Математические основы криптологии и криптографические методы и средс

тами о сеансовых закрытых ключах или их предварительную пере­ сылку по защищенному каналу связи. К настоящему времени разра­ ботаны принципы так называемого открытого распределения ключей (ОРК) и открытого шифрования (ОШ), которые явились новыми на­ правлениями в криптографии, давшими начало криптографии с от­ крытым ключом.

Организация сетевых протоколов распределения ключей с большим числом пользователей имеет свои особенности. Суть про­ блемы состоит в том, чтобы в случае необходимости обеспечить сек­ ретную связь между любыми двумя пользователями, и только эти пользователи должны знать ключ, используемый для шифрования сообщений. Эту задачу можно решить, предоставив каждому из пользователей по т - 1 ключу, т.е. по одному ключу для связи с каж­ дым из остальных пользователей. При этом необходимо распреде­ лить т(т~ 1) пар ключей, что представляется невыполнимой на практике задачей. Применение другого метода требует от пользова­ телей доверия к сети. При этом каждому пользователю нужно запом­ нить только один ключ.

Этим ключом шифруются сообщения, которые передаются к одному из узлов сети. Там сообщение перешифровывается и пере­ дается к следующему узлу. Этот процесс продолжается до тех пор, пока сообщение не поступит в точку назначения. Поскольку при та­ ком подходе для разрушения секретности в сети достаточно взломать защиту лишь в одном узле, то авторы не настаивают на использова­ нии этого метода. Они предлагают два дополнительных подхода, ко­ торые позволяют разрешить возникающие проблемы.

При первом подходе требуется, чтобы небольшое число к узлов сети функционировало в качестве узлов распределителей ключей. Любой пользователь запоминает к ключей, каждый из которых дол­ жен применяться при связи с определенным узлом. Когда два поль­ зователя хотят установить между собой связь, они соединяются со всеми узлами и получают случайные ключи от каждого из узлов. За­ тем пользователь объединяет эти ключи с помощью операции ИСК­ ЛЮЧАЮЩЕЕ ИЛИ и использует результат в качестве действительно­

го ключа для шифрования любых сообщений. Преимуществом тако­ го подхода является уменьшение распределяемого числа ключей. Кроме того, для разрушения секретности в такой сети необходимо взломать защиту во всех узлах - распределителях ключей в сети.

При использовании второго подхода допускается, чтобы неко­ торые ключи были известны. При этом пользователь имеет два клю­ ча - А и Б, ключ А используется для шифрования сообщений самого пользователя, а Б - для расшифровки сообщений, поступающих к пользователю. Необходимым условием при этом является выпол­ нение следующих требований: пары А-Б должны формироваться

спомощью простых методов; при этом вычисление ключа Б по клю­ чу А должно представлять собой невыполнимую задачу. Ключ А яв­ ляется общим, так как он используется всеми пользователями систе­ мы для передачи сообщений к данному пользователю. Поскольку ключи А и Б связаны между собой, то требование невозможности восстановления А и Б является совершенно обязательным.

Задача управления большим числом ключей является очень важной при использовании любого метода шифрования. Известен метод, который применим для обеспечения секретности связи в сис­ теме с единственной центральной ЭВМ и большим числом термина­ лов.

Предположим, что каждый терминал имеет единственный глав­ ный ключ, известный только на терминале и в центральной ЭВМ. Терминальный ключ может быть защищен с помощью главного клю­ ча ЭВМ, который недоступен для любой программы пользователя. Для каждого интервала работы центральная ЭВМ генерирует интер­ вальный ключ, который передается на терминал после зашифрования

спомощью главного ключа терминала. После расшифровки интер­ вального ключа с помощью своего главного ключа терминал исполь­ зует его в течение всего времени работы с центральной ЭВМ.

Таким образом, используемые в системе ключи подразделяются на ключи для шифрования данных и ключи для шифрования ключей. Последние должны быть очень устойчивыми, поэтому для их гене­ рации рекомендуется использовать случайные процессы. Ключи для

шифрования данных используют в значительно большем количестве и сменяют чаще, поэтому их можно формировать с помощью неко­ торого детерминированного процесса или устройства.

1.1.7. Стандартизация программно-аппаратных криптографических систем и средств

Программно-аппаратная реализация криптографических систем и средств в мировой практике основывается на криптографических стандартах DES и ГОСТ 28147 - 89. Это широко известные алгорит­ мы блочного шифрования, принятые в качестве государственных стандартов шифрования данных в США и России.

В1973 году Национальное бюро стандартов США начало разра­ ботку программы по созданию стандарта шифрования данных на ЭВМ. Был объявлен конкурс среди фирм-разработчиков США, кото­ рый выиграла фирма IBM, представившая в 1974 году алгоритм шифрования, известный под названием DES.

Вэтом алгоритме входные 64-битовые векторы, называемые блоками открытого текста, преобразуются в выходные 64-битовые векторы, называемые блоками шифртекста, с помощью двоичного 56-битового ключа К. Число различных ключей DES-алгоритма рав­ но 256 > 7 • 1016.

Алгоритм обеспечивает высокую стойкость, однако недавние результаты показали, что современная технология позволяет создать вычислительное устройство стоимостью около 1 млн долл. США, способное вскрыть секретный ключ с помощью полного перебора

всреднем за 3,5 ч.

Из-за небольшого размера ключа было принято решение ис­ пользовать DES-алгоритм для закрытия коммерческой (несекретной) информации. Практическая реализация перебора всех ключей в дан­ ных условиях экономически нецелесообразна, так как затраты на реализацию перебора не соответствуют ценности информации, за­ крываемой шифром.

Алгоритм шифрования DES явился первым примером широкого производства и внедрения технических средств в области защиты

процессов переработки информации. Национальное бюро стандартов США проводит проверку его аппаратных реализаций, предложенных фирмами-разработчиками, на специальном тестирующем стенде. Только после положительных результатов проверки производитель получает от Национального бюро стандартов США сертификат на право реализации своего продукта.

Достигнута высокая скорость шифрования. По некоторым со­ общениям, имеется микросхема, реализующая DES-алгоритм со ско­ ростью 45 Мбит/с. Велика доступность этих изделий: стоимость не­ которых аппаратных реализаций ниже 100 долл. США.

Основными областями применения DES-алгоритма являются: - хранение данных в ЭВМ (шифрование файлов, паролей);

-аутентификация сообщений (имея сообщение и контрольную группу, несложно убедиться в подлинности сообщения);

- электронная система платежей (при операциях с широкой кли­ ентурой и между банками);

-электронный обмен коммерческой информацией (обмен дан­ ными между покупателем, продавцом и банкиром защищен от изме­ нений и перехвата).

Еще в 1989 году в СССР был разработан блочный шифр для ис­ пользования в качестве государственного стандарта шифрования данных. Разработка была принята и зарегистрирована как ГОСТ 28147-89. И хотя масштабы применения этого алгоритма шифрова­ ния до сих пор уточняются, начало его внедрению, в частности в банковской системе, уже положено. Алгоритм, судя по публикаци­ ям, несколько медлителен, но обладает весьма высокой стойкостью.

Блок-схема алгоритма ГОСТ отличается от блок-схемы DESалгоритма лишь отсутствием начальной перестановки и числом цик­ лов шифрования (32 в ГОСТе против 16 в DES-алгоритме). Более подробно эти алгоритмы будут рассмотрены во второй главе.

В свете прогресса современных вычислительных средств этого явно недостаточно. В связи с этим DES может представлять скорее исследовательский или научный, чем практический интерес.

Алгоритм расшифровки отличается от алгоритма зашифровки тем, что последовательность ключевых векторов используется в об­ ратном порядке. Расшифровка данных возможна только при наличии синхропосылки, которая в скрытом виде хранится в памяти ЭВМ или передается по каналам связи вместе с зашифрованными данными.

1.1.8.Ключевые системы разграничения доступа и электронная цифровая подпись

Важной составной частью шифросистемы является ключевая система шифра - описание всех видов ключей (долговременные, суточные, сеансовые и др.), используемых шифром, и алгоритмы их применения (протоколы шифрованной связи).

В электронных шифраторах в качестве ключей могут использо­ ваться начальные состояния элементов памяти в схемах, реализую­ щих алгоритм шифрования, и функциональные элементы алгоритма шифрования. Ключ может состоять из нескольких ключевых состав­ ляющих различных типов: долговременных, сеансовых и т.д.

Одной из центральных характеристик ключа является его раз­ мер, определяющий число всевозможных ключевых установок шиф­ ра. Если размер ключа недостаточно велик, то шифр может быть вскрыт простым перебором всех вариантов ключей. Если размер ключа чрезмерно велик, то это приводит к удорожанию изготовления ключей, усложнению процедуры установки ключа, понижению надежности работы шифрующего устройства и т.д. Таким образом, выбранный криптографом размер ключа - это всегда некий ком­ промисс.

Заметим, что DES-алгоритм подвергался критике именно в свя­ зи с небольшим размером ключа, из-за чего многие криптологи при­ шли к мнению, что необходимым запасом прочности этот алгоритм не обладает. Другой важной характеристикой ключа является его случайность.

Наличие закономерностей в ключе приводит к неявному уменьшению его размера и, следовательно, к понижению криптогра­ фической стойкости шифра. Такого рода ослабление криптографиче­

ских свойств шифра происходит, например, когда ключевое слово устанавливается по ассоциации с какими-либо именами, датами, терминами. Всякая логика в выборе ключа наносит ущерб крипто­ графическим свойствам шифра. Таким образом, требование случай­ ности ключей является одним из важнейших при их изготовлении.

Для производства ключей могут использоваться физические датчики и псевдослучайные генераторы со сложным законом образо­ вания ключа. Использование хорошего физического датчика более привлекательно с точки зрения обеспечения случайности ключей, но является, как правило, более дорогим и менее производительным способом. Псевдослучайные генераторы более дешевы и производи­ тельны, но привносят некоторые зависимости если не в отдельные ключи, то в совокупности ключей, что также нежелательно.

Важной частью практической работы с ключами является обес­ печение секретности ключа. К основным мерам по защите ключей относятся:

-ограничение круга лиц, допущенных к работе с ключами;

-регламентация рассылки, хранения и уничтожения ключей;

-установление порядка смены ключей;

-применение технических мер защиты ключевой информации от несанкционированного доступа.

Из большого числа различных систем с открытым ключом наи­ более популярна криптосистема RSA. В ней используется тот факт, что нахождение больших простых чисел в вычислительном отноше­ нии осуществляется легко, но разложение на множители произведе­ ния двух таких чисел практически невыполнимо. Согласно теореме Рабина, раскрытие шифра RSA эквивалентно такому разложению. Поэтому для любой длины ключа можно дать нижнюю оценку числа операций для раскрытия шифра, а с учетом производительности со­ временных компьютеров оценить и требуемое на это время.

Возможность гарантированно оценить защищенность алгоритма RSA стала одной из причин популярности этой СОК на фоне десят­ ков других схем. Поэтому этот алгоритм применяется в банковских

компьютерных сетях, особенно для работы с удаленными клиентами (обслуживание кредитных карточек).

В настоящее время алгоритм RSA используется во многих стан­ дартах, среди которых SSL, S-HHTP, S-MIME, S/WAN, STT и РСТ.

Электронная цифровая подпись является современным средст­ вом защиты конфиденциальности информации.

Впервые идея цифровой подписи как законного средства под­ тверждения подлинности и авторства электронного документа была предложена в работе Диффи и Хеллмана в 1976 году.

При передаче сообщения по линиям связи или хранении его в памяти должны быть обеспечены вместе или по отдельности сле­ дующие требования:

1. Соблюдение конфиденциальности сообщения - злоумыш­ ленник не должен иметь возможности узнать содержание передавае­ мого (или хранимого) сообщения.

2. Удостоверение в подлинности полученного (или считанного из памяти) сообщения, которая включает в себя два понятия:

-целостность - сообщение должно быть защищено от случай­ ного или умышленного изменения по пути его следования (или во время хранения в памяти);

-идентификация отправителя (проверка авторства) - получа­ тель должен иметь возможность проверить, кем отправлено (или со­ ставлено) сообщение.

Целями применения цифровой подписи являются, во-первых, гарантированное подтверждение подлинности информации, содер­ жащейся в конкретном электронном документе, и, во-вторых, воз­ можность неопровержимо доказать третьей стороне (арбитру, суду

ит.д.), что документ составлен именно этим конкретным лицом, яв­ ляющимся действительным автором данного документа. Для дости­ жения указанных целей автор должен, используя свое секретное ин­ дивидуальное число (индивидуальный ключ, пароль и т.д), опреде­ ленным образом выполнять процесс цифрового подписывания доку­ мента.

При таком подписывании каждый раз индивидуальный ключ соответствующим образом сворачивается (замешивается) с содержи­ мым электронного документа. Полученное в результате такого сво­ рачивания число (последовательность определенной длины цифро­ вых разрядов) и является цифровой подписью автора под данным конкретным документом. Следовательно, процедуры подписывания

ипроверки цифровой подписи, в которых используется по одному ключу из пары ключей, должны быть известны, но при этом должна обеспечиваться гарантированная невозможность восстановления ключа подписывания по ключу проверки.

Лучшим из предложенных способов является использование та­ ких процедур, чтобы практическое восстановление ключей подписи (закрытых ключей) по ключам проверки (открытым ключам) требо­ вало бы решения известной вычислительно сложной задачи.

Коротко эту задачу можно сформулировать следующим обра­ зом. Если известны три больших целых положительных числа А, В

иX, то легко вычислить значение С = Ах modfi. При дискретном ло­

гарифмировании требуется по заданным А, С и В, таким что С = Ах х х mocLB, вычислить X при правильном выборе больших целых чисел эта задача столь сложна, что практически невозможно восстановить X по числу С).

Необходимо выбрать X в качестве индивидуального ключа под­ писывания, а С - в качестве известного ключа проверки подписи.

Шифрование может обеспечить конфиденциальность, а в неко­ торых системах и целостность. Целостность сообщения проверяется вычислением некоторой контрольной функции от сообщения (некое­ го числа небольшой длины). Она должна с достаточно высокой сте­ пенью вероятности изменяться даже при малых изменениях самого сообщения. Эту контрольную функцию называют и определяют поразному:

-код подлинности сообщения {Message Authenlical Code- МАС);

—квадратичный конгруэнтный алгоритм {Quadratic Congruentical Manipulation Detection Code - QCMDC);

-Manipulation Detection Code (MDC);

-Message Digest Algorithm (MD5);

-контрольная сумма;

-символ контроля блока (Block Check Character — BCC);

-циклический избыточный код (ЦИК, Cyclic Redundance Check —CRC);

-хеш-функция (Hash);

-имитовставка в ГОСТ 28147-89;

-алгоритм с усечением до п битов (n-bit Algorithm with Truncation).

При вычислении контрольной функции может использоваться какой-либо алгоритм шифрования. Возможно шифрование и самой контрольной суммы.

В настоящее время широкое применение получила цифровая подпись (цифровое дополнение к передаваемому или же хранящему­ ся зашифрованному тексту, которое гарантирует целостность подпи­ си и позволяет проверить авторство).

Известны модели цифровой подписи на основе алгоритмов симметричного шифрования. Однако при широком использовании криптографических систем с отрытыми ключами целесообразно применить цифровую подпись, так как она при этом осуществляется более удобно.

1.1.9. Шифры перестановки и замены

Потребность шифровать и передавать шифрованные сообщения возникла очень давно. Так, еще в V-IV веках до н. э. греки применя­ ли специальное шифрующее устройство. По описанию Плутарха, оно состояло из двух палок одинаковой длины и толщины. Одну остав­ ляли себе, а другую отдавали отъезжающему. Эти палки называли скиталами. Когда правителям нужно было сообщить какую-нибудь важную тайну, они вырезали длинную и узкую, вроде ремня, полосу папируса, наматывали ее на свою скиталу, не оставляя на ней ника­ кого промежутка, так чтобы вся поверхность палки была охвачена

этой полосой. Затем, оставляя папирус на скитале в том виде, как он есть, писали на нем все, что нужно, а написав, снимали полосу и без палки отправляли адресату. Поскольку буквы на ней разброса­ ны в беспорядке, то прочитать написанное можно только при помо­ щи соответствующей скиталы, намотав на нее без пропусков полосу папируса.

Аристотелю принадлежит способ дешифрования этого шифра. Надо изготовить длинный конус и, начиная с основания, обертывать его лентой с шифрованным сообщением, постепенно сдвигая ее к вершине. В какой-то момент начнут просматриваться куски сооб­ щения. Так можно определить диаметр скиталы.

Были и другие способы защиты информации, разработанные в античные времена. Например, древнегреческий полководец Эней Тактика в IV веке до н. э. предложил устройство, названное впоследст­ вии «диском Энея». Принцип его таков. На диске диаметром 10-15 см и толщиной 1-2 см высверливались отверстия по числу букв алфави­ та. В центре диска помещалась «катушка» с намотанной на нее нит­ кой достаточной длины. При зашифровывании нитка «вытягивалась» с катушки и последовательно протягивалась через отверстия,

всоответствии с буквами шифруемого текста. Диск и являлся посла­ нием. Получатель послания последовательно вытягивал нитку из от­ верстий, что позволяло ему получать передаваемое сообщение, но

вобратном порядке следования букв. При перехвате диска недобро­ желатель имел возможность прочитать сообщение тем же образом, что и получатель. Но Эней предусмотрел возможность легкого унич­ тожения передаваемого сообщения при угрозе захвата диска. Для этого было достаточно выдернуть «катушку» с закрепленным на нее концом нити до полного выхода всей нити из всех отверстий диска.

в которой есть специальный раздел о шифрах. В этой энциклопедии указан способ раскрытия шифра простой замены. Он основан на раз­ личной частоте повторяемости букв в тексте. В этом разделе есть пе­ речень букв в порядке их повторяемости на основе изучения текста