Типы криптографических методов |
|
|
319 |
|
файла. После копирования файла мы генерируем хеш копии файла — hcopied. Если |
||||
horiginal = hcopied, то есть сгенерированный хеш совпадает с исходным, это подтверж |
||||
дает, что файл не изменился и никакие данные не были утеряны в процессе |
||||
загрузки. Для создания хеша в этих целях можно использовать любую крипто |
||||
графическую хеш-функцию, например MD5 или SHA. |
|
|||
Теперь рассмотрим симметричное шифрование. |
|
|||
Симметричное шифрование |
|
|
||
В криптографии ключ — это комбинация чисел, используемая для кодирования |
||||
открытого текста с использованием выбранного алгоритма. При симметричном |
||||
шифровании для кодирования и декодирования применяется один и тот же ключ. |
||||
Если ключ, используемый для симметричного шифрования, равен K, то вы |
||||
полняется следующее уравнение: |
|
|
|
|
|
|
EK(P) = C. |
|
|
Здесь P — это открытый текст, а C — зашифрованный. |
|
|||
Для расшифровки мы используем тот же ключ, K, преобразуя его обратно в P: |
||||
|
|
DK(С) = Р. |
|
|
Данный процесс показан на диаграмме (рис. 12.9). |
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
Рис. 12.9 |
|
|
Теперь посмотрим, как симметричное шифрование реализуется на Python. |
||||
Реализация симметричного шифрования
В этом разделе для демонстрации симметричного шифрования используется библиотека Python под названием cryptography. Это комплексная библиотека,
320 |
Глава 12. Криптография |
реализующая множество криптографических алгоритмов, таких как симметрич ные шифры и различные алгоритмы дайджеста сообщений (message digests). Установим ее с помощью команды pip:
!pip install cryptography
После установки используем библиотеку для реализации симметричного шиф рования.
1. Прежде всего импортируем нужные библиотеки:
import cryptography as crypt
from cryptography.fernet import Fernet
2. Далее сгенерируем ключ (рис. 12.10).
Рис. 12.10
3. Теперь давайте откроем ключ:
file = open('mykey.key', 'wb') file.write(key)
file.close()
4. Используя ключ, зашифруем сообщение:
file = open('mykey.key', 'rb') key = file.read() file.close()
5. Теперь расшифруем сообщение с помощью этого же ключа:
from cryptography.fernet import Fernet message = "Ottawa is really cold".encode()
f = Fernet(key)
encrypted = f.encrypt(message)
6. Расшифруем сообщение и присвоим его переменной с именем decrypt:
decrypted = f.decrypt(encrypted)
7.Выведем decrypt, чтобы проверить, удастся ли получить одно и то же со общение (рис. 12.11).
Типы криптографических методов |
321 |
|
|
|
|
|
|
|
Рис. 12.11
Рассмотрим преимущества и недостатки симметричного шифрования.
Преимущества симметричного шифрования
Хотя производительность симметричного шифрования зависит от конкретного алгоритма, в целом оно намного быстрее, чем асимметричное (которое мы рас смотрим ниже).
Недостатки симметричного шифрования
Когда два пользователя или процесса планируют использовать для связи сим метричное шифрование, им необходимо обменяться ключами через защищенный канал. Это ведет к следующим проблемам:
zz Защита ключа. Как защитить симметричный ключ шифрования?
zzРаспространение ключа. Как передать ключ симметричного шифрования от источника к месту назначения?
Перейдем теперь к асимметричному шифрованию.
Асимметричное шифрование
В 1970-х годах для устранения упомянутых в предыдущем разделе недостатков симметричного шифрования было разработано асимметричное шифрование.
Первым шагом в асимметричном шифровании является создание двух ключей, которые выглядят совершенно по-разному, но алгоритмически связаны. Один из них выбирается в качестве закрытого ключа (private key) Kpr, а другой — в качестве открытого ключа (public key), Kpu. Математически это можно представить так:
EKpr(P) = C.
Здесь P — это открытый текст, а C — зашифрованный.
Можно расшифровать его следующим образом:
DKpu(C) = P.
322 |
Глава 12. Криптография |
Открытые ключи могут свободно распространяться, а закрытые — хранятся владельцем пары ключей в секрете.
Фундаментальный принцип заключается в том, что если данные закодированы с помощью первого, открытого ключа, единственный способ расшифровать их — использовать второй, закрытый ключ. Рассмотрим один из основных про токолов асимметричного шифрования — SSL/TLS. Это протокол подтверждения связи, или протокол рукопожатия (handshake protocol), обеспечивающий уста новление соединения между двумя нодами с использованием асимметричного шифрования.
Протокол SSL/TLS
SSL (Secure Sockets Layer — уровень защищенных cокетов) изначально был разработан для повышения безопасности HTTP. Со временем SSL был заменен более эффективным и надежным протоколом TLS (Transport Layer Security — безопасность транспортного уровня). Безопасный сеанс связи HTTP базирует ся на процедуре установки TLS-рукопожатия. TLS-соединение происходит между двумя участвующими объектами — клиентом и сервером. Данный процесс показан на диаграмме (рис. 12.12).
|
|
|
|
|
|
|
|
|
|
- |
|
(SSL) |
|
- |
|
SSL |
|
SSL |
|
- |
|
|
|
- |
Рис. 12.12
TLS-соединение устанавливает безопасную связь между участвующими нодами. Ниже приведены этапы данного процесса.
Типы криптографических методов |
323 |
1.Клиент отправляет серверу сообщение client hello. В сообщении также содержится:
yy Версия используемого TLS.
yy Список наборов шифров, поддерживаемых клиентом. yy Алгоритм сжатия.
yy Случайная строка байтов, byte_client.
2.Сервер в ответ отправляет клиенту приветственное сообщение server hello. В сообщении также содержится следующее:
yy Набор шифров, выбранный сервером из списка, предоставленного кли ентом.
yy ID сеанса.
yy Случайная строка байтов, byte_server.
yy Цифровой сертификат сервера, cert_server, содержащий открытый ключ сервера.
yy Если сервер требует цифровой сертификат для аутентификации клиента, его запрос включает также:
Уникальные названия допустимых центров сертификации.Типы поддерживаемых сертификатов.
3.Клиент проверяет cert_server.
4.Клиент генерирует случайную байтовую строку byte_client2 и шифрует ее
спомощью открытого ключа сервера, предоставленного через cert_server.
5.Клиент генерирует случайную строку байтов и осуществляет шифрование
спомощью собственного закрытого ключа.
6.Сервер проверяет сертификат клиента.
7.Клиент отправляет на сервер сообщение finished, зашифрованное секретным ключом.
8.Чтобы подтвердить получение, сервер отправляет клиенту сообщение finished, также зашифрованное секретным ключом.
9.Cервер и клиент установили безопасный канал связи. Теперь они могут об мениваться сообщениями, которые симметрично зашифрованы с помощью общего секретного ключа. Вся методология выглядит следующим образом (рис. 12.13).
324 |
|
Глава 12. Криптография |
SLL |
[1] • «client hello» |
C SSL |
|
|
|
|
[2] • «server hello» |
|
|
[4] ‰ Š ‹ |
|
[3] |
Š , ‹ Ž Š Š |
[6] |
|
[5] ’ |
|
|
|
( ) |
|
[7] «”nished» |
|
|
|
|
|
[8] «”nished» |
|
|
[9] ˜ ™ ( |
|
|
) |
|
|
Рис. 12.13 |
|
Теперь обсудим, как используется асимметричное шифрование для создания |
||
инфраструктуры открытых ключей (public key infrastructure, PKI), предна |
||
значенной для достижения одной или нескольких целей безопасности органи |
||
зации. |
|
|
Инфраструктура открытых ключей (PKI) |
|
|
Для реализации инфраструктуры открытых ключей (PKI) используется асим метричное шифрование. PKI является одним из самых популярных и надежных способов управления ключами шифрования в рамках организации. Все участ ники доверяют надежному органу — центру сертификации (certification authority, CA). Центр сертификации идентифицирует отдельное лицо или организацию, а затем выдает им цифровые сертификаты. Сертификат содержит копию от крытого ключа лица (или организации) и его идентификационные данные. Тем самым центр подтверждает, что публичный ключ на самом деле принадлежит лицу или организации.
Центр сертификации просит пользователя подтвердить свою личность, при этом для отдельных лиц и организаций применяются разные стандарты. Это может быть простая проверка принадлежности доменного имени или более тщательный процесс, включающий подтверждение личности (в зависимости от типа циф