Методы и средства криптографической защиты информации

2. Вычислить и = r² mod п ; 3. Вычислить h(M,u) =s=(s_l,s₂,...,s_m);

4. Вычислить ;

5. Подписью для сообщения М положить пару (s, t).

Алгоритм проверки подписи состоит в выполнении следующих действий:

1. По открытому ключу b₁, b₂,...,b_т mod n и значению t вычислить

2. Вычислить h(M,w) = s';

3. Проверить равенство s = s'. Достоинствами описанной схемы являются возможность выработки цифровых подписей для нескольких различных сообщений с использованием одного секретного ключа, а также сравнительная простота алгоритмов вычисления и проверки подписи. Например, для схемы цифровой подписи, основанной на алгоритме RSA, соответствующие алгоритмы требуют выполнения значительно большего числа умножений. Попытка компрометации этой схемы сталкивается с необходимостью решения сложной задачи нахождения квадратных корней по модулю п.

Недостатком схемы является большая длина ключа, которая определяется числом т. Если двоичная запись числа п содержит l знаков, то длина секретного ключа составляет ml бит, а открытого ключа -- (т +1)l бит. При этом необходимо учитывать, что для обеспечения достаточной стойкости данной схемы цифровой подписи числа l и т должны иметь в своей двоичной записи несколько сотен бит.

Подписи EIGamal

Чтобы подписать сообщение М, сначала выбирается случайное число k, взаимно простое с р-1. Затем вычисляется

а = g^k mod p

и с помощью расширенного алгоритма Эвклида находится b в следующем уравнении:

М= (ха + kb) mod (p - 1)

Подписью является пара чисел: а и b. Случайное значение k должно храниться в секрете. Для проверки подписи нужно убедиться, что

y^aa^b mod p = g^M mod p

Каждая подпись или шифрование EIGamal требует нового значения k, и это значение должно быть выбрано случайным образом. Если когда-нибудь злоумышленник раскроет k, используемое отправителем, он сможет раскрыть закрытый ключ отправителя х. Если злоумышленник когда-нибудь сможет получить два сообщения, подписанные или зашифрованные с помощью одного и того же k, то он сможет раскрыть х, даже не зная значение k.

Рис.43 Подписи EIGamal [17]

Например, выберем p = 11 и g = 2, а закрытый ключ х = 8. Вычислим

у = g^x modp = 2⁸ mod 11=3

Открытым ключом являются у = 3, g = 2 и p = 11. Чтобы подписать М= 5, сначала выберем случайное число k=9. Убеждаемся, что НОД(9, 10)= 1. Вычисляем

а = g^k mod p = 2⁹ mod 11=6

и с помощью расширенного алгоритма Эвклида находим b:

М= (ха + kb) mod (p - 1)

5 = (8*6 + 9*b) mod 10

Решение: b = 3, а подпись представляет собой пару: а = 6 и b = 3.

Для проверки подписи убедимся, что

y^aa^b mod p = g^M mod p

3⁶ 6³ mod 11=2⁵ mod 11

Томас Бет (Thomas Beth) изобрел вариант схемы EIGamal, подходящий для доказательства идентичности. Существуют варианты для проверки подлинности пароля и для обмена ключами. И еще тысячи и тысячи других.

DSA

DSA представляет собой вариант алгоритма подписи ElGamal. Алгоритм использует следующие параметры:

р = простое число длиной L битов, где L принимает значение, кратное 64, в диапазоне от 512 до 1024. (В первоначальном стандарте размер р был фиксирован и равен 512 битам. Это вызвало множество критических замечаний.)

q = 160-битовой простое число - множитель р-\.

g = h^(p-1)/q mod p, где h - любое число, меньшее р-1, для которого h^(p-1)/q mod p больше 1.

х = число, меньшее q.

y = g^x mod p.

В алгоритме также используется однонаправленная хэш-функция: Н(т). Стандарт определяет использование SHA.

Первые три параметра, р, q и g, открыты и могут быть общими для пользователей сети. Закрытым ключом является х, а открытым - у. Чтобы подписать сообщение, т:

Отправитель генерирует случайное число k, меньшее q

Отправитель генерирует

r = (g^k mod p) mod q

s = (k^-1 (Н(т) + xr)) mod q

Подписью служат параметры r и s, она посылает их получателю.

(3) Получатель проверяет подпись, вычисляя

w = s^-1 mod q

u₁ = (Н(т) * w) mod q

u₂ = (rw) mod q

v = ((g^u1 *y^u2) mod p) mod q

Если v = r, то подпись правильна.

Алгоритм цифровой подписи ГОСТ Р 34.10-94

Алгоритм основан на DSA, и использует следующие параметры

р = простое число, длина которого либо между 509 и 512 битами, либо между 1020 и 1024 битами. q = простое число - множитель р-1, длиной от 254 до 256 битов. а = любое число, меньшее р-1, для которого a^q mod p = 1.

х = число, меньшее q. у = а^х mod p.

Этот алгоритм также использует однонаправленную хэш-функцию: Н(х). Стандарт определяет использование хэш-функции ГОСТ Р 34.11-94, основанной на симметричном алгоритме ГОСТ 28147-89.

Первые три параметра, p, q и а, открыты и могут использоваться совместно пользователями сети. Закрытым ключом служит х, а открытым - у. Чтобы подписать сообщение т

(1) Отправитель генерирует случайное число k, меньшее q

(2) Отправитель генерирует

I = (a* mod p) mod q

s = (ct + k(H(m))) mod q

r = (a^k mod p) mod q

s = (xr + k(H(m))) mod q

Если H(m) mod q =0, то значение хэш-функции устанавливается равным 1. Если r =0, то выберите другое значение k и начните снова. Подписью служат два числа: r mod 2²⁵⁶ и s mod 2²⁵⁶, отправитель посылает их получателю.

(3) Получатель проверяет подпись, вычисляя v = H(m)^q-2 mod q

z₁ = (sv) mod q

z₂ = ((q-r)*v) mod q

и = ((a^Z1 *y^Z2) mod p) mod q

Если и = r, то подпись правильна.

Различие между этой схемой и DSA в том, что в DSA s = (k^-1 (H(m) + xr)) mod q, что дает другое уравнение проверки.

Деревья цифровых подписей

Ральф Меркл предложил систему цифровых подписей, основанную на криптографии с секретным ключом, создающей бесконечное количество одноразовых подписей, используя древовидную структуру. Основной идеей этой схемы является поместить корень дерева в некий открытый файл, удостоверяя его таким образом. Корень подписывает одно сообщение и удостоверяет подузлы дерева. Каждый из этих узлов подписывает одно сообщение и удостоверяет свои подузлы, и так далее.

Подпись документа с помощью криптографии с открытыми ключами

Существуют алгоритмы с открытыми ключами, которые можно использовать для цифровых подписей. В некоторых алгоритмах - примером является RSA - для шифрования может быть использован или открытый, или закрытый ключ. Зашифруйте документ своим закрытым ключом, и вы получите надежную цифровую подпись. В других случаях - примером является DSA - для цифровых подписей используется отдельный алгоритм, который невозможно использовать для шифрования. Эта идея впервые была изобретена Диффи и Хеллманом и в дальнейшем была расширена и углублена в других работах. Основной протокол прост:

(1) Отправитель шифрует документ своим закрытым ключом, таким образом, подписывая его.

(2) Отправитель посылает подписанный документ получателю.

(3) Получатель расшифровывает документ, используя открытый ключ отправителя, таким образом проверяя подпись.

Такая подпись соответствует всем требованиям:

1. Эта подпись достоверна. Когда получатель расшифровывает сообщение с помощью открытого ключа отправителя, происходит проверка авторства сообщения.

2. Эта подпись неподдельна. Только отправитель знает свой закрытый ключ.

3. Эту подпись нельзя использовать повторно. Подпись является функцией документа и не может быть перенесена на другой документ.

4. Подписанный документ нельзя изменить. После любого изменения документа подпись не сможет больше подтверждаться открытым ключом отправителя.

5. От подписи невозможно отказаться.

Метки времени

На самом деле, при определенных условиях получатель может повторно использовать документ и подпись совместно.

Поэтому в цифровые подписи часто включают метки времени. Дата и время подписания документа добавляются к документу и подписываются вместе со всем содержанием сообщения. Таким образом, использовать документа повторно становится невозможно.

Подпись документа с помощью криптографии с открытыми ключами и однонаправленных хэш-функций

На практике алгоритмы с открытыми ключами часто недостаточно эффективны для подписи больших документов. Для экономии времени протоколы цифровой подписи нередко используют вместе с однонаправленными хэш-функциями. Отправитель подписывает не документ, а значение хэш-функции для данного документа. В этом протоколе однонаправленная хэш-функция и алгоритм цифровой подписи согласовываются заранее .

(1) Отправитель получает значение однонаправленной хэш-функции для документа.

(2) Отправитель шифрует это значение своим закрытым ключом, таким образом подписывая документ.

(3) Отправитель посылает получателю документ и подписанное значение хэш-функции.

(4) Получатель получает значение однонаправленной хэш-функции для документа, присланного отправителем. Затем, используя алгоритм цифровой подписи, он расшифровывает подписанное значение хэш-функции с помощью открытого ключа отправителя. Если подписанное значение хэш-функции совпадает с рассчитанным, подпись правильна.

Скорость заметно возрастает и, так как вероятность получить для двух различных документов одинаковое 160-битное значение хэш-функции составляет только один шанс из 2¹⁶⁰, можно безопасно приравнять подпись значения хэш-функции и подпись документа. Должна использоваться только однонаправленная хэш-функция, иначе создать разные документы с одним и тем же значением хэш-функции нетрудно, и подпись одного документа приведет к ошибочной подписи сразу многих документов.

У протокола есть и другие выгоды. Во-первых, подпись может быть отделена от документа. Во-вторых, значительно уменьшаются требования к объему памяти получателя, в котором хранятся документы и подписи. Архивная система может использовать этот протокол для подтверждения существования документов, не храня их содержания. В центральной базе данных могут храниться лишь значения хэш-функции для файлов. Вовсе не нужно просматривать файлы, пользователи помещают свои значения хэш-функции в базу данных, а база данных хранит эти значения, помечая их временем получения документа. Если в будущем возникнет какое-нибудь разногласие по поводу автора и времени создания документа, база данных сможет разрешить его при помощи хранящегося в ней значения хэш-функции.

3.3 Инфраструктура открытых ключей

От общего описания применения средств защиты перейдем к конкретным технологиям их использования.

Инфраструктура открытых ключей это совокупность аппаратного и программного обеспечения, персонала и организационных мер, необходимых для создания, управления, хранения, распределения и отзыва сертификатов открытых ключей (PKI "Internet X.509 Public Key Infrastructure PKIX Roadmap").

Таким образом, инфраструктура открытых ключей включает следующие компоненты [7]:

- центры сертификации, которые отвечают за издание и отзыв сертификатов открытых ключей;

- центры регистрации, которые отвечают за привязку открытых ключей и их владельцев перед изданием сертификата;

- владельцы сертификатов открытых ключей, это конечные пользователи, субъекты системы, для которых издаются сертификаты, и которые их используют;

- клиенты отвечают за проверку ЭЦП и цепочек сертификатов, начиная с открытого ключа доверенного корневого центра сертификации;

- хранилища - это специальные базы данных, представляющие собой каталоги, сохраняющие и публикующие для общего доступа сертификаты, списки отозванных сертификатов компонентов инфраструктуры и списки отозванных сертификатов пользователей.

3.3.1 Сертификаты

Создание цифровой подписи позволило решить проблему сертификации открытых ключей. Она заключается в том, что перед тем как использовать открытый ключ некоторого абонента для отправки ему конфиденциального сообщения, отправитель должен быть уверен, что открытый ключ действительно принадлежит этому абоненту. Открытые ключи необходимо очень тщательно обезопасить, в том смысле, что если сервер, на котором они хранятся, не обеспечивает их целостность и аутентичность, то злоумышленник имеет возможность, подменив открытый ключ одного из абонентов, выступать от его имени. Поэтому для защиты открытых ключей создаются специальные центры сертификации, которые играют роль доверенной третьей стороны и заверяют открытые ключи каждого из абонентов своими цифровыми подписями.

Сертификат представляет собой набор данных, заверенный цифровой подписью центра, и включающий открытый ключ и список дополнительных атрибутов, принадлежащих абоненту. К таким атрибутам относятся: имена пользователя и центра сертификации, номер сертификата, время действия сертификата, предназначение открытого ключа (цифровая подпись, шифрование) и т. д.

Международный стандарт ISO X.509 определяет общую структуру сертификатов открытых ключей и протоколы их использования для аутентификации в распределенных системах.

3.3.2 Центры сертификации

Центр сертификации предназначен для регистрации абонентов, изготовления сертификатов открытых ключей, хранения изготовленных сертификатов, поддержания в актуальном состоянии справочника действующих сертификатов и выпуска списка досрочно отозванных сертификатов.

Для сетей с большим числом абонентов создается несколько центров сертификации. Центры сертификации объединяются в древовидную структуру, в корне которой находится главный центр сертификации, который выдает сертификаты подчиненным ему отраслевым центрам, тем самым обеспечивая доверие к открытым ключам этих центров. Каждый центр вышестоящего уровня аналогичным образом делегирует право выпуска сертификатов подчиненным ему центрам. В результате доверие сертификату открытого ключа каждого центра основано на заверении его сертификата ключом вышестоящего центра. Сертификаты главного центра подписывает сам главный центр.

Зная иерархию и подчиненность друг другу центров сертификации, можно всегда точно установить, является ли абонент владельцем данного открытого ключа.

Основная трудность при создании центров сертификации заключается в их юридическом статусе и потенциальных финансовых возможностях по выплате компенсаций за ущерб, понесенный в результате невыполнения подписанных цифровыми подписями с использованием сертификатов, выданных этим центром, договоров и контрактов, сорванных по причине отказов от цифровых подписей или их подделки.

Общая политика безопасности информационной системы определяет и устанавливает общие положения корпоративной политики в области информационной безопасности, например, такие как правила и порядок использования продуктов, содержащих криптографические функции.

Взаимодействие между всеми компонентами приведено на рис. 44 [7]:

1

Рис.44. Инфраструктура открытых ключей

Отметим, что использование инфраструктуры открытых ключей требует использования как ассиметричных, так и симметричных криптосистем, а также организации всего комплекса компонентов. Очевидно также, что без использования подтверждения открытого ключа вся система неэффективна.

Пример: удостоверяющий центр "КриптоПРО"

Обеспечение возможности реализации и управления инфраструктурой открытых ключей предоставляет ряд программно-аппаратных комплексов криптографической защиты, к которым относится и удостоверяющий центр "КриптоПРО". Основой данного решения является СКЗИ "КриптоПро", представляющее собой многофункциональный комплекс с гибкими и масштабируемыми возможностями применения.

Удостоверяющий центр позволяет полностью реализовать все типы криптографических средств защиты, нуждающихся в инфраструктуре открытых ключей. К числу основных функций комплекса относятся:

- регистрация пользователей;

- изготовление сертификатов открытых ключей;

- генерация ключей и управление личными сертификатами;

- ведение реестра сертификатов открытых ключей;

- управление сертификатами открытых ключей.

При этом удостоверяющий центр "КриптоПро" обеспечивает [7]:

- выполнение процедуры генерации личных закрытых и открытых ключей ЭЦП и шифрования на рабочем месте пользователя;

- формирование запроса на сертификат нового открытого ключа на рабочем месте пользователя;

- выполнение процедуры регистрации электронных запросов от пользователей на сертификаты открытых ключей в Центре регистрации УЦ;

- формирование электронных сертификатов открытых ключей пользователей в соответствии с рекомендациями Х.509 версии 3 и RFC 2459, позволяющими с помощью криптографических методов (ЭЦП) централизованно заверять соответствие открытого ключа и атрибутов определенному пользователю;

- формирование и доставку зарегистрированным пользователям списка отозванных сертификатов открытых ключей пользователей.

Основными структурными элементами удостоверяющего центра, в соответствии с базовой структурой, показанной на рис. 44, являются:

- центр сертификации;

- центр регистрации;

- АРМ администратора (компонент управления);

- пользовательский интерфейс и средства взаимодействия;

- программный интерфейс взаимодействия с удостоверяющим центром.

Рассмотрим в соответствии с источником [7] функции каждого из компонентов системы.

Центр сертификации составляет основу инфраструктуры как компонент, обеспечивающий генерацию сертификатов открытых ключей. Кроме того, центр сертификации выполняет формирование списков отозванных сертификатов, а также совмещает функции традиционного центра сертификации и хранилища списков и сертификатов, то есть представляет собой компонент, хранящий эталоны сертификатов и списков. Взаимодействие с центром сертификации удостоверяющего центра "КриптоПРО", таким образом, возможно только через центр регистрации, причем с использованием защищенного логического канала.

Центр регистрации выполняет обработку и хранение регистрационных данных, в соответствии с базовой схемой инфраструктуры открытых ключей, а также организует и координирует взаимодействие пользователей и центра сертификации. Являясь центральным узлом системы, центр регистрации концентрирует на себе пользовательские запросы и выдачу криптографических ключей и обеспечивает функционирование пользовательских интерфейсов и средств взаимодействия.

Как управляющий компонент удостоверяющего центра "КриптоПРО" используется специальным образом организованный программный блок, АРМ администратора центра регистрации. Основной функцией АРМ администратора является выполнение организационно-технических мероприятий, связанных с регистрацией пользователей, формированием служебных ключей и сертификатов пользователей и управление центром регистрации.

Пользовательский интерфейс выполняет функции управления ключами пользователей, сертификатами и служебной информацией. С помощью средств взаимодействия, размещенных на сервере центра регистрации, пользовательский интерфейс полностью обеспечивает работу пользователя инфраструктуры.

Кроме того, центр регистрации имеет возможность программируемого доступа, реализуемого через программный интерфейс внешних приложений. Осуществление взаимодействия безопасно и требует обязательного использования сертификата, причем допускается и разграничение доступа к функциям программного интерфейса и средствам управления.

Разработчики рекомендуют использование удостоверяющего центра при реализации системы электронного документооборота или любой другой системы, требующей применения открытых ключей ассиметричных криптосистем. Ключевой задачей описанного выше решения является создание основы инфраструктуры открытых ключей, подтверждение и генерация сертификатов, а также поддержка СКЗИ, реализующих электронную цифровую подпись.

Виртуальные частные сети

Виртуальная частная сеть (VPN) - это логический канал передачи данных, сконфигурированный на основе существующих физических каналов и обеспечивающий реализацию технологии туннелирования [5]. Существующие физические каналы внешней информационной среды используются для передачи данных между компьютерами защищенной виртуальной сети, но дополнительно для защиты передаваемой информации используются криптографические преобразования, фильтрация пакетов и идентификация передаваемой информации служебными данными, что позволяет организовать устойчивый канал передачи, не зависящий от внешней информационной среды.

3.4.1 Классификация виртуальных частных сетей

Существует несколько классификаций виртуальных частных сетей, основанных на особенностях технологий их реализации. Признаками классификаций являются вид и собственник каналов, используемых для построения сети, а также вид применяемых средств шифрования.

По первому признаку виртуальные частные сети подразделяют следующим образом:

· истинные частные сети;

· сети на арендованных каналах;

· сети на каналах открытого доступа.

По второму признаку можно выделить виртуальные частные сети, функционирование которых основано на следующих элементах:

· сетевые операционные системы со встроенными функциями организации виртуальной частной сети;

· маршрутизаторы или коммутаторы;

· межсетевые экраны;

· средства криптографической защиты информации, предназначенные только для организации виртуальной частной сети.

Рассмотрим предложенную классификацию подробнее. Истинные частные сети организуются только в тех случаях, когда все каналы передачи защищаемой информации принадлежат корпоративной сети. Итак, истинная частная сеть - это такая сеть, в которой все оборудование (включая территориальные кабельные системы, коммутирующие устройства, средства управления и т.п) являются собственностью организации [8].

Такая виртуальная частная сеть гарантирует, что риск доступа к информации извне, то есть без привлечения сотрудников организации, практически сведен к нулю. Кроме того, в пределах истинной частной сети можно варьировать в широких пределах качество обслуживания и методы шифрования (кроме случаев, когда такая сеть используется для передачи информации, составляющей государственную тайну).

Виртуальные частные сети первого типа необходимо строить, соблюдая некоторые ограничения. Во-первых, сеть не должна располагаться на территории, принадлежащей другой организации; во-вторых, весь обслуживающий персонал, в том числе и службы ремонта, технической поддержки и информационной безопасности также не должны быть внешними.

Для истинных виртуальных частных сетей используют два типа телекоммуникаций:

· технологические линии связи - инфраструктура, предназначенная для передачи служебной информации или для обслуживания производственных процессов;

· специальные линии связи - инфраструктура, предназначенная непосредственно для виртуальных частных сетей.

Дополнительно следует отметить, что истинные частные сети являются наиболее защищенными, обладают наименьшим уровнем информационных рисков при передаче информации.

Сети на арендованных каналах построены по принципу защищенных виртуальных тоннелей в частично защищенной общей сети. В этом случае техническое и программное обеспечение передачи информации между локальными подразделениями организации берет на себя доверенный провайдер транспортных услуг.

В источнике [8] приведены несколько особенностей таких виртуальных частных сетей:

· арендуемые территориальные каналы прокладываются провайдером транспортных территориальных услуг в его первичной сети или сети с интегральными услугами ISDN;

· каналы, связывающие центральную сеть предприятия с сетями филиалов, проходят через мультиплексор, объединяющий каналы всех абонентов в магистральный канал;

· коммутация каналов в первичных сетях выполняется только оператором сети;

· пропускная способность выделенного каждому конкретному арендатору канала постоянна и заранее оговорена.

Кроме того, особенностью сети на арендованных каналах является существенное затруднение пассивного анализа трафика. Это происходит из-за того, что провайдер в данном случае не задействован в поддержке криптографических преобразований, и, следовательно, используемое сквозное или канальное шифрование обеспечивает достаточную конфиденциальность.

Последним вариантом является использование в качестве канала передачи глобальных сетей пакетной коммутации (Интернет). Такая сеть, называемая сетью на каналах открытого доступа, имеет ряд особенностей:

· использование неспециализированного оборудования (то есть отсутствие криптомаршрутизаторов);

· привлечение к процессу передачи информации большого числа организаций, функционально, территориально и структурно не ограниченных;

· использование пакетной коммутации.

В такой виртуальной частной сети требуется максимально обеспечить автономность средств криптографического преобразования и управления системой в целом, а также использовать ряд стандартизированных решений, в частности, инфраструктуру открытых ключей.

В том же источнике [8] производитель отмечает несколько преимуществ такого решения:

· простота и доступность;

· доступ к общим базам данных;

· территориальная независимость;

· доступ к корпоративной электронной почте;

· передача больших объемов данных по FTP протоколу;

· экономичность;

· гибкость;

· устойчивость.

Несмотря на перечисленные достоинства, необходимо отметить, что защита информации в такой сети может быть недостаточной. В первую очередь это касается аспекта доступности, который может быть утерян в результате отказов средств коммутации глобальной сети, а также подверженности подобного решения разного рода сетевым атакам.

3.4.2 Технология построения виртуальной частной сети

Технология построения виртуальной частной сети - это методы обеспечения конфиденциальности и целостности данных, передаваемых между пользователями, а также контроль эффективности этих методов [9].

Виртуальные частные сети строятся в первую очередь на технологии туннелирования, которая обеспечивает создание условно постоянного соединения между абонентами. Кроме того, необходимо использовать специальные устройства или программное обеспечение, реализующие криптографическое преобразование. Такими устройствами могут быть любые из перечисленных в классификации выше видов устройств шифрования.

Итак, для построения виртуальной частной сети необходимо использовать следующие функции оборудования:

· туннелирование;

· управление доступом;

· аутентификация;

· шифрование.

Управление доступом, аутентификация и шифрование - важнейшие элементы защищенного соединения. При реализации этих функций обеспечивается достижение главных целей построения виртуальной частной сети - целостности и конфиденциальности передаваемой информации. Средством передачи при этом становится криптографический протокол. Рассмотрим основные протоколы по данным источника [9]:

· протокол PPP (Point-to-Point Protocol) используется в качестве универсального канального уровня;

· протокол PPTP (Point-to-Point Tunneling Protocol) реализует технологии туннелирования на канальном уровне;

· протокол L2TP (Layer 2 Tunneling Protocol) объединяет протоколы PPTP и L2F (Layer-2 Forwarding), управляя коммутацией каналов на туннельном уровне;

· протоколы IPSec и SKIP используется для организации туннеля на сетевом уровне;

· протоколы SSL, TLS, SOCKS обеспечивают существование туннеля на уровне представления.

Необходимо отметить, что в настоящее время для решения задач обеспечения информационной безопасности сведений, составляющих государственную тайну, могут быть использованы перечисленные выше протоколы, использующие в качестве основы криптопреобразования не стандарт DES, а отечественный стандарт ГОСТ 28147-89.

Далее рассмотрим пример организации виртуальной частной сети на базе сертифицированного средства - программно-аппаратного СКЗИ "Континент-К".

Пример: СКЗИ "Континент-К"

Данный аппаратно-программный комплекс (АПК) предназначен для построения виртуальных частных сетей (VPN) на основе глобальных сетей общего пользования, использующих протоколы семейства TCP/IP. Его основные функции:

· шифрование данных по ГОСТ 28147-89 в режиме гаммирования с обратной связью;

· контроль целостности по ГОСТ 28147-89 в режиме имитовставки;

· маршрутизация сетевого трафика;

· фильтрация сетевого трафика;

· возможность интеграции с системами обнаружения атак;

· организация защищенного обмена электронной почтой.

Общая структурная схема построения виртуальной частной сети на базе СКЗИ "Континент-К" представлена на рисунке 45:

1

Рисунок 45. Схема виртуальной частной сети

Применение аппаратно-программного комплекса "Континент-К" возможно в сетях передачи данных при условии передачи информации, не составляющей государственную тайну. Достоинства описанного решения:

· обеспечение высокой пропускной способности (до 80 Мбит/с и выше);

· малая избыточность трафика: за счет реализации собственного протокола защищенной передачи данных сокращена до величины 26-36 байт на пакет (в зависимости от выбранного режима сжатия), что составляет существенно меньшую величину, чем при использовании IPSec (реализация ГОСТ 28147-89) - 54 байта на пакет или SKIP (реализация ГОСТ 28147-89) - 112 Байт на пакет;

· низкая стоимость эксплуатации корпоративной сети за счет использования сетей общего пользования вместо собственных или арендуемых линий связи;

· возможность сжатия передаваемой информации. Сжатие содержимого IP - пакета производится по алгоритму deflate (RFC 1951);

· скрытие внутренней структуры защищаемой сети;

· регистрация до 500 пользователей на каждом сервере доступа;

· возможность объединения в сеть до 5000 VPN устройств;

· создание информационных подсистем с разделением доступа на физическом уровне. В АПК обеспечивается возможность подключения 1 внешнего и до 5-7 внутренних интерфейсов на каждом криптошлюзе.

К основным особенностям реализации виртуальной частной сети таким способом можно отнести также поддержку возможности удаленного управления коммутационным оборудованием по защищенным каналам. Реализовано в системе "горячее" резервирование с помощью резервного аппаратного криптошлюза с аналогичными основному сетевыми адресами и создание резервной базы данных настроек и политик безопасности.

Необходимо отметить, что под "криптошлюзом" в данном случае понимается специальное устройство, совмещающее в себе шифратор трафика, статический маршрутизатор и межсетевой экран. КШ функционирует под управлением защищенной версии ОС FreeBSD и программного обеспечения разработки НИП "ИНФОРМЗАЩИТА". Криптошлюз обеспечивает преобразование проходящего трафика в соответствии с ГОСТ 28147-89 (с длиной ключа шифрования 256 бит). Для защиты от несанкционированного доступа к системным данным криптошлюза используется электронный замок "Соболь".

3.5 Новые направления в криптографии

В настоящее время получают распространение новые направления в криптографии, в частности, мультибазисная криптография и квантовая криптография.

Мультибазисная криптография основана на оригинальной алгоритмической идее (одновременно шифруется несколько сообщений).

Квантовая криптография базируется на использовании физических свойств элементарных частиц, пригодных для формиролвания информативного сигнала.

3.5.1 мультибазисная криптография

При рассмотрении данного направления обратимся к статье [11]. Перебор ключей при известном криптоалгоритме давно применяется при попытках получения доступа к важной информации. Такая атака на криптоалгоритм имеет смысл, когда нет других более быстрых (или менее затратных) методов получения интересующей информации. Любой подбор ключа подразумевает истинность одного важного условия - существует только один правильный вариант расшифрованного шифртекста. Если же это не так, и, вдобавок, неизвестно точное количество правильных вариантов, которое можно получить из шифртекста, то подбор ключа сводится к полному перебору всех допустимых комбинаций. В противном случае атакующий не может быть уверен, что расшифровал этот шифртекст целиком.

При подборе ключа крайне важно автоматизировать процесс определения валидности расшифровываемых данных, т.е. нужно уметь отличать смысловые данные, получаемые при расшифровке верным ключом от бессмысленных шумоподобных данных, получаемых при расшифровке с ошибочным ключом. Важность этого легко понять, если принять во внимание то, что ручной анализ расшифрованных данных будет производиться с частотой около одного раза в секунду, а мощность ключевого множества даже устаревшего DES очень велика.

Для получения неоднозначности при расшифровке, лицо, шифрующее информацию, готовит несколько сообщений, каждое из которых может быть опознано как смысловые данные, причем одно из этих сообщений несет действительную смысловую нагрузку, а остальные играют роль отвлекающего фактора. Задача криптоалгоритма состоит в том, чтобы получить такой шифртекст, из которого можно было бы получить все эти подготовленные сообщения. Получение каждого сообщения из шифртекста (расшифровка) должна осуществляться после предъявления соответствующего ключа. Эти ключи должны быть известны шифрующему алгоритму еще на этапе шифрования.

Назовем “точным шифрованием” строго детерминированный процесс, который при одинаковых исходных данных всегда будет давать одинаковый результат. Соответственно “размытым шифрованием” назовем такое обратимое преобразование данных, которое при каждом последующем использовании дает новый результат. Все известные автору криптоалгоритмы (кроме разновидностей ESS) осуществляют точное шифрование. Создать алгоритм точного шифрования, который позволял бы получить неоднозначность при расшифровке, автору не удалось. Поэтому им были предприняты попытки создания алгоритмов размытого шифрования, которые, в конце концов, увенчались успехом.

Криптоалгоритм, который позволяет получить неоднозначность при переборе ключей, был назван автором “мультибазисным”, поскольку ключи, на которых одновременно шифруются несколько сообщений, представлялись как базисы в n-мерном пространстве, где n - число шифруемых сообщений.

Мультибазисный криптоалгоритм содержит две сильно отличающихся друг от друга части - шифратор и дешифратор. Дешифратор - это довольно простой алгоритм, который позволяет получить расшифрованный текст, соответствующий введенному ключу. Шифратор - это сложный алгоритм поиска такого шифртекста, который позволял бы получить каждое из зашифровываемых сообщений. Во время работы шифратор рассчитывает очередной бит шифртекста как гипотезу.

Определение принимаемой гипотезы на том или ином шаге может происходить по одному из четырех сценариев:

1. Гипотеза может принимать значение как 1, так и 0.

2. Гипотеза может принимать значение 1, но не может принимать 0.

3. Гипотеза может принимать значение 0, но не может принимать 1.

4. Гипотеза не может принимать значение ни 1, ни 0.

Последний 4-й случай соответствует тому, что шифрование приходится приостановить, чтобы попробовать скорректировать те гипотезы в прошлом, которые допускают это (первый случай). Но иногда оказывается, что правкой гипотез, принятых в прошлом, невозможно исправить ситуацию - шифрование вновь и вновь останавливается. Такую ситуацию назовем тупиковой.

Попадание в тупиковую ситуацию обычно бывает спровоцировано схожими ключами, которые были использованы для одновременной зашифровки различных сообщений. Автор не нашел иных приемлемых способов определить, являются ли ключи достаточно различными, кроме как попытаться зашифровать на них сообщения. Перспективной, но не опробованной идеей является расчет корреляции пар ключей.

В общем, шифратор представляет собой реализацию вероятностной модели поведения по последовательному подбору бит шифртекста с коррекцией допущенных ошибок путем отката в прошлое. Детальное описание работы шифратора занимает слишком большой объем и поэтому здесь не рассмотрено.

Практическая сторона рассматриваемых подходов в криптографии довольно неоднозначна. Теоретики криптографии не учитывали, что количество одновременно зашифрованных осмысленных текстов может быть больше одного. Со стороны атакующего это означает то, что нельзя быть уверенным в том, что, подобрав один ключ, он не пропустит при этом другой. При этом возрастает количество ключей, которые требуется перебрать. Расшифровав все сообщения нужно будет затратить определенные силы на выявления истинного сообщения, что в некоторых случаях может оказаться невозможным. Со стороны обороняющегося это означает, что помимо смысловой информации нужно шифровать еще и дополнительную информацию, подобранную таким образом, чтобы проверка ее на корректность занимала у противника максимум ресурсов. Эта задача в общем нетривиальна и затраты на ее реализацию довольно высоки - необходимо заниматься сочинением набора подложных сообщений, которые были бы похожи на оригинальное сообщение. Видимо, помимо мультибазисных и совершенных шифров, не существует иных методов для получения неоднозначно расшифровываемого шифртекста.

3.5.2 Квантовое распределение ключей

Итак, "квантовая криптография" или, если быть точнее, квантовое распределение ключей основано на нескольких технологических новшествах. Обратимся к статье [12].

Квантовые компьютеры. В 1994 году Питер Шор создал алгоритм факторизации целого числа, позволяющий найти решение приблизительно за O((logn)²(loglogn)(logloglogn)) шагов, т.е. за полиномиальное время.

Такое решение возможно только с использованием квантового компьютера. Квантовый компьютер -- это гипотетическое вычислительное устройство, существенно использующее при работе квантовомеханические эффекты, такие как квантовая суперпозиция и квантовый параллелизм.

Идея квантовых вычислений, впервые высказанная Ю. И. Маниным и Р. Фейнманом состоит в том, что квантовая система из L двухуровневых квантовых элементов (кубитов) имеет 2^L линейно независимых состояний, а значит, вследствие принципа квантовой суперпозиции, 2^L-мерное гильбертово пространство состояний. Операция в квантовых вычислениях соответствует повороту в этом пространстве. Таким образом, квантовое вычислительное устройство размером L кубит может выполнять параллельно 2^L операций.

Упрощенно говоря, квантовый компьютер - это цифровое устройство, в основе которого лежат аналоговые вычисления. Основу этих вычислений составляют операции над кубитами - квантовыми эквивалентами традиционных битов. Дело в том, что в квантовом компьютеры кубиты находятся в определенном состоянии, называемом связанным, когда состояние каждого кубита влияет на состояние других. В таблице 26 приведены различие физические реализации кубитов.

Таблица 26. Различные реализации кубитов

Физическая основа	Название	Носитель информации	"0"	"1"
Одиночный фотон	Поляризационное кодирование	Поляризация света	Горизонтальная	Вертикальная
	Количество фотонов	Количество фотонов	Вакуум	Одиночный фотон
	Временное кодирование	Время прибытие	Опережение	Запаздывание
Электроны	Спин электрона	Спин	Вверх	Вниз
	Количество электронов	Заряд	Нет электрона	Один электрон
Квантовая точка	Позиция электрона	Заряд	Электрон в левой точке	Электрон в правой точке
Когерентная основа света	Сжатый свет	Квадратура	Амплитудно-сжатое состояние	Фазово-сжатое состояние

В настоящее время предложено несколько различных путей реализации квантовых компьютеров. Это:

1. квантовые вычисления методом импульсного ядерного магнитного резонанса в молекулярных жидкостях;

2. с использованием в качестве элементной базы квантовых компьютеров ионов в ловушках в вакууме, спины одиночных электронов в квантовых точках в двумерном газе в полупроводниковых гетероструктурах, атомы в резонаторах электромагнитного поля;

3. на состояниях сверхпроводников, разделенных переходами Джозефсона и различающихся числом зарядов.

Существуют практические реализации квантового алгоритма Шора. Созданный квантовый компьютер основан на явлении ядерно-магнитного резонанса и состоял из семи кубитов, чего хватило для разложения числа 15 на простые множители 3 и 5.

По словам Артура Экерта, основателя Центра квантовых вычислений в Кембриджском университете, полноценных квантовых компьютеров следует ожидать уже через 10 лет.

Квантовое распределение ключей. Напомним, что единственной системой, для которой доказано, что она обеспечивает совершенную секретность, является система Вернама, т.е. метод одноразовых блокнотов.

Квантовая физика известна, как наука не только очень интересная, но и как крайне противоинтуитивная и местами даже причудливая. Известно, что квантовая физика накладывает некоторые ограничения, говорит о вещах, которые сделать невозможно. Например:

1. Невозможно измерить систему, не внеся в нее изменения;

2. Невозможно одновременно определить координаты и момент частицы со сколь угодно высокой точностью;

3. Невозможно измерить поляризацию фотона одновременно в горизонтально-вертикальном и диагональном базисах;

4. Невозможно скопировать неизвестное квантовое состояние.

Но эти ограничения оказываются фундаментом для создания систем квантового распределения ключей, т.е. для создания систем Вернама.

Главным отличием классической информатики от квантовой является возможность копировать информацию. В квантовой информатике, вследствие того что она базируется на квантовой физике, копирование неизвестного состояния - невозможно. Копирование информации в данном случае эквивалентно измерению состояния системы, а это в свою очередь изменяет состояние системы, т.е. "разрушает" исходное состояние.

Вуттерс и Цурек в 1982 году доказали теорему о невозможности копирования неизвестного состояния.

Пусть ш - исходное состояние кубита, |b> - подготовленный кубит, "чистый лист", на который будет происходить копирование, |0> - исходное состояние копировальной машины. Идеальная машина должна произвести ш|b>|0>шш|f_ш>, где |f_ш> - конечное состояние копировальной машины, которое, вероятно, будет зависеть от ш. В обозначениях протокола ВВ84 это можно записать |,b,0>|,,f> и |,b,0>|,,f>. Здесь ,, , - это квантовый “1” и “0”. и соответствуют “0” соответственно в горизонтально-вертикальном и диагональном базисах, а и - “1” в тех же базисах.

Но тогда |,b,0>=(1/2)^-1/2(|>+|>)|b,0>(1/2)^-1/2(|,,f>+|,,f>).

Мы видим, что конечное состояние отличается от идеальной копии |,,f>, при любых |f_ш>. Следовательно, невозможно создать идеальную квантовую копию, т.к. не может существовать идеальная квантовая копировальная машина.

Хотя квантовая криптография и является одним из самых разработанных в прикладном плане направлений квантовой физике, все еще остается множество нерешенных задач. Такими задачами можно назвать - усиление секретности, увеличение достоверности, коррекция ошибок, создание повторителей, усилителей, передача кубитов на большие расстояния.

К одним из самых перспективных направлений можно отнести исследования квантовой телепортации, создание воздушных квантовых каналов, изучение использования спутников, как источников связанных кубитов.

Контрольные вопросы и задания

1. Поясните принципы встраивания средств криптографической защиты информации в информационно-телекоммуникационную систему.

2. Назовите преимущества и недостатки СКЗИ программной, аппаратной и программно-аппаратной реализации.

3. Каковы алгоритмы шифрования, которые могут быть использованы в виртуальных частных сетях на территории РФ.

4. Укажите преимущества и недостатки централизованной и децентрализованной схемы электронной цифровой подписи.

5. Перечислите основные элементы инфраструктуры открытых ключей.

6. Поясните и сравните принципы использования криптографических ключей в СКЗИ программной, аппаратной и программно-аппаратной реализации.

7. В чем заключается преимущество внедрения многоключевой криптографии? Квантовой криптографии? Каковы недостатки таких систем?

8. Что общего между обычной и цифровой подписью? Чем они различаются?

9. Почему в криптографических системах, основанных на открытых ключах, нельзя использовать одинаковые ключи для шифрования и для цифровой подписи?

10. В системе аутентификации, основанной на схеме RSA, пользователь А выбрал открытый ключ e=7 и N=77. Если он получил от В число 23, то что А должен ответить, чтобы идентифицировать себя?

11. В схеме подписи, основанной на RSA, пользователи А и В имеют открытые ключи e_A=3, N_A=15; e_B=7, N_B=77 соответственно. Пользователь А хочет послать сообщение М=4 как подпись к некоторому тексту. Какое целое число он посылает?

12. Пусть - алгебраическое замыкание . Для поля К, , обозначим Е(К) - множество К-рациональных точек. Если m - количество точек Е(), то должны выполняться следующие условия:

(*)

Пусть P - точка эллиптической кривой Е/ и порядок этой точки больше . Сколько различных целых чисел m удовлетворяют условиям (*)?

13. Количество значений блочно-итерационной хэш-функции h не больше количества образов шаговой функции хэширования ?. Доказать, что имеется

различных сюръективных отображений где

14. Опишите различия между MD4 и MD5. Насколько защищенность MD5 выше по сравнению с MD4 и почему?

15. Почему нельзя в качестве хэш-функций использовать линейные отображения?

16. Можно ли использовать в качестве бесключевой хэш-функции ключевую хэш-функцию с фиксированным ключом?

Заключение

Криптографические методы и средства защиты информации выделены в группу дисциплин, которая объединяет как теоретические основы, так и практические реализации криптографического обеспечения информационной безопасности. В качестве полного руководства по описанным здесь методам и средствам защиты информации, а также как справочный материал пособие по этой дисциплине использоваться без дополнительных, указанных в списке литературы и рабочей программе дисциплины источников, не может. Целью издания является создание системного представления о предмете изучения.

Именно поэтому изучение основных принципов криптографической защиты информации, методов и средств, а также мер, реализующих упомянутые принципы, в группе дисциплин "Криптографические методы и средства защиты информации" является частью общей программы подготовки специалистов по специальностям 090105 "Комплексное обеспечение информационной безопасности автоматизированных систем", 090106 "Информационная безопасность телекоммуникационных систем".

В пособии раскрыты основные понятия, концепция и принципы организации криптографических средств обеспечения информационной безопасности, порядок решения различных задач обеспечения информационной безопасности в предметной области.

В процессе работы над пособием были по возможности учтены последние изменения в законодательстве, но, принимая во внимание его постоянное совершенствование, планируется издание соответствующих дополнений.

Необходимо отметить, что пособие ориентировано в первую очередь на специфику комплексного обеспечения информационной безопасности автоматизированных систем.

Блиографический список

• Протоколы, алгоритмы, исходные тексты на языке Си / Алферов, А. П. Основы криптографии : учеб. пособие / А. П. Алферов, А. Ю. Зубов, А. С. Кузьмин, А. В. Черемушкин. - М : Гелиос АРВ, 2001. - 480 с., ил.
• Андреев, Н. Н. Основоположник отечественной засекреченной телефонной связи / Н. Н. Андреев, А. П. Петерсон, К. В. Прянишников, А. В. Старовойтов // Радиотехника, 1998. - № 8. - С. 8-12.
• Анин, Б. Ю. Защита компьютерной информации. / Б. Ю. Анин. - СПб. : БХВ-Петербург, 2000. - 384 с.
• Бабаш, А. В. Криптография-М / А. В. Бабаш, Г. П. Шанкин. - СОЛОН-Р, 2002. - 512 с.
• Введение в криптографию / под общ. ред. В. В. Ященко. - 3-е изд., доп. - М. : Изд-во МЦНМО : ЧеРо, 2000. - 288 c.
• Винокуров, А. Страничка классических блочных шрифтов [Электронный ресурс] / Андрей Винокуров. - Электрон. дан. - Режим доступа: http://www.enlight.ru/crypto/articles/ib/ib03.htm. - Загл. с экрана.
• Домарев, В. В. Защита информации и безопасность компьютерных систем / В. В. Домарев. - Киев : Диасофт, 1999. - 480 с.
• Жданов, О. Н. Алгоритм RSA : метод. указания к выполнению лаб. работ / О. Н. Жданов, И. А. Лубкин ; Сиб. гос. аэрокосмич. ун-т. - Красноярск, 2007. - 32 с. + 1 электрон. опт. диск (CD-ROM).
• Золотарев, В. В. Программно-аппаратные средства обеспечения информационной безопасности / В. В. Золотарев ; Сиб. гос. аэрокосмич. ун-т. - Красноярск, 2007. - 112 с.
• Зубов, А. Ю. Совершенные шифры / А. Ю. Зубов. - М. : Гелиос АРВ, 2003. - 117 c.
• Коломиец, И. В. Проблема квантового распределения ключей / И. В. Коломиец // Актуал. проблемы безопасности информ. технологий : сб. науч. тр. / под общ. ред. О. Н. Жданова, В. В. Золотарева ; Сиб. гос. аэрокосмич. ун-т. - Красноярск, 2007. - с. 45-50.
• Краковский, П. С. Введение неоднозначности в процесс дешифрования и мультибазисная криптография / П. С. Краковский // Актуал. проблемы безопасности информ. технологий : сб. науч. тр. / под общ. ред. О. Н. Жданова, В. В. Золотарева ; Сиб. гос. аэрокосмич. ун-т. - Красноярск, 2007. - с. 50-52.
• Кукарцев, А. М. Операционный анализ криптоалгоритмов / А. М. Кукарцев, С. А. Старовойтов, В. С. Шестаков // Актуал. проблемы безопасности информ. технологий : сб. науч. тр. / под общ. ред. О. Н. Жданова, В. В. Золотарева ; Сиб. гос. аэрокосмич. ун-т. - Красноярск, 2007. - с. 56-62.
• Лукашин, И. В. Криптография? Железно! / И. В. Лукашин // Мир ПК - 2003. - № 3. - С. 100-109.
• Межутков, А. А. Практическое руководство по методам и средствам криптографической защиты информации [Электронный ресурс] / А. А. Межутков. - Электрон. дан. (1 CD). - СПб. : Digital security, 2003.
• Организация частных сетей и виртуальных частных сетей [Электронный ресурс]. - Электрон. дан. - Режим доступа : http://networkaccess.ru/articles/iptel/common/. - Загл. с экрана.
• Панасенко, С. П. Принципы использования ключей шифрования / С. П. Панасенко // BYTE/Россия. - 2003. - № 9. - С. 65-68.
• Панасенко, С. П. Аппаратные шифраторы / С. П. Панасенко, В. В. Ракитин // Мир ПК. - 2002. - № 8. - С. 77-83.
• Прасолов, В. В. Эллиптические функции и алгебраические уравнения / В. В. Прасолов, Ю. П. Соловьев. - М. : Факториал, 1997. - 288 с.
• Соколов, А. В. Защита от компьютерного терроризма / А. В. Соколов, О. М. Степанюк. - СПб. : БХВ-Петербург : Арлит, 2002. - 496 с.
• Столлингс, В. Криптография и защита сетей: принципы и практика / В. Столлингс ; пер. с англ. - 2-е изд. - М. : Вильямс, 2001. - 672 с.
• Титце, У. Полупроводниковая схемотехника : справ. руководство / У. Титце, К. Шенк ; пер. с нем. - М. : Мир, 1982. - 512 с., ил.
• Уязвимость и информационная безопасность телекоммуникационных технологий : учеб. пособие / А. А. Новиков, Г. Н. Устинов ; под ред. Г. Н. Устинова. - М. : Радио и связь, 2003. - 296 с.
• Шеннон, К. Теория связи в секретных системах / К. Шеннон // Работы по теории информации и кибернетике. - М. : Изд-во иностран. лит., 1963. - С. 333-402.
• Щепинов, А. С. Заметки о совершенных шифрах [Электронный ресурс] / А. С. Щепинов. - Электрон. дан. - Режим доступа: http://www.cryptography/msg.html-mid=1169602.htm. - Загл. с экрана.
• Шнайер, Б. Прикладная криптографияБрюс Шнайер. - М. : Триумф, 2003. - 816 с., ил.