Криптографические методы защиты данных

Криптографическое закрытие является специфи­ческим способом защиты информации, оно имеет многовековую историю развития и применения. Поэтому у специалистов не возникало сомнений в том, что эти средства могут эффективно использоваться также и для зашиты информации в АСОД, вследствие чего им уделялось и продолжает уделяться большое внимание. Достаточно сказать, что в США еще в 1978 г. утвер­жден и рекомендован для широкого применения национальный стандарт (DES) криптографического закрытия информации. По­добный стандарт в 1989 г. (ГОСТ 28147—89) утвержден и у нас в стране. Интенсивно ведутся исследования с целью разработки высокостойких и гибких методов криптографического закрытия информации. Более того, сформировалось самостоятельное на­учное направление — криптология (kryptos — тайный, logos — наука), изучающая и разрабатывающая научно-методо­логические основы, способы, методы и средства криптографиче­ского преобразования информации.

Криптология, криптография, криптоанализ

Можно выделить следующие три периода развития крипто- логии. Первый период — эра донаучной криптологии, являв­шейся ремеслом-уделом узкого крута искусных умельцев. Нача­лом второго периода можно считать 1949 г., когда появилась ра­бота К. Шеннона «Теория связи в секретных системах», в которой проведено фундаментальное научное исследование шифров и важнейших вопросов их стойкости. Благодаря этому труду криптология оформилась как прикладная математическая дисциплина. И, наконец, начало третьему периоду было положе­но появлением в 1976 г. работы У. Диффи, М. Хеллмана «Новые направления в криптографии», где показано, что секретная связь возможна без предварительной передачи секретного клю­ча. Так началось и продолжается до настоящего времени бурное развитие наряду с обычной классической криптографией и криптографии с открытым ключом.

Еще несколько веков назад само применение письменности можно было рассматривать как способ закрытия информации, так как владение письменностью было уделом немногих.

Криптология разделяется на два направления — криптогра­фию и криптоанализ. Цели этих направлений прямо противопо­ложны:

• криптография занимается поиском и исследованием мате­матических методов преобразования информации;

• сфера интересов криптоанализа — исследование возможно­сти расшифровывания информации без знания ключей;

Современная криптография включает в себя четыре крупных раздела:

• симметричные криптосистемы;

• криптосистемы с открытым ключом;

• системы электронной подписи;

• управление ключами.

Основные направления использования криптографических методов — передача конфиденциальной информации по кана­лам связи (например, электронная почта), установление подлин­ности передаваемых сообщений, хранение информации (доку­ментов, баз данных) на носителях в зашифрованном виде.

Криптосистемы разделяются на с и м метричные и асим­метричные (с открытым ключом):

• в симметричных криптосистемах и для шифрования, и для дешифрования используется один и тот же ключ. Сущест­вуют весьма эффективные (быстрые и надежные) методы симметричного шифрования. Существует и стандарт на по­добные методы — ГОСТ 28147—89 «Системы обработки информации. Защита криптографическая. Алгоритм крип­тографического преобразования».

Основным недостатком симметричного шифрования явля­ется то, что секретный ключ должен быть известен и от­правителю, и получателю;

• в асимметричных методах используются два ключа. Один из них, несекретный (он может публиковаться вместе с ад­ресом пользователя), используется для шифровки, другой (секретный, известный только получателю) — для расшиф­ровки. Самым популярным из асимметричных является метод RSA (Райвест, Шамир, Адлеман), основанный на операциях с большими (скажем, 100-значными) простыми числами и их произведениями. Использование асиммет­ричного шифрования проиллюстрировано рис. 8.4.

Рис. 8.4. Использование асимметричного метода шифрования

 

Асимметричные методы позволяют реализовать так называе­мую электронную подпись, или электронное заверение сообще­ния. Идея состоит в том, что отправитель посылает два экземпля­ра сообщения — открытое и дешифрованное его секретным клю­чом (естественно, дешифровка незашифрованного сообщения на самом деле есть форма шифрования). Получатель может зашиф­ровать с помощью открытого ключа отправителя дешифрован­ный экземпляр и сравнить с открытым. Если они совпадут, лич­ность и подпись отправителя можно считать установленными.

Термины распределение ключей и управление ключами отно­сятся к процессам системы обработки информации, содержани­ем которых является составление и распределение ключей между пользователями.

Классы методов криптографии

Рассмотрим классификацию методов криптографического закрытия.

1. Шифрование

1.1. ЗАМЕНА (ПОДСТАНОВКА)

1.1.1. Простая (одноалфавитная)

1.1.2. Многоалфавитная одноконтурная обыкновенная

1.1.3. Многоалфавитная одноконтурная монофоническая

1.1.4. Многоалфавитная многоконтурная

1.2. ПЕРЕСТАНОВКА

1.2.1. Простая

1.2.2. Усложненная по таблице

1.2.3. Усложненная по маршрутам

1.3. АНАЛИТИЧЕСКОЕ ПРЕОБРАЗОВАНИЕ

1.3.1. С использованием алгебры матриц

1.3.2. По особым зависимостям

1.4. ГАММИРОВАНИЕ

1.4.1. С конечной короткой гаммой

1.4.2. С конечной длинной гаммой

1.4.3. С бесконечной гаммой

1.5. КОМБИНИРОВАННЫЕ МЕТОДЫ

1.5.1. Замена и перестановка

1.5.2. Замена и гаммирование

1.5.3. Перестановка и гаммирование

1.5.4. Гаммирование и гаммирование

2. Кодирование

2.1.СМЫСЛОВОЕ

2.1.1. По специальным таблицам (словарям)

2.2. СИМВОЛЬНОЕ

2.2.1. По кодовому алфавиту

3. Другие виды

3.1.РАССЕЧЕНИЕ-РАЗНЕСЕНИЕ

3.1.1. Смысловое

3.1.2. Механическое

3.2. СЖАТИЕ-РАСШИРЕНИЕ каждый из которых в отдельности не позволяет раскрыть со­держание защищаемой информации. Выделенные таким обра­зом элементы данных разносятся по разным зонам ЗУ или располагаются на различных носителях. Сжатие данных пред­ставляет собой замену часто встречающихся одинаковых строк данных или последовательностей одинаковых символов некото­рыми заранее выбранными символами.

Кратко рассмотрим некоторые методы криптографического закрытия информации.

Шифрование заменой (подстановка)

В этом наиболее простом методе символы шифруемого тек­ста заменяются другими символами, взятыми из одного (одно- или моноалфавитная подстановка) или нескольких (много- или полиалфавитная подстановка) алфавитов.

Самой простой разновидностью является прямая (про­стая) замена, когда буквы шифруемого сообщения заменя­ются другими буквами того же самого или некоторого другого ал­фавита. Таблица замены может иметь следующий вид (табл. 8.1).

Таблица 8.1. Таблица простой замены Исходные симво­лы шифруемого текста А В, С I D Е F G Н 1 J К L М N ' 0 Р Q R S Т и V W X Y г Заменяющие сим­волы S Р X L R, Z 1: М А Y Е: D W Т В G V N J 0 ; с F н Q и к

 

Используя эту таблицу, зашифруем текст: In this book the reader will wind a comprehensive survey...Получим следующее за­шифрованное сообщение: At omiy pbbe omr nrsirn fadd zail s xbwgnrmrtjafr jcnfru... Однако такой шифр имеет низкую стой­кость, так как зашифрованный текст имеет те же статистические характеристики, что и исходный. Например, текст на англий­ском языке содержит символы со следующими частотами появ­ления (в порядке убывания): Е — 0,13, Т — 0,105; А — 0,081, О — 0,079 и т. д. В зашифрованном тексте наибольшие частоты появления в порядке убывания имеют буквы R — 0,12; О — 0,09, А и У по 0,07.

Естественно предположить, что символом R зашифрована буква Е, символом О — букв Г и т. д. Это действительно соот­ветствует таблице замены. Дальнейшая расшифровка не состав­ляет труда. Эти методы дешифровки хорошо известны из клас­сической литературы (см., например, Артур Конан Дойль «Пля­шущие человечки», или Алан Эдгар По «Золотой жук»).

Если бы объем зашифрованного текста был намного больше, чем в рассмотренном примере, то частоты появления букв в за­шифрованном тексте были бы еще ближе к частотам появления букв в английском алфавите и расшифровка оказалась бы еще проще. Поэтому простую замену используют редко и лишь в тех случаях, когда шифруемый текст короток.

Для повышения стойкости шифра используют полиалфа­витные подстановки, в которых для замены символов ис­ходного текста используются символы нескольких алфавитов. Известно несколько разновидностей полиалфавитной подста­новки, наиболее известными из которых являются одно- (обык­новенная и монофоническая) и многоконтурная.

При полиалфавитной одноконтурной обыкно­венной подстановке для замены символов исходного текста используются несколько алфавитов, причем смена алфавитов осуществляется последовательно и циклически, т. е. первый символ заменяется соответствующим символом первого алфави­та, второй — символом второго алфавита и т. д. до тех пор, пока не будут использованы все выбранные алфавиты. После этого использование алфавитов повторяется.

Шифрование методом перестановки

Этот метод заключается в том, что символы шифруемого текста переставляются по определенным правилам внутри шиф­руемого блока символов. Рассмотрим некоторые наиболее часто встречающиеся разновидности этого метода, которые могут быть использованы в автоматизированных системах.

Самая простая перестановка — написать исходный текст за­дом наперед и одновременно разбить шифрограмму на пятерки букв. Например, из фразы

ПУСТЬ БУДЕТ ТАК, КАК МЫ ХОТЕЛИ получится такой шифротекст:

ИЛЕТО ХЫМКА ККАТТ ЕДУБЬ ТСУП.

В последней группе (пятерке) не хватает одной буквы. Зна­чит, прежде чем шифровать исходное выражение, следует его дополнить не значащей буквой (например, О) до числа, кратно­го пяти:

ПУСТЬ-БУДЕТ-ТАККА-КМЫХО-ТЕЛ ИО.

Тогда шифрограмма, несмотря на столь незначительное из­менение, будет выглядеть по-другому:

ОИЛЕТ ОХЫМК АККАТ ТЕДУБ ЬТСУП

Кажется, ничего сложного, но при расшифровке проявятся серьезные неудобства.

Во время Гражданской войны в США в ходу был такой шифр: исходную фразу писали в несколько строк. Например, по пятнадцать букв в каждой (с заполнением последней строки не­значащими буквами).

Криптографические стандарты DES и ГОСТ 28147—89

Широко известны алгоритмы блочного шифрования, приня­тые в качестве государственных стандартов шифрования данных в США и России.

В 1973 г. Национальное бюро стандартов США начало разра­ботку программы по созданию стандарта шифрования данных на ЭВМ. Был объявлен конкурс среди фирм-разработчиков США, который выиграла фирма IBM, представившая в 1974 г. алго­ритм шифрования, известный под названием DES (Data Encryption Standart).

Входные 64-битовые векторы, называемые блоками откры­того текста, преобразуются в выходные 64-битовые векторы, на­зываемые блоками шифротекста, с помощью двоичного 56-би­тового ключа К. Число различных ключей DES-алгоритма равно 2⁵⁶ > 7 ■ 10¹⁶.

Алгоритм реализуется в течение 16 аналогичных циклов шифрования, где на /-м цикле используется цикловой ключ K_t, представляющий собой алгоритмически вырабатываемую выбор­ку 48 битов из 56 битов ключа К_:, / = 1, 2,..., 16.

Алгоритм обеспечивает высокую стойкость, однако недавние результаты показали, что современная технология позволяет соз­дать вычислительное устройство стоимостью около 1 млн долла­ров США, способное вскрыть секретный ключ с помощью пол­ного перебора в среднем за 3,5 часа.

Из-за небольшого размера ключа было принято решение ис­пользовать DES-алгоритм для закрытия коммерческой (несек­ретной) информации. Практическая реализация перебора всех ключей в данных условиях экономически нецелесообразна, так как затраты на реализацию перебора не соответствуют ценности информации, закрываемой шифром.

DES-алгоритм явился первым примером широкого произ­водства и внедрения технических средств в области зашиты ин­формации. Национальное Бюро Стандартов США организовало проверку аппаратных реализаций DES-алгоритма на специаль­ном тестирующем стенде. Только после положительных резуль­татов проверки производитель получает от Национального Бюро Стандартов сертификат на право реализации своего продукта. К настоящему времени аттестовано несколько десятков изделий, выполненных на различной элементной базе.

Достигнута высокая скорость шифрования. По некоторым сообщениям, имеется микросхема, реализующая DES-алгоритм со скоростью 45 Мбит/с. Велика доступность этих изделий: стоимость некоторых аппаратных реализаций ниже 100 долл. США.

Основные области применения DES-алгоритма:

• хранение данных в ЭВМ (шифрование файлов, паролей);

• аутентификация сообщений (имея сообщение и кон­трольную группу, несложно убедиться в подлинности со­общения);

• электронная система платежей (при операциях с широкой клиентурой и между банками);

• электронный обмен коммерческой информацией (обмен данными между покупателем, продавцом и банкиром за­щищен от изменений и перехвата).

В 1989 г. в СССР был разработан блочный шифр для исполь­зования в качестве государственного стандарта шифрования данных. Разработка была принята и зарегистрирована как ГОСТ 28147—89. И хотя масштабы применения этого алгоритма шиф­рования до сих пор уточняются, начало его внедрению, в част­ности, в банковской системе, уже положено. Алгоритм несколь­ко медлителен, но обладает весьма высокой стойкостью.

Блок-схема алгоритма ГОСТ отличается от блок-схемы DES-алгоритма лишь отсутствием начальной перестановки и числом циклов шифрования (32 в ГОСТе против 16 в DES-алго- ритме).

Ключ алгоритма ГОСТ — это массив, состоящий из 32-мер­ных векторов yV,, Х₂,..., X_s. Цикловой ключ /-го цикла K_t равен X_s, где ряду значений / от 1 до 32 соответствует следующий ряд зна­чений s:

1, 2, 3, 4, 5, 6, 7, 8, 1, 2. 3, 4, 5, 6, 7. 8. 1, 2, 3. 4, 5, 6, 7, 8, 8,

7, 6, 5, 4, 3, 2, 1.

В шифре ГОСТ используется 256-битовый ключ и объем ключевого пространства составляет 2^Ъ6. Ни на одной из сущест­вующих в настоящее время или предполагаемых к реализации в недалеком будущем ЭВМ общего применения нельзя подобрать ключ за время, меньшее многих сотен лет. Российский стандарт проектировался с большим запасом и по стойкости на много по­рядков превосходит американский стандарт DES с его реальным размером ключа в 56 бит и объемом ключевого пространства всего 2⁵⁶. В свете прогресса современных вычислительных средств этого явно недостаточно. В этой связи DES может пред­ставлять скорее исследовательский или научный, чем практиче­ский интерес.

Алгоритм расшифрования отличается от алгоритма зашиф­рования тем, что последовательность ключевых векторов ис­пользуется в обратном порядке.

Характеристики криптографических средств защиты

Важнейшей характеристикой надежности криптографическо­го закрытия информации является его стойкость. Под этим понимается тот минимальный объем зашифрованного текста, статистическим анализом которого можно вскрыть исходный текст. Таким образом, по стойкости шифра можно определить допустимый объем информации, зашифровываемый при ис­пользовании одного ключа.

При выборе криптографического алгоритма для использова­ния в конкретной разработке одним из определяющих факторов является его стойкость, т. е. устойчивость к попыткам противо­положной стороны его раскрыть. Вопрос о стойкости шифра при ближайшем рассмотрении сводится к двум взаимосвязан­ным вопросам:

• можно ли вообще раскрыть данный шифр;

• если да, то насколько это трудно сделать практически;

Шифры, которые вообще невозможно раскрыть, называются

абсолютно или теоретически стойкими. Существова­ние подобных шифров доказывается теоремой Шеннона, однако ценой этой стойкости является необходимость использования для шифрования каждого сообщения ключа, не меньшего по размеру самого сообщения. Во всех случаях, за исключением ряда особых, эта цена чрезмерна, поэтому на практике в основ­ном используются шифры, не обладающие абсолютной стойко­стью. Таким образом, наиболее употребительные схемы шифро­вания могут быть раскрыты за конечное время или, что точнее, за конечное число шагов, каждый из которых является некото­рой операцией над числами. Для них наиважнейшее значение имеет понятие практической стойкости, выражающее практическую трудность их раскрытия.

Количественной мерой этой трудности может служить число элементарных арифметических и логических операций, которые необходимо выполнить, чтобы раскрыть шифр, т. е. чтобы для заданного шифротекста с вероятностью, не меньшей заданной величины, определить соответствующий открытый текст. При этом в дополнение к дешифруемому массиву данных криптоа- налитик может располагать блоками открытых данных и соот­ветствующих им зашифрованных данных или даже возможно­стью получить для любых выбранных им открытых данных со­ответствующие зашифрованные данные — в зависимости от перечисленных и многих других неуказанных условий различа­ют отдельные виды криптоанализа.

Все современные криптосистемы построены по принципу Кирхгоффа, т. е. секретность зашифрованных сообщений опре­деляется секретностью ключа. Это значит, что даже если сам ал­горитм шифрования известен криптоаналитику, тот тем не ме­нее не в состоянии расшифровать сообщение, если не распола­гает соответствующим ключом. Все классические блочные шифры, в том числе DES и ГОСТ, соответствуют этому принци­пу и спроектированы таким образом, чтобы не было пути вскрыть их более эффективным способом, чем полным перебо­ром по всему ключевому пространству, т. е. по всем возможным значениям ключа. Ясно, что стойкость таких шифров определя­ется размером используемого в них ключа.