Принцип достаточности защиты информации

Несимметричное шифрование существенно уступает симметричному по криптостойкости, если сравнивать их при одинаковом размере ключей. Поскольку один из ключей пары широко доступен, а алгоритм шифрования не является секретом, налицо теоретическая возможность для реконструкции закрытого ключа.

Тонкость заключается в том, что знание алгоритма и половинки ключа отнюдь не означает, что реконструкция закрытого ключа возможна в разумно приемлемые сроки с оправданными затратами средств. Так, например, правила игры в шахматы хорошо известны, и нетрудно создать алгоритм для перебора всех возможных шахматных партий, но он никому не нужен, поскольку даже самый быстрый современный суперкомпьютер будет работать над этой задачей дольше, чем существует жизнь на нашей планете.

Защита информации методами несимметричного шифрования не является абсолютной и не считается таковой. Но о ней можно говорить как о достаточной, если затраты на преодоление защиты существенно превышают ее ожидаемую ценность. В этом состоит принцип достаточности защиты, которым руководствуются при использовании несимметричных средств шифрования данных. То есть, выбирая уровень защиты информации, следует соотносить его с ценностью защищаемой информации.

Разумеется, не всегда реконструкцию закрытого ключа производят методами простого перебора комбинаций. Для этого существуют специальные методы, основанные на исследовании особенностей взаимодействия открытого ключа с определенными структурами данных. Область науки, посвященная этим исследованиям, называется криптоанализом, а средняя продолжительность времени, необходимого для реконструкции закрытого ключа по его открытому ключу, определяет криптостойкость алгоритма шифрования.

Для многих методов несимметричного шифрования криптостойкость, полученная в результате криптоанализа, существенно отличается от величин, заявляемых разработчиками алгоритмов на основании теоретических оценок. Поэтому во многих странах вопрос применения алгоритмов шифрования данных находится в поле законодательного регулирования. В частности, в России к использованию в государственных органах разрешены только программные средства шифрования данных, прошедшие государственную сертификацию. Более того, деятельность по разработке и внедрению средств шифрования в Российской Федерации является лицензируемой и должна удовлетворять весьма строгим требованиям.

Гибридные методы защиты

Гибридные методы защиты информации основаны на сочетании двух основных технологий защиты. Они позволяют сочетать достоинства методов несимметричного шифрования с высокой производительностью симметричных методов. Рассмотрим особенности гибридных методов на примере создания защищенного канала связи по технологии SSL (Secure Sockets Layer).

1. Защищенное SSL-соединение устанавливается в два этапа. На первом этапе стороны обмениваются открытыми ключами и устанавливают первоначальный диалог на основе несимметричного шифрования. При этом стороны получают уверенность в том, с кем имеют дело, и в том, что на линии связи не произошла подмена партнера.

2. В ходе первоначального диалога стороны обмениваются сообщениями, на основании которых они могут совместно выработать общий симметричный ключ. Важно заметить, что симметричный ключ никуда не передается, поскольку у каждого из партнеров он вырабатывается непосредственно «на месте».

3. Полученный симметричный ключ является сеансовым, то есть он действителен только в одном сеансе связи. Пользуясь этим ключом, стороны могут обмениваться сообщениями, документами и любой иной информацией. Таким образом, между ними образуется защищенный канал связи. На рассмотренной ранее модели ISO/OSI этот канал связи относится к третьему уровню системы связи, к так называемому сеансовому уровню.

Электронная подпись

Если сообщение (или его часть) зашифровано закрытым ключом, то получатель сообщения имеет возможность однозначно идентифицировать его создателя. Этот факт используется для создания такого атрибута электронных документов, как электронная подпись (ЭП). При этом дополнительно возникает возможность убедиться в целостности (полноте и неизменности) содержания документа.

Электронная подпись — информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.

Ключ электронной подписи — уникальная последовательность символов, предназначенная для создания электронной подписи.

Ключ проверки электронной подписи — уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи.

Удостоверяющий центр — юридическое лицо или физическое лицо-предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные Законом ДНР «ОБ ЭЛЕКТРОННОЙ ПОДПИСИ» от 19.06.2015г.

Механизм цифровой подписи базируется на использовании способа шифрования с открытым ключом. Знание соответствующего открытого ключа дает возможность получателю электронного сообщения однозначно опознать его отправителя.

Весь процесс подписания документа c помощью ЭП происходит в несколько этапов.

1. На первом этапе документ обрабатывается математически с помощью некоторой стандартной функции. Ее называют хэш-функцией, а процедуру обработки документа называют хэшированием. В результате хэширования образуется так называемый слепок документа. Это последовательность данных сравнительно небольшого размера (несколько десятков байтов). Иногда ее также называют оттиском документа. Фактически эта последовательность выполняет функции электронной печати. Она заверяет целостность документа. Если в ходе транспортировки в документ будут внесены какие-либо изменения, то оттиск перестанет соответствовать содержанию документа, и адресат легко установит факт подлога.

2. На втором этапе полученный оттиск шифруется закрытым ключом отправителя. Поскольку несимметричное шифрование — процесс трудоемкий, в гражданском документообороте нет смысла шифровать все содержание документа, вполне можно ограничиться шифрованием одного только оттиска.

3. Далее к документу прилагается открытый ключ, позволяющий прочесть сообщение и удостовериться в идентичности партнера и аутентичности содержания.

4. Чтобы избежать подмены открытого ключа на маршруте движения документа, этот ключ тоже шифруется, но теперь уже закрытом ключом специальной уполномоченной организации, которая называется удостоверяющим центром. В обязанности удостоверяющих центров входит подтверждение открытых ключей.

5. В заключение, к документу прилагается открытый ключ удостоверяющего центра. При этом образуется связка ключей. Эту связку можно рассматривать как сертификат ключа подписи (СКП), выданный удостоверяющим центром. (СКП) сертификат ключа подписи - электронный документ с электронной

6. цифровой подписью уполномоченного лица удостоверяющего центра, который включает в себя открытый ключ электронной цифровой подписи участника информационной системы и выдается ему удостоверяющим центром для подтверждения подлинности электронной цифровой подписи, идентификации владельца сертификата ключа подписи и определения его полномочий.