Учебное пособие Часть Методы и средства защиты информации - davaiknam.ru o_O
Главная
Поиск по ключевым словам:
Похожие работы
Название работы Кол-во страниц Размер
Программа-минимум кандидатского экзамена по специальности 05. 1 66.83kb.
Рабочая программа по дисциплине «Методы и средства защиты информации»... 1 124.88kb.
Программа вступительного экзамена в аспирантуру по специальности 05. 1 66.25kb.
Курсовая работа по дисциплине: «Методы и средства защиты информации» 1 124.31kb.
Краткая аннотация курса Методы и средства защиты компьютерной информации 1 11.46kb.
Математические методы защиты информации 1 42.42kb.
Учебное пособие по статистике часть I новосибирск 2001 ббк а. 9 1553.1kb.
Учебное пособие Часть I санкт-петербург 2006 10 1200.64kb.
Учебно-методический комплекс по дисциплине выбору «Информационная... 4 597.21kb.
Курсовой проект по дисциплине «Методы и средства защиты компьютерной... 1 268.71kb.
«Информационная безопасность: современные средства и методы защиты»... 1 25.51kb.
Программа-минимум кандидатского экзамена по специальности 05. 1 66.83kb.
Направления изучения представлений о справедливости 1 202.17kb.

Учебное пособие Часть Методы и средства защиты информации - страница №2/9


Рис.1. Шифр «скитала»

Для расшифрования такого шифртекста нужно не только знать правило шифрования, но и обладать ключом в виде стержня определенного диаметра. Зная только вид шифра, но не имея ключа, расшифровать сообщение было непросто. Шифр «скитала» многократно совершенствовался в последующие времена.

Шифрующие таблицы

С начала эпохи Возрождения (конец XIV столетия) начала возрождаться и криптография. Наряду с традиционными применениями криптографии в политике, дипломатии и военном деле появляются и другие задачи — защита интеллектуальной собствен­ности от преследований инквизиции или заимствований злоумыш­ленников. В разработанных шифрах перестановки того времени применяются шифрующие таблицы, которые в сущности задают правила перестановки букв в сообщении.

В качестве ключа в шифрующих таблицах используются:


  • размер таблицы;

  • слово или фраза, задающие перестановку;

  • особенности структуры таблицы.

Одним из самых примитивных табличных шифров пере­становки является простая перестановка, для которой ключом служит размер таблицы. Этот метод шифрования сходен с шифром «скитала». Например, сообщение

ТЕРМИНАТОР ПРИБЫВАЕТ СЕДЬМОГО В ПОЛНОЧЬ

записывается в таблицу поочередно по столбцам. Результат заполнения таблицы из 5 строк и 7 столбцов показан ниже. После заполнения таблицы текстом сообщения по столбцам для формирования шифртекста считывают содержимое таблицы по строкам



Т

Н

П

В

Е

Г

Л

Е

А

Р

А

Д

О

Н

Р

Т

И

Е

Ь

В

О

М

0

Б

Т

М

П

Ч

И

Р

Ы

С

О

О

Ь

Если шифртекст записывать группами по пять букв, получается такое шифрованное сообщение: ТНПВЕ ГЛЕАР АДОНР ТИЕЬВ ОМОБТ МПЧИР ЫСООЬ

Естественно, отправитель и получатель сообщения должны заранее условиться об общем ключе в виде размера таблицы. Следует заметить, что объединение букв шифртекста в 5-буквенные группы не входит в ключ шифра и осуществляется для удобства записи не смыслового текста. При расшифровании действия выполняют в обратном порядке.

Несколько большей стойкостью к раскрытию обладает метод шифрования, называемый одиночной перестановкой по ключу. Этот метод отличается от предыдущего тем, что столбцы таблицы переставляются по ключевому слову, фразе или набору чисел длиной в строку таблицы.

Применим в качестве ключа, например, слово ПЕЛИКАН, а текст сообщения возьмем из предыдущего примера. Ниже показаны две таблицы, заполненные текстом сообщения и ключе­вым словом, при этом левая таблица соответствует заполнению до перестановки, а правая таблица - заполнению после пере­становки.




П

Е

Л

И

К

А

Н




А

Е

И

К

Л

Н

П

7

2

5

3

4

1

6

1

2

3

4

5

6

7

Т

Н

П

В

Е

Г

Л

Г

Н

В

Е

П

Л

Т

Е

А

Р

А

Д

О

Н

О

А

А

Д

Р

Н

Е

Р

Т

И

Е

Ь

В

О

В

Т

Е

Ь

И

О

Р

М

0

Б

Т

М

П

Ч

П

О

Т

М

Б

Ч

М

И

Р

Ы

С

O0

О

Ь

О

Р

С

О

Ы

Ь

И
К люч
До перестановки После перестановки
В верхней строке левой таблицы записан ключ, а номера под буквами ключа определены в соответствии с естественным порядком соответствующих букв ключа в алфавите. Если бы в ключе встретились одинаковые буквы, они бы были пронумерованы слева направо. В правой таблице столбцы переставлены в соот­ветствии с упорядоченными номерами букв ключа.

При считывании содержимого правой таблицы по строкам и записи шифртекста группами по пять букв получим шифрованное сообщение:



ГНВЕП ЛТООА ДРНЕВ ТЕЬИО РПОТМ БЧМОР СОЫЬИ

Для обеспечения дополнительной скрытности можно по­вторно зашифровать сообщение, которое уже прошло шифрова­ние. Такой метод шифрования называется двойной перестанов­кой. В случае двойной перестановки столбцов и строк таблицы перестановки определяются отдельно для столбцов и отдельно для строк. Сначала в таблицу записывается текст сообщения, а потом поочередно переставляются столбцы, а затем строки. При расшифровании порядок перестановок должен быть обратным.

Пример выполнения шифрования методом двойной перестановки показан в таблицах, приведенных ниже. Если считывать шифртекст из пра­вой таблицы построчно блоками по четыре буквы, то получится следующее: ТЮАЕ ООГМ РЛИП ОЬСВ

Ключом к шифру двойной перестановки служит последова­тельность номеров столбцов и номеров строк исходной таблицы (в нашем примере последовательности 4132 и 3142 соответственно).





1

2

3

4

3

Р

Л

И

П

1

Т

Ю

А

Е

4

О

Ь

С

В

2

О

О

Г

М



1

2

3

4

1

Т

Ю

А

Е

2

О

О

Г

М

3

Р

Л

И

П

4

О

Ь

С

В




4

1

3

2

3

П

Р

И

Л

1

Е

Т

А

Ю

4

В

О

С

Ь

2

М

О

Г

О

Исходная таблица Перестановка столбцов Перестановка строк

Число вариантов двойной перестановки быстро возрастает при увеличении размера таблицы:

для таблицы 3х3 36 вариантов;

для таблицы 4х4 576 вариантов;

для таблицы 5х5 14400 вариантов.

Однако двойная перестановка не отличается высокой стой­костью и сравнительно просто «взламывается» при любом размере таблицы шифрования.

Применение магических квадратов

В средние века для шифрования перестановкой применя­лись и магические квадраты.

Магическими квадратами называют квадратные таблицы с вписанными в их клетки последовательными натуральными чис­лами, начиная от 1, которые дают в сумме по каждому столбцу, каждой строке и каждой диагонали одно и то же число.

Шифруемый текст вписывали в магические квадраты в со­ответствии с нумерацией их клеток. Если затем выписать содержи­мое такой таблицы по строкам, то получится шифртекст, сформи­рованный благодаря перестановке букв исходного сообщения. В те времена считалось, что созданные с помощью магических квадратов шифртексты охраняет не только ключ, но и магичес­кая сила.

Пример магического квадрата и его заполнения сооб­щением

ПРИЛЕТАЮ ВОСЬМОГО


16

3

2

13

5

10

11

8

9

6

7

12

4

15

14

1

О

И

Р

М

Е

О

С

Ю

В

Т

А

Ь

Л

Г

О

П

Шифртекст, получаемый при считывании содержимого правой таблицы по строкам, имеет вполне загадочный вид: ОИРМ ЕОСЮ ВТАЬ ЛГОП

Число магических квадратов быстро возрастает с увеличе­нием размера квадрата. Существует только один магический квад­рат размером 3х3 (если не учитывать его повороты). Количество магических квадратов 4х4 составляет уже 880, а количество маги­ческих квадратов 5х5 - около 250000. Магические квадраты средних и больших размеров могли служить хорошей базой для обеспечения нужд шифрования того времени, поскольку практически нереально выполнить вручную перебор всех вариантов для такого шифра.

Шифры простой замены

При шифровании заменой (подстановкой) символы шиф­руемого текста заменяются символами того же или другого алфа­вита с заранее установленным правилом замены. В шифре про­стой замены каждый символ исходного текста заменяется симво­лами того же алфавита одинаково на всем протяжении текста. Часто шифры простой замены называют шифрами одноалфавитной подстановки.

Полибианский квадрат

Одним из первых шифров простой замены считается так называемый полибианский квадрат. За два века до нашей эры греческий писатель и историк Полибий изобрел для целей шифро­вания квадратную таблицу размером 5х5, заполненную 24-мя буквами греческого алфавита и пробелом в случайном порядке:

λ

ε

υ

ω

γ

ρ

ζ

δ

σ

ο

μ

η

β

ξ

τ

ψ

π

θ

α

κ

χ

ν




φ

ι

При шифровании в этом полибианском квадрате находили очередную букву открытого текста и записывали в шифртекст бук­ву, расположенную ниже ее в том же столбце. Если буква текста оказывалась в нижней строке таблицы, то для шифртекста брали самую верхнюю букву из того же столбца. Например, для слова τ α υ ρ ο σ

получается шифртекст : κ φ δ μ τ ξ

Концепция полибианского квадрата оказалась плодотворной и нашла применение в криптосистемах последующего времени.

Рассмотрим, как практически выполняется шифрование заменой с помощью компьютера. Самый простой и эффективный способ сделать текст нечитаемым - спрятать его, смешав с последовательностью случайных чисел. Такую последовательность задают с помощью ключа, а смесь получают с помощью операции XOR3. Почему именно случайная последовательность? Можно исходить из того, что криптоаналитик попытается снизить неопределенность чтения шифровки, зная статистические свойства нашей последовательности. Если он знает наше намерение использовать последовательность, где 1 встречается с вероятностью р, а 0 с вероятностью 1-р, то он также с вероятностью р будет предполагать наличие 1. Вероятность его успеха будет равна:

р*р+(1-р)*(1-р).

Эта функция достигает минимума при р=0.5, что получается при случайном равновероятном выборе 0 и 1. Далее, если биты в случайной последовательности будут равновероятно принимать значения 0 и 1, то биты в шифровке будут также обладать этим свойством. Действительно, пусть вероятность нулевого бита в тексте равна р, а единичного- 1-р. Нулевой бит в шифровке появляется, когда соответствующие биты последовательности и текста оба равны либо 0, либо 1. Значит, вероятность появления нулевого бита в шифре равна:



0.5*р+0.5*(1-р)=0.5.

Более того, если биты в случайной последовательности статистически независимы друг от друга, то и в шифровке они становятся такими же, т.е. текст превращается в шум.

Система шифрования Цезаря

Шифр Цезаря является частным случаем шифра простой замены (одноалфавитной подстановки). Свое название этот шифр получил по имени римского императора Гая Юлия Цезаря, кото­рый использовал этот шифр при переписке с Цицероном (около 50 г. до н.э.).

При шифровании исходного текста каждая буква заменя­лась на другую букву того же алфавита по следующему правилу. Заменяющая буква определялась путем смещения по алфавиту от исходной буквы на К букв. При достижении конца алфавита выполнялся циклический переход к его началу. Цезарь использо­вал шифр замены при смещении К = 3. Такой шифр замены мож­но задать таблицей подстановок, содержащей соответствующие пары букв открытого текста и шифртекста. Совокупность возмож­ных подстановок для К=3 показана в

Одноалфавитные подстановки (К = 3, m = 26)



А -> D

D


J -> M

M


S -> V

v


В -> E

Е


К -> N

N


T -> W

С -> F

F


L -> O

0


U -> X

X


D -> G

G


М -> P

Р


V -> Y

Y


Е -> H

Н


N -> Q

W -> Z

Z


F -> I

1


O -> R

R


X -> A

A


G -> J

P -> S

S


Y -> B

В


Н -> K

К


Q -> T

Т


Z -> C

С


I -> L

L


R -> U

U





Например, послание Цезаря VENI VIDI VICI (в переводе на русский означает «Пришел, Увидел, Победил»), на­правленное его другу Аминтию после победы над понтийским ца­рем Фарнаком, сыном Митридата, выглядело бы в зашифрован­ном виде так: YHQL YLGL YLFL

Шифрующие таблицы Трисемуса

В 1508 г. аббат из Германии Иоганн Трисемус написал пе­чатную работу по криптологии под названием «Полиграфия». В этой книге он впервые систематически описал применение шиф­рующих таблиц, заполненных алфавитом в случайном порядке. Для получения такого шифра замены обычно использовались таблица для записи букв алфавита и ключевое слово (или фраза). В таблицу сначала вписывалось по строкам ключевое слово, при­чем повторяющиеся буквы отбрасывались. Затем эта таблица до­полнялась не вошедшими в нее буквами алфавита по порядку. Поскольку ключевое слово или фразу легко хранить в памяти, то такой подход упрощал процессы шифрования и расшифрования.

Поясним этот метод шифрования на примере. Для русско­го алфавита шифрующая таблица может иметь размер 4х8. Вы­берем в качестве ключа слово БАНДЕРОЛЬ. Шифрующая таблица с таким ключом показана ниже.




Б

А

Н

Д

Е

Р

О

Л

Ь

В

Г

Ж

3

И

Й

К

М

П

С

Т

У

Ф

Х

Ц

Ч

Ш

Щ

Ы

Ъ

Э

Ю

Я

Как и в случае полибианского квадрата, при шифровании находят в этой таблице очередную букву открытого текста и запи­сывают в шифртекст букву, расположенную ниже ее в том же столбце. Если буква текста оказывается в нижней строке таблицы, тогда для шифртекста берут самую верхнюю букву из того же столбца.

Например, при шифровании с помощью этой таблицы со­общения ВЫЛЕТАЕМ ПЯТОГО получаем шифртекст ПДКЗЫВЗЧШЛЫЙСЙ

Такие табличные шифры называются монограммными, так как шифрование выполняется по одной букве. Трисемус первым заметил, что шифрующие таблицы позволяют шифровать сразу по две буквы. Такие шифры называются биграммными.

Биграммный шифр Плейфейра

Шифр Плейфейра, изобретенный в 1854 г., является наи­более известным биграммным шифром замены. Он применялся Великобританией во время первой мировой войны. Основой шиф­ра Плейфейра является шифрующая таблица со случайно распо­ложенными буквами алфавита исходных сообщений.

Для удобства запоминания шифрующей таблицы отправителем и получателем сообщений можно использовать ключевое слово (или фразу) при заполнении начальных строк таблицы. В целом структура шифрующей таблицы системы Плейфейра пол­ностью аналогична структуре шифрующей таблицы Трисемуса. Поэтому для пояснения процедур шифрования и расшифрования в системе Плейфейра воспользуемся шифрующей таблицей Трисемуса из предыдущего раздела.

Процедура шифрования включает следующие шаги.

1. Открытый текст исходного сообщения разбивается на пары букв (биграммы). Текст должен иметь четное количество букв и в нем не должно быть биграмм, содержащих две одинаковые буквы. Если эти требования не выполнены, то текст модифици­руется даже из-за незначительных орфографических ошибок.

2. Последовательность биграмм открытого текста преобразуется с помощью шифрующей таблицы в последовательность биграмм шифртекста по следующим правилам:

2.1. Если обе буквы биграммы открытого текста не попадают на одну строку или столбец (как, например, буквы А и Й в табл. Трисемуса), тогда находят буквы в углах прямоугольника, определяемого данной парой букв. В нашем примере это – буквы АЙОВ. Пара букв АЙ отображается в пару ОВ. После­довательность букв в биграмме шифртекста должна быть зеркально расположенной по отношению к последователь­ности букв в биграмме открытого текста.

2.2. Если обе буквы биграммы открытого текста принадлежат одному столбцу таблицы, то буквами шифртекста считаются буквы, которые лежат под ними. (Например, биграмма НС дает биграмму шифртекста ГЩ.) Если при этом буква откры­того текста находится в нижней строке, то для шифртекста берется соответствующая буква из верхней строки того же столбца. (Например, биграмма ВШ дает биграмму шифртек­ста ПА.)

2.3. Если обе буквы биграммы открытого текста принадлежат одной строке таблицы, то буквами шифртекста считаются буквы, которые лежат справа от них. (Например, биграмма НО дает биграмму шифртекста ДЛ.) сли при этом буква от­крытого текста находится в крайнем правом столбце, то для шифра берут соответствующую букву из левого столбца в той же строке. (Например, биграмма ФЦ дает биграмму шифртекста ХМ.)

Зашифруем текст

ВСЕ ТАЙНОЕ СТАНЕТ ЯВНЫМ

Разбиение этого текста на биграммы дает



ВС ЕТ АЙ НО ЕС ТА НЕ ТЯ ВН ЫМ

Данная последовательность биграмм открытого текста преобразу­ется с помощью шифрующей таблицы Трисемуса в следующую последовательность биграмм шифртекста ГП ДУ ОВ ДЛ НУ ПД ДР ЦЫ ГА ЧТ

При расшифровании применяется обратный порядок действий.

Следует отметить, что шифрование биграммами резко по­вышает стойкость шифров к вскрытию. Хотя книга И.Трисемуса «Полиграфия» была относительно доступной, описанные в ней идеи получили признание лишь спустя три столетия. По всей ве­роятности, это было обусловлено плохой осведомленностью криптографов о работах богослова и библиофила Трисемуса в области криптографии.

Из-за недостатков шифр замены в чистом виде никогда не применяется, а всегда употребляется вместе с перестановкой, например, бит внутри байта.

Шифр замены, осложненный перестановкой, представлял собой раннее поколение машинных криптографических преобразований. Он окончательно испортил надежду на вскрытие шифра хитроумными методами отгадывания текста сообщения, оставив взломщикам лишь возможность прямого подбора ключа.

Шифры взбивания и стандарт DES

Результат шифрования можно существенно улучшить, если вместо перестановки использовать линейное преобразование:



S=L t,

где L- невырожденная матрица случайного линейного преобразования бит (элементами ее являются 0 и 1). Здесь каждый бит шифровки уже зависит от каждого бита текста, но за это приходится платить тем, что расшифровывание осуществляется решением систем линейных уравнений. Шифры на основе этого преобразования называют скрамблерами или взбивалками. К сожалению, доля невырожденных матриц с увеличением их размера стремительно убывает. Действительно, детерминант матрицы L , как и ее элементы, может быть равен либо 0, либо 1. Поскольку



A B

det = det(A)det(D)- det(B)det(C),

C D


и, обозначив через pn вероятность равенства 1 детерминанта случайной матрицы размером 2n, получаем следующее рекуррентное выражение:

рn+1=2pnpn(1-pnpn).

Так как p0=0.5, то увеличение n влечет быстрое убывание невырожденных матриц среди случайных.

Для того, чтобы матрица L была невырожденной, случайной и при расшифровывании не нужно было производить много вычислений, американскими криптографами был предложен алгоритм, легший в основу стандартного криптографического преобразования DES. Суть его можно описать следующей схемой, приведенной на рис.1:


L’ R’







XOR



L’’ R’’




перестановки






Рис.1. Схема криптографического преобразования

Входной блок данных делится пополам на левую (L') и правую (R') части. После этого формируется выходной массив так, что его левая часть L'' представлена правой частью R' входного, а правая R'' формируется как сумма L' и R' операций XOR. Далее, выходной массив шифруется 16 кратной перестановкой с заменой. Можно убедиться, что все проведенные операции могут быть обращены и расшифровывание осуществляется за число операций, линейно зависящее от размера блока. После нескольких таких взбиваний можно считать, что каждый бит выходного блока шифровки может зависеть от каждого бита сообщения.

Система шифрования DES была разработана в IBM и предложена со своими корректировками Национальным Бюро Стандартов США в 1976 году как стандарт шифрования. Особенностью стандарта является применение лишь перестановок специального типа. Он рекомендован Ассоциацией Американских Банкиров. Сложный алгоритм DES использует ключ длиной 56 бит и 8 битов проверки на четность и требует от злоумышленника перебора 72 квадриллионов возможных ключевых комбинаций, обеспечивая высокую степень защиты при небольших расходах. При частой смене ключей алгоритм удовлетворительно решает проблему превращения конфиденциальной информации в недоступную

Принцип этого шифрования прошел самую широкую апробацию и ему посвящено множество публикаций. В некоторых алгоритмах с секретным ключом (например, IDEA, RC4 и RC5), применяемых в современных шифрующих программах, используются ключи длиной 128 бит.

Часто на практике употребляется похожий на DES алгоритм IDEA (Improved Proposed Encryption Standard), отличающийся применением ключа длиной 128 бит и особенностями применения операций. Этот алгоритм разработан в Цюрихе Джеймсом Мэсси и опубликован в 1990 году. До сих пор IDEA выдержал атаки криптографов многих развитых стран. Он считается более стойким, чем традиционный DES, и представляет собой основу программы шифрования PGP.

Криптографическая система Эль-Гамаля

Данная асимметричная криптосистема носит имя ее изобретателя Т. Эль-Гамаля и основана на схеме формирования открытых ключей, предложенной учеными Диффи и Хеллманом. Криптографическая система Эль-Гамаля является альтернативой системе RSA и при равном размере ключей обеспечивает примерно такую же криптостойкость.

В качестве односторонней функции в криптосистеме Эль-Гамаля используется предложенная Диффи и Хеллманом функция дискретного возведения в степень f(x) = ax mod p, где х - целое положительное число, а р - простое целое положительное число. Даже при очень больших числах р (например, когда их двоичное представление занимает 1024 бит) для данного х легко вычислить значение этой функции.

Обратной к функции дискретного возведения в степень является функция F'(y), которая ставит в соответствие заданному значению f такое значение х, для которого выполняется условие f= ax mod р.

Задача нахождения такого х называется задачей дискретного логарифмирования (нахождения дискретных логарифмов) и является чрезвычайно сложной. Сложность вычисления дискретных логарифмов существенно повышается, когда число р-1 содержит один большой и простой множитель, например, когда оно представимо в виде p-1=2р', где р'- простое число. При этом условии трудоемкость нахождения дискретного логарифма равна примерно р умножений по модулю р. Решение такой задачи является вычислительно неосуществимым при большом размере числа р (например, от 512 бит), а следовательно при указанных условиях, накладываемых на выбор чисел р и а, функция дискретного возведения в степень является односторонней.

В общем случае задача дискретного логарифмирования по трудности решения подобна задаче разложения больших чисел на сомножители, что говорит о примерно одинаковой криптостойкости систем RSA и Эль-Гамаля. Однако следует отметить, что по оценкам математиков, задача разложения произвольного числа длиной в 512 бит на простые множители проще задачи дискретного логарифмирования такого же числа. Поэтому при точном сравнении криптостойкость системы Эль-Гамаля оказывается выше криптостойкости системы RSA.

В отличие от RSA, в криптосистеме Эль-Гамаля способы криптографического закрытия информации и формирования подписи сообщений существенно отличаются друг от друга. Поэтому рассмот­рим эти способы отдельно.

Схема криптографического закрытия небольшого объема передаваемой информации в криптосистеме Эль-Гамаля реализуется довольно просто.

Каждым пользователем выбирается большое простое число р, такое, что разложение числа р-1 содержит по крайней мере один большой простой множитель, а также число а такое, что 0<а<р-1. (Причем число а должно быть выбрано таким, чтобы величина ai mod p принимала в некоторой очередности по одному разу каждое значение из множества чисел {1,2,3,..., р-1} при i=1,2,3,...,p-1. Такое число а называется первообразным корнем в поле вычетов по модулю р.)

Далее генерируется случайный секретный ключ х (0<х<p) и по закрытому ключу определяется число у=аx mod p. В качестве открытого ключа принимается совокупность чисел у, а и р.

Пусть необходимо зашифровать информационный блок, представляющий собой симметричный ключ шифрования. Этот блок должен иметь длину, меньшую длины простого модуля р, т.e. число М должно удовлетворять соотношению: 1<=М<р. На практике модуль р выбирается таким, что он превышает размер симметричного ключа шифрования.

Процесс зашифровывания информационного блока М по ключу {у,а,р} выполняется в соответствии со следующим алгоритмом.

1. Сгенерировать случайное число k (0<k<p-1), взаимно простое с (р-1) т.е. НОД(k,р-1)=1.

2. Вычислить: r:=yk mod p.

3. Вычислить: c1:= ak mod p.

4. Вычислить: c2:=rМ, где - операция сложения по модулю 2 (операция исключающего ИЛИ).

5. Сформировать криптограмму информационного блока М, состоящую из элементов с1 и с2: С={с12 }. Из приведенного алгоритма становится понятно, что для расшифровки информационного элемента с2 необходимо получить число r. С учетом того, что ryk mod р, yax mod p, a с1 ak mod р, получаем: r=yk mod р = аxk mod р = (ak)x mod р = с1x mod р.

Соответственно расшифровка криптограммы С выполняется на основе закрытого ключа х в следующей последовательности.

1. Вычислить: r:= c1x mod р.

2. Вычислить: М:= c2r.

При зашифровывании информационного блока М на четвертом шаге алгоритма вместо операции сложения по модулю 2 может использоваться операция умножения: С2 :=rМ. Тогда при расшифровывании криптограммы С на втором шаге алгоритма операцию сложения по модулю 2 следует заменить на операцию деления: M:=c2/r.

Система цифровой подписи Эль-Гамаля стала национальным стандартом цифровой подписи в США. Кроме того, данная система положена в основу отечественного стандарта цифровой подписи ГОСТ Р 34.10-94.

Все соглашения и требования, касающиеся закрытого и открытого ключей остаются теми же, что и в случае криптографического закрытия информации.

Пусть имеется большое простое число р, такое, что разложе числа р-1 содержит по крайней мере один большой простой множитель, и число а такое, что 0<а<р-1. (Число а нужно выбрать таким, чтобы оно являлось первообразным корнем в поле вычетов по модулю р. Теория чисел дает несложный тест для проверки этого условия).

Каждым пользователем в качестве закрытого ключа принимается случайное число х (0<х<р), а в качестве открытого - совокупность чисел у, а и р. Число у определяется по закрытому ключу как y=ax mod p.

Cхема формирования и проверки подписи состоит в следующем. Информационный блок М, на основе которого следует сформировать цифровую подпись, должен иметь длину меньше простого модуля р, т.е. число М должно удовлетворять соотношению: 1<=М<р. На практике модуль р выбирается таким, что он превышает размер эталонной характеристики сообщения, в качестве которой выступает информационный блок М.

Подписью абонента А, сформированной на основе закрытого ключа у и эталонной характеристики М, служит пара чисел r и s, (0<r<p-1 и 0<=s<p-1), которые удовлетворяют соотношению: aM= yrrs mod p, т.е. аM и yr rs дают одинаковый остаток при целочисленном делении на р (другими словами, соотношение aM =yrrs mod p истинно тогда и только тогда, когда аM - yrrs делится на р).

Данное уравнение служит для проверки того факта, что документ подписан абонентом А. Значения у, а и р являются открытым ключом абонента А и доступны для всех пользователей, что позво­ляет каждому возможность убедиться в том, что сообщение действительно подписано абонентом А.

Система цифровой подписи Эль-Гамаля основана на том, что только действительный владелец секретного ключа х может выра­ботать пару чисел (r,s), удовлетворяющую уравнению проверки под­писи. Используя значение х, абонент А вырабатывает подпись по следующему алгоритму:

1. Сгенерировать случайное число k (0<k<p-1), взаимно простое с (р-1), т.е. НОД(k,р-1)=1.

2. Вычислить: r:=ak mod p.

3. Вычислить s из уравнения М=xr+ks mod (p-1).

4. Сформировать подпись как совокупность чисел r и s. Из теории чисел известно, что последнее уравнение имеет решение для s, если НОД(k,р-1)=1. С учетом этого уравнения, а также из равенств

y=ax mod p и r=ak mod р

получаем уравнение проверки подписи:



аM = (ax)r (ak )s mod р = уrrs mod р.

Таким образом, подпись из совокупности чисел r и s формируется на основе эталонной характеристики М и закрытого ключа x, а проверяется с помощью открытого ключа {у,а,р} и текущей характеристики М' полученного сообщения путем проверки выполнения равенства:



AM = yrrs mod p.

Данное равенство истинно тогда и только тогда, когда



(aм-yrrs)mod p=0.

Нахождение пары чисел (r,s) без знания закрытого ключа вычислительно сложно. Различных подписей, соответствующих данному документу может быть чрезвычайно много (заметим, что k может иметь разные значения), но выработать правильную подпись может только владелец секретного ключа. Возможные подписи отличаются значением r, но для данного г найти соответствующее значение s без знания закрытого ключа практически невозможно. Для вычисления закрытого ключа по открытому необходимо решить задачу дискретного логарифмирования, которая является вычислительно сложной.

Особенностью схемы цифровой подписи Эль-Гамаля, как и особенностью метода шифрования по Эль-Гамалю, является генерация случайного числа k.

Открытое распределение ключей

На основе методов шифрования с открытым ключом легко решить задачу выработки общего секретного ключа для сеанса связи любой пары пользователей информационной системы. Еще в 1976 году Диффи и Хеллман предложили для этого протокол открытого распределения ключей. Он подразумевает независимое генерирование каждым из пары связывающихся пользователей своего случайного числа, преобразование его посредством некоторой процедуры, обмен преобразованными числами по открытому каналу и вычисление общего секретного ключа на основе информации, полученной в процессе связи от партнера. Каждый такой ключ существует только в течение одного сеанса связи или даже части его.

Алгоритм открытого распределения ключей Диффи-Хеллмана выглядит так:

Пусть имеются два абонента открытой сети А и В, знающие пару открытых ключей P и D. Кроме того, у А есть секретный ключ Х из интервала (1, N), а у В есть секретный ключ Y из того же интервала.

Абонент А посылает В шифровку своего ключа z’=Dx MOD P, а абонент В посылает А шифровку своего ключа z’’=Dy MOD P.

После этого общий ключ z они вычисляют как z =zy=z’’x.

Гибридные системы и электронная подпись

К началу восьмидесятых годов криптологи пришли к пониманию преимущества так называемых гибридных систем, в которых процедуры шифрования с открытым ключом используются лишь для передачи ключей и цифровой подписи, а информация, которую нужно передать, защищается классическим алгоритмом типа DES, ключ для которого передан с помощью шифрования с открытым ключом (рис.2.).



Рис.2. Схема шифрования в гибридных системах

Это связано с существенным недостатком асимметричных методов - их низким быстродействием (на 3 - 4 порядка медленнее симметричных). Так, для решения задачи рассылки ключей сообщение сначала симметрично шифруют случайным ключом, затем этот ключ шифруют открытым асимметричным ключом получателя, после чего сообщение и ключ отправляются по сети. Эффективное шифрование, реализованное путем сочетания симметричного и асимметричного методов проиллюстрировано на рисунке выше. Расшифровка эффективно зашифрованного сообщения выглядит так, как показано на рис. 3.






Рис.3. Расшифровка сообщений в гибридных системах

При практической реализации электронной подписи также дешифруется не все сообщение, а лишь так называемый дайджест, или хэш, защищающий послание от нелегального изменения. Нетрудно видеть, что электронная подпись выполняет две функции - гарантирует целостность сообщения и удостоверяет личность отправителя. Иллюстрацией процедуры генерации электронной подписи может быть рисунке 4.

Проверка эффективно сгенерированной электронной подписи может быть реализована способом, представленным на рисунке 5.




Рис.4 Процедура генерации электронной подписи



Рис.5. Проверка электронной подписи

Два российских стандарта, "Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма" и "Функция хэширования", объединенные общим заголовком "Информационная технология. Криптографическая защита информации", регламентируют вычисление дайджеста и реализацию электронной подписи.

Следует обратить внимание на то, что при использовании асимметричных методов необходимо иметь гарантию подлинности пары (имя, открытый ключ) адресата. Для решения этой задачи вводится понятие сертификационного центра, который заверяет справочник имен/ключей своей подписью.

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ В КОМПЬЮТЕРНЫХ СЕТЯХ

Безопасность в компьютерных сетях и рекомендация Х.800

"Оранжевая книга" Министерства обороны США и Руководящие документы Гостехкомиссии при Президенте РФ создавались в расчете на централизованные конфигурации, основу которых составляют большие машины. Распределенная организация современных информационных систем требует внесения существенных изменений и дополнений как в политику безопасности, так и в способы проведения ее в жизнь. Для противодействия новым угрозам безопасности нужны и новые функции и механизмы защиты. Основополагающим документом в области защиты распределенных систем стали Рекомендации Х.800, а также интерпретация "Критериев" Министерства обороны США для сетевых конфигураций [9]4. В данном разделе пособия рассмотрим Рекомендации Х.800. Рекомендации Х.800 - документ довольно обширный, поэтому сосредоточим внимание только на специфических сетевых функциях или сервисах безопасности и на необходимых для их реализации защитных механизмах.

Чтобы почувствовать специфику распределенных систем, достаточно рассмотреть такое стандартное средство защиты, как подотчетность. Помимо других целей, записи в регистрационном журнале могут служить доказательством того, что определенный пользователь совершил то или иное действие (точнее, действие было совершено от его имени). В результате пользователь не может отказаться от содеянного и в некоторых случаях несет за это наказание. В распределенных системах действие порой совершается на нескольких компьютерах, и, вообще говоря, не исключено, что их регистрационные журналы противоречат друг другу. Так бывает, когда злоумышленнику удается подделать сетевой адрес и имя другого пользователя - значит, нужны иные средства обеспечения "неотказуемости" (невозможности отказаться) от совершенных действий.

Функции безопасности

Перечислим функции безопасности, характерные для распределенных систем, и роли, которые они могут играть.

Аутентификация. Данная функция обеспечивает аутентификацию партнеров по общению и аутентификацию источника данных. Аутентификация партнеров по общению используется при установлении соединения или иногда периодически во время сеанса. Она служит для предотвращения таких угроз, как маскарад и повтор предыдущего сеанса связи. Аутентификация источника данных - это подтверждение подлинности источника отдельной порции данных. Функция не обеспечивает защиты против повторной передачи данных.

Управление доступом. Управление доступом обеспечивает защиту от несанкционированного использования ресурсов, доступных по сети.

Конфиденциальность данных. Данная функция обеспечивает защиту от несанкционированного получения информации. Различают следующие виды конфиденциальности:

• конфиденциальность данных при общении с установлением соединения (в этом и следующем случаях защищаются вся пользовательская информация);

• конфиденциальность данных при общении без установления соединения;

• конфиденциальность отдельных полей данных (избирательная конфиденциальность);

• конфиденциальность трафика (защита информации, которую можно получить, анализируя трафик).

Целостность данных. Данная функция подразделяется на подвиды в зависимости от того, какой тип общения используют партнеры - с установлением соединения или без такового, защищаются ли все данные или только отдельные поля, обеспечивается ли восстановление в случае нарушения целостности.

Неотказуемость. Данная функция невозможности отказаться от совершенных действий обеспечивает два вида услуг:

• неотказуемость с подтверждением подлинности источника данных;

• неотказуемость с подтверждением доставки.

Побочным продуктом неотказуемости является аутентификация источника данных.

Механизмы безопасности

Для реализации функций безопасности могут использоваться следующие механизмы и их комбинации.



Шифрование. Шифрование подразделяется на симметричное с секретным ключом, когда знание ключа шифрования влечет знание ключа расшифровки, и асимметричное с открытым ключом, когда знание ключа шифрования не позволяет узнать ключ расшифровки. Различают также обратимое и необратимое шифрование. Последнее может использоваться для вычисления криптографических контрольных сумм (хэш-функций, дайджестов, имитовставок).

Электронная подпись. Механизм электронной подписи включает в себя две процедуры:

• выработку подписи;

• проверку подписанной порции данных.

Процедура выработки подписи использует информацию, известную только лицу, визирующему порцию данных. Процедура проверки подписи является общедоступной, она не должна позволять найти секретный ключ подписывающего.



Механизмы управления доступом. При принятии решений о предоставлении запрашиваемого типа доступа могут использоваться следующие виды и источники информации:

• Базы данных управления доступом. В такой базе, поддерживаемой централизованно, или на оконечных системах могут храниться списки управления доступом или структуры аналогичного назначения.

• Пароли или иная аутентификационная информация.

• Токены, билеты или иные удостоверения, предъявление которых свидетельствует о наличии прав доступа.

• Метки безопасности, ассоциированные с субъектами и объектами доступа.

• Время запрашиваемого доступа.

• Маршрут запрашиваемого доступа.

• Длительность запрашиваемого доступа.

Механизмы управления доступом могут располагаться у любой из общающихся сторон или в промежуточной точке. В промежуточных точках целесообразно проверять права доступа к коммуникационным ресурсам. Очевидно, что требования механизма, расположенного на приемном конце, должны быть известны заранее, до начала общения.

Механизмы контроля целостности данных. Различают два аспекта целостности: целостность отдельного сообщения, или поля информации, и целостность потока сообщений, или полей информации. Вообще говоря, контроль двух видов целостности осуществляется различными механизмами, хотя контролировать целостность потока, не проверяя отдельные сообщения, едва ли имеет смысл.

Процедура контроля целостности отдельного сообщения, или поля, включает в себя два процесса: один на передающей стороне, другой - на приемной. На передающей стороне к сообщению добавляется избыточная информация, которая является функцией от сообщения (та или иная разновидность контрольной суммы). На приемной стороне независимо генерируется контрольная сумма полученного сообщения с последующим сравнением результатов. Данный механизм сам по себе не защищает от дублирования сообщений. Для проверки целостности потока сообщений: защиты от кражи, переупорядочивания, дублирования и вставки сообщений - используются порядковые номера, временные штампы, криптографическое связывание, при котором результат шифрования очередного сообщения зависит от предыдущего, или иные аналогичные приемы. При общении в режиме без установления соединения использование временных штампов может обеспечить ограниченную форму защиты от дублирования сообщений.



Механизмы аутентификации. Аутентификация может достигаться за счет использования паролей, личных карточек или иных устройств аналогичного назначения, криптографических методов - когда демонстрируется знание секретного ключа, устройств измерения и анализа биометрических характеристик. Аутентификация бывает односторонней, когда клиент обычно доказывает свою подлинность серверу, и двусторонней, или взаимной. Пример односторонней аутентификации - процедура входа пользователя в систему. Для защиты от дублирования аутентификационной информации могут использоваться временные штампы и синхронизация часов в узлах сети.

Механизмы дополнения трафика. Механизмы дополнения трафика эффективны, разумеется, только в сочетании со средствами обеспечения конфиденциальности, поскольку в противном случае злоумышленнику будет очевиден фиктивный характер дополнительных сообщений.

Механизмы управления маршрутизацией. Маршруты могут выбираться статически или динамически. Оконечная система, зафиксировав неоднократные атаки на определенном маршруте, может отказаться от его использования. На выбор маршрута способна повлиять метка безопасности, ассоциированная с передаваемыми данными.

Механизмы нотаризации. Механизм нотаризации служит для заверения таких коммуникационных характеристик, как целостность, время, личности отправителя и получателей. Заверение обеспечивается надежной третьей стороной, которая обладает достаточной информацией, чтобы ее подтверждению можно было доверять. Обычно нотаризация опирается на механизм электронной подписи.

Администрирование средств безопасности

Администрирование средств безопасности включает в себя распространение информации, необходимой для работы функций и механизмов безопасности, а также сбор и анализ информации об их функционировании. Примерами могут служить распространение криптографических ключей, установка значений параметров защиты, ведение регистрационного журнала и т.п.

Концептуальной основой администрирования является информационная база управления безопасностью. Эта база может не существовать как единое, распределенное хранилище, но каждая из оконечных систем должна располагать информацией, необходимой для проведения в жизнь избранной политики безопасности.

Усилия администратора средств безопасности должны распределяться по трем направлениям:

• администрирование системы в целом;

• администрирование функций безопасности;

• администрирование механизмов безопасности.

Среди действий, относящихся к системе в целом, отметим поддержание актуальности политики безопасности, взаимодействие с другими административными службами, реагирование на происходящие события, аудит и безопасное восстановление.

Администрирование функций безопасности включает в себя определение защищаемых объектов, выработку правил подбора механизмов безопасности (при наличии альтернатив), комбинирование механизмов для реализации функции безопасности, взаимодействие с другими администраторами для обеспечения согласованной работы.

Обязанности администратора механизмов безопасности определяются перечнем задействованных механизмов. Типичный список имеет следующий вид:

• Управление ключами (генерация и распределение).

• Управление шифрованием: установка и синхронизация криптографических параметров. К управлению шифрованием можно отнести и администрирование механизмов электронной подписи. Управление целостностью, если оно обеспечивается криптографическими средствами, также тяготеет к данному направлению.

• Администрирование управления доступом (распределение информации, необходимой для управления - пароли, списки доступа и т. п.).

• Управление аутентификацией (распределение информации, необходимой для аутентификации - паролей, ключей и т. п.).

• Управление дополнением трафика (выработка и поддержание правил, задающих характеристики дополняющих сообщений - частоту отправки, размер и т. п.). Характеристики могут варьироваться по заданному закону в зависимости от даты и времени.

• Управление маршрутизацией (выделение надежных путей).

• Управление нотаризацией (распространение информации о нотариальных службах, администрирование этих служб).

Администрирование средств безопасности в распределенной среде имеет много особенностей по сравнению с централизованными системами.

Межсетевой экран – метод обеспечения безопасности

Рассмотрим структуру информационной системы предприятия (организации). В общем случае она представляет собой неоднородный набор (комплекс) из различных компьютеров, управляемых различными операционными системами и сетевого оборудования, осуществляющего взаимодействие между компьютерами. Поскольку описанная система весьма разнородна (даже компьютеры одного типа и с одной ОС могут, в соответствии с их назначением, иметь совершенно различные конфигурации), вряд ли имеет смысл осуществлять защиту каждого элемента в отдельности. В связи с этим предлагается рассматривать вопросы обеспечения информационной безопасности для локальной сети в целом. Это оказывается возможным при использовании межсетевого экрана (firewall).

Концепция межсетевого экранирования формулируется следующим образом. Пусть имеется два множества информационных систем. Экран - это средство разграничения доступа клиентов из одного множества к серверам из другого множества. Экран выполняет свои функции, контролируя все информационные потоки между двумя множествами систем (рис. 6).







<< предыдущая страница   следующая страница >>



Изгнание из рая часто совершается через триумфальную арку. Веслав Брудзиньский
ещё >>