Криптографические методы защиты информации. 3

2. КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА

    Криптография - это область знаний, относящихся к средствам и методам преобразования сообщений в непонятную для посторонних форму, а также средствам и методам проверки подлинности сообщений. Данная область является классическим примером соревнования "брони и снаряда" - средств защиты и нападения. Некоторые авторы под криптографией понимают только то, что относится к защите - в противоположность криптоанализу, который направлен на преодоление криптографической защиты. В этом случае для обозначения совокупности криптографии и криптоанализа используется термин "криптология".

    Рассмотрим  небольшой пример. Пусть шифруемые сообщения состоят из символов алфавита А, включающего буквы русского языка (без буквы Ё) и знака пробела. И имеется таблица, задающая соответствие между символами этого алфавита и числами от 0 до 32 (см. табл.1).

    Таблица 1. Шифрование методом простой замены   ,

А Б В г д Е Ж 3 и И К Л м Н 0 П Р
09 23 01 04 07 02 14 13 21 31 17 25 29 06 22 И 26
С Т У Ф X Ц Ч Ш Щ Ъ Ы Ь Э Ю Я    
00 19 30 08 18 16 28 03 27 32 15 10 20 24 12 05  

    Шифрование  методом простой замены в данном случае заключается в подмене  символов шифруемого сообщения соответствующими числами из второй строки: "А" на "09", "Б" на "23" и т. д. Таким образом, текст:

«ПРОСТАЯ ЗАМЕНА ОДИН ИЗ САМЫХ ДРЕВНИХ ШИФРОВ»

в зашифрованном  виде будет выглядеть следующим  образом:

«11 26 22 00 19 09 12 05 13 09 29 02 06 09 05 22 07 21 06 05 21 13 05 00 09

29 15 18 05 07 26 02 01 06 21 18 05 03 21 08 26 22 01».

    Для того чтобы расшифровать это сообщение, нужно произвести обратную замену, т.е. найти в нижней строке таблицы каждое двузначное число криптограммы и заменить его стоящей над ним буквой из верхней строки. Нижняя строка таблицы выступает в данном случае в качестве ключа, позволяющего как зашифровать, так и расшифровать сообщение.

    Если  с помощью шифра простой замены зашифровано достаточно длинное  сообщение, его можно прочесть и  не имея ключа. Дело в том, что частоты появления чисел в шифрованном тексте будут совпадать с частотами появления соответствующих им символов в исходном тексте. Поэтому для дешифрования достаточно подсчитать относительные частоты встречаемости различных чисел в шифрованном сообщении и сравнить их с вероятностями встречаемости букв в текстах русского языка, приведенными в табл. 2.

      Таблица 2.Оценки вероятностей появления букв русского языка и пробела

А Б В Г Д Е,Е Ж 3 И И К
0.069 0.013 0.038 0.014 0.024 0.071 0.007 0.016 0.064 0.010 0.029
Л м Н О П Р С т У Ф X
0.039 0.027 0.057 0.094 0.026 0.042 0.046 0.054 0.023 0.003 0.008
Ц Ч Ш Щ Ъ Ы Ь Э Ю я  
0.005 0.012 0.006 0.004 0.001 0.015 0.013 0.002 0.005 0.017 0.146

    Примечание. Оценки получены на основе анализа научно-технических и художественных текстов общим объемом более 1 млн. символов.

    Для того чтобы установить однозначное  соответствие между символами нашего алфавита и двузначными числами зашифрованного сообщения, исходя только из анализа частоты появления последних, нужен очень большой текст. Поэтому задача дешифрования шифра простой замены в случае небольших текстов не имеет простого алгоритма решения. Это скорее творческий процесс, требующий большого терпения и хорошего знания языка.

    Чтобы дать определение шифра нам понадобится  ввести в рассмотрение ряд понятий.

      Пусть X - множество возможных открытых текстов; S -множество шифрованных текстов (криптограмм); К - множество ключей.

      Шифр - это совокупность инъективных отображений множества открытых текстов во множество шифрованных текстов, проиндексированная элементами из множества ключей:

    

    Для того чтобы зашифровать сообщение  X € X, нужно выбрать ключ К є К и применить к X отображение FK. Получившийся результат Fx(X)=S является результатом шифрования текста X на ключе К. Для расшифрования используется отображение обратное FK, существование которого для множества Fк(X) = (Fк(Х), X є X} вытекает из требования инъективности отображений FK для всех К є К (инъективным называется отображение множества А во множество В, при котором различные элементы из А имеют различные образы в В).

    В приведенном определении не задан  алгоритм, по которому выбирается ключ шифрования. Будем считать, что ключ выбирается случайно из некоторого вероятностного распределения на множестве К. Для обеспечения максимальной стойкости криптосистемы к дешифрованию, обычно стараются обеспечить случайный равновероятный выбор из множества всех возможных ключей.

    Подчеркнем, что под дешифрованием мы понимаем процесс восстановления открытого текста по шифрованному при неизвестном ключе (в отличие от расшифрования, когда восстановление исходного текста происходит при известном ключе). То есть свои расшифровывают, а враги дешифруют.

    В рассмотренном выше примере X представляет собой множество слов конечной длины в алфавите A, S - множество слов конечной длины в алфавите из цифр от 0 до 32, К - множество перестановок 33 элементов (всего таких перестановок 33!=8.7х1036).

     Хороший шифр должен обладать рядом специальных свойств, определяющих целесообразность его использования для засекречивания информации.

     Во-первых, шифрование и расшифрование должно осуществляться достаточно быстро в  тех условиях, в которых применяется  шифр. Хороший шифр, предназначенный для использования на ЭВМ, скорее всего, окажется непригодным для шифрования с помощью карандаша и листка бумаги.

     Во-вторых, шифр должен быть стойким к дешифрованию, т.е. должно быть, достаточно сложно узнать открытый текст, имея только шифрованное сообщение и не имея ключа, даже если известен сам.

     Понятие стойкости шифра не такое простое, как может показаться на первый взгляд, и требует определенных пояснений.

     Прежде  всего, попытаемся выяснить, какие шифры  можно было бы назвать совершенными, в том смысле, что они не поддаются дешифрованию ни при каких условиях.

     Более полувека назад К. Шеннон дал следующее  определение совершенного шифра: это шифр, при использовании которого перехват криптограммы не дает противнику никакой информации о передаваемом сообщении, даже если противник обладает неограниченными вычислительными ресурсами [1].

     Все алгоритмы шифрования можно разделить на три группы.

    К первой группе относятся совершенные  шифры, заведомо неподдающиеся дешифрованию (при правильном использовании). Примером такого шифра является шифр гаммирования случайной равновероятной гаммой.

    Во  вторую группу входят шифры, допускающие  неоднозначное дешифрование. Например, такая ситуация возникает, если зашифровать с помощью шифра простой замены, рассмотренного в начале параграфа, очень короткое сообщение.

    Основная  масса используемых шифров относится  к третьей группе и может быть в принципе однозначно дешифрована. Сложность дешифрования шифра из этой группы будет определяться трудоемкостью используемого алгоритма дешифрования. Следовательно, для оценки стойкости такого шифра необходимо рассмотреть все известные алгоритмы дешифрования, и выбрать из них имеющий минимальную трудоемкость, то есть тот, который работает в данном случае быстрее всех остальных. Трудоемкость этого алгоритма и будет характеризовать стойкость исследуемого шифра.

    Удобнее всего измерять трудоемкость алгоритма  дешифрования в элементарных операциях, но более наглядным параметром является время, необходимое для вскрытия шифра (при этом необходимо указывать технические средства, которые доступны криптоаналитику). Не следует только забывать, что вполне возможно существование неизвестного на данный момент алгоритма, который может значительно снизить вычисленную нами стойкость шифра. К большому сожалению разработчиков шифрсистем, строго доказать с помощью математических методов невозможность существования простых алгоритмов дешифрования удается чрезвычайно редко. Очень хорошим результатом в криптографии является доказательство того, что сложность решения задачи дешифрования исследуемого шифра эквивалентна сложности решения какой-нибудь известной математической задачи. Такой вывод хотя и не дает 100% гарантии, но позволяет надеяться, что существенно понизить оценку стойкости шифра в этом случае будет очень не просто.

    По  характеру использования ключа  известные криптосистемы можно  разделить на два типа: симметричные (одноключевые, с секретным ключом) и несимметричные (с открытым ключом).

    В первом случае в шифраторе отправителя  и дешифраторе получателя используется один и тот же ключ. Шифратор образует шифртекст, который является функцией открытого текста, конкретный вид функции шифрования определяется секретным ключом. Дешифратор получателя сообщения выполняет обратное преобразования аналогичным образом. Секретный ключ хранится в тайне и передается отправителем сообщения получателя по каналу, исключающему перехват ключа криптоаналитиком противника. Обычно предполагается правило Кирхгофа: стойкость шифра определяется только секретностью ключа, т.е. криптоаналитику известны все детали процесса шифрования и дешифрования, кроме секретного ключа.

    Открытый  текст обычно имеет произвольную длину если его размер велик и  он не может быть обработан вычислительным устройством шифратора целиком, то он разбивается на блоки фиксированной длины, и каждый блок шифруется в отдельности, не зависимо от его положения во входной последовательности. Такие криптосистемы называются системами блочного шифрования.

    На  практике обычно используют два общих  принципа шифрования: рассеивание и перемешивание. Рассеивание заключается в распространении влияния одного символа открытого текста на много символов шифртекста: это позволяет скрыть статистические свойства открытого текста. Развитием этого принципа является распространение влияния одного символа ключа на много символов шифрограммы, что позволяет исключить восстановление ключа по частям. Перемешивание состоит в использовании таких шифрующих преобразований, которые исключают восстановление взаимосвязи статистических свойств открытого и шифрованного текста. Распространенный способ достижения хорошего рассеивания состоит в использовании составного шифра, который может быть реализован в виде некоторой последовательности простых шифров, каждый из которых вносит небольшой вклад в значительное суммарное рассеивание и перемешивание. В качестве простых шифров чаще всего используют простые подстановки и перестановки.

    Одним из наилучших примеров криптоалгоритма, разработанного в соответствии с  принципами рассеивания и перемешивания, может служить принятый в 1977 году Национальным бюро стандартов США стандарт шифрования данных DES. Несмотря на интенсивные и тщательные исследования алгоритма специалистами, пока не найдено уязвимых мест алгоритма, на основе которых можно было бы предложить метод криптоанализа, существенно лучший, чем полный перебор ключей. Общее мнение таково: DES - исключительно хороший шифр. В июле 1991 года введен в действие подобный отечественный криптоалгоритм ГОСТ 28147-89.

    В то же время блочные шифры обладают существенным недостатком - они размножают ошибки, возникающие в процессе передачи сообщения по каналу связи. Одиночная ошибка в шифртексте вызывает искажение примерно половины открытого текста при дешифровании. Это требует применения мощных кодов, исправляющих ошибки.

    В блочном шифре из двух одинаковых блоков открытого текста получаются одинаковые блоки шифрованного текста. Избежать этого позволяют потоковые  шифры, которые, в отличие от блочных, осуществляют поэлементное шифрование потока данных без задержки в криптосистемы. В общем случае каждый символ открытого текста шифруется, передается и дешифруется независимо от других символов. Иначе, шифруюшее преобразование элемента открытого текста меняется от одного элемента к другому, в то время как для блочных шифров шифрующее преобразование каждого блока остается неизменным. Иногда символ открытого текста может шифроваться с учетом ограниченного числа предшествующих ему символов.

    Потоковые шифры основываются на псевдослучайных  ключевых последовательностях - сгенерированных определенным образом последовательностях символов с заданными свойствами непредсказуемости (случайности) появления очередного символа. Генераторы ключевых последовательностей обычно базируются на комбинациях регистров сдвига и нелинейных булевых функциях. В качестве нелинейной булевой функции может использоваться криптоалгоритм DES, что соответствует применению DES в режиме обратной связи по выходу (OFB) лил обратной связи по шифртексту (CFB). Наибольший интерес представляет режим CFB , поскольку в ряде случаев режим OFB не обеспечивает требуемой секретности.

    Системы потокового шифрования близки к криптосистемам с одноразовым ключом, в которых  размер ключа равен размеру шифруемого текста. При криптоанализе на основе известного открытого текста стойкость системы определяется нелинейными булевыми функциями, что позволяет оценить криптостойкость системы на основе анализа вида используемых функций. Следовательно, потоковые шифры в отличие от других криптосистем обладают значительно большой анализируемой секретностью. Кроме того, в системах потокового шифрования не происходит размножения ошибок или оно ограничено. По этим причинам, а также ввиду высокой скорости обработки системы потокового шифрования вызывают большое доверие многих потребителей и специалистов.

    В криптосистемах с открытым ключом в  алгоритмах шифрования и дешифрования используются разные ключи, каждый из которых не может быть получен  из другого (с приемлемыми затратами). Один ключ используется для шифрования, другой - для дешифрования. Основной принцип систем с открытым ключом основывается на применении односторонних или необратимых функций и односторонних функций с лазейкой (потайным ходом).

    Вычисление  ключей осуществляется получателем  сообщений, который оставляет у  себя тот ключ, который он будет потом использовать (то есть секретный ключ). Другой ключ он высылает отправителю сообщений - открытый ключ - не опасаясь его огласки. Пользуясь этим открытым ключом, любой абонент может зашифровать текст и послать его получателю, который сгенерировал данный открытый ключ. Все используемые алгоритмы общедоступны. Важно то, что функции шифрования и дешифрования обратимы лишь тогда, когда они обеспечиваются строго взаимосвязанной парой ключей (открытого и секретного), а открытый ключ должен представлять собой необратимую функцию от секретного ключа. Подобным образом шифртекст должен представлять собой необратимую функцию открытого текста, что в корне отличается от шифрования в системах с секретным ключом.

    Исследование  необратимых функций проводилось в основном по следующим направлениям: дискретное возведение в степень - алгоритм DH (Диффи-Хелман), умножение простых чисел - алгоритм RSA (Райвест, Шамир, Адлеман), использование исправляющих ошибки кодов Гоппы, задачи NP-полноты, в частности криптоалгоритм Меркля и Хелмана на основе "задачи об укладке ранца", раскрытый Шамиром, и ряд других, оказавшихся легкораскрываемыми и бесперспективными.

    Первая  система (DH) обеспечивает открытое распространение  ключей, то есть позволяет отказаться от передачи секретных ключей, и по сегодняшний день считается одной из самых стойких и удобных систем с открытым ключом. Надежность второго метода (RSA) находится в прямой зависимости от сложности разложения больших чисел на множители. Если множители имеют длину порядка 100 десятичных цифр, то в наилучшем из известных способов разложения на множители необходимо порядка 100 млн. лет машинного времени, шифрование же и дешифрование требует порядка 1-2 с на блок. Задачи NP-полноты хорошо известны в комбинаторике и считаются в общем случае чрезвычайно сложными; однако построить соответствующий шифр оказывается весьма непросто.

    В системах с открытым ключом, так  же как и в блочных шифрах, необходим  большой размер шифруемого блока, хотя, возможно, и не больший, чем в алгоритме DES, что препятствует, наряду с низкой скоростью шифрования, использованию алгоритмов с открытым ключом в потоковых шифрах. На сегодняшний день высокоэффективные системы с открытым ключом пока не найдены. Почти повсеместно принято ограничение использования криптосистем с открытым ключом - только для управления ключами и для цифровой подписи.

2. ПРАКТИЧЕСКОЕ ПРИМЕНЕНИЕ

2.1 DES-стандарт  США на шифрование  данных.

     Криптография  известна с древнейших времен (достаточно вспомнить коды Цезаря) и до недавнего  времени оставалась привилегией исключительно государственных и военных учреждений. Ситуация резко изменилась после публикации в 1949 году книги К.Шеннона "Работы по теории информации и кибернетике". Криптография стала объектом пристального внимания многих ученых. Принятие стандарта шифрования DES явилось мощным толчком к широкому применению шифрования в коммерческих системах. Введение этого стандарта - отличный пример унификации и стандартизации средств защиты. Примером системного подхода к созданию единой крупномасштабной системы защиты информации является директива Министерства финансов США 1984 года, согласно которой все общественные и частные организации, ведущие дела с правительством США, обязаны внедрить процедуру шифрования DES; крупнейшие банки Citibank,Chase Manhattan Bank, Manufaktures Hannover Trust, Bank of America, Security Pacific Bank также внедрили эту систему.

     Министерство  энергетики США располагает более  чем 30 действующими сетями, в которых  используется алгоритм DES, Министерство юстиции устанавливает 20000 радиоустройств, располагающих средствами защиты на базе DES. Стандартизация в последнее время приобретает международный характер, подтверждение тому - международный стандарт 1987 года ISO 8372, разработанный на основе криптоалгоритма DES.

     В качестве стандартной аппаратуры шифрования можно назвать устройство Cidex-НХ, базирующееся на алгоритме DES; скорость шифрования - от 56 Кбит/с до 7 Мбит/с. Серийно выпускается автономный шифровальный блок DES 2000, в нем также используется процедура шифрования DES; скорость шифрования - от 38,4 Кбит/с до 110 Кбит/с. В различных секторах коммерческой деятельности используется процессор шифрования/дешифрования данных FACOM 2151А на основе алгоритма DES; скорость - от 2,4 Кбит/с до 19,2 Кбит/с. С распространением персональных компьютеров наиболее эффективными для них стали программные средства защиты. Так, разработан пакет программ для шифрования/дешифрования информации СТА (Computer Intelligence Access), реализующий алгоритм DES. Этот же алгоритм использован в пакете SecretDisk (C F Systems) для исключения несанкционированного доступа к дискам.

     Таким образом, алгоритм DES представляет собой  основной механизм, применявшийся частными и государственными учреждениями США  для защиты информации. В то же время  Агенство национальной безопасности, выступающее как эксперт по криптографическим алгоритмам, разрабатывает новые алгоритмы шифрования данных для массового использования. В 1987 году Национальное бюро стандартов после обсуждения подтвердило действие DES; его пересмотр намечалось провести не позднее января 1992 года, и на сегодняшний день действие DES ограничивается исключительно коммерческими системами.

2.2 RSA-система  с открытым ключом.

     Криптографические системы с открытым ключом позволят создать в 90-х годах новую защищенную систему телефонной связи с числом абонентов до 3 миллионов. Компании АТ&Т, Motorola, RCA производят аппараты, допускающие совместную работу; компания GTE разрабатывает систему управления ключами. Поставки первых 75000 телефонов начались в 1987 году. Разработана специализированная интегральная схема IDS-P2 (МВ8763), реализующая алгоритм DH и вычисляющая секретный ключ за 0,9 с. Программная реализация алгоритма RSA осуществлена компанией RSA Data Security, аппаратная реализация того же алгоритма и специализированная интегральная схема выполнены фирмой Sandia. Фирма Cylink выпустила специализированную интегральную схему CY1024, реализующую алгоритм RSA и обеспечивающую скорость шифрования 1000 бит/с.

2.3 Системы потокового  шифрования.

     При шифрования высокоскоростных магистральных линий, как правило, используют системы потокового шифрования. Устройство SEC-17 обеспечивает скорость шифрования от 256 Кбит/с до 2304 Кбит/с, его ключ состоит из 72 шестнадцатиричных цифр; устройство SEC-15 позволяет иметь более 10я534я0 статистически независимых ключей. Принципы потокового шифрования используются в устройствах fggfhfnehs ibahjdfybz MSDS MARCRYP. В устройстве потокового шифрования CSD 807 в генераторе ключевой последовательности применен 31-разрядный регистр сдвига, в генераторе устройства потокового шифрования SDE 100 используются 2 регистра сдвига.

2.4 ГОСТ 28147-89 - отечественный  стандарт шифрования  данных.

     В нашей стране установлен единый алгоритм криптографического преобразования данных для систем обработки информации в сетях ЭВМ, отделительных комплексах и ЭВМ, который определяется ГОСТ 28147-89.

     Алгоритм  криптографического преобразования данных предназначен для аппаратной или  программной реализации, удовлетворяет  криптографическим требованиям  и не накладывает ограничений на степень секретности защищаемой информации. Чтобы получить подробные спецификации алгоритма криптографического преобразования, следует обратиться к ГОСТ 28147-89.

Сравнение криптографических  методов.

     Метод шифрования с использованием датчика псевдо-случайных чисел наиболее часто используется в программной реализации системы криптографической защиты данных.Это объясняется тем,vчто, он достаточно прост для программирования и позволяет создавать алгоритмы с очень высокой криптостойкостью. Кроме того,vэффективность данного метода шифрования достаточно высока. Системы, основанные на этом методе позволяют зашифровать в секунду от нескольких десятков до сотен Кбайт данных.

     Основным  преимуществом метода DES является то, что он стандартный. Важной характеристикой этого алгоритма является его гибкость при реализации и использовании в различных приложениях обработки данных.Каждый блок данных шифруется независимо от других, поэтому можно осуществлять независимую передачу блоков данных и произвольный доступ к зашифрованным данным .Ни временная, ни позиционная синхронизация для операций шифрования не нужна.

     Алгоритм  вырабатывает зашифрованные данные, в которых каждый бит является функцией от всех битов открытых данных и всех битов ключей. Различие лишь в одном бите данных даёт в результате равные вероятности изменения для каждого бита зашифрованных данных.

     DES может быть реаализован аппаратно  и программно, но базовый алгоритм всё же рассчитан на реализацию в электронных устройствах специального назначения. Это свойство DES выгодно отличает его от метода шифрования с использованием датчика ПСЧ поскольку большинство алгоритмов шифрования построенных на основе датчиков ПСЧ, не характеризуются всеми преимуществами DES.  Однако и DES обладает рядом недостатков.

     Самым существенным недостатком DES считается  малый размер ключа. Стандарт в настоящее время не считается неуязвимым, хотя и очень труден для раскрытия (до сих пор не были зарегистрированы случаи несанкционированной дешифрации. Ещё один недостаток DES заключается в том, что одинаковые данные будут одинаково выглядеть в зашифрованном тексте.

     Алгоритм  криптографического преобразования, являющийся отечественным стандартом и определяемый ГОСТ 28147-89,свободен от недостатков стандарта DES и в то же время обладает всеми его преимуществами. Кроме того в него заложен метод, с помощью которого можно зафиксировать необнаруженную случайную или умышленную модификацию зашифрованной информации.

     Однако  у алгоритма есть очень существенный недостаток, который заключается в том, что его программная реализация очень сложна и практически лишена всякого смысла.

     Теперь  остановимся на методе RSA. Он является очень перспективным, поскольку для зашифрования информации не требуется передачи ключа другим пользователям. Но в настоящее время к этому методу относятся с подозрительностью, поскольку не существует строго доказательства, что нет другого способа определения секретного ключа по известному, кроме как определения делителей целых чисел.