а при полном повороте квадрата все места в шифртексте оказываются занятыми. Шифртекст считывался по строкам из полученной таблицы. Предложенный Кордано шифр лежит в основе знаменитого шифра Ришелье , в котором шифрованный текст внешне имел вид обычного послания. Накладывая на лист с таким посланием прямоугольник прорезанными с окнами можно было прочесть сообщение. Шифр Ришелье не относиться ни к шифрам замены, ни к шифрам перестановки, он представлял собой стеганографический способ защиты информации. Такого рода шифром пользовался русский писатель и государственный деятель А.С. Грибоедов будучи послом в Персии.

Кордано выдвинул, но не успел целиком реализовать идею «самоключа». Суть ее заключается в использовании в качестве ключа части открытого сообщения.

Познакомившись в трудами Тритемия, Белазо, Кордано и Альберти французский государственный деятель Блез де Виженер разработал собственный шифр, который получил название шифр Виженера . Суть шифра заключалась в том, что выбирался секретное слово, которое являлось ключом шифра. Это слово выписывалось под открытым сообщением периодически. Верхняя буква открытого текста соответствовала столбцу таблицы Тритемия, а нижняя буква ключа – строке таблицы Тритемия, буква, стоящая на пересечение строки и столбца являлась буквой шифртекста. Шифр Виженера представляет собой шифр замены. В последующем этот шифр был несколько упрощен для практического использования начальником первого в Германии государственного дешифровального отдела графом Гронсфельдом. Шифр Виженера и шифр Гронсфельда являются по сути дела родоначальниками широко используемого в настоящее время шифра гаммирования. Шифр Виженера использовался в различных вариантах вплоть до XIX века. Одним из наиболее известных модификаций шифра Виженера является шифр английского адмирала Бофора. Достоинство шифра Бофора заключается в том, что правило зашифрования сообщений и их расшифрования совпадают.

Широкое развитие криптографии в XVI веке было связано в развитие естественных наук, математики. В это же время в Европе появляются первые специальные органы дипломатической службы, которые занимались вопросами шифрования собственной корреспонденции и дешифрования перехваченной корреспонденции. XVII-XVIII века вошли в историю криптографии как эра «черных кабинетов». «Черные кабинеты» - специальный государственный орган по перехвату, перлюстрации и дешифрованию переписки, в первую очередь дипломатической. В штат «черных кабинетов» входили дешифровальщики, агенты по перехвату почты, писцы-копировальщики, переводчики, специалисты по подделке печатей, химики, специалисты по подделке почерков и т.д. Эти специалисты ценились весьма высоко и находились под особым покровительством властей, предательство очень сурово наказывалось.

В XIX веке появляются первые механические шифровальные устройства. Наиболее известными являются изобретения полковника американской армии Д. Уодсворта и английского инженера Ч. Уитстона. Устройство Уодсворта (1817 г.) представляло механический шифратор основными элементами которого были два шифровальных диска, на торце дного располагались буквы английского алфавита, а на торце второго буквы и цифры от 2 до 8. Литеры на втором диске били съемные, что позволяло менять алфавит шифрованного текста. Диски помещались в футляр с прорезанными в нем окнами. При вращении первого диска в верхнем окне выставлялась буква открытого сообщения. Диски были соединены шестеренчатой передачей, поэтому в нижнем окне появлялась соответствующая буква шифртекста. Устройство было снабжено специальной кнопкой для разъединения дисков. Это требовалось для того, чтобы обеспечивать установку устройства в заданное начальное положение. В устройстве Уодсворта просматриваются идеи Альберти, Тритемия, Виженера. Несмотря на то, что устройство было достаточно громоздким, к тому же в это время господствовали «ручные» шифры, которые не требовали специальных приспособлений, оно послужило толчком к развитию механических устройств для шифрования и расшифрования сообщений.

Интересное предложение по созданию механического устройства шифрования сделал Ч. Уитстон во второй половине XX века. В устройстве Уитстона просматриваются идеи Альберти, а также Уодсворта. Внешне устройство Уитстона напоминает диск Альберти, однако в нем реализована парадоксальная идея – алфавит открытого текста содержит большее количество знаков, чем шифрованного. Проблема неоднозначности в определении букв открытого сообщения решена Уитстоном блестяще. На рис. 1.4 представлен внешний вид устройства Уитстона.

Внешний диск, диск алфавита открытого текста, состоял из 27 знаков (26 букв английского алфавита и специального знака "+", означающего пробел). Внутренний алфавит определяет алфавит открытого текста и состоит из обычных 26 букв, расположенных в произвольном ключевом порядке. На той же оси, что и диски (алфавиты) устройства, соединенные шестернями размером 27×26 соответственно, расположены две стрелки, как в современных часах.

Рис. 1.4. Внешний вид устройства Ч. Уитстона


В начале шифрования большая (длинная) стрелка указывает на знак "+". Малая стрелка, связанная с большой резьбовой шестеренкой, ставилась в то же положение, т.е. "часы" показывали "12.00". Набор букв открытого текста производился поворотом большой стрелки по направлению движения часовой. После такого поворота малая стрелка указывает знак шифрованного текста. Таким образом, при полном повороте большого диска малый диск смещался на единицу по отношению к исходному взаимному состоянию двух дисков, что приводило к сдвиговому изменению алфавита шифрованного текста по отношению к алфавиту открытого текста. По окончании каждого слова большая стрелка становилась на знак "+", буква, на которую при этом указывала короткая стрелка, записывалась как знак шифрованного текста. Во избежание неоднозначности расшифрования, удвоение букв в открытом тексте не допускается. Повторную букву следует либо пропустить, либо ставить вместо нее какую-нибудь редкую букву, например Q. Например, слово THE APPLE при шифровании записывается как +THE+APLE+ или +THE+APQLE+.

Изобретение Уитстона, также как и Уодсворта, не нашло широкого применения. Однако судьба другого его предложения в области криптографии - шифра биграммной замены - сложилась лучше, хотя шифр несправедливо был назван именем друга изобретателя барона Плейфера. Вместе с тем, сам Плейфер вел себя весьма корректно: популяризируя изобретение, он всегда указывал имя автора – Уитстона, но история распорядилась иначе: шифру было присвоено имя не изобретателя, а популяризатора. Шифр Плейфера будет подробно рассмотрен в следующем разделе.

В начале XX века значительный вклад в развитие криптографии внес американец Г. Вернам. В 1917 году он, будучи сотрудником телеграфной компании, предложил идею автоматического шифрования телеграфных сообщений, суть которой заключается в следующем. Открытый текст представляется в коде Бодо (в виде пятизначных "импульсных комбинаций"). В этом коде, например, буква "А" имела вид (+ + - - -). На бумаге знак "+" означал отверстие, а знак "-" - его отсутствие. При считывании с ленты пятерка металлических щупов "опознавала" отверстия (при наличии отверстия щуп замыкал электрическую цепь). В линию связи посылались импульсы тока. Вернам предложил электромеханически покоординатно складировать импульсы знаков секретного текста с импульсами секретного ключа, представляющего из себя хаотический набор букв того же самого алфавита. Сложение, по современной терминологии, осуществлялось по модулю 2. Г. Вернам создал устройство, производящее операции шифрования автоматически, без участия шифровальщика, тем самым было положено начало так называемому "линейному шифрованию", когда процессы шифрования и передачи сообщения происходят одновременно. До той поры шифрование было предварительным, поэтому линейное шифрование существенно повышало оперативность связи. Шифр Вернама обладает исключительной криптографической стойкостью. В то же время очевиден и недостаток этой системы шифрования - ключ должна иметь ту же длину, что и открытый текст. Для расшифрования на приемном конце связи туда нужно передать (по тайным, защищенным каналам) ключ достаточной длины. При практической реализации это порождает проблемы, причем весьма существенные, что и предопределило скромное распространение шифров Вернама. Сам Вернам не был математиком-криптографом, тем не менее, он настаивал на том, что ключ шифра не должен повторяться при шифровании, и в этом, как показала история криптографии, он был прав. Его идеи породили новые подходы к надежной защите информации при передаче больших объемов сообщений.

Первая половина XX века стала «золотым веком» электромеханических шифровальных машин . Наибольшую известность получило семейство немецких электромеханических шифровальных машин Enigma. Различные модификации этой шифровальной машины использовались германскими войсками с конца 1923 года вплоть до 1945 года. В 1943 году союзникам по антигитлеровской коалиции удалось «взломать» машину Enigma, что сыграло большую роль в победе во Второй мировой войне. Для передачи наиболее секретных сообщений во время Второй мировой войне немцами использовалась шифровальная машина Lorenz. В американской армии с 1923 по 1943 год использовалась механическое устройство для шифрования М-94. В основу этого устройства положен диск Альберти. Для защиты дипломатической переписки в США использовалась машина Хеберна MarkII. Шведский криптограф Б. Хагелин разработал для французской секретной полиции шифровальное устройство СD-57, а для французских спецслужб – шифровальную машину М-209. Модификация этой машины использовалась также и американскими военными во Второй мировой войне. С 1939 года по 1952 год японцы использовали шифровальную машину для защиты дипломатической переписки под названием «Тип 97» и ее модификацию. В США эти машины получили красочное обозначение «Пурпурный код» и «Красный код». В СССР перед войной и в годы Великой Отечественной войны широко использовалась малогабаритная дисковая кодировочная машина К-37 «Кристалл». Только в 1940 году было выпущено 100 комплектов этой машины. После войны были подведены итоги эксплуатации К-37 и проводилась работа по ее дальнейшему совершенствованию.

Уже к началу 1930-х годов сформировались разделы математики (теория чисел, теория вероятностей и математическая статистика) являющиеся основой будущей науки – криптологии. Ключевой вехой в развитии криптографии является фундаментальный труд Клода Шеннона «Теория связи в секретных системах», написанный в форме секретного доклада в 1945 году и опубликованный в 1949 году . В этой работе впервые был показан подход к криптографии как к математической науке. Были сформулированы ее теоретические основы и введены понятия, с объяснения которых сегодня начинается изучение криптографии.

Развитие во второй половине XX века компьютерной техники и электроники сделало возможным использование более сложных шифров. В 1960-х годах появляются первые блочные шифры, обладающие большей криптостойкостью, чем электромеханические машины. В 1976 году в США принимается государственный стандарт шифрования – DES (Data Encryption Standart), являющийся первым в мире открыто опубликованным стандартом шифрования. На основе используемой в системе DES сети Хорста Фейстеля разработаны множество других криптосистем: российский стандарт ГОСТ 28147-89, криптосистема TEA (Tiny Encryption Algorithm), Twofish, IDEA (International Data Encryption Algorithm).

В 1975 году публикуется работа Уитфилда Диффи и Мартина Хеллмана «Новые направления в криптографии» . Данная работа открыла новую область криптографии, теперь называемую криптографией с открытым ключом. Хотя работа У. Диффи и М. Хеллмана создала большой теоретический задел для открытой криптографии, первой реальной криптосистемой с открытым ключом считают криптосистему RSA, названную по имени авторов - Рона Ривеста, Ади Шамира и Леонарда Адлемана. В настоящее время существует большое разнообразие криптосистем с открытым ключом, некоторые из которых являются национальными стандартами шифрования.

Таким образом, используя в качестве критерия периодизации технологические характеристики методов шифрования, историю криптографии можно разделить на следующие периоды.


  1. Первый период (приблизительно с 3 тысячелетия до н.э. до XV века) характеризуется господством моноалфавитных шифров.

  2. Второй период (с XV века по XX век) ознаменован введением многоалфавитных шифров.

  3. Третий период (с начала и до середины XX века) характеризуется внедрением электромеханических шифровальных машин.

  4. Четвертый период (с середины до 70-х годов XX века) – период перехода к математической криптографии.

  5. Современный период (с конца 70-х годов XX века по настоящее время) характеризуется широким использованием криптографии частными лицами коммерческими организациями, что связано с развитием нового направления в криптографии – криптографии с открытым ключом.

1.3. Модели источников открытых текстов


Открытый текст, также как и криптограмма, представляет собой последовательность символов, взятых из конечного набора, называемого алфавитом . Элемент алфавита называется буквой , а число символов алфавита определяет его мощность
. Например, алфавит простых букв английского языка имеет мощность
, а алфавит английского языка, состоящий из прописных, строчных букв, цифр, а также знаков препинания и пробела имеет мощность
. Широко используемыми алфавитами, элементы которых есть двоичные векторы, являются коды ASCII и МТК-2.

Всякий открытый текст, записанный в некотором алфавите, имеет длину , равную числу букв в соответствующей записи. Последовательность соседних букв текста, при
называется -граммой , а при
- биграммой . Помимо исходного алфавита, часто рассматриваются производные из него алфавиты, представляющие наборы всевозможных -грамм исходного алфавита. Таким образом, каждый открытый текст характеризуется: набором используемых алфавитов; длиной текста; тематикой открытых текстов.

Модели открытых текстов разделяются на два класса: детерминированные и вероятностные .
1.3.1 Детерминированные модели

Источники открытых сообщений (ИОС) достаточно многообразны. В качестве ИОС рассматривать можно отдельного человека или группу людей, пункты телеграфной и телефонной сети и т.д. Каждый ИОС порождает тексты в соответствии с правилами грамматики используемого языка, что находит отражение и в статистических характеристиках открытых текстов. Всякий ИОС можно характеризовать разбиением множества -грамм на допустимые (встречающиеся в текстах) и запрещенные (не встречающиеся в текстах). Например, в русском языке буквы Ь и Ъ никогда не соседствуют друг с другом, и не следуют за гласными буквами. Разбиение множества -грамм на допустимые и запрещенные определяет детерминированную модель. В детерминированной модели открытый текст рассматривается как последовательность букв некоторого алфавита, не содержащий запрещенных -грамм. Необходимо отметить, что разделение на допустимые и запрещенные -граммы весьма условно в силу динамичности языка, его способности к развитию. Кроме этого, разделение на допустимые и запрещенные -граммы характеризует не только язык, но и отдельный источник сообщений.


1.3.2 Вероятностные модели

В вероятностных моделях ИОС рассматривается как источник случайных последовательностей. Пусть ИОС генерирует в заданном алфавите
текст конечной или бесконечной длины. При этом можно считать, что источник генерирует конечную или бесконечную последовательность случайных букв где для всех
и любого

,
.

Открытый текст такого источника является реализацией последовательности независимых испытаний в полиномиальной вероятностной схеме с числом исходов равным
. Множество исходов взаимно-однозначно соответствует множеству всех букв алфавита. Данная модель позволяет разделить буквы алфавита на классы высокой, средней и низкой частоты использования. Например, в русском языке редкими буквами являются Ф, Э, Щ, Ц, Х. В криптографии существует мнемоническое правило, которое позволяет запомнить десять наиболее часто встречаемых букв в русском языке – СЕНОВАЛИТР, причем буквы располагаются не в соответствии с частотой их использования. Необходимо заметить, что частота встречаемости букв в тексте зависит от тематики текста. Так для литературных произведений и научно-технических текстов значение частот встречаемости букв будет различным. Например, в математических текстах частота встречаемости буквы Ф будет выше, чем в литературных произведениях. Таким образом, частотная диаграмма является достаточно устойчивой характеристикой открытого текста.

Рассмотренная модель удобна для практического использования, в то же время некоторые свойства модели противоречат свойствам языка. В частности, согласной этой модели любая -грамма имеет ненулевую вероятность использования. Вышесказанное не позволяет применять данную модель для дешифрирования широкого класса криптосистем.

Стационарный источник независимых биграмм . Эта модель более громоздка, но точнее отражает свойства языка. Открытый текст такого ИОС является реализацией последовательности независимых испытаний в полиномиальной вероятностной схеме с числом исходов, равным
.Множество исходов соответствует множеству всех биграмм алфавита. Модель характеризуется равенством:

где для всех
и любых

Криптография ‑ это наука об обеспечении безопасности данных. Она занимается поисками решений четырех важных проблем безопасности ‑ конфиденциальности, аутентификации, целостности и контроля участников взаимодействия.

Криптосистемы

Криптосистема работает по определенной методологии (процедуре). Она состоит из: одного или более алгоритмов шифрования (математических формул); ключей, используемых этими алгоритмами шифрования; системы управления ключами; незашифрованного текста; и зашифрованного текста (шифротекста).

Согласно методологии сначала к тексту применяются алгоритм шифрования и ключ для получения из него шифротекста. Затем шифротекст передается к месту назначения, где тот же самый алгоритм используется для его расшифровки, чтобы получить снова текст. Также в методологию входят процедуры создания ключей и их распространения.

Методология с использованием ключа

В этой методологии алгоритм шифрования объединяет ключ с текстом для создания шифротекста. Безопасность систем шифрования такого типа зависит от конфиденциальности ключа, используемого в алгоритме шифрования, а не от хранения в тайне самого алгоритма. Многие алгоритмы шифрования общедоступны и были хорошо проверены благодаря этому (например, DES).

Но основная проблема, связанная с этой методологией, состоит в том, как сгенерировать и безопасно передать ключи участникам взаимодействия. Как установить безопасный канал передачи информации между участниками взаимодействия до передачи ключей?

Другой проблемой является аутентификация. При этом существуют две серьезных проблемы:

    Сообщение шифруется кем-то, кто владеет ключом в данный момент. Это может быть владелец ключа; но если система скомпрометирована, это может быть другой человек.

    Когда участники взаимодействия получают ключи, откуда они могут узнать, что эти ключи на самом деле были созданы и посланы уполномоченным на это лицом?

Существуют две методологии с использованием ключей ‑ симметричная (с секретным ключом) и асимметричная (с открытым ключом). Каждая методология использует свои собственные процедуры, свои способы распределения ключей, типы ключей и алгоритмы шифрования и расшифровки ключей. Так как терминология, используемая этими методологиями, может показаться непонятной, дадим определения основным терминам:

Термин

Значение

Замечания

Симметричная методология

Используется один ключ, с помощью которого производится как шифрование, так и расшифровка с использованием одного и того же алгоритма симметричного шифрования.

Этот ключ передается двум участникам взаимодействия безопасным образом до передачи зашифрованных данных.

Часто называется методологией с секретным ключом.

Асимметричная методология

Использует алгоритмы симметричного шифрования и симметричные ключи для шифрования данных.

Использует алгоритмы асимметричного шифрования и асимметричные ключи для шифрования симметричного ключа. Создаются два взаимосвязанных асимметричных ключа. Симметричный ключ, зашифрованный с использованием одного асимметричного ключа и алгоритма асимметричного шифрования, должен расшифровываться с использованием другого ключа и того же алгоритма шифрования.

Создаются два взаимосвязанных асимметричных ключа. Один должен быть безопасно передан его владельцу, а другой ‑ тому лицу, которое отвечает за хранение этих ключей (CA ‑ сертификационному центру ключей), до начала их использования.

Часто называется методологией с открытым ключом

Секретный ключ(1)

Симметричная методология

Используется один ключ, с помощью которого производится как шифрование, так и расшифровка. См. выше

Секретный ключ(2)

Секретный ключ симметричного шифрования

Симметричный секретный ключ

Секретный ключ(3)

Секретный ключ асимметричного шифрования

Асимметричный секретный ключ.

Асимметричные ключи создаются парами, так как связаны друг с другом. Выражение «секретный ключ» часто используют для одного из пары асимметричных ключей, который должен держаться в секрете.

Асимметричный секретный ключ не имеет ничего общего с симметричным секретным ключом.

Открытый ключ (1)

Асимметричная методология

Использует пару ключей, которые совместно создаются и связаны друг с другом. Все, что зашифровано одним ключом, может быть расшифровано только другим ключом этой пары.

Открытый ключ (2)

Открытый ключ асимметричного шифрования

Асимметричные ключи создаются парами, каждый из двух ключей связан с другим.

Выражение «открытый ключ» часто используют для одного из пары асимметричных ключей, который должен быть всем известен.

Сеансовый ключ

Симметричный (секретный) ключ шифрования

Используется в асимметричной методологии для шифрования самих данных с помощью симметричных методологий.

Это просто симметричный секретный ключ (см. выше)

Алгоритм шифрования

Математическая формула

Для симметричных алгоритмов требуются симметричные ключи.

Для асимметричных алгоритмов требуются асимметричные ключи.

Вы не можете использовать симметричные ключи для асимметричных алгоритмов и наоборот.

Секретные криптосистемы

Открытые криптосистемы

Использует асимметричные алгоритмы и асимметричные ключи для шифрования сеансовых ключей.

Используют симметричные алгоритмы и симметричные (секретные) ключи для шифрования данных.

Защита информации ‑ совокупность мероприятий, методов и средств, обеспечивающих:

    исключение несанкционированного доступа к ресурсам ЭВМ, программам и данным;

    проверку целостности информации;

    исключение несанкционированного использования программ (защита программ от копирования).

Очевидная тенденция к переходу на цифровые методы передачи и хранения информации позволяет применять унифицированные методы и алгоритмы для защиты дискретной и непрерывной информации.

Испытанный метод защиты информации от несанкционированного доступа ‑ шифрование (криптография).

С помощью криптографических методов возможно:

    шифрование информации;

    реализация электронной подписи;

    распределение ключей шифрования;

    защита от случайного или умышленного изменения информации.

К алгоритмам шифрования предъявляются определенные требования:

    высокий уровень защиты данных против дешифрования и возможной модификации;

    защищенность информации должна основываться только на знании ключа и не зависеть от того, известен алгоритм или нет (правило Киркхоффа);

    малое изменение исходного текста или ключа должно приводить к значительному изменению шифрованного текста (эффект «обвала»);

    область значений ключа должна исключать возможность дешифрования данных путем перебора значений ключа;

    экономичность реализации алгоритма при достаточном быстродействии;

    стоимость дешифрования данных без знания ключа должна превышать стоимость данных.

Симметричные алгоритмы шифрования

Симметричные алгоритмы шифрования (или криптография с секретными ключами) основаны на том, что отправитель и получатель информации используют один и тот же ключ. Этот ключ должен храниться в тайне и передаваться способом, исключающим его перехват.

Обмен информацией осуществляется в 3 этапа:

    отправитель передает получателю ключ (в случае сети с несколькими абонентами у каждой пары абонентов должен быть свой ключ, отличный от ключей других пар);

    отправитель, используя ключ, зашифровывает сообщение, которое пересылается получателю;

Если для каждого дня и для каждого сеанса связи будет использоваться уникальный ключ, это повысит защищенность системы.

Потоковые шифры

В потоковых шифрах, т. е. при шифровании потока данных, каждый бит исходной информации шифруется независимо от других с помощью гаммирования.

Гаммирование ‑ наложение на открытые данные гаммы шифра (случайной или псевдослучайной последовательности единиц и нулей) по определенному правилу. Обычно используется «исключающее ИЛИ», называемое также сложением по модулю 2 и реализуемое в ассемблерных программах командой XOR. Для расшифровывания та же гамма накладывается на зашифрованные данные.

При однократном использовании случайной гаммы одинакового размера с зашифровываемыми данными взлом кода невозможен (так называемые криптосистемы с одноразовым или бесконечным ключом). В данном случае «бесконечный» означает, что гамма не повторяется. В некоторых потоковых шифрах ключ короче сообщения. Так, в системе Вернама для телеграфа используется бумажное кольцо, содержащее гамму. Конечно, стойкость такого шифра не идеальна.

Понятно, что обмен ключами размером с шифруемую информацию не всегда уместен. Поэтому чаще используют гамму, получаемую с помощью генератора псевдослучайных чисел (ПСЧ). В этом случае ключ ‑ порождающее число (начальное значение, вектор инициализации, initializing value, IV) для запуска генератора ПСЧ. Каждый генератор ПСЧ имеет период, после которого генерируемая последовательность повторяется. Очевидно, что период псевдослучайной гаммы должен превышать длину шифруемой информации.

Генератор ПСЧ считается корректным, если наблюдение фрагментов его выхода не позволяет восстановить пропущенные части или всю последовательность при известном алгоритме, но неизвестном начальном значении. При использовании генератора ПСЧ возможны несколько вариантов:

    Побитовое шифрование потока данных. Цифровой ключ используется в качестве начального значения генератора ПСЧ, а выходной поток битов суммируется по модулю 2 с исходной информацией. В таких системах отсутствует свойство распространения ошибок.

    Побитовое шифрование потока данных с обратной связью по шифротексу. Такая система аналогична предыдущей, за исключением того, что шифротекст возвращается в качестве параметра в генератор ПСЧ. Характерно свойство распространения ошибок. Область распространения ошибки зависит от структуры генератора ПСЧ.

    Побитовое шифрование потока данных с обратной связью по исходному тексту. Базой генератора ПСЧ является исходная информация. Характерно свойство неограниченного распространения ошибки.

    Побитовое шифрование потока данных с обратной связью по шифротексту и по исходному тексту.

К наиболее известным потоковым шрифтам относятся:

    RC4 (Rivest Cipher 4), разработанный Р. Ривестом, в этом шифре может использоваться ключ переменной длины;

    SEAL (Software Encryption Algorithm) – приспособленный для программной реализации потоковый шрифт, использующий ключ длиной 160 бит;

    WAKE (Word Auto Key Encryption) ‑ шифрование слов с автоключом, был предложен Дэвидом Уилером.

Блочные шифры

При блочном шифровании информация разбивается на блоки фиксированной длины и шифруется поблочно. Блочные шифры бывают двух основных видов:

    шифры перестановки (transposition, permutation, P-блоки);

    шифры замены (подстановки, substitution, S-блоки).

Шифры перестановок переставляют элементы открытых данных (биты, буквы, символы) в некотором новом порядке. Различают шифры горизонтальной, вертикальной, двойной перестановки, решетки, лабиринты, лозунговые и др.

Шифры замены заменяют элементы открытых данных на другие элементы по определенному правилу. Paзличают шифры простой, сложной, парной замены, буквенно-слоговое шифрование и шифры колонной замены. Шифры замены делятся на две группы:

    моноалфавитные (код Цезаря);

    полиалфавитные (шифр Видженера, цилиндр Джефферсона, диск Уэтстоуна, Enigma).

В моноалфавитных шифрах замены буква исходного текста заменяется на другую, заранее определенную букву. Например, в коде Цезаря буква заменяется на букву, отстоящую от нее в латинском алфавите на некоторое число позиций. Очевидно, что такой шифр взламывается совсем просто. Нужно подсчитать, как часто встречаются буквы в зашифрованном тексте, и сопоставить результат с известной для каждого языка частотой встречаемости букв.

В полиалфавитных подстановках для замены некоторого символа исходного сообщения в каждом случае его появления последовательно используются различные символы из некоторого набора. Понятно, что этот набор не бесконечен, через какое-то количество символов его нужно использовать снова. В этом слабость чисто полиалфавитных шифров.

В современных криптографических системах, как правило, используют оба способа шифрования (замены и перестановки). Такой шифратор называют составным. Он более стойкий, чем шифратор, использующий только замены или перестановки.

Блочное шифрование можно осуществлять двумя способами:

    Без обратной связи. Несколько битов (блок) исходного текста шифруются одновременно, и каждый бит исходного текста влияет на каждый бит шифротекста. Однако взаимного влияния блоков нет, то есть два одинаковых блока исходного текста будут представлены одинаковым шифротекстом. Поэтому подобные алгоритмы можно использовать только для шифрования случайной последовательности битов (например, ключей). Примерами являются DES в режиме ECB (Electronic Code Book) и ГОСТ 28147-89 в режиме простой замены.

    С обратной связью. Обычно обратная связь организуется так: предыдущий шифрованный блок складывается по модулю 2 с текущим блоком. В качестве первого блока в цепи обратной связи используется инициализирующее значение. Ошибка в одном бите влияет на два блока ‑ ошибочный и следующий за ним. Пример ‑ DES в режиме CBC (Cipher Block Chaining).

Генератор псевдослучайных чисел может применяться и при блочном шифровании:

    Поблочное шифрование потока данных. Шифрование последовательных блоков (подстановки и перестановки) зависит от генератора ПСЧ, управляемого ключом.

    Поблочное шифрование потока данных с обратной связью. Генератор ПСЧ управляется шифрованным или исходным текстом или обоими вместе.

Весьма распространен федеральный стандарт США DES (Data Encryption Standard), на котором основан международный стандарт ISO 8372-87. DES был поддержан Американским национальным институтом стандартов (American National Standards Institute, ANSI) и рекомендован для применения Американской ассоциацией банков (American Bankers Association, ABA). DES предусматривает 4 режима работы:

    ECB (Electronic Codebook) электронный шифрблокнот;

    CBC (Cipher Block Chaining) цепочка блоков;

    CFB (Cipher Feedback) обратная связь по шифротексту;

    OFB (Output Feedback) обратная связь по выходу.

ГОСТ 28147-89 ‑ отечественный стандарт на шифрование данных. Стандарт включает три алгоритма зашифровывания (расшифровывания) данных: режим простой замены, режим гаммирования, режим гаммирования с обратной связью и режим выработки имитовставки.

С помощью имитовставки можно зафиксировать случайную или умышленную модификацию зашифрованной информации. Вырабатывать имитовставку можно или перед зашифровыванием (после расшифровывания) всего сообщения, или одновременно с зашифровыванием (расшифровыванием) по блокам. При этом блок информации шифруется первыми шестнадцатью циклами в режиме простой замены, затем складывается по модулю 2 со вторым блоком, результат суммирования вновь шифруется первыми шестнадцатью циклами и т. д.

Алгоритмы шифрования ГОСТ 28147-89 обладают достоинствами других алгоритмов для симметричных систем и превосходят их своими возможностями. Так, ГОСТ 28147-89 (256-битовый ключ, 32 цикла шифрования) по сравнению с такими алгоритмами, как DES (56-битовый ключ, 16 циклов шифрования) и FEAL-1 (64-битовый ключ, 4 цикла шифрования) обладает более высокой криптостойкостью за счет более длинного ключа и большего числа циклов шифрования.

Следует отметить, что в отличие от DES, у ГОСТ 28147-89 блок подстановки можно произвольно изменять, то есть он является дополнительным 512-битовым ключом. Алгоритмы гаммирования ГОСТ 28147-89 (256-битовый ключ, 512-битовый блок подстановок, 64-битовый вектор инициализации) превосходят по криптостойкости и алгоритм B-Crypt (56-битовый ключ, 64-битовый вектор инициализации). Достоинствами ГОСТ 28147-89 являются также наличие защиты от навязывания ложных данных (выработка имитовставки) и одинаковый цикл шифрования во всех четырех алгоритмах ГОСТа.

Блочные алгоритмы могут использоваться и для выработки гаммы. В этом случае гамма вырабатывается блоками и поблочно складывается по модулю 2 с исходным текстом. В качестве примера можно назвать B-Crypt, DES в режимах CFB и OFB, ГОСТ 28147-89 в режимах гаммирования и гаммирования c обратной связью.

Асимметричные алгоритмы шифрования

В асимметричных алгоритмах шифрования (или криптографии с открытым ключом) для зашифровывания информации используют один ключ (открытый), а для расшифровывания ‑ другой (секретный). Эти ключи различны и не могут быть получены один из другого. Схема обмена информацией такова:

    получатель вычисляет открытый и секретный ключи, секретный ключ хранит в тайне, открытый же делает доступным (сообщает отправителю, группе пользователей сети, публикует);

    отправитель, используя открытый ключ получателя, зашифровывает сообщение, которое пересылается получателю;

    получатель получает сообщение и расшифровывает его, используя свой секретный ключ.

К наиболее известным ассиметричным криптографическим системам относятся:

    RSA защищен патентом США N 4405829. Разработан в 1977 году в Массачусетском технологическом институте (США). Получил название по первым буквам фамилий авторов (Rivest, Shamir, Adleman). Криптостойкость основана на вычислительной сложности задачи разложения большого числа на простые множители;

    ElGamal ‑ разработан в 1985 году. Назван по фамилии автора ‑ Эль-Гамаль. Используется в стандарте США на цифровую подпись DSS (Digital Signature Standard). Криптостойкость основана на вычислительной сложности задачи логарифмирования целых чисел в конечных полях;

Сравнение симметричных и асимметричных алгоритмов шифрования

В асимметричных системах необходимо применять длинные ключи (512 битов и больше). Длинный ключ резко увеличивает время шифрования. Кроме того, генерация ключей весьма длительна. Зато распределять ключи можно по незащищенным каналам.

В симметричных алгоритмах используют более короткие ключи, т. е. шифрование происходит быстрее. Но в таких системах сложно распределение ключей.

Поэтому при проектировании защищенной системы часто применяют и симметричные, и асимметричные алгоритмы. Так как система с открытыми ключами позволяет распределять ключи и в симметричных системах, можно объединить в системе передачи защищенной информации асимметричный и симметричный алгоритмы шифрования. С помощью первого рассылать ключи, вторым же ‑ собственно шифровать передаваемую информацию.

Обмен информацией можно осуществлять следующим образом:

    получатель вычисляет открытый и секретный ключи, секретный ключ хранит в тайне, открытый же делает доступным;

    отправитель, используя открытый ключ получателя, зашифровывает сеансовый ключ, который пересылается получателю по незащищенному каналу;

    получатель получает сеансовый ключ и расшифровывает его, используя свой секретный ключ;

    отправитель зашифровывает сообщение сеансовым ключом и пересылает получателю;

    получатель получает сообщение и расшифровывает его.

Надо заметить, что в правительственных и военных системах связи используют лишь симметричные алгоритмы, так как нет строго математического обоснования стойкости систем с открытыми ключами, как, впрочем, не доказано и обратное.

Проверка подлинности информации. Электронная цифровая подпись

При передаче информации должны быть обеспечены вместе или по отдельности:

      Конфиденциальность (privacy) ‑ злоумышленник не должен иметь возможности узнать содержание передаваемого сообщения.

      Подлинность (authenticity), которая включает два понятия

    целостность (integrity) ‑ сообщение должно быть защищено от случайного или умышленного изменения;

Шифрование может обеспечить конфиденциальность, а в некоторых системах и целостность. Целостность сообщения проверяется вычислением контрольной функции (check function) от сообщения ‑ некоего числа небольшой длины. Эта контрольная функция должна с высокой вероятностью изменяться даже при малых изменениях сообщения (удаление, включение, перестановки или переупорядочивание информации). Называют и вычисляют контрольную функцию по-разному:

    код подлинности сообщения (Message Authentical Code, MAC);

    квадратичный конгруэнтный алгоритм (Quadratic Congruentical Manipulation Detection Code, QCMDС);

    Manipulation Detection Code (MDС);

    Message Digest Algorithm (MD5);

    контрольная сумма;

    символ контроля блока (Block Check Character, BCC);

    циклический избыточный код (ЦИК, Cyclic Redundancy Check, CRC);

    хеш-функция (hash);

    имитовставка в ГОСТ 28147-89;

    алгоритм с усечением до n битов (n-bit Algorithm with Truncation).

При вычислении контрольной функции может использоваться какой-либо алгоритм шифрования. Возможно шифрование самой контрольной суммы. Широко применяется цифровая подпись (цифровое дополнение к передаваемой информации, гарантирующее целостность последней и позволяющее проверить ее авторство).

Электронная цифровая подпись (ЭЦП) ‑ реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, установить отсутствие искажения информации в электронном документе, а также обеспечивает неотказуемость подписавшегося.

Назначение ЭЦП. Цифровая подпись предназначена для аутентификации лица, подписавшего электронный документ. Кроме этого, использование цифровой подписи позволяет осуществить:

    Контроль целостности передаваемого документа. При любом случайном или преднамеренном изменении документа изменится подпись, следовательно, она станет недействительной.

    Защиту от изменений (подделки) документа.

Все эти свойства ЭЦП позволяют использовать её для следующих целей:

    Декларирование товаров и услуг (таможенные декларации).

    Регистрация сделок по объектам недвижимости.

    Использование в банковских системах.

    Электронная торговля и госзаказы.

    Контроль исполнения государственного бюджета.

    В системах обращения к органам власти.

    Для обязательной отчетности перед государственными учреждениями.

    Организация юридически значимого электронного документооборота.

    В расчетных и трейдинговых системах.

Известны модели цифровой подписи (digital signature) на основе алгоритмов симметричного шифрования, но при использовании систем с открытыми ключами цифровая подпись осуществляется более удобно.

Для использования алгоритма RSA сообщение следует сжать функцией хеширования (алгоритм MD5 ‑ Message Digest Algorithm) до 256-битового хеша (H). Сигнатура сообщения S вычисляется следующим образом:

Сигнатура пересылается вместе с сообщением. Процесс идентификации заключается в получении хеш-функции сообщения (H) и сравнении с

где H ‑ хеш сообщения,

S ‑ его сигнатура,

d ‑ секретный ключ,

e ‑ открытый ключ.

Проверке подлинности посвящены стандарты:

    проверка подлинности (аутентификация, authentication) - ISO 8730-90, ISO/IES 9594-90 и ITU X.509; (ISO - Международная организация по стандартизации /МОС/, ITU - Международный союз электросвязи /МСЭ/.)

    целостность - ГОСТ 28147-89, ISO 8731-90;

    цифровая подпись - ISO 7498, P 34.10-94 (Россия), DSS (Digital Signature Standard, США).

CryptoAPI операционной системы windows

Криптографический интерфейс приложений операционной системы Windows представляет собой набор констант, типов данных и функций, предназначенных для выполнения операций шифрования, расшифрования, получения и проверки ЭЦП, генерации, хранения и распределения ключей шифрования. Эти услуги для приложений предоставляют провайдеры криптографического обслуживания (Cryptographic Service Provider, CSP) ‑ динамически компонуемые библиотеки (DLL), экспортирующие единый набор объектов, определяемый интерфейсом CryptoAPI.

Взаимодействие между приложением и CSP строится на основе следующих принципов:

    приложение не имеет прямого доступа к изготовлению и хранению ключей шифрования (нет риска их потери из-за ошибок в приложении);

    приложение не определяет детали выполнения криптографических операций, а лишь указывает на требуемые от CSP действия (например, зашифровать по заданному алгоритму данные и получить для них ЭЦП);

    приложение не обрабатывает данных, по которым проводится аутентификация пользователя, а предоставляет это CSP, который имеет лучшие возможности для проверки подлинности пользователя (например, может использовать аутентификацию на основе биометрических признаков или ключевой информации, размещенной на смарт-картах или других элементах аппаратного обеспечения); в этом случае из-за ошибок в приложении не может произойти утечки конфиденциальной информации о пользователе.

На рисунке приведена архитектура криптографической подсистемы Windows. Вызовы функций CryptoAPI обрабатываются модулем операционной системы advapi32.dll, который преобразует их в вызовы функций интерфейса провайдера криптографического обслуживания (Cryptographic Service Provider Interface, CryptoSPI). Для обеспечения аутентичности и подлинности CSP он снабжается ЭЦП, которая периодически проверяется операционной системой в ходе сеанса работы пользователя. Получение ЭЦП производится корпорацией Microsoft на основе хеш-значения CSP, представленного изготовителем этой библиотеки.

Каждый CSP характеризуется своим присвоенным производителем именем и типом, определяющим поддерживаемые этим провайдером криптографические алгоритмы.

К основным атрибутам CSP относятся:

    обязательно поддерживаемый алгоритм ЭЦП (всегда единственный);

    длина ключей асимметричного шифрования;

    формат ЭЦП;

    форматы блоков, в которых открытый и (возможно) секретный ключи асимметричного шифрования экспортируются из CSP;

    возможно поддерживаемый алгоритм обмена сеансовыми ключами симметричного шифрования (всегда единственный);

    возможно поддерживаемые алгоритмы симметричного шифрования (конкретный CSP может поддерживать только часть таких алгоритмов, определенных для соответствующего типа криптопровайдера);

    схема генерации сеансового ключа из хеш-значения;

    длины сеансовых ключей (в зависимости от алгоритма);

    формат блока сеансового ключа при его экспорте из CSP;

    режимы симметричного шифрования, принятые по умолчанию.

Информация об установленных на компьютере криптопровайдерах содержится в реестре Windows в разделе

HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Defaults. В подразделе Provider размещается информация о пути к библиотеке, ЭЦП и типе каждого CSP (по его имени), а в подразделе Provider Types ‑ сведения о полных именах криптопровайдера и его типе.

Для каждого зарегистрированного у него пользователя или конкретного приложения CSP хранит контейнер ключей асимметричного шифрования, который может включать в себя две пары ключей ‑ открытый и секретный ключи для обмена сеансовыми ключами, а также открытый и секретный ключи для ЭЦП. Ключи симметричного шифрования не сохраняются CSP и об их сохранении должно позаботиться приложение.

Существуют две версии CryptoAPI: 1.0 и 2.0. В CryptoAPI 2.0 введены дополнительные функции для поддержки инфраструктуры открытых ключей. Дополнительные функции CryptoAPI 2.0 используют вызовы функций CryptoAPI 1.0, функций CryptoAPI 1.0 приведены в таблице ниже.

Название функции

Краткое описание функции

CryptAcquireContext CryptReleaseContext

Получение и освобождение дескриптора CSP

CryptGetProvParam CryptSetProvParam

Получение и установка атрибутов CSP

CryptSetProvider

Установка используемого по умолчанию CSP

CryptGenKey CryptDestroyKey

Создание ключей шифрования и освобождение их дескрипторов

Создание сеансового ключа из хеш-значения

CryptExportKey CryptlmportKey

Экспорт и импорт ключа шифрования в CSP

Получение дескриптора открытого ключа

CryptGetKeyParam CryptSetKeyParam

Получение и установка параметров ключа шифрования

CryptEncrypt CryptDecrypt

Симметричное шифрование и расшифрование данных

CryptCreateHash CryptDestroyHash

Создание пустого хеш-значения и освобождение его дескриптора

CryptHashData CryptHashSessionKey

Хеширование (добавление к хеш-значению) произвольных данных и сеансового ключа

CryptGetHashParam CryptSetHashParam

Получение и установка параметров хеш-значения

CryptVerifySignature

Получение и проверка ЭЦП

Генерация случайного значения

Для возможности доступа пользователя или его приложения к услугам, предоставляемым конкретным CSP, необходимо создать для этого субъекта пустой контейнер ключей (иначе говоря, зарегистрировать его у этого криптопровайдера). После этого в начале каждого сеанса работы с CSP приложение должно получить у криптопровайдера дескриптор контейнера ключей соответствующего субъекта. Создание контейнера ключей и получение его дескриптора выполняются с помощью функции CryptoAPI CryptAcquireContext.

В защищенных версиях операционной системы Windows для создания нового контейнера ключей приложение должно иметь полномочия администратора (требуется запись в раздел реестра HKEY_LOCAL_MACHINE). Полученный дескриптор контейнера ключей должен указываться приложением при вызове других функций CryptoAPI. Для освобождения дескриптора контейнера ключей, полученного с помощью функции CryptAcquireContext, предназначена функция CryptoAPI CryptReleaseContext.

Вместе с любой версией Windows поставляется криптопровайдер «Microsoft Base Cryptographic Provider vl.0». Начиная с версий Windows 2000/МЕ, в состав операционных систем Windows включаются также криптопровайдеры «Microsoft Enhanced Cryptographic Provider vl.0» и «Microsoft Strong Cryptographic Provider». Криптопровайдер «Microsoft Enhanced Cryptographic Provider vl.0» может быть установлен на компьютерах под управлением операционных систем Windows 9x путем загрузки с веб-сервера Microsoft.

Криптопровайдер «Microsoft Base Cryptographic Provider vl.0» использует ключи асимметричного шифрования длиной 512 бит и ключи симметричного шифрования по алгоритмам RC2 и RC4 длиной 40 бит, что недостаточно на современном уровне развития компьютерных технологий. Криптопровайдеры «Microsoft Enhanced Cryptographic Provider vl.0» и «Microsoft Strong Cryptographic Provider» используют ключи асимметричного шифрования длиной 1024 бита и ключи симметричного шифрования длиной 56 (DES), 128 (RC2 и RC4) и 168 (3-DES) бит.

Существуют криптопровайдеры, в которых реализованы алгоритмы симметричного шифрования и ЭЦП, соответствующие российским стандартам в области информационной безопасности (ГОСТ 28147-89, ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001 и ГОСТ Р 34.11-94). Примером такого криптопровайдера является средство криптографической защиты информации «КриптоПро CSP».

Дополнительно установленные криптопровайдеры могут хранить контейнеры ключей на защищенных от несанкционированного чтения носителях (например, на смарт-картах) или в реестре в зашифрованном виде (в этом случае при выполнении функции CryptAcquireContext может потребоваться ввод аутентифицирующей пользователя информации: PIN-кода или специального пароля).

Защита документов Microsoft Office от несанкционированного доступа

Защита документов Microsoft Office от несанкционированного доступа основана на их шифровании с помощью вызова соответствующих функций CryptoAPI. При установке защиты пользователю предлагается ввести пароль доступа к защищаемому документу, из которого будет сгенерирован сеансовый ключ шифрования этого документа. При попытке в дальнейшем открыть защищаемый документ потребуется ввод пароля доступа, на основании которого произойдут генерация сеансового ключа и расшифрование документа.

В текстовом процессоре Microsoft Word (версия Microsoft Office ХР и старше) установка защиты от несанкционированного доступа к редактируемому документу выполняется с помощью команды меню Сервис\Параметры\Безопасность. Кнопка «Дополнительно» позволяет установить параметры шифрования документа:

    тип шифрования (на основе выбора одного из установленных в системе криптопровайдеров и алгоритма потокового шифрования RC4);

    стойкость (длину) сеансового ключа шифрования в битах;

    необходимость шифрования свойств документа (возможно только при использовании шифрования с помощью CryptoAPI).

При выборе типа шифрования нецелесообразно выбирать варианты «Слабое шифрование» и «Совместимое с Office 97/2000», поскольку в этом случае для защиты документа будет применено ненадежное шифрование, не использующее возможностей CryptoAPI. Существует немало программных средств, позволяющих расшифровывать защищенные таким образом документы путем простого перебора возможных паролей доступа.

При выборе типа шифрования, основанного на использовании одного из установленных в системе криптопровайдеров, необходимо установить максимально возможную длину ключа шифрования (обычно 128 бит).

Стойкость шифрования документа зависит также от длины пароля (фактически ключевой фразы для генерации сеансового ключа). Максимальная длина пароля доступа равна 255 знакам. При выборе пароля доступа к документу необходимо руководствоваться теми же соображениями, что и при выборе пароля пользователя для входа в компьютерную систему: выбирать пароли достаточной длины и сложности, не использовать один пароль для защиты различных документов, не использовать легко угадываемые пароли, совпадающие с логическим именем пользователя или названием документа, и т.п.

Для защиты от несанкционированного внесения изменений в документ Microsoft Word можно установить пароль разрешения записи в него. В этом случае перед открытием документа также будет предложено ввести пароль доступа. При вводе неправильного пароля или отказе от ввода пароля документ будет открыт только для чтения. Однако эту защиту нельзя считать достаточно надежной, поскольку измененная версия документа может быть сохранена под другим именем, после чего файл с оригинальным документом может быть удален, а вновь созданный файл соответствующим образом переименован. Кроме того, пароль разрешения записи содержится непосредственно в тексте документа и поэтому может быть просто удален из него с помощью специальных программных средств.

Для защиты документов Word от несанкционированного изменения необходимо применять средства разграничения доступа к папкам и файлам, имеющиеся в защищенных версиях операционной системы Windows и файловой системы NTFS.

Документ Microsoft Word (версия Microsoft Office XP и старше) может быть снабжен электронной цифровой подписью для обеспечения его аутентичности и целостности. Добавление ЭЦП к файлу документа возможно с помощью кнопки «Цифровые подписи» в окне настроек параметров безопасности. Для добавления ЭЦП к документу необходимо в окне «Цифровые подписи» выбрать соответствующий сертификат ключа ЭЦП. При получении первой подписи для документа следует с помощью кнопки «Добавить» выбрать сертификат для добавляемой к документу ЭЦП.

Сертификат открытого ключа ЭЦП может быть получен одним из следующих способов:

    в удостоверяющем центре корпоративной компьютерной системы, использующей, например, инфраструктуру открытых ключей Microsoft Windows;

    в коммерческом удостоверяющем центре (например, в удостоверяющем центре компании VeriSign, Inc.);

    самостоятельно с помощью программы Selfcert.exe, входящей в стандартную поставку пакета Microsoft Office.

Перед добавлением ЭЦП к защищаемому документу сертификат можно просмотреть с помощью кнопки «Просмотр сертификата». При самостоятельном создании сертификата (вместе с соответствующим ему секретным ключом ЭЦП) программа Selfcert.exe запросит имя владельца сертификата, а после успешного завершения процедуры создания выдаст соответствующее сообщение. Самостоятельно созданный сертификат предназначен только для персонального использования владельцем защищаемого документа.

При попытке сохранения измененного документа, снабженного ЭЦП, Microsoft Word выдаст предупреждение о том, что все ЭЦП будут удалены из документа. Если файл с защищенным ЭЦП документом будет изменен с помощью других программных средств (например, с помощью Блокнота), то при последующей попытке открытия документа Microsoft Word выдаст соответствующее сообщение и файл с документом открыт не будет.

Защита от несанкционированного доступа к электронным таблицам Microsoft Excel и презентациям Microsoft PowerPoint в пакете Microsoft Office XP производится полностью аналогично защите документов Microsoft Word. Установка защиты от несанкционированного доступа к базам данных Microsoft Access выполняется следующим образом.

    Файл базы данных (с расширением «.mdb») открывается в монопольном режиме (с помощью раскрывающегося списка справа от кнопки «Открыть»).

    Выполняется команда Сервис\Защита\Задать пароль базы данных и дважды вводится пароль доступа.

    При последующем открытии базы данных потребуется ввести пароль доступа.

Пароль доступа к базе данных Microsoft Access сохраняется в файле базы данных в открытом виде.

Вместо использования одного пароля доступа к базе данных Microsoft Access можно организовать разграничение доступа к ее объектам (таблицам, формам, запросам и отчетам) на уровне отдельных пользователей.

Вначале удобно воспользоваться услугами Мастера защиты Microsoft Access (команда меню Сервис\Защита\Мастер).

В диалоге с Мастером после открытия файла базы данных в монопольном режиме потребуется указать:

    необходимость создания нового или изменения существующего файла рабочей группы для базы данных;

    имя файла и код рабочей группы, а также имя владельца базы данных и название организации;

    объекты разграничения доступа в базе данных (по умолчанию все таблицы);

    предопределенные группы пользователей с заранее определенными правами доступа (например, все права или только чтение);

    разрешенные права доступа для группы Users, в которую будут входить все зарегистрированные пользователи базы данных;

    имена и пароли (возможно, первоначально пустые) всех регистрируемых Мастером пользователей базы данных;

    группы, в которые будут входить регистрируемые Мастером пользователи.

После завершения работы Мастера для получения доступа к базе данных пользователю необходимо будет пройти процедуру входа, указав свои логическое имя и пароль доступа к базе данных. Для дальнейшего добавления новых пользователей базы данных и установки им прав доступа к ней необходимо использовать соответственно команды меню Сервис\Защита\Пользователи и группы и Сервис\Защита\Разрешения. Изменения в списке пользователей и групп, а также в их правах доступа к объектам базы данных могут быть произведены только владельцем базы данных или пользователем, входящим в группу Admins, в противном случае при попытке выполнения привилегированной операции Microsoft Access выдаст соответствующее сообщение об отказе в доступе.

Наиболее простым средством защиты базы данных Microsoft Access от несанкционированного доступа является ее шифрование, при котором она сжимается и становится недоступной для просмотра и редактирования отличными от Microsoft Access программными средствами. Но если в зашифрованной базе данных не используется разграничение доступа на уровне ее пользователей, то любой из них сможет открыть такую базу данных и получить полный доступ ко всем ее объектам. Поэтому шифрование должно применяться вместе с разграничением доступа на уровне пользователей или с применением пароля доступа к базе данных либо в целях экономии памяти при сохранении базы данных на дискете или компакт-диске.

Шифрование базы данных с разграничением доступа к ее объектам на уровне пользователей возможно только для владельца базы данных или члена группы Admins. Для шифрования базы данных Microsoft Access используется команда меню Сервис\Защита\Шифровать/Расшифровать.

К достоинствам рассмотренных средств защиты от несанкционированного доступа относится то, что они могут применяться в программах пакета Microsoft Office, работающих под управлением как открытых, так и защищенных версий операционной системы Windows.

Шифрующая файловая система в защищенных версиях операционной системы Windows

В защищенных версиях операционной системы Windows, начиная с Windows 2000, для дополнительной защиты от несанкционированного доступа к папкам и файлам пользователей могут применяться средства шифрующей файловой системы (Encrypted File System, EFS), которые базируются на криптографическом интерфейсе приложений Windows CryptoAPI.

Шифрующая файловая система разработана с учетом следующих принципов:

    автоматическая генерация криптопровайдером асимметрических ключей обмена при первом обращении пользователя к услугам EFS (шифровании первой папки или файла);

    автоматическая генерация случайного сеансового ключа перед шифрованием файла, указанного пользователем;

    автоматическое шифрование и расшифрование в прозрачном режиме на уровне файла или папки (гарантируется, что для зашифрованного файла все созданные на его основе временные файлы также будут зашифрованы);

    возможность вызова функций шифрования и расшифрования с помощью контекстного меню Проводника Windows и программы командной строки cipher;

    возможность доступа к открытому ключу обмена пользователя со стороны операционной системы только во время сеанса его работы в системе.

Пользователь сообщает шифрующей файловой системе Windows о необходимости шифрования папки или файла с помощью дополнительных атрибутов этих объектов, доступных по команде контекстного меню Свойства\Другие. Состояние выключателя «Шифровать содержимое для защиты данных» определяет необходимость шифрования информации в данном объекте. При изменении этого состояния EFS запрашивает пользователя о подтверждении изменения атрибута шифрования, а также о том, распространяется это изменение только на папку или также на все вложенные в нее файлы и папки.

При изменении атрибута шифрования для отдельного файла шифрующая файловая система также запрашивает пользователя о подтверждении этого изменения и предлагает выбрать один из двух вариантов: зашифровать (расшифровать) только один файл или применить новое значение атрибута шифрования ко всей содержащий файл папке. Если выбранный для шифрования файл находится в незашифрованной папке (и наоборот), то после модификации этого файла значение его атрибута шифрования может автоматически измениться. Поэтому рекомендуется изменять значение атрибута шифрования для всей папки.

В операционной системе Windows 2000 не обеспечивается возможность совместного доступа к зашифрованному файлу со стороны нескольких пользователей, а также передача по сети зашифрованных файлов. Поэтому для исключения угрозы потери зашифрованных пользователем данных, например из-за невозможности его входа в систему, администратор должен применять политику обязательного использования агента восстановления данных (Data Recovery Agent, DRA).

В операционной системе Windows XP Professional и более поздних защищенных версиях этой системы реализована поддержка общего доступа к зашифрованным файлам. С помощью кнопки «Подробно» в окне установки дополнительных атрибутов зашифрованного файла открывается окно просмотра списка пользователей, которым разрешен доступ к этому файлу. Кнопка «Добавить» в этом окне предназначена для добавления пользователей, уже обращавшихся за услугами шифрующей файловой системы (уже имеющих пары асимметричных ключей обмена) или имеющих сертификаты своих открытых ключей, заверенные используемым в компьютерных системах удостоверяющим центром.

Разрешение доступа к зашифрованным файлам со стороны других пользователей может избавить от необходимости использовать в компьютерных системах политику агента восстановления.

Недостатки реализованного механизма совместного доступа к зашифрованным файлам в Windows XP Professional:

    при выборе пользователей, которым разрешен доступ к зашифрованному файлу, нельзя использовать определенные в системе группы;

    нет возможности предоставления совместного доступа к зашифрованной папке.

В качестве дополнительной услуги в Windows XP Professional поддерживается выделение имен зашифрованных файлов и папок зеленым цветом, хотя это может рассматриваться и как дополнительное указание на объекты, содержащие конфиденциальную информацию. Помимо шифрования по алгоритму DESX поддерживается также и шифрование по алгоритму 3-DES (изменить алгоритм шифрования можно с помощью изменения значения соответствующего параметра безопасности).

Начиная с версии Windows XP Professional, возможно использование средств шифрующей файловой системы при работе с кэшированными на клиентском компьютере автономными файлами из общих для пользователей сети папок. Благодаря кэшированию пользователи могут продолжать просматривать и редактировать файлы из общих папок в ситуации, когда их компьютер отключен от сети. При последующем подключении к серверу сети операционная система синхронизирует произведенные изменения в файлах с их более ранними версиями, размещенными в общих папках. Возможность автоматического шифрования и расшифрования автономных файлов повышает их защищенность от несанкционированного доступа при работе с ними на мобильных компьютерах.

На криптографическом интерфейсе приложений Windows и технологии многокомпонентных объектов (СОМ-технологии) базируется объект CAPICOM, доступный в версиях операционной системы Windows, начиная с Windows XP Professional. Объект CAPICOM может использоваться для выполнения основных криптографических операций в приложениях, созданных как на универсальных языках программирования, так и на языках сценариев. Объекты CAPICOM поддерживают получение и проверку ЭЦП, обмен сеансовыми ключами, симметричное шифрование и расшифрование данных.

Обычная криптография

В традиционной криптографии, также называемой шифрованием тайным , или симметричным , ключом, один и тот же ключ используется как для зашифрования, так и для расшифрования данных. Data Encryption Standart (DES) - пример симметричного алгоритма, широко применявшегося на Западе с 70-х годов в банковской и коммерческой сферах. В настоящее время его сменяет Advanced Encryption Standard (AES). Рисунок 2 иллюстрирует процесс симметричного шифрования.

 Из книги Секреты и ложь. Безопасность данных в цифровом мире автора Шнайер Брюс

Глава 6 Криптография Криптография весьма загадочна. С одной стороны – это набор сложных математических выражений. Шифровальщики вечно изобретают сложные математические преобразования, а им вечно противостоят криптоаналитики, находя все более оригинальные способы

Из книги Журнал «Компьютерра» N 31 от 29 августа 2006 года автора Журнал «Компьютерра»

Глава 7 Криптография в контексте Если криптография так надежна, то почему же происходят сбои в системах защиты? Почему существуют электронные кражи, мошенничество, нарушения конфиденциальности и все прочие проблемы безопасности, которые обсуждались в предыдущих главах?

Из книги Криптоанархия, кибергосударства и пиратские утопии автора Ладлоу Питер

Наука: Эллиптическая криптография Автор: Сергей Николенко But the security of cryptosystems based on elliptic curves is not well understood, due in large part to the abstruse nature of elliptic curves. Few cryptographers understand elliptic curves, so there is not the same widespread understanding and consensus concerning the security of elliptic curves that RSA enjoys. Over time, this may change, but for now trying to get an evaluation of the

Из книги Разработка приложений в среде Linux. Второе издание автора Джонсон Майкл К.

Криптоанархия и виртуальные сообщества Современная криптография Тимоти Мэй За два прошедших десятилетия в криптографии (сокращенно крип-то), науке создания шифров и кодов, произошла революция. Помимо обычных шифров, полезных, главным образом, для сохранения

Из книги PGP: Кодирование и шифрование информации с открытым ключом. автора Левин Максим

Из книги Защита от хакеров корпоративных сетей автора Автор неизвестен

Как работает криптография открытого ключа. В системах с открытым ключом каждый человек имеет два ключа, взаимно дополняющих друг друга; один является открытым ключом, а другой закрытым.Открытый ключ может и должен быть свободно доступным, так как он является именно тем

Из книги Введение в криптографию автора Циммерманн Филипп

Глава 6 Криптография В этой главе обсуждаются следующие темы: Концепции криптографии Стандарты алгоритмов шифрования «Грубая сила» Неверное использование алгоритмов шифрования Любительская криптография · Резюме · Конспект · Часто задаваемые вопросы

Из книги Реконизм. Как информационные технологии делают репутацию сильнее власти, а открытость - безопаснее приватности автора Сименко Илья Александрович

Любительская криптография Если данные не защищены современным криптографическим алгоритмом, ранее рассмотренным в этой главе или ему аналогичным, то скорее всего данные в опасности. В этой секции будет показано, как простые методы шифрования могут быть взломаны в

Из книги Анонимность и безопасность в Интернете. От «чайника» к пользователю автора Колисниченко Денис Николаевич

Что такое криптография Криптография- это наука об использовании математики для зашифрования и расшифрования данных. Криптография позволяет хранить важную информацию или передавать её по ненадёжным каналам связи (таким как Интернет) так, что она не может быть прочитана

Из книги Криптография и свобода автора Масленников Михаил

Стойкая криптография «В мире различают два типа критографии: криптография, которая помешает вашей младшей сестре читать ваши файлы, и криптография, которая помешает читать ваши файлы правительствам могучих держав. Эта книга посвящена криптографии второго типа» - Брюс

Из книги автора

Как действует криптография Криптографический алгоритм, или шифр, - это математическая формула, описывающая процессы зашифрования и расшифрования. Чтобы зашифровать открытый текст, криптоалгоритм работает в сочетании с ключом- словом, числом или фразой. Одно и то же

Из книги автора

Криптография с открытым ключом Проблема управления ключами была решена криптографией с открытым, или асимметричным, ключом, концепция которой была предложена Уитфилдом Диффи и Мартином Хеллманом в 1975 году.Криптография с открытым ключом - это асимметричная схема, в

Из книги автора

Из книги автора

5.1.3. Способ 3: криптография с открытым ключом Если первые два способа практически не требовали во что-либо вникать: указал параметры прокси-сервера, изменил настройки почтовой программы, и на этом все, то здесь начинается высшая математика. Еще бы – сейчас мы рассмотрим

Из книги автора

5.4. Криптография с открытым ключом на практике Настало время реализовать теорию, изложенную ранее, на практике. Первым делом вам нужно сгенерировать пару ключей. В каждом почтовом клиенте это действие осуществляется по-разному (а в некоторых вообще нет поддержки

Из книги автора

Глава 8. Криптография Слово «криптография» впервые было произнесено перед нами только на 2 курсе. До этого – ни-ни, никаких упоминаний о будущей специальности. Полная секретность, все в точности так, как завещал товарищ Сталин: никому ни слова, ни жена, ни мать, ни отец –



— обзор настольной игры Dungeon Raiders (Расхитители подземелий) « Предыдущая запись

— обзор настольной игры Dungeon Raiders (Расхитители подземелий)

Видео с ограниченным доступом – как смотреть на YouTube Как поставить возрастные ограничения на ютубе Следующая запись »

Видео с ограниченным доступом – как смотреть на YouTube Как поставить возрастные ограничения на ютубе

Рубрики
Последние записи
Страницы

© 2024 Триколор телевидение — trikolo.ru ·