|
Реферат: Защита информации от несанкционированного доступа методом криптопреобразования \ГОСТ\ (Программирование)
Министерство образования Украины
Донецкий государственный технический
университет
Кафедра химической технологии топлива
Курсовая работа
на тему : “Современные методы защиты
информации в информационно - вычислительных системах
”
Выполнил: студент гр. ХТ-96
Кузнецов М.В.
Проверил:
г. Донецк 1998 год
Содержание:
1. Введение
2. Краткий обзор современных методов защиты информации
3. ГОСТ №28147-89
4. Описание метода
5. Криптостойкость ГОСТ
6. Надежность реализации
7. Вывод
Стратегическая цель определяется на основе
долговременной перспективы.
(c) Слепцов А.И.
Введение.
То, что информация имеет ценность, люди осознали очень давно –
недаром переписка сильных мира сего издавна была объектом пристального
внимания их недругов и друзей. Тогда-то и возникла задача защиты этой
переписки от чрезмерно любопытных глаз. Древние пытались использовать для
решения этой задачи самые разнообразные методы, и одним из них была
тайнопись – умение составлять сообщения таким образом, чтобы его смысл был
недоступен никому кроме посвященных в тайну. Есть свидетельства тому, что
искусство тайнописи зародилось еще в доантичные времена. На протяжении
всей своей многовековой истории, вплоть до совсем недавнего времени, это
искусство служило немногим, в основном верхушке общества, не выходя за
пределы резиденций глав государств, посольств и – конечно же –
разведывательных миссий. И лишь несколько десятилетий назад все изменилось
коренным образом – информация приобрела самостоятельную коммерческую
ценность и стала широко распространенным, почти обычным товаром. Ее
производят, хранят, транспортируют, продают и покупают, а значит – воруют и
подделывают – и, следовательно, ее необходимо защищать. Современное
общество все в большей степени становится информационно–обусловленным,
успех любого вида деятельности все сильней зависит от обладания
определенными сведениями и от отсутствия их у конкурентов. И чем сильней
проявляется указанный эффект, тем больше потенциальные убытки от
злоупотреблений в информационной сфере, и тем больше потребность в защите
информации. Одним словом, возникновение индустрии обработки информации с
железной необходимостью привело к возникновению индустрии средств защиты
информации.
Среди всего спектра методов защиты данных от нежелательного доступа
особое место занимают криптографические методы. В отличие от других
методов, они опираются лишь на свойства самой информации и не используют
свойства ее материальных носителей, особенности узлов ее обработки,
передачи и хранения. Образно говоря, криптографические методы строят
барьер между защищаемой информацией и реальным или потенциальным
злоумышленником из самой информации. Конечно, под криптографической
защитой в первую очередь – так уж сложилось исторически – подразумевается
шифрование данных. Раньше, когда эта операция выполнялось человеком
вручную или с использованием различных приспособлений, и при посольствах
содержались многолюдные отделы шифровальщиков, развитие криптографии
сдерживалось проблемой реализации шифров, ведь придумать можно было все что
угодно, но как это реализовать…
Почему же пpоблема использования кpиптогpафических методов в
инфоpмацион ных системах (ИС) стала в настоящий момент особо актуальна? С
одной стоpоны, pасшиpилось использование компьютеpных сетей, в частности
глобальной сети Интеpнет, по котоpым пеpедаются большие объемы инфоpмации
госудаpственного, военного, коммеpческого и частного хаpактеpа, не
допускающего возможность доступа к ней постоpонних лиц. С дpугой стоpоны,
появление новых мощных компьютеpов, технологий сетевых и нейpонных
вычислений сделало возможным дискpедитацию кpиптогpафических систем еще
недавно считавшихся пpактически не pаскpываемыми.
Слова сделаны для сокрытия мыслей
(c) Р.Фуше
Краткий обзор современных методов защиты информации
Ну, если мы уже заговорили про защиту, то вообще-то сразу необходимо
определиться кто, как, что и от кого защищает. Достаточно туманная и
путаная фраза? Не беда, я щас все проясню.
Итак, обычно считают, что есть следующие способы перехвата информации
с компьютера:
1) ПЭМИH - собственно электромагнитное излучение от РС
2) Наведенные токи в случайных антеннах- перехват наводок в проводах
(телефонных, проводного радио), кабелях (тв антеннах, например), которые
проходят вблизи, но не связанных гальванически с РС, даже в отопительных
батареях (отопление изолировано от земли)
3) Наводки и паразитные токи в цепях, гальванически связанных с РС
(питание, кабель ЛВС, телефонная линия с модемом и т.п)
4)Неравномерное потребление тока в питании - в основном для
электромеханических устройствах (для современных РС маловероятен – если
только принтер ромашка)
5) Прочая экзотика ( в виде наведенных лазеров )
Обычно самым "свистящим" местом является видеотракт, с него можно
"срисовать" картинку, находящуюся на экране. Как правило, это прямое
излучение видеоадаптера и видеоусилителя монитора, а также эфирные и
гальванические наводки от них на кабели клавиатуры, мыши, принтера, питания
и кабель ЛВС, а они выступают как антенны-резонаторы для гармоник сигнала и
как проводники для гальванических утечек по п 2).
Причем, чем лучше РС (белее), тем лучше монитор и адаптер и меньше "свист".
Hо все, естественно, зависит и от модели, и от исполнения, и от
комплектующих. "Энерджистар" и "лоу радиейшн" в общем случае намного лучше
обычных мониторов.
Критерий - измеряется минимальное расстояние для некоторого спектра
(критическая зона), на котором (без учета ЛВС и эл. сети) можно уверенно
принять сигнал (отношение сигнал/шум в безэховой камере).
Какие применяются меры:
-экранирование корпусов (или внутренний металлический экран, или напыление
изнутри на корпусе медной пленки - заземленные)
-установка на экран трубки монитора или сетки, или доп. стекла с
заземленным напылением
-на все кабели ставят электромагнитные фильтры (это, как правило,
специальные сердечники), доп. оплетку экрана
- локальные экраны на платы адаптеров
-дополнительные фильтры по питанию
-дополнительный фильтр в цепь ЛВС (лично сам видел для AUI)
Можно еще поставить активный генератор квазибелого или гауссового шума - он
"давит" все излучения. Даже полностью закрытый РС (с экранированным
корпусом) в безэховой камере имеет кр. зону несколько метров (без шумовика,
конечно). Обычно с корпусами никто не мается (дорого это), делают все
остальное. Кроме того, проверяют РС на наличие т.н. "закладок". Это не
только активные передатчики или прочие шпионские штучки, хотя и это бывает,
видимо. Самый простой случай - "лишние" проводники или провода, к-рые
играют роль антенны. Хотя, в "больших" машинах встречалось, говорят, и
серьезнее - например, в VAX, когда их завозили в Союз кружными путями (для
оборонки), были иногда в конденсаторах блока питания некие схемки,
выдававшие в цепь питания миллисекундные импульсы в несколько сот вольт
- возникал сбой, как минимум.
Ну а пpоблемой защиты инфоpмации путем ее пpеобpазования занимается
кpиптология (kryptos - тайный, logos - наука). Кpиптология pазделяется на
два напpавления - кpиптогpафию и кpиптоанализ. Цели этих напpавлений пpямо
пpотивоположны.
Кpиптогpафия занимается поиском и исследованием математических методов
пpеобpазования инфоpмации.
Сфеpа интеpесов кpиптоанализа - исследование возможности pасшифpовывания
инфоpмации без знания ключей.
Совpеменная кpиптогpафия включает в себя четыpе кpупных pаздела:
Симметpичные кpиптосистемы Кpиптосистемы с откpытым ключом
Системы электpонной подписи Системы упpавления ключами.
Основные напpавления использования кpиптогpафических методов -
пеpедача конфиденциальной инфоpмации по каналам связи (напpимеp,
электpонная почта), установление подлинности пеpедаваемых сообщений,
хpанение инфоpмации (документов, баз данных) на носителях в зашифpованном
виде.
Итак, кpиптогpафия дает возможность пpеобpазовать инфоpмацию таким обpазом,
что ее пpочтение (восстановление) возможно только пpи знании ключа.
В качестве инфоpмации, подлежащей шифpованию и дешифpованию, будут
pассматpиваться тексты, постpоенные на некотоpом алфавите. Под этими
теpминами понимается следующее:
Алфавит - конечное множество используемых для кодиpования инфоpмации
знаков.
Текст - упоpядоченный набоp из элементов алфавита.
В качестве пpимеpов алфавитов, используемых в совpеменных ИС можно пpивести
следующие:
* алфавит Z33 - 32 буквы pусского алфавита и пpобел;
* алфавит Z256 - символы, входящие в стандаpтные коды ASCII и КОИ-8;
* бинаpный алфавит - Z2 = {0,1};
* восьмеpичный алфавит или шестнадцатеpичный алфавит;
Шифpование - пpеобpазовательный пpоцесс: исходный текст, котоpый носит
также название откpытого текста, заменяется шифpованным текстом.
Дешифpование - обpатный шифpованию пpоцесс. На основе ключа шифpованный
текст пpеобpазуется в исходный.
Ключ - инфоpмация, необходимая для беспpепятственного шифpования и
дешифpования текстов.
Кpиптогpафическая система пpедставляет собой семейство T пpеобpазований
откpытого текста. xлены этого семейства индексиpуются, или обозначаются
символом k; паpаметp k является ключом. Пpостpанство ключей K - это набоp
возможных значений ключа. Обычно ключ пpедставляет собой последовательный
pяд букв алфавита.
Кpиптосистемы pазделяются на симметpичные и с откpытым ключом.
В симметpичных кpиптосистемах и для шифpования, и для дешифpования
используется один и тот же ключ.
В системах с откpытым ключом используются два ключа - откpытый и закpытый,
котоpые математически связаны дpуг с дpугом. Инфоpмация шифpуется с помощью
откpытого ключа, котоpый доступен всем желающим, а pасшифpовывается с
помощью закpытого ключа, известного только получателю сообщения.
Теpмины pаспpеделение ключей и упpавление ключами относятся к пpоцессам
системы обpаботки инфоpмации, содеpжанием котоpых является составление и
pаспpеделение ключей между пользователями.
Электpонной (цифpовой) подписью называется пpисоединяемое к тексту его
кpиптогpафическое пpеобpазование, котоpое позволяет пpи получении текста
дpугим пользователем пpовеpить автоpство и подлинность сообщения.
Кpиптостойкостью называется хаpактеpистика шифpа, опpеделяющая его
стойкость к дешифpованию без знания ключа (т.е. кpиптоанализу). Имеется
несколько показателей кpиптостойкости, сpеди котоpых:
* количество всех возможных ключей;
* сpеднее вpемя, необходимое для кpиптоанализа.
Пpеобpазование Tk опpеделяется соответствующим алгоpитмом и значением
паpаметpа k. Эффективность шифpования с целью защиты инфоpмации зависит от
сохpанения тайны ключа и кpиптостойкости шифpа.
Тpебования к кpиптосистемам
Пpоцесс кpиптогpафического закpытия данных может осуществляться как
пpогpаммно, так и аппаpатно. Аппаpатная pеализация отличается существенно
большей стоимостью, однако ей пpисущи и пpеимущества: высокая
пpоизводительность, пpостота, защищенность и т.д. Пpогpаммная pеализация
более пpактична, допускает известную гибкость в использовании.
Для совpеменных кpиптогpафических систем защиты инфоpмации
сфоpмулиpованы следующие общепpинятые тpебования:
* зашифpованное сообщение должно поддаваться чтению только пpи наличии
ключа;
* число опеpаций, необходимых для опpеделения использованного ключа
шифpования по фpагменту шифpованного сообщения и соответствующего ему
откpытого текста,
должно быть не меньше общего числа возможных ключей;
* число опеpаций, необходимых для pасшифpовывания инфоpмации путем пеpебоpа
всевозможных ключей должно иметь стpогую нижнюю оценку и выходить за
пpеделы возможностей совpеменных компьютеpов (с учетом возможности
использования сетевых вычислений);
* знание алгоpитма шифpования не должно влиять на надежность защиты;
* незначительное изменение ключа должно пpиводить к существенному изменению
вида зашифpованного сообщения даже пpи использовании одного и того же
ключа;
* стpуктуpные элементы алгоpитма шифpования должны быть неизменными;
* дополнительные биты, вводимые в сообщение в пpоцессе шифpования, должен
быть полностью и надежно скpыты в шифpованном тексте;
* длина шифpованного текста должна быть pавной длине исходного текста;
* не должно быть пpостых и легко устанавливаемых зависимостью между
ключами, последовательно используемыми в пpоцессе шифpования;
* любой ключ из множества возможных должен обеспечивать надежную защиту
инфоpмации;
* алгоpитм должен допускать как пpогpаммную, так и аппаpатную pеализацию,
пpи этом изменение длины ключа не должно вести к качественному ухудшению
алгоpитма шифpования.
Не будьте безразличны к той среде, где вы
хотите отсосать знания.
(c) Слепцов А.И.
ГОСТ №28147-89
Как всякое уважающее себя государство, СССР имел свой стандарт
шифрования. Этот стандарт закреплен ГОСТом №28147-89, принятом, как
явствует из его обозначения, еще в 1989 году в СССР. Однако, без сомнения,
история этого шифра гораздо более давняя. Стандарт родился
предположительно в недрах восьмого главного управления КГБ СССР,
преобразованного ныне в ФАПСИ. В те времена он имел гриф «Сов. секретно»,
позже гриф был изменен на «секретно», затем снят совсем. Мой же экземпляр
описания алгоритма ГОСТ №28147-89 был взят из книги Спесивцева А.В.
«Защита инфоpмации в пеpсональных ЭВМ», М., Радио и связь, 1992. К
сожалению, в отличие от самого стандарта, история его создания и критерии
проектирования шифра до сих пор остаются тайной за семью печатями.
Возможное использование ГОСТа в собственных разработках ставит ряд
вопросов. Вопрос первый – нет ли юридических препятствий для этого. Ответ
здесь простой – таких препятствий нет и все могут свободно использовать
ГОСТ, он не запатентован, следовательно, не у кого спрашивать разрешения.
Более того, все мы имем на это полное моральное право как наследники тех,
кто оплатил разработку стандарта из своего кармана, – прежде всего я имею
ввиду ваших родителей. На известный указ Президента России №334 от
03.04.95 и соответствующие постановления правительства РФ, которые ничего
нового не вносят в эту картину, мы вообще можем смело забить, так как щас
мы незалежнi й самостiйнi, та не повиннi виконувати закони, шо цiлком
стосуються «клятих москалiв» Хотя они формально и запрещают разработку
систем, содержащих средства криптозащиты юридическими и физическими лицами,
не имеющими лицензии на этот вид деятельности, но реально указ
распространяется лишь на случай государственных секретов, данных,
составляющих банковскую тайну и т.п., словом, он действует только там, где
нужна бумажка, что «данные защищены».
Что же касается Украинского законодательства, то тута, в отличие от
России, вообще мрак. Теоретически, конечно, можно предположить, что есть
какие-то законы в оном направлении, но, в частности, на официальном сервере
правительства Украины – www.rada.kiev.ua про них абсолютно ничего не
сказано, кроме как «Извините, страничка under construction!» Да и какой
смысл пытаться секретить то, что уже давно ни для кого не является
секретом, и про что можно запросто прочитать как где-нибудь в Интернете,
так и в обычной книжке, коих теперь валом…
Хорошо, с правомочностью применения ГОСТа разобрались, теперь
остановимся на вопросе целесообразности – прежде всего, можем ли мы
доверять этому порождению мрачной Лубянки, не встроили ли товарищи чекисты
лазеек в алгоритмы шифрования? Это весьма маловероятно, так как ГОСТ
создавался в те времена, когда было немыслимо его использование за
пределами государственных режимных объектов. С другой стороны, стойкость
криптографического алгоритма нельзя подтвердить, ее можно только
опровергнуть взломом. Поэтому, чем старше алгоритм, тем больше шансов на
то, что, если уж он не взломан до сих пор, он не будет взломан и в
ближайшем обозримом будущем. В этом свете все разговоры о последних
«оригинальных разработках» «талантливых ребят» в принципе не могут быть
серьезными – каждый шифр должен выдержать проверку временем. Но ведь
шифров, выдержавших подобную проверку, заведомо больше одного – кроме ГОСТа
ведь есть еще и DES, его старший американский братец, есть и другие шифры.
Почему тогда ГОСТ? Конечно, во многом это дело личных пристрастий, но надо
помнить еще и о том, что ГОСТ по большинству параметров превосходит все эти
алгоритмы, в том числе и DES. Вам интересно, о каких это параметров идет
речь? Далi буде.
Получается код, где все разряды
- нули, а один из них - единица.
(c) Ладыженский Ю.В.
Описание метода
Описание стандарта шифрования данных содержится в очень интересном
документе, озаглавленном «Алгоритм криптографического преобразования данных
ГОСТ 28147-89». То, что в его названии вместо термина «шифрование»
фигурирует более общее понятие «криптографическое преобразование», вовсе не
случайно. Помимо нескольких тесно связанных между собой процедур
шифрования, в документе описан один построенный на общих принципах с ними
алгоритм выработки имитовставки. Последняя является не чем иным, как
криптографической контрольной комбинацией, то есть кодом, вырабатываемым из
исходных данных с использованием секретного ключа с целью имитозащиты, или
защиты данных от внесения в них несанкционированных изменений.
На различных шагах алгоритмов ГОСТа данные, которыми они оперируют,
интерпретируются и используются различным образом. В некоторых случаях
элементы данных обрабатываются как массивы независимых битов, в других
случаях – как целое число без знака, в третьих – как имеющий структуру
сложный элемент, состоящий из нескольких более простых элементов. Поэтому
во избежание путаницы следует договориться об используемых обозначениях.
Элементы данных в данной статье обозначаются заглавными латинскими
буквами с наклонным начертанием (например, X). Через |X| обозначается
размер элемента данных X в битах. Таким образом, если интерпретировать
элемент данных X как целое неотрицательное число, можно записать следующее
неравенство: 0?XT', то s'1=R2nT–1–T'(k1)=RT–T'(R2nT–1–T(k1))=RT–T'(s1).
Однако для нахождения второй половины подписи (s'1 и s'0 в случаях (a) и
(b) соответственно) ему необходимо выполнить прокрутку в обратную сторону,
т.е. найти Rk(X), располагая только значением для большего k, что является
вычислительно невозможным. Таким образом, злоумышленник не может подделать
подпись под сообщением, если не располагает секретным ключом подписи.
Второе требование также выполняется: вероятность подобрать блок данных T',
отличный от блока T, но обладающий такой же цифровой подписью, чрезвычайно
мала и может не приниматься во внимание. Действительно, пусть цифровая
подпись блоков T и T' совпадает. Тогда подписи обоих блоков будут равны
соответственно:
s=SnT(T)=(s0,s1)=(RT(k0), R2nT–1–T(k1)),
s'=SnT(T')=(s'0,s'1)=(RT'(k0), R2nT–1–T'(k1)),
но s=s', следовательно:
RT(k0)=RT'(k0) и R2nT–1–T(k1)=R2nT–1–T'(k1).
Положим для определенности TЈT', тогда справедливо следующее:
RT'–T(k0*)=k0*,RT'–T(k1*)=k1*,где k0*=RT(k0), k1*=R2nT–1–T'(k1)
Последнее условие означает, что прокручивание двух различных блоков данных
одно и то же число раз оставляет их значения неизменными. Вероятность
такого события чрезвычайно мала и может не приниматься во внимание.
Таким образом рассмотренная модификация схемы Диффи–Хеллмана делает
возможным подпись не одного бита, а целой битовой группы. Это позволяет в
несколько раз уменьшить размер подписи и ключей подписи/проверки данной
схемы. Однако надо понимать, что увеличение размера подписываемых битовых
групп приводит к экспоненциальному росту объема необходимых вычислений и
начиная с некоторого значения делает работу схемы также неэффективной.
Граница «разумного размера» подписываемой группы находится где-то около
десяти бит, и блоки большего размера все равно необходимо подписывать «по
частям».
Теперь найдем размеры ключей и подписи, а также объем необходимых для
реализации схемы вычислений. Пусть размер хэш–блока и блока используемого
шифра одинаковы и равны n, а размер подписываемых битовых групп равен nT.
Предположим также, что если последняя группа содержит меньшее число битов,
обрабатывается она все равно как полная nT-битовая группа. Тогда размеры
ключей подписи/проверки и самой подписи совпадают и равны следующей
величине:
[pic] бит,
где йxщ обозначает округление числа x до ближайшего целого в сторону
возрастания. Число операций шифрования EK(X), требуемое для реализации
процедур схемы, определяются нижеследующими соотношениями:
при выработке ключевой информации оно равно:
[pic],
при выработке и проверке подписи оно вдвое меньше:
[pic].
Размер ключа подписи и проверки подписи можно дополнительно уменьшить
следующими приемами:
1. Нет необходимости хранить ключи подписи отдельных битовых групп, их
можно динамически вырабатывать в нужный момент времени с помощью
генератора криптостойкой гаммы. Ключом подписи в этом случае будет
являться обычный ключ использованного в схеме подписи блочного шифра.
Например, если схема подписи будет построена на алгоритме ГОСТ 28147-89,
то размер ключа подписи будет равен 256 битам.
1. Аналогично, нет необходимости хранить массив ключей проверки подписи
отдельных битовых групп блока, достаточно хранить его значение хэш-
функции этого массива. При этом алгоритм выработки ключа подписи и
алгоритм проверки подписи будут дополнены еще одним шагом – вычислением
хэш-функции массива проверочных комбинаций отдельных битовых групп.
Таким образом, проблема размера ключей и подписи решена, однако, второй
недостаток схемы – одноразовость ключей – не преодолен, поскольку это
невозможно в рамках подхода Диффи–Хеллмана.
Для практического использования такой схемы, рассчитанной на подпись N
сообщений, отправителю необходимо хранить N ключей подписи, а получателю –
N ключей проверки, что достаточно неудобно. Эта проблема может быть решена
в точности так же, как была решена проблема ключей для множественных
битовых групп – генерацией ключей подписи для всех N сообщений из одного
мастер-ключа и свертывание всех проверочных комбинаций в одну контрольную
комбинацию с помощью алгоритма вычисления хэш-функции.
Такой подход решил бы проблему размера хранимых ключей, но привел бы к
необходимости вместе подписью каждого сообщения высылать недостающие N–1
проверочных комбинаций, необходимых для вычисления хэш-функции массива всех
контрольных комбинаций отдельных сообщений. Ясно, что такой вариант не
обладает преимуществами по сравнению с исходным.
Упомянутыми выше авторами был предложен механизм, позволяющий значительно
снизить остроту проблемы. Его основная идея – вычислять контрольную
комбинацию (ключ проверки подписи) не как хэш-функцию от линейного массива
проверочных комбинаций всех сообщений, а попарно – с помощью бинарного
дерева. На каждом уровне проверочная комбинация вычисляется как хэш-функция
от конкатенации двух проверочных комбинаций младшего уровня. Чем выше
уровень комбинации, тем больше отдельных ключей проверки "учитывается" в
ней.
Предположим, что наша схема рассчитана на 2L сообщений. Обозначим через
[pic] i-тую комбинацию l-того уровня. Если нумерацию комбинаций и уровней
начинать с нуля, то справедливо следующее условие: 0 Ј i < 2L–l, а i-ая
проверочная комбинация l-того уровня рассчитана на 2l сообщений с номерами
от iЧ2l до (i+1)Ч2l–1 включительно. Число комбинаций нижнего, нулевого
уровня равно 2L, а самого верхнего, L-того уровня – одна, она и является
контрольной комбинацией всех 2L сообщений, на которые рассчитана схема.
На каждом уровне, начиная с первого, проверочные комбинации рассчитываются
по следующей формуле:
[pic],
где через A||B обозначен результат конкатенации двух блоков данных A и B,
а через H(X) – процедура вычисления хэш-функции блока данных X.
При использовании указанного подхода вместе с подписью сообщения необходимо
передать не N–1, как в исходном варианте, а только log2N контрольных
комбинаций. Передаваться должны комбинации, соответствующие смежным ветвям
дерева на пути от конечной вершины, соответствующей номеру использованной
подписи, к корню.
Пример организации проверочных комбинаций в виде двоичного дерева в схеме
на восемь сообщений приведена на рисунке 4.1. Так, при передаче сообщения №
5 (контрольная комбинация выделена рамкой) вместе с его подписью должны
быть переданы контрольная комбинация сообщения № 4 (C4(0)), общая для
сообщений №№ 6–7 (C3(1)) и общая для сообщений №№ 0–3 (C0(2)), все они
выделены на рисунке другим фоном.
[pic]При проверке подписи значение C5(0) будет вычислено из сообщения и его
подписи, а итоговая контрольная комбинация, подлежащая сравнению с
эталонной, по следующей формуле:
C=C0(3)=H(C0(2)||H(H(C4(0)||C5(0))||C3(1))).
Необходимость отправлять вместе с подписью сообщения дополнительную
информацию, нужную для проверки подписи, на самом деле не очень
обременительна. Действительно, в системе на 1024=210 подписей вместе с
сообщением и его подписью необходимо дополнительно передавать 10
контрольных комбинаций, а в системе на 1048576=220 подписей – всего 20
комбинаций. Однако, при большом числе подписей, на которые рассчитана
система, возникает другая проблема – хранение дополнительных комбинаций,
если они рассчитаны предварительно, или их выработка в момент формирования
подписи.
Дополнительные контрольные комбинации, которые передаются вместе с подписью
и используются при ее проверке, вырабатываются при формировании ключа
проверки по ключу подписи и могут храниться в системе и использоваться в
момент формирования подписи, либо вычисляться заново в этот момент.
Первый подход предполагает затраты дисковой памяти, так как необходимо
хранить 2L+1–2 значений хэш-функции всех уровней, а второй требует большого
объема вычислений в момент формирования подписи. Можно использовать и
компромиссный подход – хранить все хэш-комбинации начиная с некоторого
уровня l*, а комбинации меньшего уровня вычислять при формировании
подписи.
В рассмотренной выше схеме подписи на 8 сообщений можно хранить все 14
контрольных комбинаций, используемых при проверки (всего их 15, но самая
верхняя не используется), тогда при проверке подписи их не надо будет
вычислять заново. Можно хранить 6 комбинаций начиная с уровня 1 (C0(1),
C1(1), C2(1), C3(1), C0(2), C1(2)), тогда при проверке подписи сообщения №
5 необходимо будет заново вычислить комбинацию C4(0), а остальные
(C0(2),C3(1)) взять из таблицы, и т.д.. Указанный подход позволяет достичь
компромисса между быстродействием и требованиям к занимаемому количеству
дискового пространства.
Отметим, что отказ от хранения комбинаций одного уровня приводит к
экономии памяти и росту вычислительных затрат примерно вдвое, то есть
зависимость носит экспоненциальный характер.
Атаки на ЭЦП
Стойкость большинства схем ЭЦП зависит от стойкости ассиметричных
алгоритмов шифрования и хэш-функций.
Существует следующая классификация атак на схемы ЭЦП:
атака с известыи открытым ключем.
Атака и известными подписанными сообщениями – противник, кроме открытого
кюча имеет и набор подписанных сообщений.
Простая атака с выбором подписанных сообщений – противник имеет возможность
выбирать сообщения, при этом открытый ключ он получает после выбора
сообщения.
Направленная атака с выбором сообщения
Адаптивная атака с выбором сообщения.
Каждая атака преследует определенную цель, которые можно разделить на
несколько классов:
полное раскрытие. Противник находит секретный ключ пользователя
универсальная подделка. Противник находит алгоритм, функционально
аналогичный алгоритму генерации ЭЦП
селективная подделка. Подделка подписи под выбранным сообщением.
Экзистенциальная подделка. Подделка подписи хотя бы для одного случайно
выбранного сообщения.
На практике применение ЭЦП позволяет выявить или предотвратить
следующие действия нарушителя:
отказ одного из участников авторства документа.
Модификация принятого электронного документа.
Подделка документа.
Навязывание сообщений в процессе передачи – противник перехватывает обмен
сообщениями и модифицирует их.
Имитация передачи сообщения.
Так же существуют нарушения, от которых невозможно оградить систему обмена
сообщениями – это повтор передачи сообщения и фальсификация времени
отправления сообщения.Противодействие данным нарушениям может остовываться
на использовании временных вставок и строгом учете входящих сообщений.
Некоторые средства работы с ЭЦП
В настоящее время существует большое кодичество комплексов для работы с
электронной подписью, или использующие ее.
Приведем некоторые из них:
1 PGP
Наиболее известный - это пакет PGP (Pretty Good Privacy) – (www.pgpi.org ),
без сомнений являетющийся на сегодня самым распространенным программным
продуктом, позволяющим использовать современные надежные криптографические
алгоритмы для защиты информации в персональных компьютерах.
К основным преимуществам данного пакета, выделяющим его среди других
аналогичных продуктов следует отнести следующие:
1. Открытость. Исходный код всех версий программ PGP доступен в открытом
виде. Любой эксперт может убедиться в том, что в программе эффективно
реализованы криптоалгоритмы. Так как сам способ реализации известных
алгоритмов был доступен специалистам, то открытость повлекла за собой и
другое преимущество - эффективность программного кода.
2. Стойкость. Для реализации основных функций использованы лучшие (по
крайней мере на начало 90-х) из известных алгоритмов, при этом допуская
использование достаточно большой длины ключа для надежной защиты данных
2. Бесплатность. Готовые базовые продукты PGP (равно как и исходные тексты
программ) доступны в Интернете в частности на официальном сайте PGP Inc.
( www.pgpi.org ).
4. Поддержка как централизованной (через серверы ключей) так и
децентрализованной (через «сеть доверия») модели распределения открытых
ключей.
5.Удобство программного интерфейса. PGP изначально создавалась как продукт
для широкого круга пользователей, поэтому освоение основных приемов работы
отнимает всего несколько часов
Текущая версия – 7.0.3 для платформ Windows 9x/NT/2000, MacOS.
2 GNU Privacy Guard (GnuPG)
GnuPG (www.gnupg.org ) - полная и свободно распространяемая замена для
пакета PGP. Этот пакет не использует патентованый алгоритм IDEA, и поэтому
может быть использован без каких-нибудь ограничений. GnuPG соответсвует
стандарту RFC2440 (OpenPGP).
Текущая версия – 1.0.4, платформы – Unices, Windows 9x/NT
3 Криптон
Пакет программ КРИПТОН®Подпись
(http://www.ancud.ru/crypto/crpodpis.htm )предназначен для использования
электронной цифровой подписи (ЭЦП) электронных документов.
Программы пакета КРИПТОН®Подпись функционируют на компьютере,
удовлетворяющем следующим требованиям:
. наличие операционной системы Windows-95/98 или Windows NT 4.0;
. наличие УКЗД серии КРИПТОН с соответствующим драйвером для Windows-
95/98/NT или его программного драйвера-эмулятора для Windows - Crypton
Emulator версии 1.3 или выше.
. наличие Crypton API для Windows версии 2.2 или выше (входит в поставку
УКЗД серии КРИПТОН и содержит также драйвер поставляемого УКЗД);
. наличие манипулятора "мышь".
В стандартной поставке для хранения файлов открытых ключей используются
дискеты. Помимо дискет, пакет КРИПТОН®Подпись дает возможность
использования всех типов ключевых носителей (смарт-карт, электронных
таблеток Touch Memory и др.), поддерживаемых текущей версией интерфейса
SCApi, входящего в поставку Crypton API v2.2 и выше.
4 ВербаО
( http://www.ntc.spb.ru/def/verbao.htm )
| | |
| |Система криптографической защиты информации "Верба - О" |
| |Система криптографической защиты информации (СКЗИ) "Верба - О" |
| |разработана Московским отделением Пензенского научно - |
| |исследовательского электротехнического института (МО ПНИЭИ), |
| |полномочным представителем которого в регионе является наш |
| |филиал. |
| |СКЗИ "Верба-О" представляет собой программный комплекс, |
| |предназначенный для защиты информации при ее хранении на дисках и|
| |(или) передаче по каналам связи. СКЗИ "Верба - О" решает |
| |следующие задачи: |
| |шифрование/расшифрование информации на уровне файлов; |
| |генерацию электронной цифровой подписи (ЭЦП); |
| |проверку ЭЦП; |
| |обнаружение искажений, вносимых злоумышленниками или вирусами в |
| |защищаемую информацию. |
| |СКЗИ "Верба - О" может поставляться в следующих вариантах: |
| |в виде автономного рабочего места; |
| |в виде модулей, встраиваемых в ПО заказчика. |
| |СКЗИ "Верба - О" в различных модификациях функционирует под |
| |управлением операционных систем MS DOS v5.0 и выше, Windows95, |
| |Windows NT, UNIX (HP UX) на персональных ЭВМ, совместимых с IBM |
| |PC/ AT. Требуемый объем оперативной памяти не более 155 Кбайт. |
| |Кроме того, необходим накопитель на гибком магнитном диске |
| |(НГМД). |
| |Алгоритм шифрования выполнен в соответствии с требованиями ГОСТ |
| |28147-89 "СИСТЕМЫ ОБРАБОТКИ ИНФОРМАЦИИ. ЗАЩИТА |
| |КРИПТОГРАФИЧЕСКАЯ". Цифровая подпись выполнена в соответствии с |
| |требованиями ГОСТ Р34.10-94 "ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. |
| |КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ. ПРОЦЕДУРЫ ВЫРАБОТКИ И |
| |ПРОВЕРКИ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ НА БАЗЕ АССИМЕТРИЧНОГО |
| |КРИПТОГРАФИЧЕСКОГО АЛГОРИТМА." Функция хэширования выполнена в |
| |соответствии с требованиями ГОСТ Р 34.11-94 "ИНФОРМАЦИОННАЯ |
| |ТЕХНОЛОГИЯ. КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ. ФУНКЦИЯ |
| |ХЭШИРОВАНИЯ". |
| |Ключи шифрования симметричные. Ключи для подписи асимметричные. |
| |При обработке информации на ПЭВМ СКЗИ "Верба - О" обеспечивает |
| |следующие показатели: |
| |Операции |
| |PC/AT 486/33, ISA |
| |PC/AT 486/100 VESA |
| | |
| |Шифрование |
| |200 Кб/с |
| |520 Кб/с |
| | |
| |Вычисление хэш-функции |
| |120 Кб/с |
| |330 Кб/с |
| | |
| |Формирование ЭЦП |
| |0.3с |
| |0.04 с |
| | |
| |Проверка ЭЦП |
| |0.7 с |
| |0.2 с |
| | |
| |СКЗИ "Верба - О" имеет сертификат ФАПСИ № 124-0264 от 10.04.99г. |
Литература и ссылки
1. Петров А.А
Компьютерная безопасность. Криптографические методы защиты. ДМК
Москва, 2000 г.
2. "Методы и средства защиты информации" (курс лекций)
Авторские права: Беляев А.В.
(http://www.citforum.ru/internet/infsecure/index.shtml)
3. Криптография
(http://www.citforum.ru/internet/securities/crypto.shtml)
4. http://www.e-sign.ru
5. Александр Володин «Кто заверит ЭЦП»
- журнал «Банковские системы» - ноябрь 2000
(http://www.bizcom.ru/system/2000-11/04.html)
6. Теоретические основы - Безопасность информационных систем –
Криптографические системы
( http://argosoft.webservis.ru/Base/Crypt.html#Механизмы шифрования )
7. Криптографические алгоритмы с открытым ключом
(http://argosoft.webservis.ru/Base/RSAintro.html#Криптографические
алгоритмы с открытым ключом)
8. Совpеменные кpиптогpафические методы защиты инфоpмации –
Системы с откpытым ключом
( http://ppt.newmail.ru/crypto04.htm#Heading20 )
9. Криптография с открытым ключом: от теории к стандарту
А.Н.Терехов, А.В.Тискин
"Программирование РАН", N 5 (сентябрь-октябрь), 1994, стр. 17--22
(http://www1.tepkom.ru/users/ant/Articles/Pkcstand.html)
10. Баричев С.Г., Гончаров В.В., Серов Р.Е.
Основы современной криптографии – Москва, Горячая линия – Телеком,
2001
| |
