Содержание 1.1 Понятие информации 1.1.1 Понятие информации................................................................. 2 1.1.2. Категории информации ............................................................ 3 1.1.3. Носители информации.............................................................. 4 1.2. Информационная безопасность 1.2.1. Зашита информации.................................................................. 7 1.2.2. Угрозы безопасности информации ......................................... 7 1.2.3. Каналы утечки информации .................................................... 15 1.2.4. Системы защиты информации................................................. 22 1.3. Информация как объект права .............................................................. 27 1.4. Основные понятия криптографии 1.4.1. Основные понятия криптографии и криптоанализа .............. 31 1.4.2. Требования к криптосистемам................................................. 33 1.4.3. Надежность использования криптосистем ............................. 34 1.5. Криптографические системы защиты информации 1.5.1. Криптографические системы защиты информации на основе одноключевых шифров ..................................................... 41 1.5.2. Криптографические системы защиты информации на основе двухключевых шифров ....................................................................... 53 1.5.2.1. Метод возведения в степень ....................................... 54 1.5.2.2. Метод укладки рюкзака .............................................. 55 1.5.3. Криптографические системы защиты информации на основе составных шифров 1.5.3.1. RSA ................................................................................ 59 1.5.3.2. Цифровая подпись ....................................................... 64 1.5.3.3. EGSA (El Gamal) .......................................................... 67 1.5.3.4. DSS ................................................................................ 67 1.5.3.5. Российский стандарт цифровой подписи .................. 68 1.1. ПОНЯТИЕ ИНФОРМАЦИИ 1.1.1. Понятие информации Понятие "информация" является одним из фундаментальных в современной науке вообще и базовым для информатики. Информацию, наряду с веществом и энергией, рассматривают в качестве важнейшей сущности мира, в котором мы живем. Именно поэтому дать определение понятию "информация" очень сложно. В простейшем бытовом понимании с термином "информация" обычно ассоциируются некоторые сведения, данные, знания и т.д. о чем или комнибудь. В широком смысле информация - это отражение реального мира. Весь окружающий нас мир можно представить в виде совокупности объектов и процессов. Под объектами можно понимать отдельные физические тела или комплексы тел, которые мы рассматриваем как единое целое. Например, объект - это дом, человек, планета, а также Солнечная система или муравейник с муравьями. Объекты участвуют в различных процессах. Примером простого процесса является движение шарика по поверхности стола или полет спутника по орбите. Процесс может быть комплексом нескольких процессов. Так, создание автомобиля можно считать процессом, хотя этот процесс состоит из множества других процессов. И объекты, и процессы имеют свои свойства. К свойствам объектов можно отнести объем, массу, температуру, положение в пространстве, к свойствам процесса - время, скорость, количество объектов, участвующих в процессе. Используя понятия объекта, процесса и их свойств, можно вывести понятие информации. Информация - набор сведений о свойствах объекта или процесса. Всегда ли человек воспринимает информацию из сведений? Оказывается, сообщение несет информацию для человека тогда, когда заключенные в нем сведения являются для него новыми, то есть, пополняют знания и понятными, то есть новые сведения логически связаны с уже имеющимися знаниями. Информация и информационные процессы существовали и до появления человечества. Когда на Земле появились люди, они включились в информационные процессы, еще не сознавая этого. Самая важная информация, которую получал человек, и которая давала возможность ему выжить в первобытных условиях, сохранялась им в виде знаний. Знание - это осознанная информация. Любая информация предполагает реакцию на нее. Если человек получает тепловую информацию, дотрагиваясь до горячего камня, то реакцией организма на эту информацию будет отдергивание руки. Если человек не осознает эту информацию, то в следующий раз он опять будет дотрагиваться до камня, вытащенного из костра. Если информация осознанна, то она становится знанием - человек знает, что до раскаленного камня дотрагиваться нельзя. Значит, знание позволяет много раз использовать информацию, которую получили только один раз. Знания, которые получал человек, он передавал своим соплеменникам. Появление знаний связано с появлением проблемы их передачи и сохранения. Первоначально знания передавались от старших младшим и так сохранялись. Первой формой передачи информации был жест. Затем знания передавались при помощи символов, рисунков, а затем - при помощи письма. Однако, чем дольше существовало человечество, тем большее количество знаний и информации накапливалось и требовало обработки и хранения. Развитие науки и техники привело к лавинообразному росту объема информации. В ХХ веке проблема обработки и хранения информации стала в полный рост, поэтому именно в ХХ веке ученые начали разрабатывать технологии хранения, обработки и представления информации, т.е. информационные технологии. С появлением в 50-х годах компьютеров человечество перешло из индустриального в информационное общество. Это означает, что дальнейшее развитие общества связано с развитием информационных технологий. 1.1.2. Категории информации Для исключения лишних расходов по защите вся информация делится на категории в соответствии с требуемой степенью защиты. Эта степень определяется, исходя из: - возможного ущерба для владельца при несанкционированном доступе к защищаемой информации; - экономической целесообразности преодоления защиты для противника. Естественно, производить такую оценку для каждого документа было бы слишком трудоёмко. Поэтому сложилась практика определения категорий секретности документов, по которым документы распределяются по формальным признакам. Например, в наших государственных органах принято 4 категории секретности: 1) «для служебного пользования», 2) «секретно» (кат.3), 3) «совершенно секретно», (кат.2) 4) «совершенно секретно особой важности» (кат.1). Для упрощения решения вопросов защиты следует применять аналогичную схему. Издаётся инструкция, которая определяет, по каким признакам документ (информация) относится к той или иной категории, и какие сотрудники к какой категории имеют доступ. 1.1.3. Носители информации Очень часто путают саму информацию и её носитель. Такая путаница приводит к непониманию сути проблемы и, следовательно, к невозможности её решить. Поэтому следует чётко представлять себе, где информация, а где её материальный носитель. Информация - вещь нематериальная. Это сведения, которые зафиксированы (записаны) тем или иным расположением (состоянием) материального носителя, например, порядком расположения букв на странице или величиной намагниченности ленты. Носителем информации может быть любой материальный объект. И наоборот - любой материальный объект всегда несёт на себе некую информацию (которая, однако, далеко не всегда имеет для нас значение). Например, книга как совокупность переплёта, бумажных листов, и типографской краски на них является типичным носителем информации. Чтобы отличать информацию от её носителя, надо твёрдо помнить, что информация – это сугубо нематериальная субстанция. Всё, что является материальным объектом, информацией быть не может, но только лишь её носителем. В том же примере с книгой и листы, и знаки на них – только носитель; информация же заключена в порядке расположения печатных символов на листах. Радиосигнал – тоже материальный объект, поскольку является комбинацией электрических и магнитных полей (с другой точки зрения – фотонов), поэтому он не является информацией. Информация в данном случае – порядок чередования импульсов или иных модуляций указанного радиосигнала. Материя и информация неотделимы друг от друга. Информация не может существовать сама по себе, в отрыве от материального носителя. Материя же не может не нести информации, поскольку всегда находится в том или ином определённом состоянии. Теперь перейдём к более конкретному рассмотрению. Хотя любой материальный объект – носитель информации, но люди используют в качестве таковых специальные объекты, с которых информацию удобнее считывать. Традиционно используемым носителем информации является бумага с нанесёнными на ней тем или иным способом изображениями. Поскольку в наше время основным средством обработки информации является компьютер, то и для хранения информации используются в основном машинно-читаемые носители. Ниже приводится полный список известных типов машинных носителей с их качественными характеристиками. Жёсткий магнитный диск, ЖМД, НЖМД (hard disk, HD). Применяется как основной стационарный носитель информации в компьютерах. Большая ёмкость, высокая скорость доступа. Иногда встречаются модели со съёмным диском, который можно вынуть из компьютера и спрятать с сейф. Гибкий магнитный диск, ГМД (floppy disk, FD) или дискета (diskette). Основной сменный носитель для персональных компьютеров. Небольшая ёмкость, низкая скорость доступа, но и стоимость тоже низкая. Основное преимущество - транспортабельность. Лазерный компакт-диск (CD, CD-ROM). Большая ёмкость, средняя скорость доступа, но отсутствует возможность записи информации. Запись производится на специальном оборудовании. Перезаписываемый лазерный компакт-диск (CD-R, CD-RW). В одних случаях возможна только запись (без перезаписи), в других - также ограниченное число циклов перезаписи данных. Те же характеристики, что и для обычного компакт-диска. DVD-диск. Аналогичен CD-ROM, но имеет более высокую плотность записи (в 5-20 раз). Имеются устройства как только для считывания, так и для записи (перезаписи) DVD. Сменный магнитный диск типа ZIP или JAZZ. Похож на дискету, но обладает значительно большей ёмкостью. Магнитооптический или т.н. флоптический диск. Сменный носитель большой ёмкости. Кассета с магнитной лентой – сменный носитель для стриммера (streamer) - прибора, специально предназначенного для хранения больших объёмов данных. Некоторые модели компьютеров приспособлены для записи информации на обычные магнитофонные кассеты. Кассета имеет большую ёмкость и высокую скорость записи-считывания, но медленный доступ к произвольной точке ленты. Перфокарты – в настоящее время почти не используются. Перфолента – в настоящее время почти не используется. Кассеты и микросхемы ПЗУ (read-only memory, ROM). Характеризуются невозможностью или сложностью перезаписи, небольшой ёмкостью, относительно высокой скоростью доступа, а также большой устойчивостью к внешним воздействиям. Обычно применяются в компьютерах и других электронных устройствах специализированного назначения, таких как игровые приставки, управляющие модули различных приборов, принтеры и т.д. Магнитные карты (полоски). Маленькая ёмкость, транспортабельность, возможность сочетания машинно-читаемой и обычной текстовой информации. Кредитные карточки, пропуска, удостоверения и т.п. Существует большое количество специализированных носителей, применяемых в различных малораспространённых приборах. Например, магнитная проволока, голограмма. Кроме того, носителем информации является оперативная память компьютера, ОЗУ (RAM), но она не пригодна для долговременного хранения информации, поскольку данные в ней не сохраняются при отключении питания. Защита носителей и её отличие от защиты информации. Важно различать два вида ЗИ – защита носителей и защита непосредственно информации, безотносительно к тому, где она находится. Первый вид включает несколько методов защиты носителей информации (здесь мы будем рассматривать только компьютерные носители), их можно подразделить на программные, аппаратные и комбинированные. Метод же защиты самой информации только один – использование криптографии, то есть, шифровка данных. Если вы много работали с современными персональными компьютерами, то познакомились с некоторыми наиболее распространёнными методами защиты носителей. Вот их перечень. Для всех сменных носителей - физическая их защита, например, запереть в сейф. Для всех встроенных в ПК носителей - воспрепятствование включению питания компьютера. Конечно, этот метод действенен для ограниченного числа случаев. Программное воспрепятствование доступу к конкретному носителю или к компьютеру целиков. Например, пароль на CMOS. Программно-аппаратный метод с использованием электронных ключей, которые чаще всего вставляются в COM-порт ПК. Не получая нужный ответ от ключа, программа, для которой он предназначен, не будет работать или давать пользователю доступ к своим данным. 1.2. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ 1.2.1. Защита информации Под безопасностью информации понимается такое состояние информации, технических средств и технологии ее обработки, которое характеризуется свойствами конфиденциальности, целостности и доступности информации. Конфиденциальность информации - это свойство информации, технических средств и технологии её обработки, характеризующееся способностью информации сохраняться в тайне от субъектов, у которых нет полномочий на право ознакомления с ней. Целостность информации - это свойство информации, технических средств и технологии её обработки, характеризующееся способностью противостоять несанкционированному уничтожению и искажению информации. Доступность информации - это свойство информации, технических средств и технологии её обработки, характеризующееся способностью обеспечивать беспрепятственный доступ к информации субъектов, имеющих на это надлежащие полномочия. Объект информатики - это автоматизированные системы различного уровня и назначения, системы связи, отображения и размножения вместе с помещениями, в которых они установлены, а также сами помещения, предназначенные для ведения конфиденциальных переговоров; Критичная информация - это информация, критичная к нарушению целостности, доступности и конфиденциальности. Потенциальные события, действия или явления, которые могут вызвать нарушение безопасности информации на объекте информатики, определяют возможные угрозы безопасности информации для конкретно рассматриваемого объекта. 1.2.2. Угрозы безопасности информации В литературе, посвященной вопросам защиты информации можно найти различные варианты моделей угроз безопасности информации. Это объясняется стремлением более точно описать многообразные ситуации воздействия на информацию и определить наиболее адекватные меры парирования. В принципе, можно пользоваться любой понравившейся моделью, необходимо только убедиться, что она описывает максимально большое число факторов, влияющих на безопасность информации. Что же такое угроза безопасности информации? Это - действие, направленное против объекта защиты, проявляющееся в опасности искажений и потерь информации. Надо оговориться, что речь идет не о всей информации, а только о той ее части, которая по мнению ее собственника (пользователя) имеет коммерческую ценность (информация как товар) или подлежит защите в силу закона (конфиденциальная информация). Необходимо также учитывать, что источники угроз безопасности могут находиться как внутри фирмы - внутренние источники, так и вне ее внешние источники. Такое деление оправдано потому, что для одной и той же угрозы (например кража) методы парирования для внешних и внутренних источников будут разными. При составлении модели угроз авторы использовали различные широко используемые в настоящее время варианты моделей, разработанные специалистами в области защиты информации государственных и негосударственных научных учреждений и собственный опыт работы в этой области. Исходя из проведенного анализа, все источники угроз безопасности информации можно разделить на три основные группы: I. II. III. Угрозы, обусловленные действиями субъекта (антропогенные угрозы) Угрозы, обусловленные техническими средствами (техногенные угрозы) Угрозы, обусловленные стихийными источниками Первая группа наиболее обширна и представляет наибольший интерес с точки зрения организации парирования этим угрозам, так как действия субъекта всегда можно оценить, спрогнозировать и принять адекватные меры. Методы противодействия этим угрозам управляемы и напрямую зависят от воли организаторов защиты информации. Субъекты, действия которых могут привести безопасности информации могут быть как внешние: криминальные структуры; рецидивисты и потенциальные преступники; недобросовестные партнеры; конкуренты; политические противники; так и внутренние: персонал учреждения; к нарушению персонал филиалов; лица с нарушенной психикой; специально внедренные агенты. Основываясь на результатах международного и российского опыта, действия субъектов могут привести к ряду нежелательных последствий, среди которых применительно к корпоративной сети, можно выделить следующие: 1. Кража а) технических средств (винчестеров, ноутбуков, системных блоков); б) носителей информации (бумажных, магнитных, оптических и пр.); в) информации (чтение и несанкционированное копирование); г) средств доступа (ключи, пароли, ключевая документация и пр.). 2. Подмена (модификация) а) операционных систем; б) систем управления базами данных; в) прикладных программ; г) информации (данных), отрицание факта отправки сообщений; д) паролей и правил доступа. 3. Уничтожение (разрушение) а) технических средств (винчестеров,ноутбуков,системных блоков); б) носителей информации (бумажных, магнитных,оптических и пр.); в) программного обеспечения (ОС, СУБД, прикладного ПО) г) информации (файлов, данных) д) паролей и ключевой информации. 4. Нарушение нормальной работы (прерывание) а) скорости обработки информации; б) пропускной способности каналов связи; в) объемов свободной оперативной памяти; г) объемов свободного дискового пространства; д) электропитания технических средств; 5. Ошибки а) при инсталляции ПО, ОС, СУБД; б) при написании прикладного ПО; в) при эксплуатации ПО; г) при эксплуатации технических средств. 6. Перехват информации (несанкционированный) а) за счет ПЭМИ от технических средств; б) за счет наводок по линиям электропитания; в) за счет наводок по посторонним проводникам; г) по акустическому каналу от средств вывода; д) по акустическому каналу при обсуждении вопросов; е) при подключении к каналам передачи информации; ж) за счет нарушения установленных правил доступа (взлом). II. Вторая группа содержит угрозы менее прогнозируемые, напрямую зависящие от свойств техники и поэтому требующие особого внимания. Технические средства, содержащими потенциальные угрозы безопасности информации так же могут быть внутренними: некачественные технические средства обработки информации; некачественные программные средства обработки информации; вспомогательные средства (охраны, сигнализации, телефонии); другие технические средства, применяемые в учреждении; и внешними: средства связи; близко расположенные опасные производства; сети инженерных коммуникации (энерго-, канализации); транспорт. Последствиями применения таких технических влияющими на безопасность информации могут быть: водоснабжения, средств, напрямую 1. Нарушение нормальной работы а) нарушение работоспособности системы обработки информации; б) нарушение работоспособности связи и телекоммуникаций; в) старение носителей информации и средств ее обработки; г) нарушение установленных правил доступа; д) электромагнитное воздействие на технические средства. 2. Уничтожение (разрушение) а) программного обеспечения, ОС, СУБД; б) средств обработки информации (броски напряжений, протечки); в) помещений г) информации (размагничивание, радиация, протечки и пр.); д) персонала. 3. Модификация (изменение) а) программного обеспечения. ОС, СУБД; б) информации при передаче по каналам связи и телекоммуникациям. Третью группу составляют угрозы которые совершенно не поддаются прогнозированию и поэтому меры их парирования должны применяться всегда. Стихийные источники, составляющие потенциальные угрозы информационной безопасности как правило являются внешними по отношению к рассматриваемому объекту и под ними понимаются прежде всего природные катаклизмы: пожары; землетрясения; наводнения; ураганы; другие форс-мажорные обстоятельства; различные непредвиденные обстоятельства; необъяснимые явления. Эти природные и необъяснимые явления так же влияют на информационную безопасность, опасны для всех элементов корпоративной сети и могут привести к следующим последствиям: 1. Уничтожение (разрушение) а) технических средств обработки информации; б) носителей информации; в) программного обеспечения (ОС, СУБД, прикладного ПО); г) информации (файлов, данных); д) помещений; е) персонала. 2. Исчезновение (пропажа) а) информации в средствах обработки; б) информации при передаче по телекоммуникационным каналам; в) носителей информации; г) персонала. Даже первичный анализ приведенного перечня угроз безопасности информации, показывает, что для обеспечения комплексной безопасности необходимо принятие как организационных, так и технических решений парирования. Такой подход позволяет дифференцировано подойти к распределению материальных ресурсов, выделенных на обеспечение информационной безопасности. Угрозы принято делить на случайные (непреднамеренные) и умышленные (преднамеренные). Источником первых могут быть ошибки в программном обеспечении, выходы из строя аппаратных средств, неправильные действия пользователей или администрации системы и т.п. Умышленные угрозы, в отличие от случайных, преследуют цель нанесения ущерба пользователям (абонентам) системы подразделяются на активные и пассивные. и, в свою очередь, Пассивные угрозы, как правило, направлены на несанкционированное использование информационных ресурсов, не оказывая при этом влияния на функционирование системы. Активные угрозы имеют цель нарушения нормального процесса ее функционирования посредством целенаправленного воздействия на аппаратные, программные и информационные ресурсы. К активным угрозам относят, например, искажение сведений в пользовательских базах данных или системной информации, разрушение или искажение операционной системы (включая нарушения протоколов обмена информацией в ИТКС). Источниками таких угроз могут быть непосредственные действия злоумышленников, программные вирусы и т.п. Реализация угрозы нарушения конфиденциальности информации может быть осуществлена путем несанкционированного доступа к базам данных; прослушиванием каналов системы и т.п. В любом случае получение информации, являющейся достоянием некоторого лица (группы лиц), другими лицами наносит ее владельцам существенный ущерб. Искажение или ввод ложной информации, как правило, реализуется посредством внесения несанкционированных изменений в базы данных, в результате чего ее потребитель вынужден либо отказываться от нее, либо прилагать дополнительные усилия для выявления изменений и восстановления истинных сведений. В случае использования несанкционированно измененной информации потребитель подвергается опасности принятия неверных решений со всеми вытекающими отсюда последствиями. Несанкционированное использование ресурсов системы, с одной стороны, является средством нарушения конфиденциальности или целостности информации, а с другой - имеет самостоятельное значение, поскольку, даже не касаясь пользовательской или системной информации, можно нанести определенный ущерб абонентам или администрации системы. Этот ущерб может варьироваться в весьма широких пределах - от сокращения поступления финансовых средств, взимаемых за предоставление ресурсов системы, до полного выхода системы из строя. Ошибочное использование ресурсов системы, будучи санкционированным, тем не менее может привести к нарушению конфиденциальности и доступности указанных ресурсов. Данная угроза, чаще всего, является следствием ошибок, имеющихся в программном обеспечении системы. Несанкционированный обмен информации между абонентами системы может привести к получению одним из них сведений, доступ к которым ему запрещен, что по своим последствиям равносильно нарушению конфиденциальности информации. Отказ от информации состоит в непризнании получателем (или отправителем этой информации) фактов ее получения или отправки соответственно. Это, в частности, позволяет одной из сторон расторгать заключенные соглашения (финансовые, торговые, дипломатические и т.п.) «техническим» путем, формально не отказываясь от них и нанося тем самым второй стороне весьма значительный ущерб. Нарушение доступности представляет собой весьма существенную и достаточно распространенную угрозу, источником которой является сама система. Подобное нарушение особенно опасно в ситуациях, когда задержка с предоставлением ресурсов системы абоненту может привести к тяжелым для него последствиям. Так, отсутствие у абонента данных, необходимых для принятия решения, в течение периода времени, когда это решение еще может быть эффективно реализовано, может стать причиной его нерациональных или даже противоречивых действий. Все множество потенциальных угроз по природе происхождения разделяются на два класса: естественные и искусственные. Естественные угрозы безопасности - это угрозы, вызванные физическими воздействиями на ИТКС и ее элементы стихийных природных явлений, не зависящих от человека. Более широк и опасен круг искусственных угроз информации в ИТКС, вызванных человеческой деятельностью, среди которых исходя из мотивов, можно выделить: - непреднамеренные (неумышленные) угрозы информации, вызванные ошибками в проектировании элементов сети и их программного обеспечения, случайными сбоями в работе технических средств и линий связи, воздействием на аппаратуру электромагнитных излучений при несоблюдении условий электромагнитной совместимости; - преднамеренные (умышленные) угрозы информации, обусловленные возможностями контактного (физического, программно-математического) и бесконтактного (за счет физико-технических условий выделения информации) несанкционированного доступа к ИТКС. При бесконтактном доступе к информации возможные угрозы ее безопасности реализуются перехватом: речевой информации в основном по акустическому каналу, побочных электромагнитных излучений и наводок, информации в радиосетях связи; визуальным наблюдением за элементами ИТКС. При контактном несанкционированном доступе возможные угрозы безопасности информации реализуются как с использованием доступа, так и с использованием открытых каналов. При использовании доступа возможные угрозы безопасности информации реализуются путем воздействия на: ИТКС в целом, ее элементы (в том числе на программное обеспечение), субъекты ИТКС, каналы передачи данных, систему разрешений, законные права пользователя с целью их ограничений или искажений. 1.2.3. Каналы утечки информации Для сохранения конфиденциальности информации следует определить потенциальные и реальные каналы утечки информации. Утечка информации может происходить как из-за неорганизованности и небрежности в работе предприятия, так и в результате экономического и промышленного шпионажа. Каналами утечки информации являются: документы, содержащие информацию; персонал, имеющий доступ к информации; технические средства и системы обработки информации, в том числе и линии связи. I. Анализ документации предприятия как канал утечки информации Наиболее значимая информация предприятия, как правило, задокументирована, так как по действующему законодательству большинство юридических документов должно быть совершено в письменной форме, скреплено подписью и печатью. Небрежное отношение к документации может не только привести к утере ценных сведений, но и принести непоправимый вред из-за физического исчезновения юридически значимого документа, отсутствие которого может в ряде ситуаций оказаться негативным. Посторонним лицам секретные сведения часто попадают в результате тиражирования документов, их распечатки, из отчетов вышестоящим организациям, из рекламных, научных, информационных публикаций, из заявок на изобретения, из выставочных материалов, из материалов, представленных в ходе совместной деятельности партнерам. Даже наиболее охраняемые секреты предприятия могут стать известными конкурентам из обычных публикаций для широкой публики. Поэтому необходима цензура готовящейся к выходу в свет информации, материалов для конференций, симпозиумов, выставок. Здесь может возникнуть конфликт между желанием использования в рекламных целях наиболее эффектных данных из конфиденциальной информации и необходимостью сохранить коммерческую тайну. Для предотвращения утечки ценных сведений третьим лицам можно предоставлять без особых предосторожностей информацию лишь общего, итогового характера, не раскрывая сути предмета. Можно давать начальные данные и конечный результат. Пути и средства его достижения, всю конкретную информацию следует опускать. Кроме того, на практике существует достаточно эффективное правило, препятствующее сбору секретной информации о предприятии. Суть его заключается в том, что любую информацию, которая может быть использована конкурентами, следует как можно больше дробить по авторам, времени, публикациям. II. Персонал предприятий как основной источник утечки ценной информации Одним из главных каналов утечки информации предприятия является его персонал. Работая на предприятии, имея постоянный доступ к различным документам, результатам разработок и исследований, нередко являющимся секретными, недобросовестный работник может нанести намеренно или в силу небрежности значительный ущерб интересам предприятия, раскрыв его секреты посторонним лицам. Считается, что лучшие поставщики секретных сведений не специальные агенты, а болтуны. Поэтому специалистов по промышленной разведке так привлекают различные съезды, конгрессы, конференции, как источники ценнейшей информации. Конкуренты могут получать информацию о деятельности интересующей фирмы путем переманивания их специалистов. Угроза коммерческим интересам предприятия может заключаться также в таком обыденном явлении, как увольнение служащих. Это может серьезно угрожать экономической безопасности предприятия, особенно в том случае, если уволившийся переходит на работу в конкурирующую организацию или сам создает аналогичное предприятие. Уволенных сотрудников достаточно сложно бывает привлечь к судебной ответственности за разглашение секретов фирмы, где они раньше работали, но своевременное заключение с сотрудниками предприятия соглашений о конфиденциальности помогает обеспечить сохранение секретов фирмы на определенный срок. III. Технические средства потери информации 1. Утечка за счет структурного звука в стенах и перекрытиях; 2. Съем информации с ленты принтера, плохо стертых дискет и т.п.; 3. Съем информации с использованием видео-закладок; 4. Программно-аппаратные закладки в ПЭВМ; 5. Радио-закладки в стенах и мебели; 6. Съем информации по системе вентиляции; 7. Лазерный съем акустической информации с окон; 8. Производственные и технологические отходы; 9. Компьютерные вирусы, логические бомбы и т.п.; 10. Съем информации за счет наводок и "навязывания"; 11. Дистанционный съем видео информации (оптика); 12. Съем акустической информации с использованием диктофонов; 13. Хищение носителей информации; 14. Высокочастотный канал утечки в бытовой технике; 15. Съем информации направленным микрофоном; 16. Внутренние каналы утечки информации (через обслуживающий персонал); 17. Несанкционированное копирование; 18.Утечка за счет побочного излучения терминала; 19. Съем информации за счет использования "телефонного уха"; 20. Съем с клавиатуры и принтера по акустическому каналу; 21. Съем с дисплея по электромагнитному каналу; 22. Визуальный съем с дисплея и принтера; 23. Наводки на линии коммуникаций и сторонние проводники; 24. Утечка через линии связи; 25. Утечка по цепям заземления; 26. Утечка по сети электро-часов; 27. Утечка по трансляционной сети и громкоговорящей связи; 28. Утечка по охранно-пожарной сигнализации; 29. Утечка по сети электропитания; 30. Утечка по сети отопления, газо- и водоснабжения. Рассмотрим более подробно особенности каналов утечки и несанкционированного доступа к информации. При выявлении технических каналов утечки информации необходимо рассматривать всю совокупность компьютерного оборудования, включающую технические средства обработки информации (ТСОИ), оконечные устройства, соединительные линии, распределительные и коммутационные устройства, системы электропитания, системы заземления и т. п. Следует учитывать также вспомогательные технические средства и системы (ВТСС), такие как оборудование открытой телефонной, факсимильной, громкоговорящей связи, системы охранной и пожарной сигнализации, электрификации, радиофикации, часофикации, электробытовые приборы и др. Среди каналов утечки заметную роль играют вспомогательные средства, выходящие за пределы контролируемой зоны, а также посторонние провода, кабели, металлические трубы систем отопления, водоснабжения и другие токопроводящие металлоконструкции, проходящие через помещения, где установлены основные и вспомогательные технические средства. Рассмотрим сначала электромагнитные, электрические и параметрические технические каналы утечки информации. Для электромагнитных каналов утечки характерными являются побочные излучения: электромагнитные излучения элементов ТСОИ. носителем информации является электрический ток, сила которого, напряжение, частота или фаза изменяются по закону информационного сигнала электромагнитные излучения на частотах работы высокочастотных генераторов ТСОИ и ВТСС. в результате воздействия информационного сигнала на элементах генераторов наводятся электрические сигналы, которые могут вызвать непреднамеренную модуляцию собственных высокочастотных колебаний генераторов и излучение в окружающее пространство. электромагнитные излучения на частотах самовозбуждения усилителей низкой частоты технических средств передачи информации (ТСПИ). самовозбуждение возможно за счет случайных преобразований отрицательных обратных связей в паразитные положительные, что приводит к переводу усилителя из режима усиления в режим автогенерации сигналов, причем сигнал на частотах самовозбуждения, как правило, оказывается промодулированным информационным сигналом Возможными причинами возникновения электрических каналов утечки могут быть: наводки электромагнитных излучений ТСОИ. возникают при излучении элементами ТСОИ информационных сигналов, а также при наличии гальванической связи соединительных линий ТСОИ и посторонних проводников или линий ВТСС просачивание информационных сигналов в цепи электропитания. возможно при наличии магнитной связи между выходным трансформатором усилителя и трансформатором электропитания, а также за счет неравномерной нагрузки на выпрямитель, что приводит к изменению потребляемого тока по закону изменения информационного сигнала просачивание информационных сигналов в цепи заземления. образуется за счет гальванической связи с землей различных проводников, выходящих за пределы контролируемой зоны, в том числе нулевого провода сети электропитания, экранов, металлических труб систем отопления и водоснабжения, металлической арматуры и т. п. съем информации с использованием закладных устройств. последние представляют собой устанавливаемые в ТСОИ микропередатчики, излучения которых модулируются информационным сигналом и принимаются за пределами контролируемой зоны Параметрический канал утечки информации формируется путем высокочастотного облучения ТСОИ, при взаимодействии электромагнитного поля которого с элементами ТСОИ происходит переизлучение, промодулированное информационным сигналом. Анализ возможных каналов утечки и несанкционированного доступа, показывает, что существенную их часть составляют технические каналы утечки акустической информации. В зависимости от среды распространения акустических колебаний, способов их перехвата и физической природы возникновения информационных сигналов, технические каналы утечки акустической информации можно разделить на воздушные, вибрационные, электроакустические, оптико-электронные и параметрические. В воздушных технических каналах утечки информации средой распространения акустических сигналов является воздух и для их перехвата используются миниатюрные высокочувствительные и направленные микрофоны, которые соединяются с диктофонами или специальными микропередатчиками . Подобные автономные устройства, объединяющие микрофоны и передатчики, обычно называют закладными устройствами или акустическими закладками. Перехваченная этими устройствами акустическая информация может передаваться по радиоканалу, по сети переменного тока, соединительным линиям, посторонним проводникам, трубам и т.п. Особого внимания заслуживают закладные устройства, прием информации с которых можно осуществить с обычного телефонного аппарата. Для этого их устанавливают либо непосредственно в корпусе телефонного аппарата, либо подключают к телефонной линии в телефонной розетке. Подобные устройства, конструктивно объединяющие микрофон и специальный блок коммутации, часто называют "телефонным ухом". При подаче в линию кодированного сигнала или при дозвоне к контролируемому телефону по специальной схеме блок коммутации подключает микрофон к телефонной линии и осуществляет передачу акустической (обычно речевой) информации по линии практически на неограниченное расстояние. В отличие от рассмотренных выше каналов, в вибрационных (или структурных) каналах утечки информации средой распространения акустических сигналов является не воздух, а конструкции зданий (стены, потолки, полы), трубы водо- и теплоснабжения, канализации и другие твердые тела. В этом случае для перехвата акустических сигналов используются контактные, электронные (с усилителем) и радиостетоскопы (при передаче по радиоканалу). Электроакустические каналы утечки информации обычно образуются за счет преобразования акустических сигналов в электрические по двум основным направлениям: путем "высокочастотного навязывания" и путем перехвата через вспомогательные технические средства и системы (ВТСС). Технический канал утечки информации путем "высокочастотного навязывания" образуется при несанкционированном контактном введении токов высокой частоты от ВЧ-генератора в линии, имеющие функциональные связи с элементами ВТСС, на которых происходит модуляция ВЧ-сигнала информационным. Наиболее часто подобный канал утечки информации используют для перехвата разговоров, ведущихся в помещении, через телефонный аппарат, имеющий выход за пределы контролируемой зоны. С другой стороны, ВТСС могут сами содержать электроакустические преобразователи. К таким ВТСС относятся некоторые датчики пожарной сигнализации, громкоговорители ретрансляционной сети и т.д. Используемый в них эффект обычно называют "микрофонным эффектом". Перехват акустических колебаний в этом случае осуществляется исключительно просто. Например, подключая рассмотренные средства к соединительным линиям телефонных аппаратов с электромеханическими звонками, можно при положенной трубке прослушивать разговоры, ведущиеся в помещениях, где установлены эти телефоны. При облучении лазерным лучом вибрирующих в акустическом поле тонких отражающих поверхностей, таких как стекла окон, зеркал, картин и т.п., создается оптико-электронный (лазерный) канал утечки акустической информации. Отраженное лазерное излучение модулируется по амплитуде и фазе и принимается приемником оптического излучения, при демодуляции которого выделяется речевая информация. Для перехвата речевой информации по данному каналу используются локационные системы, работающие, как правило, в ближнем инфракрасном диапазоне и известные как "лазерные микрофоны". Дальность перехвата составляет несколько сотен метров. Параметрический канал утечки акустической информации образуется в результате воздействия акустического поля на элементы высокочастотных генераторов и изменения взаимного расположения элементов схем, проводов, дросселей и т.п., что приводит к изменениям параметров сигнала, например, модуляции его информационным сигналом. Промодулированные высокочастотные колебания излучаются в окружающее пространство и могут быть перехвачены и детектированы соответствующими средствами. Параметрический канал утечки акустической информации может быть создан и путем высокочастотного облучения помещения, где установлены полуактивные закладные устройства, имеющие элементы, параметры которых (добротность, частота и т.п.) изменяются по закону изменения акустического (речевого) сигнала. Необходимо отметить, что акустический канал может быть источником утечки не только речевой информации. В литературе описаны случаи, когда с помощью статистической обработки акустической информации с принтера или клавиатуры удавалось перехватывать компьютерную текстовую информацию, в том числе осуществлять съем информации по системе централизованной вентиляции. Особый интерес представляет перехват информации при ее передаче по каналам связи. Как правило, в этом случае имеется свободный несанкционированный доступ к передаваемым сигналам. В зависимости от вида каналов связи, технические каналы перехвата информации можно разделить на электромагнитные, электрические и индукционные. Электромагнитные излучения передатчиков средств связи, модулированные информационным сигналом, могут перехватываться естественным образом с использованием стандартных технических средств. Этот электромагнитный канал перехвата информации широко используется для прослушивания телефонных разговоров, ведущихся по радиотелефонам, сотовым телефонам или по радиорелейным и спутниковым линиям связи. Электрический канал перехвата информации, передаваемой по кабельным линиям связи, предполагает контактное подключение к этим линиям. Этот канал наиболее часто используется для перехвата телефонных разговоров, при этом перехватываемая информация может быть записана на диктофон или передана по радиоканалу. Подобные устройства, подключаемые к телефонным линиям связи и содержащие радиопередатчики для ретрансляции перехваченной информации, обычно называют телефонными закладками. Вообще говоря, непосредственное электрическое подключение аппаратуры перехвата является компрометирующим признаком, поэтому чаще используется индукционный канал перехвата, не требующий контактного подключения к каналам связи. Современные индукционные датчики, по сообщениям открытой печати, способны снимать информацию с кабелей, защищенных не только изоляцией, но и двойной броней из стальной ленты и стальной проволоки, плотно обвивающих кабель. В последнее время пристальное внимание привлекают каналы утечки графической информации, реализуемые техническими средствами в виде изображений объектов или копий документов, получаемых путем наблюдения за объектом, съемки объекта и съемки (копирования) документов. В зависимости от условий наблюдения обычно используются соответствующие технические средства, в том числе: оптика (бинокли, подзорные трубы, телескопы, монокуляры), телекамеры, приборы ночного видения, тепловизоры и т.п. Для документирования результатов наблюдения проводится съемка объектов, для чего используются фотографические и телевизионные средства, соответствующие условиям съемки. Для снятия копий документов используются электронные и специальные (закамуфлированные) фотоаппараты. Для дистанционного съема видовой информации используют видеозакладки. Рассмотренные выше методы получения информации основаны на использовании внешних каналов утечки. Необходимо, однако, кратко остановиться и на внутренних каналах утечки информации, тем более, что обычно им не уделяют должного внимания. Внутренние каналы утечки связаны, как правило, с администрацией и обслуживающим персоналом, с качеством организации режима работы. Из них, в первую очередь, следует отметить такие каналы, как хищение носителей информации , съем информации с ленты принтера и плохо стертых дискет , использование производственных и технологических отходов, визуальный съем информации с дисплея и принтера , несанкционированное копирование и т.п. 1.2.4. Система защиты информации Средства защиты информации, присутствующие в настоящее время на рынке условно можно разделить на несколько групп: активные и пассивные технические средства, обеспечивающие защиту от утечки информации по различным физическим полям, возникающим при применении средств ее обработки; программные и программно-технические средства, обеспечивающие разграничение доступа к информации на различных уровнях, идентификацию и аутентификацию пользователей; программные и программно-технические средства, обеспечивающие защиту информации и подтверждение ее подлинности при передаче по каналам связи; программно-аппаратные средства, обеспечивающие целостность программного продукта и защиту от несанкционированного его копирования; программные средства, обеспечивающие защиту от воздействия программ-вирусов и других вредоносных программ; физико-химические средства защиты, обеспечивающие подтверждение подлинности документов, безопасность их транспортировки и защиту от копирования. Особняком стоят защищенные общесистемные программные продукты, исключающие возможность использования не декларированных программных возможностей. Таких систем пока еще не очень много. Среди них можно назвать операционную систему МС ВС, разработки ВНИИНС и систему управления базами данных “ЛИНТЕР” разработки НПО “Рэлэкс”, которые прошли этап сертификации и рекомендуются для использования при обработке конфиденциальной информации. Сейчас ведутся серьезные переговоры с зарубежными фирмами о сертификации таких программных продуктов, как ОС “Windows-NT”, “Solaris”, “Orakl”. Это достаточно сложный процесс. В настоящее время под руководством Гостехкомиссии России и ФАПСИ ведутся работы по созданию новых информационных технологий защиты информации. В рамках этих работ, в частности, разработаны и прошли Государственную сертификацию программные средства защиты информации от несанкционированного доступа "Снег-1.0", "Снег-2.0", "Снег-ЛВС", "Secret Net 1.0","Secret Net 2.1", "Dallas Lock 3.0", "Dallas Lock 3.1", "Сизам", "Страж-1", прграммно-аппаратные комплексы “Аккорд”, “Диз 1.0”, “SVET&Q” и другие. В это же ряду стоят и специальные устройства - межсетевые экраны, обеспечивающие защиту корпоративных сетей от вторжения из глобальных информационных сетей типа Internet. Это программно-аппаратные комплексы “SKIP” и “Пандора”. В качестве примера технических средств, обеспечивающие защиту от утечки информации по различным физическим полям, возникающим при применении средств ее обработки можно привести генераторы шума ГШ1000, ГШ-1000к, устройство защиты “Салют”, обеспечивающие скрытие информационных побочных электромагнитных излучений средств обработки информации, сетевые помехоподавляющие фильтры ФСПК-100 и ФСПК200, устройство защиты от перехвата речевой информации через телефонные аппараты “Корунд”и целый ряд других. Рядом организаций, имеющих лицензию Гостехкомиссии России, отработана уникальная технология доработки персональных ЭВМ, удовлетворяющих требованиям по защите информации (АО "ДОС", АО "РНТ", АО "Ланит", АО "СВЕМЕЛ"). Для подтверждения подлинности сообщений используются системы электронной цифровой подписи и криптографической защиты "Верба", "Верба-О"и "Маскарад". В настоящее время средства и системы, предназначенные для защиты информации и подтверждения ее подлинности при передаче по каналам связи и, в первую очередь, криптографические устройства, производятся более чем 700 зарубежными фирмами. Эти устройства время от времени появляются и на российском рынке. Однако, необходимо отметить, что ни одно зарубежное средство шифрования не прошло сертификацию в соответствии с законами, установленными в Росийской Федерации, и поэтому гарантий обеспечения безопасности обработанной с их помощью информации при использовании в автоматизированных системах, предназначенных для обработки конфиденциальной информации нет. Сертификаты же, выданные иностранными учреждениями и компаниями, юридической силы в России не имеют. Для защиты конфиденциальной информации, передаваемой по каналам связи могут, использоваться скремблеры и шифраторы. Фирма Thomson-CSF (Франция) выпускает речевые скремблеры типа TRC 769 защищающие телефонные каналы путем частотно-временных перестановок со скользящим окном. Для защиты конфиденциальной информации в каналах радиосистем связи предназначены устройства фирмы Simens (Германия), Grundy & Pirtners (Великобритания). Ряд фирм выпускает криптографические устройства ориентированные на работу в сетях, например, шифратор ScaNet фирмы Dowty Network Systems (Великобритания), шифратор Datacryptor-64 фирмы Racal Datacom (США) для пользователей сети с пакетной коммутацией по протоколу X.25 МККТТ. Фирма NFT (Норвегия) разработала серию криптомодулей со скоростями до 10 Мбит/с, предназначенных для засекречивания потоков и применения в локальных сетях. Фирма Xerox (США) создала блок высококачественного шифрования данных Xerox Encription Unit, обеспечивающий защиту особо секретной информации, в локальной сети. Фирма PE Systems (США) поставляет систему GILLAROO для передачи цифровой подписи и защиты секретной информации, передаваемой в сетях и каналах связи. Фирма Calmes Semiconductor Inc. (США) производит криптопроцессор СЛ34С168 для блочного шифрования на скорости до 300 Кбит/с. За последнее время предложены новые алгоритмы шифрования, например NEWDES и FEAL, рассчитанные на шифрование потоков со скоростями до 1 Гбит/с. Средства криптографической защиты, выполненные российскими производителями, в наибольшей степени соответствуют принятым в России требованиям, однако, не все из этих устройств имеют соответствующий сертификат ФАПСИ, что делает их применение противозаконным. Вместе с тем, по желанию заказчика, эти устройства могут быть выставлены на сертификационные испытания в Системе ертификации средств криптографической защиты информации. Реализация алгоритма по ГОСТ 28147-89 эффективно может быть осуществлена на универсальных, либо на сигнальных процессорах. Шифратор "Спринт" (АО "Инфотекс") выполнен на программируемой логической матрице фирмы Xilinx и обеспечивает работу на скоростях до 10 Мбит/сек. Протокол обмена программируется по требованиям заказчика. Плата DB-25RS (АО "Сигнал РОКС"), выполненная на сигнальном процессоре TMS320C25, обеспечивает криптографическую защиту вокодерной связи или данных на скорости 2400 бит/сек. Фирма "Анкад" выпускает устройство шифрования данных "КРИПТОН-3" для коммерческой связи, встраиваемое в ПЭВМ. НПО "Автоматика" предлагает встраиваемую в ПЭВМ плату "Корунд", предназначенную для защиты информации в каналах связи и на носителях внутри ПЭВМ. Ряд отечественных фирм выпускает скремблеры для засекречивания телефонных сообщений - УЗТП (АО "Инфотекс"), БАЗАЛЬТ (НПО "Автоматика"), АКТП (НПО "Элас"). Известны некоторые программные варианты решения вопроса криптографической защиты по ГОСТ 28147-89. Примером таких программных продуктов являются пакеты программ "Град" (ЦНИИатоминформ), "Удача" (АО "Инфотекс"), "Нотариус" и "Афина" (АО "ЛАН Крипто"). На радиолиниях Минсвязи России широко применяются устройства засекречивания телеграфной информации "Трап-1", "Ю-123", "Ю-122", "Вежа-С" и телефонной информации, разработанные НИИР. Эти устройства имеют сертификат соответствия ФАПСИ. Подразделениями НТЦ ФАПСИ ведутся работы по созданию нового стандарта "электронной подписи", обеспечивающей защиту документированной информации при высоких скоростях ее передачи по каналам связи. Войсковой частью 01168 и АО "Диалог-Наука" созданы программные средства, обеспечивающие защиту от воздействия программ-вирусов и других вредоносных программ, а также программы-ревизоры магнитных носителей. Надо отметить, что Гостехкомиссией России сейчас принимаются определенные усилия по разработке специального руководящего документа, который позволит предъявит к программам такого класса специальные требования и, как следствие, провести их сравнение на уровне сертификационных испытаний. Пока таких требований нет. Однако можно с уверенностью сказать, что такие антивирусные программы как "DoctorWeb", “Aidstest”, “Adinf”, “Sherif” могут успешно использоваться потребителями, правда если это лицензионные копии, за которые несет ответственность фирма-производитель. В последнее время все более широкое распространение на рынке программно-аппаратных средств защиты информации получают системы предотвращения несанкционированного копирования программных продуктов типа "HASP - ключей". Основой многих современных систем охраны помещений и защиты от несанкционированного доступа к информации служат электронные идентификационные устройства. Примером такого устройства является автоматический идентификатор, производимый американской фирмой DALLAS SEMICONDUCTOR. Идентификатор может быть встроен в брелок, визитную карточку, пропуск. В зависимости от варианта применения автоматический идентификатор может использоваться с различными дополнительными устройствами: электронными замками, компьютерами. Системы обеспечения безопасности на его основе выпускаются Ассоциацией "Конфидент", АО "РНТ", АО "Аладдин", АО "Информзащита", АО "АРТИ". Наличие в идентификаторе изменяемой памяти позволяет использовать его для широкого класса приложений, например, для хранения личных, периодически изменяемых ключей шифрования пользователя; для хранения информации о состоянии личного счета пользователя для расчетных систем; для хранения информации о разрешенном времени прохода в пропускных системах. Использование идентификатора вместе с электронными замками дает широкие возможности по управлению доступом пользователей в режимные помещения: централизованное оперативное слежение за проходом в помещения, дистанционное управление допуском, гибкое установление правил допуска в помещения (например, по определенным дням и часам). Еще несколько слов о новейших технологиях основанных на использовании физико-химических свойств материалов и обеспечивающих подтверждение подлинности документов, безопасность их транспортировки и защиту от копирования. Это специальные тонкопленочные материалы с изменяющейся цветовой гаммой на основе технологии Advateg, наносимые на документы и предметы или галографические метки. Они позволяют однозначно идентифицировать подлинность объекта и контролировать несанкционированный доступ к ним. Кроме того, на основе технологии Advateg разработаны специальные конверты, пакеты и другой упаковочный материал, который позволяет гарантировать конфиденциальность документов и материальных средств при их транспортировке даже по обычным почтовым каналам. Сейчас такие средства проходят сертификацию в системе сертификации Гостехкомиссии России. 1.3. ИНФОРМАЦИЯ КАК ОБЬЕКТ ПРАВА Основываясь на определении статьи 1 ФЗ РФ от 20.02.1995. №24-ФЗ «Об информации, информатизации и защите информации» с изменениями от 10.01.2003., информация- сведения о лицах, предметах, фактах, событиях, явлениях и процессах, независимо от формы их представления. Можно предположить, что вся информация, являющаяся результатом интеллектуальной деятельности человека выступает в качестве объекта правовой охраны. В Конституции РФ закреплено, что органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом (ст.24). Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Перечень сведений, составляющих государственную тайну, определяется федеральным законом (ст.29). Кроме того, законодатель регламентирует порядок обращения с отдельными видами информации: это результаты творческой деятельности. В отношении информации законодатель использует различные методы правового регулирования: Запрет на засекречивание информации Запрет на распространение информации Контроль за оборотом информации Таким образом, охраняемая информация-информация, оборот которой отягощен какими-либо условиями. В соответствии с ФЗ РФ от 20.02.1995. №24-ФЗ «Об информации, информатизации и защите информации» с изменениями от 10.01.2003., целями защиты информации являются: Предотвращение утечки, хищения, утраты, искажения, подделки информации; Предотвращение угроз безопасности личности, общества, государства; Предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности; Защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах; Сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством; Обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения. Собственник информационных ресурсов или уполномоченные им лица имеют право осуществлять контроль за выполнением требований по защите информации и запрещать или приостанавливать обработку информации в случае невыполнения этих требований. Статья 6 указанного закона гласит: 1.Информационные ресурсы могут быть государственными и негосударственными и как элемент состава имущества находятся в собственности граждан, органов государственной власти, органов местного самоуправления, организаций и общественных объединений. Отношения по поводу права собственности на информационные ресурсы регулируются гражданским законодательством Российской Федерации. 2. Физические и юридические лица являются собственниками тех документов, массивов документов, которые созданы за счет их средств, приобретены ими на законных основаниях, получены в порядке дарения или наследования. 3. Российская Федерация и субъекты Российской Федерации являются собственниками информационных ресурсов, создаваемых, приобретаемых, накапливаемых за счет средств федерального бюджета, бюджетов субъектов Российской Федерации, а также полученных путем иных установленных законом способов. Государство имеет право выкупа документированной информации у физических и юридических лиц в случае отнесения этой информации к государственной тайне. Собственник информационных ресурсов, содержащих сведения, отнесенные к государственной тайне, вправе распоряжаться этой собственностью только с разрешения соответствующих органов государственной власти. 4. Субъекты, представляющие в обязательном порядке документированную информацию в органы государственной власти и организации, не утрачивают своих прав на эти документы и на использование информации, содержащейся в них. Документированная информация, представляемая в обязательном порядке в органы государственной власти и организации юридическими лицами независимо от их организационно-правовой формы и форм собственности, а также гражданами на основании статьи 8 настоящего Федерального закона, формирует информационные ресурсы, находящиеся в совместном владении государства и субъектов, представляющих эту информацию. 5. Информационные ресурсы, являющиеся собственностью организаций, включаются в состав их имущества в соответствии с гражданским законодательством Российской Федерации. Информационные ресурсы, являющиеся собственностью государства, находятся в ведении органов государственной власти и организаций в соответствии с их компетенцией, подлежат учету и защите в составе государственного имущества. 6. Информационные ресурсы могут быть товаром, за исключением случаев, предусмотренных законодательством Российской Федерации. 7. Собственник информационных ресурсов пользуется всеми правами, предусмотренными законодательством Российской Федерации, в том числе он имеет право: назначить лицо, осуществляющее хозяйственное ведение информационными ресурсами или оперативное управление ими; устанавливать в пределах своей компетенции режим и правила обработки, защиты информационных ресурсов и доступа к ним; определять условия распоряжения документами при их копировании и распространении. 8. Право собственности на средства обработки информации не создает права собственности на информационные ресурсы, принадлежащие другим собственникам. Документы, обрабатываемые в порядке предоставления услуг или при совместном использовании этих средств обработки, принадлежат их владельцу. Принадлежность и режим производной продукции, создаваемой в этом случае, регулируются договором. Уголовный кодекс РФ (ст.272) устанавливает уголовную ответственность за неправомерный доступ к компьютерной информации, то есть информации на машинном носителе (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети. Более строгое наказание предусмотрено частью второй указанной статьи за то же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ, или их сети. Неправомерным признается доступ к компьютерной информации лица, не обладающего правами на получение и работу с данной информацией либо компьютерной системой. Причем в отношении этой информации либо системы должны приниматься специальные меры защиты, ограничивающие круг лиц, имеющих к ней доступ. Неправомерный доступ может выражаться в проникновении в компьютерную систему путем: Использования специальных технических или программных средств, позволяющих преодолеть установленные системы защиты; Незаконного использования действующих паролей или кодов для проникновения в компьютер либо совершение иных действий в целях проникновения в систему или сеть под видом законного пользователя; Хищения носителей информации, при условии, что были приняты меры к их охране, если это деяние повлекло уничтожение или блокирование информации. 1.4. Основные понятия криптологии 1.4.1. Основные понятия криптографии и криптоанализа На протяжении многих веков человечество использовало криптографические методы для защиты информации при ее передаче и хранении. Приблизительно к концу XIX в. эти методы стали объектом математического изучения. Отрасль математики, изучающая защиту информации, традиционно называется криптологией [cryptology] и подразделяется на криптографию [cryptography], занимающуюся разработкой новых методов и обоснованием их корректности, и криптоанализ [cryptanalysis], задача которого - интенсивное изучение существующих методов, часто с целью реального раскрытия секретов другой стороны. Криптография и криптоанализ находятся в тесном взаимодействии друг с другом и с практическими нуждами и развиваются параллельно закрытыми правительственными организациями многих государств и международным научным сообществом. Итак, криптография дает возможность преобразовать информацию таким образом, что ее прочтение (восстановление) возможно только при знании ключа. В качестве информации, подлежащей шифрованию и дешифрованию, рассматриваются тексты, построенные на некотором алфавите. Под этими терминами понимается следующее. Алфавит - конечное множество используемых для кодирования информации знаков. Текст - упорядоченный набор из элементов алфавита. В качестве примеров алфавитов используемых в современных ИС, можно привести следующие: алфавит Z33 - 32 буквы русского алфавита и пробел; алфавит Z256 - символы, входящие в стандартные коды ASCII и КОИ-8; бинарный алфавит - Z2 = {0,1}; восьмеричный алфавит или шестнадцатеричный алфавит. Шифрование - преобразовательный процесс: исходный текст, который носит также название открытого текста, заменяется шифрованным текстом. исходный текст Криптографическая система КЛЮЧ шифрованный текст Дешифрование - обратный шифрованию процесс. На основе ключа шифрованный текст преобразуется в исходный шифрованный текст Криптографическая система исходный текст КЛЮЧ Ключ - информация, необходимая для беспрепятственного шифрования и дешифрования текстов. Криптографическая система представляет собой семейство T преобразований открытого текста. Члены этого семейства индексируются, или обозначаются символом k; параметр k является ключом. Пространство ключей K - это набор возможных значений ключа. Обычно ключ представляет собой последовательный ряд букв алфавита. Криптосистемы разделяются: на симметричные (на основе одноключевых шрифтов) и с открытым ключом (на основе двухключевых шрифтов). В симметричных криптосистемах и для шифрования, и для дешифрования используется один и тот же ключ. В системах с открытым ключом используются два ключа - открытый и закрытый, которые математически связаны друг с другом. Информация шифруется с помощью открытого ключа, который доступен всем желающим, а расшифровывается с помощью закрытого ключа, известного только получателю сообщения. Термины распределение ключей и управление ключами относятся к процессам системы обработки информации, содержанием которых является составление и распределение ключей между пользователями. Электронной (цифровой) подписью называется присоединяемое к тексту его криптографическое преобразование, которое позволяет при получении текста другим пользователем проверить авторство и подлинность сообщения. Криптостойкостью называется характеристика шифра, определяющая его стойкость к дешифрованию без знания ключа (т.е. криптоанализу). Имеется несколько показателей криптостойкости, среди которых: количество всех возможных ключей; среднее время, необходимое для криптоанализа. Преобразование Tk определяется соответствующим алгоритмом и значением параметра k. Эффективность шифрования с целью защиты информации зависит от сохранения тайны ключа и криптостойкости шифра. 1.4.2.Требования к криптосистемам Процесс криптографического закрытия данных может осуществляться как программно, так и аппаратно. Аппаратная реализация отличается существенно большей стоимостью, однако ей присущи и преимущества: высокая производительность, простота, защищенность и т.д. Программная реализация более практична, допускает известную гибкость в использовании. Для современных криптографических систем защиты информации сформулированы следующие общепринятые требования: зашифрованное сообщение должно поддаваться чтению только при наличии ключа; число операций, необходимых для определения использованного ключа шифрования по фрагменту шифрованного сообщения и соответствующего ему открытого текста, должно быть не меньше общего числа возможных ключей; число операций, необходимых для расшифровывания информации путем перебора всевозможных ключей должно иметь строгую нижнюю оценку и выходить за пределы возможностей современных компьютеров (с учетом возможности использования сетевых вычислений); знание алгоритма шифрования не должно влиять на надежность защиты; незначительное изменение ключа должно приводить к существенному изменению вида зашифрованного сообщения даже при использовании одного и того же ключа; структурные элементы алгоритма шифрования должны быть неизменными; дополнительные биты, вводимые в сообщение в процессе шифрования, должен быть полностью и надежно скрыты в шифрованном тексте; длина шифрованного текста должна быть равной длине исходного текста; не должно быть простых и легко устанавливаемых зависимостью между ключами, последовательно используемыми в процессе шифрования; любой ключ из множества возможных должен обеспечивать надежную защиту информации; алгоритм должен допускать как программную, так и аппаратную реализацию, при этом изменение длины ключа не должно вести к качественному ухудшению алгоритма шифрования. 1.4.3. Надежность использования криптосистем Криптографическая система не может быть надежнее использованных в ней отдельных алгоритмов шифрования. Иными словами, для того чтобы преодолеть систему защиты, достаточно взломать любой из ее компонентов. Использование хороших строительных материалов еще не является гарантией прочности здания. Так и криптографическая система, построенная на основе мощных алгоритмов и протоколов, тоже может оказаться слабой. Многие системы "теряют гарантию" безопасности, если используются неправильно. Скажем, проверка допустимости значений переменных не выполняется, "случайные" параметры используются многократно, что совершенно недопустимо. Алгоритмы шифрования необязательно обеспечивают целостность данных. Протоколы обмена ключами необязательно гарантируют, что обе стороны получат один и тот же ключ. Некоторые системы шифрования, использующие связанные ключи, могут быть взломаны, даже если каждый ключ в отдельности надежен. Чтобы обеспечить безопасность, недостаточно просто реализовать алгоритм и ждать, что все будет работать. Даже наличие квалифицированных инженеров, помощь известных компаний и упорный труд не могут гарантировать абсолютной надежности. Бреши, обнаруженные в алгоритмах шифрования систем сотовой связи стандартов CDMA и GSM, а также в протоколе Microsoft Point-to-Point Tunneling Protocol (PPTP), наглядно это иллюстрируют. К примеру, в достаточно надежном алгоритме RC4, на котором построен протокол PPTP, нам удалось обнаружить режим, который делал защиту абсолютно прозрачной. Еще одно слабое место криптографических средств - генераторы случайных чисел. Разработать хороший генератор случайных чисел непросто, поскольку он часто зависит от особенностей аппаратного и программного обеспечения. Сама система шифрования может быть выполнена на высоком уровне, но если генератор случайных чисел выдает легко угадываемые ключи, то все оставшиеся барьеры преодолеваются без особого труда. В ряде продуктов используются генераторы случайных чисел, вырабатывающие ключи, в которых прослеживается определенная закономерность. В таких случаях о безопасности говорить не приходится. Интересно, что применение одного и того же генератора в некоторых областях обеспечивает требуемую степень безопасности, а в других - нет. Еще одно возможное слабое место - взаимодействие между по отдельности безопасными протоколами шифрования. Почти для каждого безопасного протокола, как правило, можно найти другой, не менее надежный, который сведет на нет все достоинства первого, если они оба используют одинаковые ключи на одном и том же устройстве. Если различные стандарты защиты применяются в одной среде, недостаточно четкое взаимодействие между ними зачастую может привести к весьма нежелательным последствиям. Атаки на конкретные реализации Многие системы подводят из-за ошибок в реализации. Некоторые продукты не гарантируют, что, зашифровав текст, они уничтожат оригинал. В других для предупреждения потери информации в случае системного сбоя используются временные файлы, а доступная оперативная память расширяется за счет памяти виртуальной; в этом случае на жестком диске могут оставаться отдельные фрагменты незашифрованного текста. Переполнение буферов, не стертая до конца секретная информация, недостаточно надежная система обнаружения и восстановления после ошибок - все это примеры брешей в конкретных реализациях, через которые очень часто и проникают злоумышленники. В наиболее вопиющих случаях операционная система даже оставляет ключи на жестком диске. В одном из продуктов крупной софтверной компании ввод пароля осуществлялся через специальное окно. При этом пароль сохранялся в буфере окна и после его закрытия. Проводить дальнейшие исследования защищенности системы уже не имело смысла. Слабые стороны других продуктов не так явно бросались в глаза. Иногда одни и те же данные шифровались при помощи двух ключей: первый из них был надежным, а второй подбирался достаточно легко; но при этом эксперименты с уже подобранным ключом помогал подобрать и другой. В других системах применялись мастер-ключи и ключи "на один сеанс"; причем безопасности главного ключа уделялось недостаточное внимание, а основные надежды возлагались на одноразовые ключи. Для создания понастоящему надежной системы безопасности необходимо полностью исключить возможность анализа строения ключей, а не ограничиваться лишь самыми очевидными мерами предосторожности. Создатели систем электронной коммерции часто вынуждены идти на компромисс ради расширения функциональности. И поскольку разработчики предпочитают жертвовать безопасностью, в защите то и дело появляются дыры. Сверка учетных записей, к примеру, может проводиться только раз в день, но за несколько часов взломщик способен нанести поистине колоссальный ущерб! Перегрузка процедуры идентификации может привести к тому, что личность атакующего не будет распознана. Некоторые системы заносят сомнительные ключи в "черные списки"; получение доступа к этим спискам существенно облегчает задачу взломщика. Многие системы защиты преодолеваются после повторных атак и использования старых сообщений или их частей, сбивающих систему с толку. Потенциальная опасность заложена в возможности восстановления ранее использовавшихся ключей в системах с расщеплением. В хороших криптографических системах срок жизни ключей ограничивается максимально коротким промежутком времени. Процедура восстановления позволяет продлить жизнь ключа уже после того, как от него отказались. Используемые для восстановления ключей базы данных сами по себе являются источником опасности, и их архитектура должна быть выверена с особой тщательностью. В ряде случаев бреши в них позволяли взломщикам маскироваться под легальных пользователей. Атаки на оборудование Некоторые системы (чаще всего коммерческого назначения) имеют так называемое "кольцо безопасности", состоящее из аппаратных средств повышенной устойчивостью к взломам (смарт-карт, электронных бумажников, электронных ключей и т.д.). Создатели подобных систем исходят из предположения, что архитектура системы внутри этого кольца надежно защищена от несанкционированного доступа. Надежность оборудования - очень важная составляющая комплексных систем безопасности, но не стоит полностью доверять решениям, защищающим только от воровства и неумелого обращения. Большинство подобных технологий на практике не работают, а инструменты для их взлома непрерывно совершенствуются. При проектировании подобных систем очень важно не забывать о дополнительных механизмах защиты, которые должны срабатывать, если взломщикам удастся преодолеть первые оборонительные редуты. Нужно постараться максимально осложнить задачу противника и сделать ее решение невыгодным с экономической точки зрения. Стоимость защищаемых данных должна быть значительно ниже затрат на разрушение системы безопасности. Ценность электронного проездного не может идти ни в какое сравнение со стоимостью портфеля ценных бумаг. Исходя из этого и следует проектировать средства защиты. В 1995 году значительно возросло число "атак по расписанию": выяснилось, что секретные ключи RSA можно восстанавливать, измеряя временные интервалы между операциями шифрования. Был зарегистрирован ряд случаев успешного взлома смарт-карт, а также серверов электронной коммерции в Internet. Обнаружилось, что атаки строились на основе измерения потребляемой мощности, анализа электромагнитного излучения и других побочных источников информации. Специалистам по криптографии удалось по этим признакам реконструировать логику многих систем с открытыми ключами, продемонстрировав их ненадежность. Большую популярность приобрел метод анализа сбоев, позволяющий находить слабые места криптопроцессоров и восстанавливать секретные ключи. Подобные методы по своему духу скорее биологические. Криптографические системы в этом случае рассматриваются как сложные объекты, которые реагируют на внешние раздражители. Их нельзя четко описать с помощью математических уравнений, но последствия таких атак разрушительны. Атаки на модели доверительных отношений Многие интересные способы преодоления защитных рубежей связаны с моделями доверительных отношений внутри системы. Прежде всего, следует выявить связи между отдельными компонентами системы, уяснить ограничения и механизм реализации схемы доверительных отношений. Простые системы (средства шифрования телефонных переговоров и информации на жестких дисках) используют элементарные доверительные модели. Комплексные системы (средства электронной торговли или средства защиты многопользовательских пакетов электронной почты) построены на основе сложных (и гораздо более надежных) моделей доверительных отношений, описывающих взаимосвязи множества элементов. В программе электронной почты может использоваться супернадежный алгоритм шифрования сообщений, но если ключи не сертифицированы источником, заслуживающим доверия, и сертификация эта не может быть подтверждена в реальном времени, безопасность системы остается под вопросом. Некоторые торговые системы могут быть вскрыты по соглашению продавца с покупателем или в результате объединенных усилий нескольких клиентов. В других системах предусмотрено наличие средств обеспечения безопасности, но качество этих средств никто никогда не проверял. Если модель доверительных отношений не документирована, то в процессе развертывания в продукт можно случайно внести какие-либо недопустимые изменения, после чего стройность системы безопасности будет нарушена. Многие программные пакеты слишком доверяются защищенности аппаратных средств. Предполагается, что компьютер абсолютно безопасен. Рано или поздно в такую программу проникает "троянский конь", который подбирает пароли, считывает незашифрованный текст или каким-то иным образом вмешивается в работу системы защиты. Разработчикам систем, функционирующих в компьютерных сетях, следует побеспокоиться о безопасности сетевых протоколов. Уязвимость компьютеров, подключенных к Internet, многократно возрастает. Система шифрования, которая преодолевается "со стороны сети", никуда не годится. Не существует программ, безопасность которых выстояла после того, как противнику удалось применить обратное проектирование. Очень часто система проектируется в расчете на одну модель доверительных отношений, а в практической реализации фигурирует совсем другая. Принятые в процессе проектирования решения полностью игнорируются после передачи готового продукта пользователям. Система, которая абсолютно безопасна, когда ее операторы заслуживают доверия, а доступ к компьютерам полностью контролируется, теряет все свои преимущества, если обязанности операторов выполняют низкооплачиваемые работники, нанятые на короткий срок, а физический контроль за компьютерами утрачен. Впрочем, хорошие модели доверительных отношений продолжают работать даже в том случае, если отдельные компоненты подводят. Атаки на пользователей Даже если система гарантирует надежную защиту при правильной эксплуатации, пользователи могут случайно нарушить ее, особенно если система спроектирована недостаточно хорошо. Классическим примером является сотрудник, предоставляющий свой пароль коллегам с тем, чтобы они имели возможность решать неотложные задачи во время его отсутствия. Атака с учетом "человеческого фактора" зачастую оказывается куда более эффективной, чем месяцы кропотливого анализа алгоритмов. Пользователи могут в течение нескольких дней не сообщать об утере смарткарты. Они не уделяют требуемого внимания проверке электронной подписи. Секретные пароли порой повторно используются в несекретных системах. Клиенты даже не пытаются ликвидировать слабые места в системе безопасности. Конечно, даже хорошие системы не в состоянии ликвидировать последствия причин социального свойства, но они могут свести их к минимуму. Многие продукты взламываются потому, что их защита построена на основе паролей, генерируемых пользователями. Предоставленные сами себе люди не задумываются о том, как выбрать необычную последовательность символов. Ведь пароль, который невозможно подобрать, не так просто запомнить. Если в качестве секретного ключа применяется такой пароль, то подобрать его, как правило, удается гораздо проще и быстрее, чем используя метод грубой силы. Многие пользовательские интерфейсы еще больше облегчают задачу взломщика, ограничивая длину пароля 8 знаками, преобразуя вводимую последовательность в символы нижнего регистра и т.д. Даже пароли-фразы не обеспечивают требуемой степени безопасности. Злоумышленнику намного легче подобрать фразу из 40 букв, чем перебирать все возможные последовательности 64-разрядных случайных ключей. Иногда защита, в которой применяются очень надежный механизм ключи сеансов, разрушается из-за использования слабых паролей, предназначенных для восстановления ключей. Желание облегчить восстановление системы после сбоя фактически открывает перед атакующими черный ход. Атака на средства восстановления после сбоев Разработчики надежных систем не в состоянии заделать в заборе безопасности все мельчайшие щели, но по крайней мере зияющие дыры они ликвидируют. Восстановление ключа к одному файлу не позволит взломщику считать всю информацию, находящуюся на жестком диске. Изготовление фальшивых денег - очень серьезное преступление, ведь обладатель технологии печатания денег может уничтожить национальную валюту. Хакер, взламывающий смарт-карту, изучает секреты данного конкретного устройства, а не всех остальных смарт-карт, входящих в систему. В многопользовательских системах знание секретов одного человека не должно открывать доступа к информации других. Многие системы по умолчанию устанавливаются в режим с отключенными средствами безопасности. Если система защиты "заедает", пользователь просто отключает ее и продолжает заниматься своим делом. Такое поведение делает особенно эффективными атаки типа denial-of-service ("отказ в обслуживании"). Если онлайновая система авторизации кредитных карт отключена, продавец вынужден довольствоваться значительно менее надежной бумажной технологией. Иногда у взломщиков появляется возможность воспользоваться обратной совместимостью различных версий программного обеспечения. Как правило, в каждом новом варианте продукта разработчики стараются устранить бреши, имевшиеся в старом. Но требование обратной совместимости позволяет атакующему применять протокол старой, незащищенной версии. Некоторые системы не имеют средств восстановления. Если защита разрушена, вернуть программу в работоспособное состояние не представляется возможным. Выход из строя системы электронной торговли, к которой обращаются миллионы клиентов, грозит обернуться катастрофой. Поэтому подобные системы должны иметь средства организации противодействия атакующим и поддерживать возможность обновления системы безопасности без остановки программы. Хорошо продуманная система сама знает, как лучше противостоять атаке и что следует делать для устранения повреждений и оперативного восстановления работоспособности. Атака на средства шифрования Иногда слабые места можно найти и непосредственно в системе шифрования. Некоторые продукты создаются на базе не слишком удачных алгоритмов собственной разработки. Как правило, вскрыть известные алгоритмы шифрования удается лишь в исключительных случаях. Если же разработчик делает ставку на собственные методы, шансы взломщиков повышаются многократно. Незнание секрета алгоритма не является особым препятствием. Квалифицированному специалисту достаточно пары дней, чтобы по объектному коду восстановить исходный алгоритм шифрования. Надежность стандартной для электронной почты архитектуры S/MIME 2 не в состоянии компенсировать слабостей алгоритма шифрования. И без того не слишком надежная защита GSM от слабого алгоритма шифрования проигрывает еще больше. Во многих системах используются слишком короткие ключи. Можно привести множество других примеров ошибок в системах шифрования: программы повторно генерируют "уникальные" случайные значения, алгоритмы цифровой подписи не в состоянии обеспечить контроль за передаваемыми параметрами, хэш-функции открывают то, что должны защищать. В протоколы шифрования вносятся не предусмотренные разработчиками изменения. Пользователи любят "оптимизировать" имеющиеся средства, доводя их до столь примитивного уровня, что вся система защиты рушится, как карточный домик. 1.5. Криптографические системы защиты информации 1.5.1. Криптографические системы защиты информации на основе одноключевых шифров Все многообразие существующих криптографических методов можно свести к следующим классам преобразований: Гаммирование Подстановки Симметричные криптосистемы Перестановки Блочные шифры Моно- и многоалфавитные подстановки. Наиболее простой вид преобразований, заключающийся в замене символов исходного текста на другие (того же алфавита) по более или менее сложному правилу. Для обеспечения высокой криптостойкости требуется использование больших ключей. Перестановки. Также несложный метод криптографического преобразования. Используется как правило в сочетании с другими методами. Гаммирование. Этот метод заключается в наложении на исходный текст некоторой псевдослучайной последовательности, генерируемой на основе ключа. Блочные шифры. Представляют собой последовательность (с возможным повторением и чередованием) основных методов преобразования, применяемую к блоку (части) шифруемого текста. Блочные шифры на практике встречаются чаще, чем “чистые” преобразования того или иного класса в силу их более высокой криптостойкости. Российский и американский стандарты шифрования основаны именно на этом классе шифров. Перестановки Перестановкой набора целых чисел (0,1,...,N-1) называется его переупорядочение. Для того чтобы показать, что целое i перемещено из позиции i в позицию (i), где 0 (i) < n, будем использовать запись =((0), (1),..., (N-1)). Число перестановок из (0,1,...,N-1) равно n!=1*2*...*(N-1)*N. Введем обозначение для взаимно-однозначного отображения (гомоморфизма) набора S={s0,s1, ...,sN-1}, состоящего из n элементов, на себя. : S S : si s(i), 0 i < n Будем говорить, что в этом смысле является перестановкой элементов S. И, наоборот, автоморфизм S соответствует перестановке целых чисел (0,1,2,.., n-1). Криптографическим преобразованием T для алфавита Zm называется последовательность автоморфизмов: T={T(n):1n<} T(n): Zm,nZm,n, 1n< Каждое T(n) является, таким образом, перестановкой n-грамм из Zm,n. Поскольку T(i) и T(j) могут быть определены независимо при ij, число криптографических преобразований исходного текста размерности n равно (mn)!1. Оно возрастает непропорционально при увеличении m и n: так, при m=33 и n=2 число различных криптографических преобразований равно 1089!. Отсюда следует, что потенциально существует большое число отображений исходного текста в шифрованный. Практическая реализация криптографических систем требует, чтобы преобразования {Tk: kK} были определены алгоритмами, зависящими от относительно небольшого числа параметров (ключей). Системы подстановок Определение Подстановкой на алфавите Zm называется автоморфизм Zm, при котором буквы исходного текста t замещены буквами шифрованного текста (t): Zm Zm; : t (t). Набор всех подстановок называется симметрической группой Zm è будет в дальнейшем обозначаться как SYM(Zm). Утверждение SYM(Zm) c операцией произведения является группой, т.е. операцией, обладающей следующими свойствами: Замкнутость: произведение подстановок 12 является подстановкой: : t1(2(t)). Ассоциативность: результат произведения 123 не зависит от порядка расстановки скобок: (12)3=1(23) 1 Здесь и далее m - объем используемого алфавита. Существование нейтрального элемента: постановка i, определяемая как i(t)=t, 0t<m, является нейтральным элементом SYM(Zm) по операции умножения: i=i для SYM(Zm). Существование обратного: для любой подстановки существует единственная обратная подстановка -1, удовлетворяющая условию -1=-1=i. Число возможных подстановок в симметрической группе Zm называется порядком SYM(Zm) и равно m! . Определение. Ключом подстановки k для Zm последовательность элементов симметрической группы Zm: называется k=(p0,p1,...,pn-1,...), pnSYM(Zm), 0n< Подстановка, определяемая ключом k, является криптографическим преобразованием Tk, при помощи которого осуществляется преобразование n-граммы исходного текста (x0 ,x1 ,..,xn-1) в n-грамму шифрованного текста (y0 ,y1 ,...,yn-1): yi=p(xi), 0i<n где n – произвольное (n=1,2,..). Tk называется моноалфавитной подстановкой, если p неизменно при любом i, i=0,1,..., в противном случае Tk называется многоалфавитной подстановкой. Примечание. К наиболее существенным особенностям подстановки Tk относятся следующие: 1. Исходный текст шифруется посимвольно. Шифрования n-граммы (x0 ,x1 ,..,xn-1) и ее префикса (x0 ,x1 ,..,xs-1) связаны соотношениями Tk(x0 ,x1 ,..,xn-1)=(y0 ,y1 ,...,yn-1) Tk(x0 ,x1 ,..,xs-1)=(y0 ,y1 ,...,ys-1) 2. Буква шифрованного текста yi является функцией только i-й компоненты ключа pi и i-й буквы исходного текста xi. Подстановка Цезаря Подстановка Цезаря является самым простым вариантом подстановки. Она относится к группе моноалфавитных подстановок. Определение. Подмножество Cm={Ck: 0k<m} симметрической группы SYM(Zm), содержащее m подстановок Ck: j(j+k) (mod m), 0k < m, называется подстановкой Цезаря. Умножение коммутативно, CkCj=CjCk=Cj+k, C0 – идентичная подстановка, а обратной к Cк является Ck-1=Cm-k, где 0<k<m. Семейство подстановок Цезаря названо по имени римского императора Гая Юлия Цезаря, который поручал Марку Туллию Цицерону составлять послания с использованием 50буквенного алфавита и подстановки C3. Подстановка определяется по таблице замещения, содержащей пары соответствующих букв “исходный текст – шифрованный текст”. Для C3 подстановки приведены в Табл. 1. Стрелка () означает, что буква исходного текста (слева) шифруется при помощи C3 в букву шифрованного текста (справа). Определение. Системой Цезаря называется моноалфавитная подстановка, преобразующая n-грамму исходного текста (x0, x1 ,..,xn-1) в n-грамму шифрованного текста (y0 ,y1 ,...,yn-1) в соответствии с правилом yi=Ck(xi), 0i<n. Например, ВЫШЛИТЕ_НОВЫЕ_УКАЗАНИЯ посредством подстановки C3 преобразуется в еюыолхиврсеюивцнгкгрлб. Таблица 1. Аг Бд Ве Гж Дз Еи Жй Зк Ил Йм Кн Ло Мп Нр Ос Пт Ру Сф Тх Уц Фч Хш Цщ Чъ Шы Щь Ъэ Ыю Ья Э_ Юа Яб _в При своей несложности система легко уязвима. Если злоумышленник имеет 1) шифрованный и соответствующий исходный текст или 2) шифрованный текст выбранного злоумышленником исходного текста, то определение ключа и дешифрование исходного текста тривиальны. Более эффективны обобщения подстановки Цезаря - шифр Хилла и шифр Плэйфера. Они основаны на подстановке не отдельных символов, а 2грамм (шифр Плэйфера) или n-грамм2 (шифр Хилла). При более высокой криптостойкости они значительно сложнее для реализации и требуют достаточно большого количества ключевой информации. Многоалфавитные системы. Системы одноразового использования. Слабая криптостойкость моноалфавитных подстановок преодолевается с применением подстановок многоалфавитных. Многоалфавитная подстановка определяется ключом =(1, 2, ...), содержащим не менее двух различных подстановок. В начале 2 n-граммой называется последовательность из n символов алфавита. рассмотрим многоалфавитные системы подстановок с нулевым начальным смещением. Пусть {Ki: 0i<n} - независимые случайные переменные с одинаковым распределением вероятностей, принимающие значения на множестве Zm Pкл{(K0, K1, ..., Kn-1)=(k0, k1, ..., kn-1)}=(1/m)n Система одноразового использования преобразует исходный текст X=(X0, x1, ..., xn-1) в шифрованный текст Y=(Y0, y1, ..., yn-1) при помощи подстановки Цезаря Yi=CKi(xi)=(Ki+Xi) (mod m) i=0...n-1 (1) Для такой системы подстановки используют также термин “одноразовая лента” и “одноразовый блокнот”. Пространство ключей К системы одноразовой подстановки является вектором рангов (K0, K1, ..., Kn-1) и содержит mn точек. Рассмотрим небольшой пример шифрования с бесконечным ключом. В качестве ключа примем текст “БЕСКОНЕЧНЫЙ_КЛЮЧ....”. Зашифруем с его помощью Шифрование оформим в таблицу: текст “ШИФР_НЕРАСКРЫВАЕМ”. ШИФРУЕМЫЙ_ТЕКСТ 24 8 20 16 19 5 12 27 9 32 18 5 10 17 18 БЕСКОНЕЧНЫЙ_КЛЮЧ 1 5 17 10 14 13 5 23 13 27 9 32 10 11 30 ЩРДЪАТТССЦЪЫДФЬП 25 13 4 26 0 18 17 17 22 26 27 4 20 28 15 Исходный текст невозможно восстановить без ключа. Наложение белого шума в виде бесконечного ключа на исходный текст меняет статистические характеристики языка источника. Системы одноразового использования теоретически не расшифруемы, так как не содержат достаточной информации для восстановления текста. Почему же эти системы неприменимы для обеспечения секретности при обработке информации? Ответ простой - они непрактичны, так как требуют независимого выбора значения ключа для каждой буквы исходного текста. Хотя такое требование может быть и не слишком трудным при передаче по прямому кабелю Москва - Нью-Йорк, но для информационных оно непосильно, поскольку там придется шифровать многие миллионы знаков. Посмотрим, что получится, если ослабить требование шифровать каждую букву исходного текста отдельным значением ключа. Системы шифрования Вижинера Начнем с конечной последовательности ключа k = (k0 ,k1 ,...,kn), которая называется ключом пользователя, и продлим ее до бесконечной последовательности, повторяя цепочку. Таким образом, получим рабочий ключ k = (k0 ,k1 ,...,kn), kj = k(j mod r, 0 j < . Например, при r = и ключе пользователя 15 8 2 10 11 4 18 рабочий ключ будет периодической последовательностью: 15 8 2 10 11 4 18 15 8 2 10 11 4 18 15 8 2 10 11 4 18 ... Определение. Подстановка Вижинера VIGk определяется как VIGk : (x0, x1, ..., xn-1) (y0, y1, ..., yn-1) = (x0+k, x1+k,. .., xn-1+k). Таким образом: 1) исходный текст x делится на r фрагментов xi = (xi , xi+r , ..., xi+r(n-1)), 0 i < r; 2) i-й фрагмент исходного текста xi шифруется при помощи подстановки Цезаря Ck : (xi , xi+r , ..., xi+r(n-1)) (yi , yi+r , ..., yi+r(n-1)), Вариант системы подстановок Вижинера при m=2 называется системой Вернама (1917 г). В то время ключ k=(k0 ,k1 ,...,kк-1) записывался на бумажной ленте. Каждая буква исходного текста в алфавите, расширенном некоторыми дополнительными знаками, сначала переводилась с использованием кода Бодо в пятибитовый символ. К исходному тексту Бодо добавлялся ключ (по модулю 2). Старинный телетайп фирмы AT&T со считывающим устройством Вернама и оборудованием для шифрования, использовался корпусом связи армии США. Очень распространена плохая, с точки зрения секретности практика использовать слово или фразу в качестве ключа для того, чтобы k=(k0 ,k1 ,...,kк-1) было легко запомнить. В ИС для обеспечения безопасности информации это недопустимо. Для получения ключей должны использоваться программные или аппаратные средства случайной генерации ключей. Пример. Преобразование текста с помощью подстановки Вижинера (r=4) Исходный текст (ИТ1): НЕ_СЛЕДУЕТ_ВЫБИРАТЬ_НЕСЛУЧАЙНЫЙ_КЛЮЧ Ключ: КЛЮЧ Разобьем исходный текст на блоки по 4 символа: НЕ_С ЛЕДУ ЕТ_В ЫБИР АТЬ_ НЕСЛ УЧАЙ НЫЙ_ КЛЮЧ и наложим на них ключ (используя таблицу Вижинера): H+К=Ч, Е+Л=Р и т.д. Получаем зашифрованный (ЗТ1) текст: ЧРЭЗ ХРБЙ ПЭЭЩ ДМЕЖ КЭЩЦ ЧРОБ ЭБЮ_ ЧЕЖЦ ФЦЫН Можно выдвинуть и обобщенную систему Вижинера. ЕЕ можно сформулировать не только при помощи подстановки Цезаря. Пусть x - подмножество симметрической группы SYM(Zm). Определение. r-многоалфавитный ключ шифрования есть r-набор = (0, 1, ..., r-1) с элементами в x. Обобщенная система Вижинера преобразует исходный текст (x0, x1 ,..., xn-1) в шифрованный текст (y0 ,y1 ,...,yn-1) при помощи ключа = (0, 1, ..., r1) по правилу VIGk : (x0 ,x1 ,...,xn-1) (y0 ,y1 ,...,yn-1) = (0(х0), 1(х1), ..., n-1(xn-1)), где используется условие i = i mod r . Следует признать, что и многоалфавитные подстановки в принципе доступны криптоаналитическому исследованию. Криптостойкость многоалфавитных систем резко убывает с уменьшением длины ключа. Тем не менее такая система как шифр Вижинера допускает несложную аппаратную или программную реализацию и при достаточно большой длине ключа может быть использован в современных ИС. Гаммирование Гаммирование является также широко применяемым криптографическим преобразованием. На самом деле граница между гаммированием и использованием бесконечных ключей и шифров Вижинера, о которых речь шла выше, весьма условная. Принцип шифрования гаммированием заключается в генерации гаммы шифра с помощью датчика псевдослучайных чисел и наложении полученной гаммы на открытые данные обратимым образом (например, используя сложение по модулю 2). Процесс дешифрования данных сводится к повторной генерации гаммы шифра при известном ключе и наложении такой гаммы на зашифрованные данные. Полученный зашифрованный текст является достаточно трудным для раскрытия в том случае, если гамма шифра не содержит повторяющихся битовых последовательностей. По сути дела гамма шифра должна изменяться случайным образом для каждого шифруемого слова. Фактически же, если период гаммы превышает длину всего зашифрованного текста и неизвестна никакая часть исходного текста, то шифр можно раскрыть только прямым перебором (пробой на ключ). Криптостойкость в этом случае определяется размером ключа. Метод гаммирования становится бессильным, если злоумышленнику становится известен фрагмент исходного текста и соответствующая ему шифрограмма. Простым вычитанием по модулю получается отрезок ПСП и по нему восстанавливается вся последовательность. Злоумышленники может сделать это на основе догадок о содержании исходного текста. Так, если большинство посылаемых сообщений начинается со слов “СОВ.СЕКРЕТНО”, то криптоанализ всего текста значительно облегчается. Это следует учитывать при создании реальных систем информационной безопасности. Ниже рассматриваются наиболее распространенные методы генерации гамм, которые могут быть использованы на практике. Датчики ПСЧ Чтобы получить линейные последовательности элементов гаммы, длина которых превышает размер шифруемых данных, используются датчики ПСЧ. На основе теории групп было разработано несколько типов таких датчиков. Конгруэнтные датчики В настоящее время наиболее доступными и эффективными являются конгруэнтные генераторы ПСП. Для этого класса генераторов можно сделать математически строгое заключение о том, какими свойствами обладают выходные сигналы этих генераторов с точки зрения периодичности и случайности. Одним из хороших конгруэнтных генераторов является линейный конгруэнтный датчик ПСЧ. Он вырабатывает последовательности псевдослучайных чисел T(i), описываемые соотношением T(i+1) = (A*T(i)+C) mod m, где А и С - константы, Т(0) - исходная величина, выбранная в качестве порождающего числа. Очевидно, что эти три величины и образуют ключ. Такой датчик ПСЧ генерирует псевдослучайные числа с определенным периодом повторения, зависящим от выбранных значений А и С. Значение m обычно устанавливается равным 2n , где n - длина машинного слова в битах. Датчик имеет максимальный период М до того, как генерируемая последовательность начнет повторяться. По причине, отмеченной ранее, необходимо выбирать числа А и С такие, чтобы период М был максимальным. Как пока- зано Д. Кнутом, линейный конгруэнтный датчик ПСЧ имеет максимальную длину М тогда и только тогда, когда С - нечетное, и А mod 4 = 1. Для шифрования данных с помощью датчика ПСЧ может быть выбран ключ любого размера. Например, пусть ключ состоит из набора чисел x(j) размерностью b, где j=1, 2, ..., n. Тогда создаваемую гамму шифра G можно представить как объединение непересекающихся множеств H(j). Датчики М-последовательностей3 М-последовательности также популярны, благодаря относительной легкости их реализации. М-последовательности представляют собой линейные рекуррентные последовательности максимального периода, формируемые k-разрядными генераторами на основе регистров сдвига. На каждом такте поступивший бит сдвигает k предыдущих и к нему добавляется их сумма по модулю 2. Вытесняемый бит добавляется к гамме. Строго это можно представить в виде следующих отношений: r1:=r0 r2:=r1 ... rk-1:=rk-2 r0:=a0 r1 a1 r2 ... ak-2 rk-1 Гi:= rkЗдесь r0 r1 ... rk-1 - k однобитных регистров, a0 a1 ... ak-1 - коэффициенты неприводимого двоичного полинома степени k-1. Гi - i-е значение выходной гаммы. Период М-последовательности исходя из ее свойств равен 2k-1. Другим важным свойством М-последовательности является объем ансамбля, т.е. количество различных М-последовательностей для заданного k. Эта характеристика приведена в таблице: K 5 6 7 8 9 10 16 Объем ансамбля 6 8 18 16 48 60 2048 Очевидно, что такие объемы ансамблей последовательности неприемлемы. Поэтому на практике часто используют последовательности Голда, образующиеся суммированием нескольких М-последовательностей. Объем ансамблей этих последовательностей на несколько порядков превосходят объемы ансамблей порождающих М-последовательностей. Так при k=10 ансамбль увеличивается от 1023 (М-последовательности) до 388000. 3 Материал предоставлен Ю. Г. Писаревым Также перспективными представляются нелинейные датчики ПСП (например сдвиговые регистры с элементом И в цепи обратной связи), однако их свойства еще недостаточно изучены. Возможны и другие, более сложные варианты выбора порождающих чисел для гаммы шифра. Шифрование с помощью датчика ПСЧ является довольно распространенным криптографическим методом. Во многом качество шифра, построенного на основе датчика ПСЧ, определяется не только и не столько характеристиками датчика, сколько алгоритмом получения гаммы. Один из фундаментальных принципов криптологической практики гласит, даже сложные шифры могут быть очень чувствительны к простым воздействиям. Стандарт шифрования данных ГОСТ 28147-894 Важной задачей в обеспечении гарантированной безопасности информации в ИС является разработка и использования стандартных алгоритмов шифрования данных. Первым среди подобных стандартов стал американский DES, представляющий собой последовательное использование замен и перестановок. В настоящее время все чаще говорят о неоправданной сложности и невысокой криптостойкости. На практике приходится использовать его модификации. Более эффективным является отечественный стандарт шифрования данных. Он рекомендован к использованию для защиты любых данных, представленных в виде двоичного кода, хотя не исключаются и другие методы шифрования. Данный стандарт формировался с учетом мирового опыта, и в частности, были приняты во внимание недостатки и нереализованные возможности алгоритма DES, поэтому использование стандарта ГОСТ предпочтительнее. Алгоритм достаточно сложен и ниже будет описана в основном его концепция. Введем ассоциативную операцию конкатенации, используя для нее мультипликативную запись. Кроме того, будем использовать следующие операции сложения: AB - побитовое сложение по модулю 2; A[+]B - сложение по модулю 232; A{+}B - сложение по модулю 232-1;. Алгоритм криптографического преобразования предусматривает несколько режимов работы. Во всех режимах используется ключ W длиной 256 бит, представляемый в виде восьми 32-разрядных чисел x(i). W=X(7)X(6)X(5)X(4)X(3)X(2)X(1)X(0) ГОСТ 28147-89 закрыт грифом ДСП поэтому дальнейшее изложение сделано по изданию Спесивцев А.В. и др. «Защита информации в персональных ЭВМ», М., Радио и связь, 1992. 4 Для дешифрования используется тот же ключ, но процесс дешифрования является инверсным по отношению к исходному. Самый простой из возможных режимов - замена. Пусть открытые блоки разбиты на блоки по 64 бит в каждом, которые обозначим как T(j). Очередная последовательность бит T(j) разделяется на две последовательности B(0) и A(0) по 32 бита (правый и левый блоки). Далее выполняется итеративный процесс шифрования описываемый следующими формулами, вид который зависит от :i: Для i=1, 2, ..., 24, j=(i-1) mod 8; A(i) = f(A(i-1) [+] x(j)) B(i-1) B(i) = A(i-1) Для i=25, 26, ..., 31, j=32-i; Для i=32 A(i) = f(A(i-1) [+] x(j)) B(i-1) B(i) = A(i-1) A(32) = A(31) B(32) = f(A(31) [+] x(0)) B(31). Здесь i обозначает номер итерации. Функция f – функция шифрования. Функция шифрования включает две операции над 32-разрядным аргументом. Первая операция является подстановкой K. Блок подстановки К состоит из 8 узлов замены К(1)...К(8) с памятью 64 бита каждый. Поступающий на блок подстановки 32-разрядный вектор разбивается на 8 последовательно идущих 4-разрядных вектора, каждый из который преобразуется в 4разрядный вектор соответствующим узлом замены, представляющим из себя таблицу из 16 целых чисел в диапазоне 0...15. Входной вектор определяет адрес строки в таблице, число из которой является выходным вектором. Затем 4-разрядные векторы последовательно объединяются в 32-разрядный выходной. Вторая операция - циклический сдвиг влево 32-разрядного вектора, полученного в результате подстановки К. 64-разрядный блок зашифрованных данных Т представляется в виде Т=А(32)В(32). Остальные блоки открытых данных в режиме простой замены зашифровываются аналогично. Следует учитывать, что данный режим шифрования обладает ограниченной криптостойкостью. Другой режим шифрования называется режимом гаммирования. Открытые данные, разбитые на 64-разрядные блоки T(i) (i=1,2,...,m) (m определяется объемом шифруемых данных), зашифровываются в режиме гаммирования путем поразрядного сложения по модулю 2 с гаммой шифра Гш, которая вырабатывается блоками по 64 бит, т.е. Гш=(Г(1),Г(2),....,Г(m)). Уравнение шифрования данных в режиме гаммирования может быть представлено в следующем виде: Ш(i)=A(Y(i-1) C2, Z(i-1)) {+} C(1) T(i)=Г(i) T(i) В этом уравнении Ш(i) обозначает 64-разрядный блок зашифрованного текста, А - функцию шифрования в режиме простой замены (аргументами этой функции являются два 32-разрядных числа). С1 и С2 - константы, заданные в ГОСТ 28147-89. Величины y(i) и Z(i) определяются итерационно по мере формирования гаммы следующим образом: (Y(0),Z(0))=A(S), S - 64-разрядная двоичная последовательность (Y(i),Z(i))=(Y(i-1) [+] C2, Z(i-1) {+} C(1)), i=1, 2, ..., m. 64-разрядная последовательность, называемая синхропосылкой, не является секретным элементом шифра, но ее наличие необходимо как на передающей стороне, так и на приемной. Режим гаммирования с обратной связью очень похож на режим гаммирования. Как и в режиме гаммирования открытые данные, разбитые на 64-разрядные блоки T(i), зашифровываются путем поразрядного сложения по модулю 2 с гаммой шифра Гш, которая вырабатывается блоками по 64 бит: Гш=(Г(1), Г(2), ..., Г(m)). Уравнение шифрования данных в режиме гаммирования с обратной связью выглядят следующим образом: Ш(1)=A(S)T(1)=Г(1)T(1), Ш(i)=A(Ш(i-1)T(i)=Г(i)T(i), i=2, 3, ..., m. В ГОСТ 28147-89 определяется процесс выработки имитовставки, который единообразен для всех режимов шифрования. Имитовставка - это блок из р бит (имитовставка Ир), который вырабатывается либо перед шифрованием всего сообщения. либо параллельно с шифрованием по блокам. Параметр р выбирается в соответствии с необходимым уровнем имитозащищенности. Для получения имитовставки открытые данные представляются также в виде блоков по 64 бит. Первый блок открытых данных Т(1) подвергается преобразованию, соответствующему первым 16 циклам алгоритма режима простой замены. Причем в качестве ключа используется тот же ключ, что и для шифрования данных. Полученное 64-разрядно число суммируется с открытым блоком Т(2) и сумма вновь подвергается 16 циклам шифрования для режима простой замены. Данная процедура повторятся для всех m блоков сообщения. Из полученного 64-разрядного числа выбирается отрезок Ир длиной р бит. Имитовставка передается по каналу связи после зашифрованных данных. На приемной стороне аналогичным образом из принятого сообщения выделяется? имитовставка и сравнивается с полученной откуда?. В случае несовпадения имитовставок сообщение считается ложным. 1.5.2. Криптографические системы защиты информации на основе двухключевых шифров Как бы ни были сложны и надежны криптографические системы - их слабое место при практической реализации - проблема распределения ключей. Для того чтобы был возможен обмен конфиденциальной информацией между двумя субъектами ИС, ключ должен быть сгенерирован одним из них, а затем каким-то образом опять же в конфиденциальном порядке передан другому. Т.е. в общем случае для передачи ключа опять же требуется использование какой-то криптосистемы. Для решения этой проблемы на основе результатов, полученных классической и современной алгеброй, были предложены системы с открытым ключом. Суть их состоит в том, что каждым адресатом ИС генерируются два ключа, связанные между собой по определенному правилу. Один ключ объявляется открытым, а другой закрытым. Открытый ключ публикуется и доступен любому, кто желает послать сообщение адресату. Секретный ключ сохраняется в тайне. Исходный текст шифруется открытым ключом адресата и передается ему. Зашифрованный текст, в принципе не может быть расшифрован тем же открытым ключом. Дешифрование сообщение возможно только с использованием закрытого ключа, который известен только самому адресату. Криптографические системы с открытым ключом используют так называемые необратимые или односторонние функции, которые обладают следующим свойством: при заданном значении x относительно просто вычислить значение f(x), однако если y=f(x), то нет простого пути для вычисления значения x. Множество классов необратимых функций и порождает все разнообразие систем с открытым ключом. Однако не всякая необратимая функция годится для использования в реальных ИС. В самом определении необратимости присутствует неопределенность. Под необратимостью понимается не теоретическая необратимость, а практическая невозможность вычислить обратное значение, используя современные вычислительные средства за обозримый интервал времени. Поэтому чтобы гарантировать надежную защиту информации, к системам с открытым ключом (СОК) предъявляются два важных и очевидных требования: 1. Преобразование исходного текста должно быть необратимым и исключать его восстановление на основе открытого ключа. 2. Определение закрытого ключа на основе открытого также должно быть невозможным на современном технологическом уровне. При этом желательна точная нижняя оценка сложности (количества операций) раскрытия шифра. Алгоритмы шифрования с открытым ключом получили широкое распространение в современных информационных системах. Так, алгоритм RSA стал мировым стандартом де-факто для открытых систем и рекомендован МККТТ. Вообще же все предлагаемые сегодня криптосистемы с открытым ключом опираются на один из следующих типов необратимых преобразований: 1. Разложение больших чисел на простые множители. 2. Вычисление логарифма в конечном поле. 3. Вычисление корней алгебраических уравнений. Здесь же следует отметить, что алгоритмы криптосистемы с открытым ключом (СОК) можно использовать в трех назначениях. 1. Как самостоятельные средства защиты передаваемых и хранимых данных. 2. Как средства для распределения ключей. Алгоритмы СОК более трудоемки, чем традиционные криптосистемы. Поэтому часто на практике рационально с помощью СОК распределять ключи, объем которых как информации незначителен. А потом с помощью обычных алгоритмов осуществлять обмен большими информационными потоками. 3. Средства аутентификации пользователей. 1.5.2.1. Метод возведения в степень Диффи и Хелман предложили для создания криптографических систем с открытым ключом функцию дискретного возведения в степень. Необратимость преобразования в этом случае обеспечивается тем, что достаточно легко вычислить показательную функцию в конечном поле Галуа состоящим из p элементов. (p - либо простое число, либо простое в любой степени). Вычисление же логарифмов в таких полях - значительно более трудоемкая операция. Если y=x,, 1<x<p-1, где - фиксированный элемент поля GF(p), то x=log y над GF(p). Имея x, легко вычислить y. Для этого потребуется 2 ln(x+y) операций умножения. Обратная задача вычисления x из y будет достаточно сложной. Если p выбрано достаточно правильно, то извлечение логарифма потребует вычислений, пропорциональных L(p) = exp { (ln p ln ln p)0.5 } Для обмена информацией первый пользователь выбирает случайное число x1, равновероятное из целых 1...p-1. Это число он держит в секрете, а другому пользователю посылает число y1 = x mod p Аналогично поступает и второй пользователь, генерируя x2 и вычислив y2, отправляя его первому пользователю. В результате этого они могут вычислять k12 = x1x2 mod p. Для того, чтобы вычислить k12, первый пользователь возводит y2 в степень x1. То же делает и второй пользователь. Таким образом, у обоих пользователей оказывается общий ключ k12, который можно использовать для шифрования информации обычными алгоритмами. В отличие от алгоритма RSA, данный алгоритм не позволяет шифровать собственно информацию. Не зная x1 и x2, злоумышленник может попытаться вычислить k12, зная только перехваченные y1 и y2. Эквивалентность этой проблемы проблеме вычисления дискретного логарифма есть главный и открытый вопрос в системах с открытым ключом. Простого решения до настоящего времени не найдено. Так, если для прямого преобразования 1000-битных простых чисел требуется 2000 операций, то для обратного преобразования (вычисления логарифма в поле Галуа) - потребуется около 1030 операций. Как видно, при всей простоте алгоритма Диффи-Хелмана, вторым его недостатком по сравнению с системой RSA является отсутствие гарантированной нижней оценки трудоемкости раскрытия ключа. Кроме того, хотя описанный алгоритм позволяет обойти проблему скрытой передачи ключа, необходимость аутентификации остается. Без дополнительных средств, один из пользователей не может быть уверен, что он обменялся ключами именно с тем пользователем, который ему нужен. Опасность имитации в этом случае остается. 1.5.2.2. Метод укладки рюкзака Первым алгоритмом для обобщенного шифрования с открытым ключем стал алгоритм рюкзака, разработанный Ральфом Мерклом и Мартином Хеллманом. Он мог быть использован только для шифрования, хотя позднее Ади Шамир адаптировал систему для цифровой подписи. Безопасность алгоритмов рюкзака опирается на проблему рюкзака, NPполную проблему. Хотя позже было обнаружено, что алгоритм небезопасен, его стоит изучить, так как он демонстрирует возможность применения NPполной проблемы в криптографии с открытыми ключами. Проблема рюкзака несложна. Дана куча предметов различной массы, можно ли положить некоторые из этих предметов в рюкзак так, чтобы масса рюкзака стала равной определенному значению? Более формально, дан набор значений М1, М2, …, Мп и сумма S, вычислить значения bi, такие что S = b1M1 + b2M2 + … + bnMn bi может может быть либо нулем, либо единицей. Единица показывает, что предмет кладут в рюкзак, а ноль – что не кладут. Например, массы предметов могут иметь значения 1, 5, 6, 11, 14 и 20. Вы можете упаковать рюкзак так, чтобы его масса стала равна 22, использовав массы 5, 6 и 11. Невозможно упаковать рюкзак так, чтобы его масса была равна 24. В общем случае время, необходимое для решения этой проблемы, с ростом количества предметов в куче растет экспоненциально. В основе алгоритма рюкзака Меркла-Хеллмана лежит идея шифровать сообщение как решение набора проблем рюкзака. Предметы из кучи выбираются с помощью блока открытого текста, по длине равного количеству предметов в куче (биты открытого текста соответствуют значениям b), а шифротекст является полученной суммой. Пример шифротекста, зашифрованного с помощью проблемы рюкзака: Открытый текст 1 1 1 0 0 1 00 Рюкзак 1 5 6 11 14 20 20 1 5 6 11 14 20 Шифротекст 1+5+6+20=32 5+6=11 010110 000000 0110 1 5 6 11 14 20 1 5 6 11 14 5+11+14=30 0=0 Фокус в том, что на самом деле существуют две различные проблемы рюкзака, одна решается за линейное время, а другая, как считается, - нет. Легкую проблему можно превратить в трудную. Открытый ключ представляет собой трудную проблему, которую легко использовать для шифрования, но невозможно для дешифрования сообщений. Закрытый ключ является легкой проблемой, давая простой способ дешифровать сообщения. Тому, кто не знает закрытый ключ, придется попытаться решить трудную проблему рюкзака. Сверхвозрастающие рюкзаки Что такое легкая проблема рюкзака? Если перечень масс представляет собой сверхвозрастающую последовательность, то полученную проблему рюкзака легко решить. Сверхвозрастающая последовательность – это последовательность, в которой каждый член больше суммы всех предыдущих членов. Например, последовательность {1, 3, 6, 13, 27, 52} является сверхвозрастающей, а {1, 3, 4, 9, 15, 25} – нет. Решение сверхвозрастающего рюкзака найти легко. Возьмите полный вес и сравните его с самым большим числом последовательности. Если полный вес меньше, чем это число, то его не кладут в рюкзак. Если полный вес больше или равен этому числу, то оно кладется в рюкзак. Уменьшим массу рюкзака на это значение и перейдем к следующему по величине числу последовательности. Будем повторять, пока процесс не закончится. Если полный вес уменьшится до нуля, то решение найдено. В противном случае, there is not. Например, пусть полный вес рюкзака – 70, а последовательность весов {2, 3, 6, 13, 27, 52}. Самый большой вес, 52, меньше 70, поэтому кладем 52 в рюкзак. Вычитая 52 из 70, получаем 18. Следующий вес, 27, больше 18, поэтому 27 в рюкзак не кладется. Следующий вес, 13, меньше 18, поэтому кладем 13 в рюкзак. Вычитая 13 из 18, получаем 5. Следующий вес, 6, больше 5, поэтому 6 не кладется в рюкзак. Продолжение этого процесса покажет, что и 2, и 3 кладутся в рюкзак, и полный вес уменьшается до 0, что сообщает о найденном решении. Если бы это был блок шифрования методом рюкзака Меркла-Хеллмана, открытый текст, полученный из значения шифротекста 70, был бы равен 110101. Не сверхвозрастающие, или нормальные, рюкзаки представляют собой трудную проблему - быстрого алгоритма для них не найдено. Единственным известным способом определить, какие предметы кладутся в рюкзак, является методическая проверка возможных решений, пока вы не наткнетесь на правильное. Самый быстрый алгоритм, принимая во внимание различную эвристику, имеет экспоненциальную зависимость от числа возможных предметов. Добавьте к последовательности весов еще один член, и найти решение станет вдвое труднее. Это намного труднее сверхвозрастающего рюкзака, где, если вы добавите один предмет к последовательности, поиск решения увеличится на одну операцию. Алгоритм Меркли-Хеллмана основан на этом свойстве. Закрытый ключ является последовательностью весов проблемы сверхвозрастающего рюкзака. Открытый ключ – это последовательность весов проблемы нормального рюкзака с тем же решением. Меркл и Хеллман, используя модульную арифметику, разработали способ преобразования проблемы сверхвозрастающего рюкзака в проблему нормального рюкзака. Создание открытого ключа из закрытого Рассмотрим работу алгоритма, не углубляясь в теорию чисел: чтобы получить нормальную последовательность рюкзака, возьмем сверхвозрастающую последовательность рюкзака, например, {2, 3, 6, 13, 27, 52}, и умножим по модулю m все значения на число n. Значение модуля должно быть больше суммы всех чисел последовательности, например, 105. Множитель должен быть взаимно простым числом с модулем, например, 31. Нормальной последовательностью рюкзака будет 2*31 mod 105 = 62 3*31 mod 105 = 93 6*31 mod 105 = 81 13*31 mod 105 = 88 27*31 mod 105 = 102 52*31 mod 105 = 37 Итого – {62, 93, 81, 88, 102, 37}. Сверхвозрастающая последовательность рюкзака является закрытым ключом, а нормальная последовательность рюкзака – открытым. Шифрование Для шифрования сообщение сначала разбивается на блоки, равные по длине числу элементов последовательности рюкзака. Затем, считая, что единица указывает на присутствие члена последовательности, а ноль – на его отсутствие, вычисляем полные веса рюкзаков – по одному для каждого блока сообщения. Например, если сообщение в бинарном виде выглядит как 011000 110101 101110, шифрование, использующее предыдущую последовательность рюкзака, будет происходить следующим образом: Сообщение=011000 110101 101110 011000 соответствует 93 + 81 = 174 110101 соответствует 62 + 93 + 88 + 37 = 280 101110 соответствует 62 + 81 + 88 + 102 = 333 Шифротекстом будет последовательность 174,280,333 Дешифрование Законный получатель данного сообщения знает закрытый ключ: оригинальную сверхвозрастающую последовательность, а также значения n и m, использованные для превращения ее в нормальную последовательность рюкзака. Для дешифрования сообщения получатель должен сначала определить n-1, такое что n(n-1) ≡1 (mod m). Каждое значение шифротекста умножается на n-1 mod m, а затем разделяется с помощью закрытого ключа, чтобы получить значения открытого текста. В нашем примере сверхвозрастающая последовательность – {2, 3, 6, 13, 27, 52}, m равно 105, а n – 31. Шифротекстом служит 174,280,333. В этом случае n-1 равно 61, поэтому значения шифротекста должны быть умножены на 61 mod 105. 174*61 mod 105 = 9 = 3 + 6, что соответствует 011000 280*61 mod 105 = 70 =2 + 3 + 13 + 52, что соответствует 110101 333*61 mod 105 = 48 = 2+6+13+27, что соответствует 101110 Расшифрованным открытым текстом является 011000 110101 101110. 1.5.3. Криптографические системы защиты информации на основе составных шифров 1.5.3.1 Алгоритм RSA Несмотря на довольно большое число различных СОК, наиболее популярна - криптосистема RSA, разработанная в 1977 году и получившая название в честь ее создателей: Рона Ривеста, Ади Шамира и Леонарда Эйдельмана. Они воспользовались тем фактом, что нахождение больших простых чисел в вычислительном отношении осуществляется легко, но разложение на множители произведения двух таких чисел практически невыполнимо. Доказано (теорема Рабина), что раскрытие шифра RSA эквивалентно такому разложению. Поэтому для любой длины ключа можно дать нижнюю оценку числа операций для раскрытия шифра, а с учетом производительности современных компьютеров оценить и необходимое на это время. Возможность гарантированно оценить защищенность алгоритма RSA стала одной из причин популярности этой СОК на фоне десятков других схем. Поэтому алгоритм RSA используется в банковских компьютерных сетях, особенно для работы с удаленными клиентами (обслуживание кредитных карточек). В настоящее время алгоритм RSA используется во многих стандартах, среди которых SSL, S-HHTP, S-MIME, S/WAN, STT и PCT. Рассмотрим математические результаты, положенные в основу этого алгоритма. Теорема 1. (Малая теорема Ферма.) Если р - простое число, то p-1 x = 1 (mod p) (1) для любого х, простого относительно р, и xp = х (mod p) (2) для любого х. Доказательство. Достаточно доказать справедливость уравнений (1) и (2) для хZp. Проведем доказательство методом индукции. Очевидно, что уравнение (8.2.2) выполняется при х=0 и 1. Далее xp=(x-1+1)p= C(p,j)(x-1)j=(x-1)p+1 (mod p), 0jp так как C(p,j)=0(mod p) при 0<j<p. С учетом этого неравенства и предложений метода доказательства по индукции теорема доказана. Определение. Функцией Эйлера (n) называется число положительных целых, меньших n и простых относительно n. N (n) 2 1 3 2 4 2 5 3 6 2 7 6 8 4 9 6 10 4 11 10 12 4 Теорема 2. Если n=pq, (p и q - отличные друг от друга простые числа), то (n)=(p-1)(q-1). Теорема 3. Если n=pq, (p и q - отличные друг от друга простые числа) и х - простое относительно р и q, то x(n) = 1 (mod n). Следствие . Если n=pq, (p и q - отличные друг от друга простые числа) и е простое относительно (n), то отображение Еe,n: xxe (mod n) является взаимно однозначным на Zn. Очевиден и тот факт, что если е - простое относительно (n), то существует целое d, такое, что ed = 1 (mod (n)) (3) На этих математических фактах и основан популярный алгоритм RSA. Пусть n=pq, где p и q - различные простые числа. Если e и d удовлетворяют уравнению (8.2.3), то отображения Еe,n и Еd,n являются инверсиями на Zn. Как Еe,n, так и Еd,n легко рассчитываются, когда известны e, d, p, q. Если известны e и n, но p и q неизвестны, то Еe,n представляет собой одностороннюю функцию; нахождение Еd,n по заданному n равносильно разложению n. Если p и q - достаточно большие простые, то разложение n практически не осуществимо. Это и заложено в основу системы шифрования RSA. Пользователь i выбирает пару различных простых pi и qi и рассчитывает пару целых (ei, di), которые являются простыми относительно (ni), где ni=pi qi . Справочная таблица содержит публичные ключи {(ei ,ni)}. Предположим, что исходный текст x =(x0, x1, ..., xn-1), xZn , 0 i < n, сначала представлен по основанию ni : N = c0+ci ni+.... Пользователь i зашифровывает текст при передаче его пользователю j, применяя к n отображение Edi,ni : N Edi,ni n = n’. Пользователь j производит дешифрование n’, применяя Eei,ni : N’ Eei,ni n’= Eei,ni Edi,ni n = n . Очевидно, для того чтобы найти инверсию Edi,ni по отношению к Eei,ni, требуется знание множителей n=pi qi. Время выполнения наилучших из известных алгоритмов разложения при n=10100 на сегодняшний день выходит за пределы современных технологических возможностей. Рассмотрим небольшой пример, иллюстрирующий применение алгоритма RSA. Пример Зашифруем сообщение “САВ”. Для простоты будем использовать маленькие числа (на практике применяются гораздо большие). 1. Выберем p=3 и q=11. 2. Определим n=3*11=33. 3. Найдем (p-1)(q-1)=20. Следовательно, в качестве d, взаимно простое с 20, например, d=3. 4. Выберем число е. В качестве такого числа может быть взято любое число, для которого удовлетворяется соотношение (е*3) (mod 20) = 1, например 7. 5. Представим шифруемое сообщение как последовательность целых чисел с помощью отображения: А1, В2, С3. Тогда сообщение принимает вид (3,1,2). Зашифруем сообщение с помощью ключа {7,33}. ШТ1 = (37) (mod 33) = 2187 (mod 33) = 9, ШТ2 = (17) (mod 33) = 1 (mod 33) = 1, ШТ3 = (27) (mod 33) = 128 (mod 33) = 29. 6. Расшифруем полученное зашифрованное сообщение (9,1,29) на основе закрытого ключа {3,33}: ИТ1 = (93) (mod 33) = 729 (mod 33) = 3, ИТ2= (13) (mod 33) = 1 (mod 33) = 1, ИТ3 = (293) (mod 33) = 24389 (mod 33) = 2. Итак, в реальных системах алгоритм RSA реализуется следующим образом: каждый пользователь выбирает два больших простых числа, и в соответствии с описанным выше алгоритмом выбирает два простых числа e и d. Как результат умножения первых двух чисел (p и q) устанавливается n. {e,n} образует открытый ключ, а {d,n} - закрытый (хотя можно взять и наоборот). Открытый ключ публикуется и доступен каждому, кто желает послать владельцу ключа сообщение, которое зашифровывается указанным алгоритмом. После шифрования, сообщение невозможно раскрыть с помощью открытого ключа. Владелец же закрытого ключа без труда может расшифровать принятое сообщение. Практическая реализация RSA В настоящее время алгоритм RSA активно реализуется как в виде самостоятельных криптографических продуктов, так и в качестве встроенных средств в популярных приложениях. Важная проблема практической реализации - генерация больших простых чисел. Решение задачи «в лоб» - генерация случайного большого числа n (нечетного) и проверка его делимости на множители от 3 вплоть до n0.5. В случае неуспеха следует взять n+2 и так далее.5 В принципе в качестве p и q можно использовать «почти» простые числа, то есть числа, для которых вероятность того, что они простые, стремится к 1. Но в случае, если использовано составное число, а не простое, криптостойкость RSA падает. Имеются неплохие алгоритмы, которые позволяют генерировать «почти» простые числа с уровнем доверия 2-100. Другая проблема - ключи какой длины следует использовать? Для практической реализации алгоритмов RSA полезно знать оценки трудоемкости разложения простых чисел различной длины, сделанные Шроппелем. log10 n 50 100 200 400 Число операций 1.4*1010 2.3*1015 1.2*1023 2.7*1034 800 1.3*1051 Примечания Раскрываем на суперкомпьютерах На пределе современных технологий За пределами современных технологий Требует существенных изменений в технологии Не раскрываем В конце 1995 года удалось практически реализовать раскрытие шифра RSA для 500-значного ключа. Для этого с помощью сети Интернет было задействовано 1600 компьютеров. Сами авторы RSA рекомендуют использовать следующие размеры модуля n: 768 бит - для частных лиц; 1024 бит - для коммерческой информации; 5 В теории чисел показано, что вероятность того, что число порядка n будет простым составляет 1/ln n 2048 бит - для особо секретной информации.6 Третий немаловажный аспект реализации RSA - вычислительный. Ведь приходится использовать аппарат длинной арифметики. Если используется ключ длиной k бит, то для операций по открытому ключу требуется О(k2) операций, по закрытому ключу - О(k3) операций, а для генерации новых ключей требуется О(k4) операций. Криптографический пакет BSAFE 3.0 (RSA D.S.) на компьютере Pentium-90 осуществляет шифрование со скоростью 21.6 Кбит/c для 512битного ключа и со скоростью 7.4 Кбит/c для 1024 битного. Самая «быстрая» аппаратная реализация обеспечивает скорости в 60 раз больше. По сравнению с тем же алгоритмом DES, RSA требует в тысячи и десятки тысяч раз большее время. 6 Данные оценки сделаны с учетом развития вычислительной техники вплоть до 2004 года. 1.5.3.2. Цифровая подпись В чем состоит проблема аутентификации данных? В конце обычного письма или документа исполнитель или ответственное лицо обычно ставит свою подпись. Подобное действие обычно преследует две цели. Во-первых, получатель имеет возможность убедиться в истинности письма, сличив подпись с имеющимся у него образцом. Во-вторых, личная подпись является юридическим гарантом авторства документа. Последний аспект особенно важен при заключении разного рода торговых сделок, составлении доверенностей, обязательств и т.д. Если подделать подпись человека на бумаге весьма непросто, а установить авторство подписи современными криминалистическими методами техническая деталь, то с подписью электронной дело обстоит иначе. Подделать цепочку битов, просто скопировав ее, или незаметно внести нелегальные исправления в документ сможет любой пользователь. С широким распространением в современном мире электронных форм документов (в том числе и конфиденциальных) и средств их обработки особо актуальной стала проблема установления подлинности и авторства безбумажной документации. В разделе криптографических систем с открытым ключом было показано, что при всех преимуществах современных систем шифрования они не позволяют обеспечить аутентификацию данных. Поэтому средства аутентификации должны использоваться в комплексе и криптографическими алгоритмами. Итак, пусть имеются два пользователя Александр и Борис. От каких нарушений и действий злоумышленника должна защищать система аутентификации. Отказ (ренегатство). Александр заявляет, что он не посылал сообщение Борису, хотя на самом деле он все-таки посылал. Для исключения этого нарушения используется электронная (или цифровая) подпись. Модификация (переделка). Борис изменяет сообщение и утверждает, что данное (измененное) сообщение послал ему Александр. Подделка. Борис формирует сообщение и утверждает, что данное (измененное) сообщение послал ему Александр. Активный перехват. Владимир перехватывает сообщения между Александром и Борисом с целью их скрытой модификации. Для защиты от модификации, подделки и маскировки используются цифровые сигнатуры. Маскировка (имитация). Владимир посылает Борису сообщение от имени Александра . В этом случае для защиты также используется электронная подпись. Повтор. Владимир повторяет ранее переданное сообщение, которое Александра посылал ранее Борису. Несмотря на то, что принимаются всевозможные меры защиты от повторов, именно на этот метод приходится большинство случаев незаконного снятия и траты денег в системах электронных платежей. Наиболее действенным методом защиты от повтора являются * использование имитовставок, * учет входящих сообщений. отказ модификация Пользователь А сообщение подделка Пользователь В Нарушитель перехват маскировка повтор Возможные нарушения защиты сообщений,. посылаемых пользователем А пользователю В. Электронная подпись на основе алгоритма RSA Наиболее простым и распространенным инструментом электронной подписи является уже знакомый алгоритм RSA. Ниже оно будет рассмотрена в качестве примера. Кроме этого существуют еще десятки других схем цифровой подписи. Предположим, что d,p,q - секретные, а е, n=pq - открытые. Замечания. 1. Разложение по n дает: (n)=(p-1)(q-1); зная (n) и e, можно найти d. 2. Из e и d можно найти кратность (n); кратность (n) позволяет определить делители n. Пусть DATA - передаваемое Александром Борису сообщение. Александр подписывает DATA для Бориса при передаче : EeB,nB { EdA,nA {DATA}}. При этом он использует: закрытый ключ EdA,nA Александра, открытый ключ EeB,nB Бориса. Борис может читать это подписанное сообщение сначала при помощи закрытого ключа EdВ,nВ Бориса с целью получения * * EdA,nA {DATA} = EdB,nB {EeB,nB {EdA,nA {DATA}}} и затем - открытого ключа EeA,nA Александра для получения DATA = EeA,nA { EdA,nA {DATA}}. Таким образом, у Бориса появляется сообщение DATA, посланное ему Александром. Очевидно, что данная схема позволяет защититься от нескольких видов нарушений. Александр не может отказаться от своего сообщения, если он признает, что секретный ключ известен только ему. Нарушитель без знания секретного ключа не может ни сформировать, ни сделать осмысленное изменение сообщения, передаваемого по линии связи. Данная схема позволяет при решении многих конфликтных ситуаций обходиться без посредников. Иногда нет необходимости зашифровывать передаваемое сообщение, но нужно его скрепить электронной подписью. В этом случае текст шифруется закрытым ключом отправителя и полученная цепочка символов прикрепляется к документу. Получатель с помощью открытого ключа отправителя расшифровывает подпись и сверяет ее с текстом. Исходный текст Исходный текст Подпись Закрытый ключ А подпись Исходный текст Исходный текст ’ Открытый ключ А передача проверка В 1991 г. Национальный институт стандартов и технологии (NIST) предложил для появившегося тогда алгоритма цифровой подписи DSA (Digital Signature Algorithm) стандарт DSS (Digital Signature Standard), в основу которого положены алгоритмы Эль-Гамаля и RSA. 7 7 В РФ принятые стандарты цифровой подписи Р38 и Р39, также как и ГОСТ 28147-89 имеют гриф ДСП 1.5.3.3. EGSA Данная система является альтернативой RSA и при равном значении ключа обеспечивает ту же криптостойкость8. В отличие от RSA метод Эль-Гамаля основан на проблеме дискретного логарифма. Этим он похож на алгоритм Диффи-Хелмана. Если возводить число в степень в конечном поле достаточно легко, то восстановить аргумент по значению (то есть найти логарифм) довольно трудно. Основу системы составляют параметры p и g - числа, первое из которых - простое, а второе - целое. Александр генерирует секретный ключ а и вычисляет открытый ключ y а = g mod p. Если Борис хочет послать Александру сообщение m, то он выбирает случайное число k, меньшее p и вычисляет y1 = gk mod p и y2 = m yk, где означает побитовое сложение по модулю 2. Затем Борис посылает (y1,y2) Александру. Александр, получив зашифрованное сообщение, восстанавливает его: m = (y1a mod p) y2. Алгоритм цифровой подписи DSA, разработанный NIST (National Institute of Standard and Technology) и являющийся частью стандарта DSS частично опирается на рассмотренный метод. 1.5.3.4.Проект DSS В 1991 г. в США был опубликован проект федерального стандарта цифровой подписи - DSS (Digital Signature Standard, [DSS91], описывающий систему цифровой подписи DSA (Digital Signature Algorithm). Одним из основных критериев при создании проекта была его патентная чистота. Предлагаемый алгоритм DSA, имеет, как и RSA, теоретико-числовой характер, и основан на криптографической системе Эль-Гамаля [E85] в варианте Шнорра [S89]. Его надежность основана на практической неразрешимости определенного частного случая задачи вычисления дискретного логарифма. Современные методы решения этой задачи имеют приблизительно ту же эффективность, что и методы решения задачи факторизации; в связи с этим предлагается использовать ключи длиной от 512 до 1024 бит с теми же характеристиками надежности, что и в системе RSA. Длина подписи в системе DSA меньше, чем в RSA, и составляет 320 бит. 8 Однако общего мнения по поводу предпочтительности того или иного метода нет. С момента опубликования проект получил много критических отзывов , многие из которых были учтены при его доработке. Одним из главных аргументов против DSA является то, что, в отличие от общей задачи вычисления дискретного логарифма, ее частный случай, использованный в данной схеме, мало изучен и, возможно, имеет существенно меньшую сложность вскрытия. Кроме того, стандарт не специфицирует способ получения псевдослучайных чисел, используемых при формировании цифровой подписи, и не указывает на то, что этот элемент алгоритма является одним из самых критичных по криптографической стойкости. Функции DSA ограничены только цифровой подписью, система принципиально не предназначена для шифрования данных. По быстродействию система DSA сравнима с RSA при формировании подписи, но существенно (в 10-40 раз) уступает ей при проверке подписи. Вместе с проектом DSS опубликован проект стандарта SHS (Secure Hash Standard), описывающий однонаправленную хэш-функцию SHA (Secure Hash Algorithm), рекомендованную для использования вместе с DSA . Хэшфункция SHA является модификацией алгоритма MD4, хорошо известного в криптографической литературе. 1.5.3.5. Российский стандарт цифровой подписи В 1993 г. в России были изданы два государственных стандарта “Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма” и “Функция хэширования”, под общим заголовком “Информационная технология. Криптографическая защита информации”. Стандарт “Процедуры выработки и проверки электронной цифровой подписи...” во многом схож со своим американским аналогом DSS. Для формирования и проверки цифровой подписи в нем используется тот же алгоритм Эль-Гамаля и Шнорра, что и в DSS, с незначительными модификациями. Имеется две альтернативных длины ключа, 512 и 1024 бит; длина подписи составляет 512 бит. Для генерации ключей предложен ряд новых алгоритмов. Ключи, получаемые при помощи этих алгоритмов, имеют специальный вид, что потенциально может упростить задачу вскрытия системы по сравнению с DSS. Критика DSS, связанная с недостаточно разработанным теоретическим обоснованием алгоритма, в случае российского стандарта несколько смягчается тем, что элемент ключа q выбирается более длинным, чем в DSA. Критика. связанная с отсутствием спецификации на способ получения псевдослучайных чисел, остается в силе. Как и DSS, российский стандарт определяет только алгоритм цифровой подписи, но не шифрования. Быстродействие обоих алгоритмов приблизительно совпадает. Стандарт “Функция хэширования” предназначен для использования вместе со стандартом “Процедуры выработки и проверки цифровой подписи” и представляет собой оригинальный алгоритм, основанный на методе шифрования с симметричным ключом ГОСТ 28147. Стандарт не содержит криптографического обоснования выбранного алгоритма и не корректирует ГОСТ 28147 в части заполнения узлов замены. Несмотря на указанные недостатки, система, описанная в российском стандарте, применима во многих областях, особенно для коммерческих приложений.