Методы и средства криптографической защиты информации

Очевидно, что кроме экстремальных шифров существуют и не экстремальные шифры, которые не намного отличаются от экстремальных. В связи с этим будет полезно ввести понятие шифров, близких к экстремальным.

Рассмотрим

(2.5)

- произведение шифров такое, что , то есть множество шифробозначений первого шифра является множеством шифрвеличин второго шифра и так далее до n-го шифра.

Под исходным текстом будем понимать текст , под выходным текстом - . Под длиной блока N будем понимать длину блока шифра A₁.

Если в качестве сомножителей в (2.5) выступает один и тот же алгоритм, то такую композицию будем называть итерацией. Например, пусть , тогда шифр А - это n итераций шифра А₀.

Очевидно, что при изменении n в (2.5) может меняться и вектор экстремальности шифра А. Для каждого конкретного значения n обозначим вектор экстремальности

Определение 2.5.

Пусть имеется шифр А с вектором экстремальности , шифр А назовем близким к экстремальному, если для него существует следующий предел:

(2.6)

Иначе говоря, шифр А близок к экстремальному, если, при стремлении числа сомножителей в (2.5) к бесконечности, вектор экстремальности шифра А стремится к нулю.

Введенная характеристика позволяет судить об эффективности шифра не анализируя его природу, ограничиваясь лишь исследованиями с помощью ЭВМ.

Рассмотрим пример.

Пусть имеется шифр А₀, А₁, А₂, и А₃, вектора экстремальности которых отмечены на рисунке 3.

Согласно рисунку 3. по величине вектора экстремальности алгоритмы относительно друг друга располагаются следующим образом:

А₀ < А₃ < А₁ < А₂.

Что означает следующее распределение эффективности шифров относительно друг друга:

А₂ < А₁ < А₃ < А₀.

То есть для шифра А₁ вероятность того, что наиболее эффективным способом вскрытия шифра будет являться полный перебор по множеству возможных значений ключа, больше, нежели для шифра А₂ и меньше, чем для шифров А₃ и А₀.

Очевидно, что если стоимость использования шифров распределена следующим образом: С₁ < С₃ < С₀ < С₂, то использование шифра А₂ не представляется целесообразным. Решение о применении остальных шифров следует принимать, исходя из финансовых возможностей предприятия и требуемого уровня эффективности.

Кроме стоимости применения алгоритмов шифрования при выборе оптимального шифра для конкретной задачи можно рассматривать также и сложность применения этих алгоритмов, необходимы уровень образования сотрудников, работающих с алгоритмом и другие аспекты применения алгоритмов шифрования, которые зависят от корректного случая.

2.10.3 Процедура исследования

Для анализа экстремальности шифров DES, ECC и их композиций сотрудниками кафедры безопасности информационных технологий Сибирского государственного аэрокосмического университета была разработана процедура, показанная на рисунке 4 (процедура является универсальной и может быть применена для исследования экстремальности других алгоритмов шифрования).

Исследование происходит следующим образом. Исходный текст И₀ длины N шифруется исследуемым алгоритмом А, получается выходной текст В₀. Изменив в исходном тексте И₀ один бит (сначала первый, потом второй и так далее до N), получаем текст И. Зашифровав И исследуемым алгоритмом А, получаем выходной текст В. К текстам В₀ и В применяется функция сравнения F_срав, которая возвращает - кодовое расстояние этих текстов при -м отличном бите исходных текстов и - последовательность номеров бит, на которые В₀ и В отличаются. К полученным данным применяется функция F_случ, которая возвращает последовательность независимых номеров бит и случайное кодовое расстояние выходных текстов при -м отличном бите исходных текстов. Далее по формуле (2.1) вычисляем экстремальность по тексту . Процедура вызывается N раз, каждый раз добавляя значение в совокупность значений . После чего к совокупности применяется функция обработки F_обр, которая возвращает . Это и есть экстремальность по тексту алгоритма А.

Описанная процедура (с небольшими изменениями) может быть применена и к исследованию других алгоритмов.

Контрольные вопросы и задания

1. Перечислите основные недостатки алгоритма DES и предложите пути их устранения.

2. Выпишите в явном виде подстановку IP^-1. Найдите её разложение в произведение независимых циклов и вычислите её порядок.

3. Докажите, что все преобразования стандарта DES являются четными подстановками на пространстве V₆₄.

4. Докажите, что все S-блоки DES являются нелинейными преобразованиями из V₆ в V₈.

5. Докажите свойство дополнительности DES: где черта означает взятие дополнительного вектора, т.е. .

6. Какой из режимов: обратной связи по выходу (OFB) или шифрованной обратной связи (CFB) следует выбрать, если:

a. нужно, чтобы возможные5 искажения битов при передаче данных не распространялись на последующие порции данных?

b. нужна большая надежность в отношении нарушений типа модификации потока данных?

7. Почему при передаче достаточно длинных сообщений режим ECB может не обеспечивать необходимый уровень защиты?

8. Обоснуйте необходимость защиты инициализующего вектора (IV) в режиме сцепления шифрованных блоков (CBC).

9. Алгоритм DES - это блочный шифр с размером блока 64 бит. Однако бывает необходимо каждый символ шифровать и сразу передавать адресату, не дожидаясь окончания шифрования остальной части сообщения. Предложите способ использовать DES для этого.

10. Перечислите отличия ГОСТ 28147-89 от DES.

11. Докажите, что всякое преобразование стандарта ГОСТ 28147-89 обратимо и является четной подстановкой на множестве всех 64-битовых слов.

12. Предложите алгоритмы генерации псевдослучайных последовательностей при помощи алгоритма ГОСТ 28147-89. Оцените величину их периода.

13. В чем заключается метод "опробования" (полного перебора, “brute force attack”)?

14. Применить метод линейного криптоанализа к трехтактовому DES.

15. Пусть h - блочно-итерационная функция и шаговая функция хэширования ? является обратимой (допускает вычисление y по известным ?(x, y) и x). Ставится задача: для заданного х найти другое слово х?, такое, что h(x)=h(x?). Для решения этой задачи применяется атака "встреча посередине" - модификация атаки "дней рождения". Дайте описание возможного варианта такой атаки.

16. Предложите возможные криптоатаки на:

a. двухтактовый

b. трехтактовый ГОСТ 28147-89

17. Почему алгоритм Blowfish не подходит для применения в смарт-картах?

18. Изобразите блок-схему алгоритма IDEA.

19. Почему операция умножения в IDEA выполняется по модулю а не по модулю ?

20. Каким образом в алгоритме Rijndael удалось избежать появления полуслабых ключей?

21. Какому многочлену соответствует число 21 в шестнадцатеричной записи?

22. За счет чего обеспечивается высокая скорость работы алгоритма Rijndael?

23. Шифрованный текст С=10, открытый ключ e=5, N=35. Найдите открытый текст.

24. Открытый ключ e=31, N=3599. Найдите личный ключ этого пользователя.

25. Предположим, что пользователь RSA в качестве модуля N выбрал большое простое число. Показать, что в этом случае дешифровать текст легко.

26. Рассмотрим систему RSA с модулем N. Целое число х, где 1?х?N-1, назовем неподвижной точкой, если оно и в зашифрованном виде тоже х. Показать, что если х - неподвижная точка, то и N-х тоже неподвижная точка.

27. Пусть Е -- эллиптическая кривая, определенная над С, уравнение (1) которой имеет коэффициенты а, b R; тогда точки Е с вещественными координатами образуют подгруппу. Описать все возможные виды структуры такой подгруппы комплексной кривой Е (которая как группа изоморфна произведению окружности на себя). Приведите пример для каждой из них.

28. Привести пример эллиптической кривой над R, имеющей в точности 2 точки порядка 2, и пример кривой, имеющей в точности 4 точки порядка 2.

29. Пусть Р -- точка на эллиптической кривой над R. Предположим, что Р не есть точка в бесконечности. Найти геометрическое условие, эквивалентное тому, что Р -- точка порядка а) 2; б) 3; в) 4.

30. Каждая из следующих точек имеет конечный прядок на данной эллиптической кривой над Q. Найти в каждом случае порядок P.

a) P=(0,16) на

б) P=(,) на

в) P=(3,8) на

г) P=(0,0) на (уравнение можно привести к виду (1) заменой переменных , )

31. Доказать, что число -точек на каждой из следующих эллиптических кривых равно q+1:

а) , когда q3 (mod 4);

в) , когда q2 (mod 3) (q нечетно);

г) , когда q2 (mod 3) (здесь q может быть четным);

3. Средства криптографической защиты информации

Применение криптографических методов защиты информации основано на изложенной выше теории, но, как и любая практическая задача, такое применение должно базироваться на собственных принципах, рекомендациях и ограничениях. В настоящий момент практическая криптография распространяется все шире вслед за развитием электронного документооборота, широкодоступных сетевых служб, обмена информацией через сети передачи данных общего пользования. Кроме того, существует ряд направлений, в которых применению средств криптографической защиты информации практически нет альтернативы. Согласно [7], такими направлениями в настоящий момент являются:

- защищенная электронная почта;

- обеспечение безопасности электронных платежей (электронный документооборот);

- виртуальные частные сети.

Кроме того, можно выделить и другие задачи, решаемые средствами криптографической защиты информации:

- создание и использование носителей ключевой информации [1];

- шифрование данных, хранимых в базе данных или в электронном виде на различных носителях информации;

- электронная цифровая подпись и связанные с ней виды шифрования, в частности, проверка авторства;

- криптографические интерфейсы;

- задачи идентификации и аутентификации и т.п.

Таким образом, средствами криптографической защиты информации решается множество задач, непосредственно связанных с обеспечением информационной безопасности любой системы, базы данных или сети передачи информации.

3.1 Виды средств криптографической защиты информации

Определение 1. Средства криптографической защиты информации (СКЗИ) - совокупность аппаратных и(или) программных компонентов, обеспечивающих возможность шифрования информации с использованием одного или нескольких криптографических методов защиты.

Как видно из определения, существует ряд возможных реализаций методов криптографической защиты информации:

- программные, представляющие собой реализацию одного или нескольких криптоалгоритмов на языке программирования высокого или низкого уровня, в виде модулей, отдельных библиотек или выделенных программ с функцией криптографической защиты;

- аппаратные, реализующие криптоалгоритмы или их отдельные участки в микросхемах, процессорах и специализированных блоках (системы встроенной защиты) и аппаратных модулях (системы наложенной защиты), совмещенные со средствами вычислительной техники или встраиваемые в автоматизированные системы;

- программно-аппаратные, представляющие собой комплексы, состоящие из взаимосвязанных программной и аппаратной части с функциями криптографической защиты.

При организации систем засекреченной связи и защищенных автоматизированных систем требуется учитывать некоторые особенности размещения средств криптографической защиты информации, причем нет принципиальных различий между программными, программно-аппаратными и аппаратными средствами. Кроме некоторых преимуществ использования различных реализаций криптографической защиты, описанных далее по тексту, дающих возможность варьирования места использования в информационно-телекоммуникационной системе, можно выделить несколько узловых точек (рис. 37), в которых возможно их внедрение.

1

Рис. 37. Места внедрения СКЗИ в информационно-телекоммуникационной системе

Итак, рассмотрим перечисленные возможности подробнее:

Системы встроенной защиты, сопрягаемые с программными и аппаратными устройствами автоматизированных систем, могут использоваться в следующих случаях:

- защита терминалов, стационарных или мобильных, а также устройств ввода-вывода информации и периферийных устройств;

- защита центральных узлов, а также соединений с внешними терминалами;

- защита управляющих и контролирующих устройств, причем с обязательной гарантией высокого уровня надежности;

- обеспечение безопасности хранения информации, в том числе и резервных копий.

Системы наложенной защиты, реализуемые в виде отдельных блоков, могут использоваться кроме того и в некоторых других случаях, как то:

- для организации независимого защищенного канала передачи информации;

- обеспечения "прозрачного" шифрования передаваемой по каналу связи информации;

- применения как устройств защиты приемо-передающих компонентов информационно-телекоммуникационных систем.

Особенностью использования СКЗИ в информационно-телекоммуникационных системах является наличие нескольких (обычно трех-четырех) выделенных режимов работы. Такими режимами обычно являются:

- абонентское шифрование;

- сквозное шифрование;

- канальное шифрование;

- цифровая подпись;

- идентификация/аутентификация.

Подробно все режимы применения средств криптографической защиты информации описаны ниже, но можно остановиться на некоторых особенностях. В частности, стоимость средства напрямую зависит от количества используемых режимов, причем комбинированных систем на рынке представлено достаточно, но в основном в программно-аппаратных или аппаратных реализациях. Программные реализации часто специализируются на нескольких режимах.

Абонентские терминалы могут защищаться как комбинированными системами, так и специализированными. Для экономии средств часто используется сочетание "программный клиент - программно-аппаратный сервер", что упрощает организацию криптографической защиты, но снижает показатели надежности системы обеспечения информационной безопасности.

Сервер целесообразно защищать комбинированными системами с максимально возможным количеством режимов работы, что позволяет обеспечивать безопасную работу все сетевых служб. Кроме того, для центрального узла телекоммуникационной сети предпочтительной может быть аппаратная реализация СКЗИ, реализующая предобработку и шифрование/расшифровку информации.

Аппаратные средства

Обратимся к аппаратной технологии реализации криптографической защиты информации. Начнем с ряда важных определений.

Определение 2. Аппаратное средство криптографической защиты информации - специализированный блок, компонент средства вычислительной техники или отдельное устройство, выполняющее шифрование информации.

Собственно шифрование, согласно определению [1], представляет собой криптографическое преобразование данных для получения шифртекста (закрытого текста). Дополняя это определение, можно заметить на основании первого раздела данной книги, что шифрование в аппаратных средствах криптографической защиты также требует взаимодействия различных специализированных компонентов автоматизированной системы или средства вычислительной техники для реализации криптоалгоритмов.

Определение 3. Устройство криптографической защиты данных (УКЗД) - аппаратное СКЗИ, выполняющее также дополнительные функции по защите информации, например, защищающий от НСД [2].

Кроме того, аппаратное средство криптографической защиты содержит ряд дополнительных блоков, которые не требуются в программной реализации:

- блок управления криптографическими ключами;

- генератор случайных чисел;

- память, постоянная и оперативная;

- блок синхронизации времени;

- устройство хранения и проверки контрольных сумм и хэш-значений.

Также возможно использование специализированных шифропроцессоров, используемых для вычислений и отдельных блоков идентификации, аутентификации и авторизации (проверки и генерации электронной цифровой подписи). Таким образом, полнофункциональное (с реализацией всех перечисленных функций) аппаратное СКЗИ может являться даже специализированным компьютером, реализованным в виде аппаратного блока, внешнего или внутреннего, и связанного с центральным процессором собственными каналами передачи данных (например, системной шиной).

В статье [2] выделены несколько функций, которые также могут быть реализованы аппаратно:

- контроль доступа;

- выдача идентификационных ключей;

- проверка целостности данных.

Именно такое СКЗИ с дополнительными функциями в дальнейшем будем называть устройством криптографической защиты данных.

Структура аппаратного СКЗИ

Поскольку, в отличие от программных технологий реализации криптоалгоритмов, которые будут рассмотрены далее, аппаратные реализации требуют физического исполнения на плате, при проектировании таких средств соблюдаются определенные требования и ограничения, в целом соответствующие следующей базовой схеме (рис. 38).

1

Рис. 38. Базовая схема аппаратного СКЗИ

Блок управления выполняет координацию функций различных компонентов СКЗИ, коммутацию устройств и внешних потоков, управление данными, передаваемыми по системной шине.

Память аппаратного средства подразделяется на два блока:

- оперативная, хранящая программное обеспечение СКЗИ, а также все программируемые компоненты, изменяемые значения и прочее;

- постоянная, содержащая набор команд, реализующих защитные функции и загрузку программного обеспечения СКЗИ.

Кроме того, в статье [2] и ряде других источников [1,3,4] выделяются два дополнительных блока памяти:

- память журнала;

- память хранения ключей.

Специализированные процессоры применяются в аппаратных СКЗИ для увеличение скорости вычислений и исполнения большинства криптографических операций. Они представляют собой программируемые блоки или блоки с жестко установленным набором команд.

Генератор случайных чисел используется для получения псевдослучайных последовательностей, отвечающих требованиям криптоалгоритма, используемого СКЗИ. Используемые в аппаратной реализации криптографической защиты генераторы случайных чисел основаны на различных физических процессах.

Блок управления ключами выполняет прием, обработку и выдачу ключевой информации, а также, если это необходимо, функции идентификации и аутентификации.

Блок синхронизации времени требуется в операциях контроля функционирования самого СКЗИ, при синхронизации потока данных, для расчета и согласования операций.

Устройство ввода-вывода обеспечивает обработку сигналов, поступающих от внешних устройств. Для устройств ввода-вывода информации в аппаратных СКЗИ является принципиально важным обеспечение возможности взаимодействия со следующими устройствами:

- системная шина компьютерной системы, либо приемно-передающее устройство линии передачи информации, что актуально для организации сквозного, или "прозрачного", шифрования;

- устройства хранения ключевой информации, применяемые в задачах идентификации/аутентификации, а также контроля функционирования аппаратного СКЗИ;

- контроллеры жестких дисков и устройства резервного копирования информации, что позволяет организовать безопасное хранение данных и их резервных копий.

Следовательно, аппаратное средство криптографической защиты информации представляет собой сложное многофункциональное устройство, принципиально схожее по организации с устройствами программно-аппаратной защиты данных, рассмотренных подробно в пособии [5], но имеющее ряд специфических функций и обеспечивающее реализацию криптографического преобразования исходной информации.

Наконец, рассмотрим кратко достоинства аппаратных СКЗИ, основываясь на информации, приведенной в статье [13]. Итак, в число основных достоинств аппаратных шифраторов входят следующие:

- гарантия неизменности алгоритма шифрования;

- наличие аппаратного датчика случайных чисел, используемого при создании криптографических ключей;

- возможность прямой (минуя системную шину компьютера) загрузки ключей шифрования в специализированный процессор аппаратного СКЗИ с персональных идентификаторов - носителей типа смарт-карт и "таблеток" Touch Memory (ТМ);

- хранение ключей шифрования не в ОЗУ компьютера (как в случае с программной реализацией), а в памяти шифропроцессора;

- идентификация и аутентификация пользователя до загрузки операционной системы;

- аппаратная реализация позволяет добиться высокой скорости шифрования данных.

Кроме того, можно отметить ряд достоинств аппаратной реализации, не перечисленных в данной статье, а именно:

- надежность, позволяющая использовать средство криптографической защиты в критичных по надежности узлах автоматизированных систем;

- возможность реализации отдельным блоком, что зачастую позволяет более гибко строить топологию защищенной автоматизированной системы;

- исключение возможности программного повреждения ключей шифрования, что дает гарантию стабильности системы в целом.

Программные средства

Программные средства шифрования представляют собой реализацию криптографического алгоритма на высокоуровневом или низкоуровневом языке программирования. Обычно функционирование таких средств криптографической защиты требует выполнения ряда вычислительных операций стандартными аппаратными средствами компьютерной системы.

Технология реализации криптоалгоритмов программными средствами имеет ряд особенностей и отличий. Кроме очевидного факта, что при использовании программного СКЗИ применение аппаратного расширения не является обязательным условием, можно отметить и ряд других особенностей:

- необходимость дополнительного контроля за качеством функционирования, поскольку в общем случае работу программного СКЗИ нарушить легче, чем его аппаратного аналога;

- возможность контроля ошибок в закрытом тексте при шифровании путем внедрения избыточности;

- необходимость обеспечения надежного хранения ключей, что решается за счет создания мастер-ключа (ключа для шифрования файла, содержащего базу данных ключей) и других технологий, не требующихся обычно при использовании аппаратного СКЗИ;

- возможность масштабирования и дополнения СКЗИ новыми программными блоками и модификациями используемых;

- принципиальная возможность использования программного СКЗИ с открытым кодом, что допускается при шифровании информации в частных целях и облегчает общую схему защиты.

Таким образом, программное СКЗИ отличает способность использования в распределенных и глобальных информационно-телекоммуникационных системах, более гибкая реализация, способность масштабирования и высокая мобильность.

Можно выделить следующие функции программных средств криптографической защиты:

- идентификация/аутентификация пользователей;

- обеспечение встроенной производителем криптографической защиты программных и операционных систем;

- генерация псевдослучайных последовательностей;

- шифрование данных на диске;

- "прозрачное" шифрование данных;

- абонентское шифрование данных;

- формирование и проверка ключей, цифровых подписей, защита от копирования программного кода;

- обеспечение безопасной передачи секретного ключа при инициализации СКЗИ, в том числе и аппаратных.

Итак, можно отметить, что базовые функции аппаратного СКЗИ дополняются возможностями встраивания программных средств в программное обеспечение, используемое для хранения, обработки и передачи данных в информационно-телекоммуникационных системах.

Структура программного СКЗИ

Программные технологии реализации криптоалгоритмов имеют в целом схожие базовые элементы, в целом соответствующие следующей схеме (рис. 39).

1

Рис. 39. Схема программного СКЗИ

Блок управления выполняет координацию функций различных компонентов СКЗИ, коммутацию модулей и внешних потоков информации, а также внешних команд.

Модуль управления ключами выполняет задачи обработки ключевой информации, индентификации/аутентификации пользователей. Дополнительно используется идентификация устройств, которая может использоваться как элемент защитной подсистемы.

Генератор случайных чисел, используемый в программных СКЗИ, также реализуется программно. В них применяются различные алгоритмы генерации псевдослучайных битовых последовательностей.

Библиотеки программных средств криптографической защиты применяются при решении прикладных задач и настройке СКЗИ в зависимости от условий эксплуатации.

Компонентом взаимодействия с пользователем является интерфейс, который предоставляет возможности управления программной реализацией алгоритма, контроля функционирования.

Кроме того, программное средство криптографической защиты информации вне зависимости от реализованного криптоалгоритма имеет ряд особенностей шифрования [1]:

- файлы, зашифрованные программной СКЗИ, могут храниться на других носителях автоматизированной системы;

- размер блока в блочном алгоритме может превышать размер сегмента файла, в результате размер файла увеличивается;

- скорость шифрования программными средствами может быть ниже, чем в аппаратной реализации, за счет загрузки центрального процессора криптографическими вычислениями;

- работа с ключами усложняется отсутствием аппаратной идентификации пользователей.

Основным выводом может стать то, что программные средства предназначены для решения прикладных задач криптографической защиты информации, в которых требуется гибкость и масштабируемость системы. Реализация криптографических алгоритмов такого типа не позволяет гарантированно обеспечивать защиту от атак на программный код, но достаточно и других аспектов, в частности, экономический и эксплуатационный, которые могут обосновать их использование в системах защиты информации любой сложности.

Криптографический комплекс "Игла-П"

Данное программное средство построено по модульному принципу и представляет собой сетевой драйвер для ОС WindowsNT, который заменяет типовой программный драйвер NDIS, с комплектом установочных и конфигурационных программ. Скорость шифрования - до 10 Мбит/с. На практике такая скорость работы достигается редко, поскольку характерным недостатком любого программного СКЗИ, как уже было отмечено выше, является зависимость от ресурсов центрального процессора.

Рекомендуется использовать данное программное СКЗИ для защиты вновь подключаемых к локальной вычислительной сети и предназначенных для передачи защищаемой информации рабочих станций. Можно отметить, что использование СКЗИ "Игла-П" представляет собой достаточно практичный способ защиты трафика в локальной сети, а также возможность взаимодействия с многофункциональным программно-аппаратным комплексом "Шип".

Пример: программный эмулятор "Криптон"

Программный эмулятор "Криптон" является частью широкой линейки продуктов фирмы "Анкад", позволяющей подбирать звенья системы криптографической защиты по необходимым функциям. Целью разработки именно этого звена, по утверждению производителя, стало обеспечение гибкости использования криптографических средств. Таким образом, программный эмулятор решает задачу обеспечения криптографической защиты абонентских терминалов, а также подключаемых мобильных устройств.

Схема функционирования программного эмулятора позволяет использовать ключевые носители различных типов, что частично устраняет недостаток систем идентификации. Уязвимость возникает в процессе передачи ключа по системной шине, но перехват именно в этой зоне маловероятен.

Отметим, что использование программного "Криптона" может дополняться его аппаратным аналогом. Все специальное программное обеспечение, используемое программным СКЗИ, в данном случае поддерживается и другими продуктами, в состав которых могут входить и аппаратные, и программные модули.

Производитель рекомендует использовать данное программное обеспечение в прикладных задачах криптографии, в которых требуется совместимость разных средств криптографической защиты. Среди них можно выделить наиболее важные:

- межсетевое экранирование;

- шифрование трафика в гетерогенных сетях;

- шифрование информации на диске.

Вывод: программные средства криптографической защиты используются обычно в качестве дополнения к аппаратным, защищающим наиболее критичные узлы защищенной информационной системы, но хочется заметить, что речь идет о сертифицированных средствах, не включая открыто распространяемые продукты, которые не входят в область рассмотрения данного пособия.

Программно-аппаратные комплексы криптографической защиты информации являют собой наиболее сложную и эффективную разновидность средств обеспечения информационной безопасности с использованием криптоалгоритмов.

Под программно-аппаратными средствами криптографической защиты информации будем понимать специальным образом организованные комплексы, содержащие взаимосвязанные программные и аппаратные блоки и реализующие следующий набор функций:

- идентификацию и аутентификацию пользователей;

- криптографическое преобразование данных;

- обеспечение целостности информации.

Основной целью применения программно-аппаратных средств обеспечения информационной безопасности является усиление или замещение существующих функций защиты компьютерных систем для обеспечения требуемого уровня защищенности [5].

Кроме приведенного определения, можно добавить важное замечание, состоящее в возможности реализации комплексного метода защиты информации. Это метод криптографической защиты как целостности, так и конфиденциальности информации. При использовании данного метода основную роль играют шифрование, электронная цифровая подпись и криптографические ключи. Следовательно, программно-аппаратное СКЗИ является одним из важнейших компонентов комплексного обеспечения информационной безопасности в компьютерных системах.

Структура программно-аппаратного СКЗИ

Как уже было отмечено выше, в состав программно-аппаратного СКЗИ (как системы, состоящей из программных и аппаратных компонентов) должны входить следующие базовые модули:

- блок шифрования (для программного шифрования используются ассиметричные криптосистемы (см., например, гл.7), для аппаратного - симметричные), программный, аппаратный или комбинированный;

- блок электронной цифровой подписи;

- блок управления ключами;

- модуль идентификации/аутентификации;

- модуль управления с внешним интерфейсом;

- модуль контроля функционирования.

Структура же соответствует приведенной на рис. 40 базовой схеме, хотя нужно учитывать, что при проектировании программно-аппаратных средств постоянно происходит поиск новых решений, повышающих эффективность и надежность защиты.

1

Рис. 40. Базовая схема программно-аппаратного СКЗИ

Отметим, что модули программной защиты в данном случае связывает с программной частью специализированный внутренний интерфейс, то есть взаимодействие происходит по собственным каналам СКЗИ (без использования системной шины), и, кроме того, с соблюдением внутренней (встроенной по умолчанию) политики безопасности.

СКЗИ "Шип".СКЗИ "Шип" представляет собой программно-аппаратный комплекс криптографической защиты информации, основной функцией которого является комплексная защита компьютерной сети. Наиболее важными функциями СКЗИ являются:

- возможность создания защищенной виртуальной частной сети;

- шифрование IP-пакетов

- организация фильтрации и маршрутизации;

- шифрование и проверка целостности данных с использованием имитовставки;

- одностороннюю аутентификацию узлов защищенной сети на основе имитовставки;

- управление ключевой системой защищенной сети.

Основными компонентами СКЗИ "Шип" являются программно-аппаратный комплекс "Шип" и центр управления ключевой системой.

Программно-аппаратный комплекс "Шип" используется при создании защищенной виртуальной частной сети. Его основными достоинствами является реализация режимов прозрачного и сквозного шифрования, скрытие трафика в защищенной сети, а также проверка целостности данных при их получении.

Центр управления ключевой системой является реализацией блока управления ключами (рис. 40) в виде отдельного компонента комплекса и выполняет следующие функции:

- генерация и управление списком абонентов, имеющих право доступа (справочников соответствия по терминологии разработчика);

журналирование внештатных ситуаций;

периодическая (плановая) смена ключей шифрования, используемых в системе;

оповещение о компрометации ключей.

Программно-аппаратный комплекс "Шип" поставляется в двух вариантах по производительности и по оснащению портами:

вариант №1 - "Шип-1": производительность до 15 Мбит/с (3000 пакетов/с), порты: 2 асинхронных порта V.24, 2 порта Ethernet (Fast-Ethernet/FDDI) - для сетей пакетной коммутации с возможностью модемного подключения;

вариант №2 - "ШИП-2": Производительность около 8 Мбит/с (3000 пакетов/с) при обмене информацией по схеме "Ethernet (вход) - Ethernet (выход)" и около 2 Мбит/с (750 пакетов/с) при обмене по интерфейсу V.35 и протоколу Frame Relay. Порты: 2 асинхронных порта V.24, 2 порта Ethernet (Fast-Ethernet/FDDI), 1синхронный порт V.24/V35 (X.25/Frame Relay/PPP/Cisco HDLC) - для сетей канальной коммутации либо подключения по модему, с использованием дополнительных аппаратных устройств защиты информации.

Использование программно-аппаратных СКЗИ целесообразно при организации комплексной защиты информации. Являясь мощным инструментом обеспечения информационной безопасности, особенно в аспекте защиты компьютерной информации, СКЗИ такого типа могут резко повышать надежность и эффективность системы защиты информации.

3.2 Применение средств криптографической защиты информации

Наиболее важным компонентом реализации любой криптографической системы является криптографический ключ. Под криптографическим ключом будем понимать далее конкретизированное значение набора параметров криптоалгоритма, обеспечивающее выбор одного преобразования из совокупности возможных для данного алгоритма преобразований. Таким образом, криптографический ключ - критичное звено любой криптосистемы. Исключением являются открытые ключи ассиметричных криптосистем, по параметрам которых теоретически невозможно определить необходимое значение парного ключа, предназначенного для расшифровки.

При использовании криптографических ключей и шифровании информации необходимо соблюдать ряд принципов. Основным является недопущение компроментации (разглашения или возможности разглашения) секретных частей криптографической системы. Кроме того, используются принципы комплексности (в данном случае касается использования различных криптосистем для повышения надежности шифрования) и прозрачности (непричастности пользователей к формированию и управлению ключами).

3.2.1 Принципы использования ключей шифрования в СКЗИ

Главной задачей при эксплуатации средств криптографической защиты информации, как программных, так и аппаратных, а также программно-аппаратных комплексов, неизбежно становится организация передачи криптографических ключей. Решением может стать (при соблюдении описанных выше принципов) использование ассиметричных криптосистем для шифрования ключа, дальнейшая пересылка его по открытому каналу связи (или каналу связи с возможной компроментацией ключа). Схема такой реализации, отвечающая принципу комплексности, показана на рис. 41.

1

Рис. 41. Реализация передачи криптографического ключа

Организация симметричного шифрования, как сеансового, так и постоянного, на основе переданного таким образом ключа имеет высокий уровень защиты от компроментации, что ценно для систем передачи данных, не полностью контролируемых защитными средствами.

3.2.2 Виды шифрования с использованием средств криптографической защиты информации

Абонентское шифрование

Определение 4. Абонентское шифрование - шифрование информации для последующей передачи по сети определенным пользователям (абонентам) [6].

Из определения следует, что при шифровании данных таким способом требуется определение как минимум двух участников обмена информацией - отправителя и получателя (абонента). Кроме того, предполагается наличие пары ключей, предназначенных для шифрования/расшифровки информации.

Ключи в данной схеме подразделяют на файловые и долговременные [6]:

- файловые ключи предназначены для шифрования собственно информации. Обычно такие ключи генерируются случайным образом для каждого шифруемого объекта.

- долговременные ключи используются для шифрования и передачи файловых. Часто долговременными являются открытые ключи ассиметричных криптосистем.

Структура систем абонентского шифрования предполагает несколько компонентов, необходимых для качественного выполнения ее основной функции. Такими компонентами являются:

- абонентский модуль;

- системный журнал;

- устройство ввода/вывода ключевой информации;

- модуль управления (регистрация, контроль доступа, запрет доступа абонентов).

Рассмотрим на примере СКЗИ "Криптон" процесс передачи документов в системе абонентского шифрования.

При подготовке документов к передаче автоматически осуществляется:

- запрос из базы данных открытых ключей зарегистрированных абонентов, которым направляются документы;

- электронная подпись передаваемых документов;

- сжатие документов в один файл;

- генерация сеансового ключа;

- шифрование файла с документами на сеансовом ключе;

- вычисление парно-связных ключей (на основе секретного ключа отправителя и открытых ключей получателей) и шифрование на них сеансового ключа.

После приема автоматически выполняются обратные действия:

вычисление парно-связного ключа (на основе секретного ключа получателя и открытого ключа отправителя с автоматической проверкой сертификата) и расшифрование сеансового ключа;

- расшифрование файла с помощью полученного сеансового ключа;

- разархивирование документов;

- проверка электронной подписи полученных документов.

Абонентское шифрование не обеспечивает полной и гарантированной защиты передаваемой информации. Такая проблема возникает вследствие взаимодействия СКЗИ и программного обеспечения абонентской рабочей станции, в общем случае незащищенного от внешнего и внутреннего деструктивного воздействия. В целом абонентское шифрование целесообразно применять при организации передачи информации по фиксированному каналу (или для дополнительной защиты данных в виртуальной частной сети).

“Прозрачное” шифрование информации

Определение 5. Прозрачное шифрование - это скрытое от пользователя и происходящее автоматически криптографическое преобразование данных. Основное применение скрытого шифрования - архивирование защищаемой информации и шифрование логических дисков.

Существует два основных вида средств криптографической защиты, обеспечивающих выполнение функций программного шифрования. Это программные средства, реализованные в виде компонентов операционной системы (драйверов), и программно-аппаратные и аппаратные средства, выполняющие прозрачное шифрование в рамках одного или нескольких режимов работы.

Недостатком программной реализации в данном случае, очевидно, является зависимость от операционной системы, как правило ненадежной. Тогда как аппаратные и программно-аппаратные комплексы более сложны в эксплуатации и накладывают ограничения на состав и качество исполнения информационной системы.

Основной реализацией, которая может удовлетворять указанным выше принципам использования средств криптографической защиты информации, является криптомаршрутизатор.

Криптомаршрутизатор представляет собой сетевую плату со встроенными функциями криптографического преобразования данных. Выгодным такое решение может быть в любых системах передачи данных, требующих прозрачного шифрования трафика. В случае же прозрачного шифрования данных на диске более выгодным становится использование функций шифрования, встроенных в аппаратные СКЗИ.

Локальное шифрование

В системах хранения информации, базах данных или при обработке больших объемов электронных данных часто возникает необходимость создания зашифрованного архива. В данном случае применяется локальное шифрование, то есть шифрование информации для хранения в защищенном виде.

Принципиальным отличием локального шифрования от любых других способов применения средств криптографической защиты информации является отсутствие проблемы распределения ключей, что значительно упрощает общую схему организации такой защиты (рис. 42).

1

Рис. 42. Схема локального шифрования

Действительно, как видно из приведенной схемы, при криптографическом преобразовании архивных данных главной задачей становится не распределение, а хранение ключей.

Локальное шифрование, в отличие от других способов применения СКЗИ, не подразумевает обособленного использования. Обычно такой способ шифрования применяют в комплексе с одним или несколькими альтернативными.

3.2.3 Цифровые подписи

Цифровая подпись для сообщения является числом, зависящим от самого сообщения и от некоторого секретного, известного только подписывающему субъекту, ключа. При этом предполагается, что она должна быть легко проверяемой и что осуществить проверку подписи должен иметь возможность каждый без получения доступа к секретному ключу. При возникновении спорной ситуации, связанной с отказом подписывающего от факта подписи им некоторого сообщения либо с попыткой подделки подписи, третья сторона должна иметь возможность разрешить спор.

Цифровая подпись позволяет решить следующие три задачи:

осуществить аутентификацию источника сообщения,

установить целостность сообщения,

-- обеспечить невозможность отказа от факта подписи конкретного сообщения.

Использование термина "подпись" в данном контексте оправдано тем, что цифровая подпись имеет много общего с обычной собственноручной подписью на бумажном документе. Собственноручная подпись также решает три перечисленные задачи, однако между обычной и цифровой подписями имеются существенные различия. Сведем основные различия между обычной и цифровой подписями в таблицу 25 [15].

Таблица 25. Отличия собственноручной и цифровой подписи

Собственноручная подпись	Цифровая подпись
не зависит от подписываемого текста, всегда одинакова	зависит от подписываемого текста, практически всегда разная
неразрывно связана с подписывающим лицом, однозначно определяется его психофизическими свойствами, не может быть утеряна	определяется секретным ключом, принадлежащим подписывающему лицу, может быть утеряна владельцем
неотделима от носителя (бумаги), поэтому отдельно подписывается каждый экземпляр документа	легко отделима от документа, поэтому верна для всех его копий
не требует для реализации дополнительных механизмов	требует дополнительных механизмов, реализующих алгоритмы ее вычисления и проверки
не требует создания поддерживающей инфраструктуры	требует создания доверенной инфраструктуры сертификатов открытых ключей

Для реализации схемы цифровой подписи необходимы два алгоритма:

-- алгоритм вычисления цифровой подписи;

-- алгоритм ее проверки.

Главные требования к этим алгоритмам заключаются в исключении возможности получения подписи без использования секретного ключа и гарантировании возможности проверки подписи без знания какой-либо секретной информации.

Надежность схемы цифровой подписи определяется сложностью следующих трех задач:

-- подделки подписи, то есть нахождения значения подписи под заданным документом лицом, не являющимся владельцем секретного ключа;

-- создания подписанного сообщения, то есть нахождения хотя бы одного сообщения с правильным значением подписи;

-- подмены сообщения, то есть подбора двух различных сообщений с одинаковыми значениями подписи.

Имеется множество различных схем цифровой подписи, обеспечивающих тот или иной уровень стойкости. Основные подходы к их построению будут рассмотрены ниже.

Принципиальной сложностью, возникающей при использовании цифровой подписи на практике, является проблема создания инфраструктуры открытых ключей. Дело в том, что для алгоритма проверки подписи необходима дополнительная открытая информация, связанная с обеспечением возможности открытой проверки подписи и зависящая от секретного ключа автора подписи. Эту информацию можно назвать открытым ключом цифровой подписи. Для исключения возможности подделки этой информации (открытого ключа) лицами, которые хотят выступить от лица законного владельца подписи (секретного ключа), создается инфраструктура, состоящая из центров сертификации открытых ключей и обеспечивающая возможность своевременного подтверждения достоверности принадлежности данной открытой информации заявленному владельцу и обнаружения подлога.

Создание сертификационных центров с технической точки зрения не представляет большой сложности. Они строятся во многом аналогично центрам сертификации, которые используются в криптографических системах с открытыми ключами. Однако с юридической точки зрения здесь имеется множество проблем. Дело в том, что в случае возникновения споров, связанных с отказом от авторства или подделки подписи, такие центры должны нести юридическую ответственность за достоверность выдаваемых сертификатов. В частности, они должны возмещать понесенные убытки в случае конфликтных ситуаций, когда алгоритм проверки подписи подтверждает ее правильность. В связи с этим сложилась практика заключения договоров между участниками информационного взаимодействия с применением цифровых подписей. В таком договоре должно быть четко указано:

-- кто должен нести ответственность в случае, если подписанные сделки не состоятся;

-- кто должен нести ответственность в случае, если система окажется ненадежной и будет взломана, то есть будет выявлен факт подделки секретного ключа;

-- какова ответственность уполномоченного по сертификатам в случае, если открытый ключ будет сфальсифицирован;

-- какова ответственность владельца секретного ключа в случае его утраты;

-- кто несет ответственность за плохую реализацию системы в случае повреждения или разглашения секретного ключа;

-- каков порядок разрешения споров и т. п.

Поскольку данные проблемы носят юридический, а не технический характер, то для их разрешения нужен юридически правильно заключенный договор, оформленный стандартным образом на бумаге.

В настоящее время предложено несколько принципиально различных подходов к созданию схем цифровой подписи. Их можно разделить на три группы:

1) схемы на основе систем шифрования с открытыми ключами;

2) схемы со специально разработанными алгоритмами вычисления и проверки подписи;

3) схемы на основе симметричных систем шифрования. Рассмотрим их более подробно.

Цифровые подписи на основе шифрсистем с открытыми ключами

Идея использования систем шифрования с открытыми ключами для построения систем цифровой подписи как бы заложена в постановке задачи. Действительно, пусть имеется пара преобразований (Е, D), первое из которых зависит от открытого ключа, а второе -- от секретного. Для того чтобы вычислить цифровую подпись S для сообщения, владелец секретного ключа может применить к сообщению М второе преобразование D: S = D(M). В таком случае вычислить подпись может только владелец секретного ключа, в то время как проверить равенство E(S) = М может каждый. Основными требованиями к преобразованиям Е и D являются:

-- выполнение равенства М = E(D(M)) для всех сообщений М;

-- невозможность вычисления значения D(M) для заданного сообщения М без знания секретного ключа.

Отличительной особенностью предложенного способа построения цифровой подписи является возможность отказаться от передачи самого подписываемого сообщения М, так как его можно восстановить по значению подписи. В связи с этим подобные системы называют схемами цифровой подписи с восстановлением текста.

Заметим, что если при передаче сообщение дополнительно шифруется с помощью асимметричного шифра, то пара преобразований (Е, D), используемая в схеме цифровой подписи, должна отличаться от той, которая используется для шифрования сообщений. В противном случае появляется возможность передачи в качестве шифрованных ранее подписанных сообщений. При этом более целесообразно шифровать подписанные данные, чем делать наоборот, то есть подписывать шифрованные данные, поскольку в первом случае противник получит только шифртекст, а во втором -- и открытый, и шифрованный тексты.

Очевидно, что рассмотренная схема цифровой подписи на основе пары преобразований (Е, D) удовлетворяет требованию невозможности подделки, в то время как требование невозможности создания подписанного сообщения не выполнено: для любого значения S каждый может вычислить значение М = E(S) и тем самым получить подписанное сообщение.

Требование невозможности подмены сообщения заведомо выполняется, так как преобразование Е взаимно однозначно.

Для защиты от создания злоумышленником подписанного сообщения можно применить некоторое взаимно-однозначное отображение , вносящее избыточность в представление исходного сообщения, например, путем увеличения

его длины, а затем уже вычислять подпись S = D(). В этом случае злоумышленник, подбирая S и вычисляя значения =E(S), будет сталкиваться с проблемой отыскания таких значений для которых существует прообраз М. Если отображение R выбрано таким, что число возможных образов значительно меньше числа всех возможных последовательностей той же длины, то задача создания подписанного сообщения будет сложной.

Другой подход к построению схем цифровых подписей на основе систем шифрования с открытым ключом состоит в использовании бесключевых хеш-функций. Для заданного сообщения М сначала вычисляется значение хеш-функции h(M), а затем уже значение подписи S = D(h(M)). Ясно, что в таком случае по значению подписи уже нельзя восстановить сообщение. Поэтому подписи необходимо передавать вместе с сообщениями. Такие подписи получили название цифровых подписей с дополнением. Заметим, что системы подписи, построенные с использованием бесключевых хеш-функций, заведомо удовлетворяют всем требованиям, предъявляемым к цифровым подписям. Например, невозможно создание сообщения с известным значением подписи, поскольку бесключевая хеш-функция должна быть однонаправленной.

В качестве системы шифрования с открытыми ключами можно использовать, например, систему RSA.

Цифровая подпись Фиата -- Шамира

Рассмотрим подход к построению схемы цифровой подписи, основанной на сложности задач факторизации больших целых чисел и извлечения квадратного корня в кольце вычетов. Идея построения схемы принадлежит А. Фиату и А. Шамиру. Приведем одну из модификаций схемы, предложенную ими совместно с У. Фейджем. В ней реализуется цифровая подпись с дополнением.

Пусть h -- некоторая хеш-функция, преобразующая исходное сообщение в битовую строку длины т. Выберем различные простые числа р и q и положим п = pq . В качестве секретного ключа каждый абонент должен сгенерировать т различных случайных чисел а₁,а₂,...,а_т Z_n . Открытым ключом объявляется набор чисел b₁,b₂,...,b_m Z_n, где

b_i =(a_i^-1)² mod n, i = l,...,m.

Алгоритм вычисления цифровой подписи для сообщения М состоит в выполнении следующих действий:

1. Выбрать случайное число r, 1 r п -1;