Информатика, кибернетика и программирование
Самый большой недостаток канального шифрования заключается в том что данные приходится шифровать при передаче по каждому физическому каналу компьютерной сети. В результате стоимость реализации канального шифрования в больших сетях может оказаться чрезмерно высокой. Кроме того при использовании канального шифрования дополнительно потребуется защищать каждый узел компьютерной сети по которому передаются данные. Если абоненты сети полностью доверяют друг другу и каждый ее узел размещен там где он защищен от злоумышленников на этот недостаток...
Шифрование в каналах связи компьютерной сети
Одной из отличительных характеристик любой компьютерной сети является ее деление на так называемые уровни, каждый из которых отвечает за соблюдение определенных условий и выполнение функций, необходимых для общения между компьютерами, связанными в сеть. Это деление на уровни имеет фундаментальное значение для создания стандартных компьютерных сетей. Поэтому в 1984 г. несколько международных организаций и коми готов объединили свои усилия и выработали примерную модель компьютерной сети, известную под названием OSI (Open . Systems Interconnection Модель открытых сетевых соединений).
Согласно модели OSI коммуникационные функции разнесены по уровням. Функции каждого уровня независимы от функций ниже- и вышележащих уровней. Каждый уровень может непосредственно общаться только с двумя соседними. Модель OSI определяет 7 уровней: верхние 3 служат для связи с конечным пользователем, а нижние 4 ориентированы на выполнение коммуникационных функций в реальном масштабе времени.
Теоретически шифрование данных для передачи по каналам связи компьютерной сети может осуществляться на любом уровне модели OSI. На практике" это обычно делается либо на самых нижних, либо на самых верхних уровнях. Если данные шифруются на нижних уровнях, шифрование называется канальным, а если на верхних, то такое шифрование называется сквозным. Оба этих подхода к шифрованию данных имеют свои преимущества и недостатки.
Канальное шифрование
При канальном шифровании шифруются абсолютно все данные, проходящие по каждому каналу связи, включая открытый текст сообщения, а также информацию о его маршрутизации и об используемом коммуникационном протоколе. Однако в этом случае любой интеллектуальный сетевой узел (например, коммутатор) будет вынужден расшифровывать входящий поток данных, чтобы соответствующим образом его обработать, снова зашифровать и передать на другой узел сети.
Тем не менее канальное шифрование представляет собой очень эффективное средство защиты информации в компьютерных сетях. Поскольку шифрованию подлежат все данные, передаваемые от одного узла сети к другому, у криптоаналитика нет никакой дополнительной информации о том, кто служит источником этих данных, кому они предназначены, какова их структура и т. д. А если еще позаботиться и о том, чтобы, пока канал простаивает, передавать по нему случайную битовую последовательность, сторонний наблюдатель не сможет даже сказать, где начинается и где заканчивается текст передаваемого сообщения.
Не слишком сложной является и работа с ключами. Одинаковыми ключами следует снабдить только два соседних узла сети связи, которые затем могут менять используемые ключи независимо от других пар узлов.
Самый большой недостаток канального шифрования заключается в том, что данные приходится шифровать при передаче по каждому физическому каналу компьютерной сети. Отправка информации в незашифрованном виде по какому-то из каналов ставит под угрозу обеспечение безопасности всей сети. В результате стоимость реализации канального шифрования в больших сетях может оказаться чрезмерно высокой.
Кроме того, при использовании канального шифрования дополнительно потребуется защищать каждый узел компьютерной сети, по которому передаются данные. Если абоненты сети полностью доверяют друг другу и каждый ее узел размещен там, где он защищен от злоумышленников, на этот недостаток канального шифрования можно не обращать внимания. Однако на практике такое положение встречается чрезвычайно редко. Ведь в каждой фирме есть конфиденциальные данные, знакомиться с которыми могут только сотрудники одного определенного отдела, а за его пределами доступ к этим данным необходимо ограничивать до минимума.
Сквозное шифрование
При сквозном шифровании криптографический алгоритм реализуется на одном из верхних уровней модели OSI. Шифрованию подлежит только содержательная часть сообщения, которое требуется передать по сети. После зашифрования к ней добавляется служебная информация, необходимая для маршрутизации сообщения, и результат переправляется на более низкие уровни с целью отправки адресату.
Теперь сообщение не требуется постоянно расшифровывать и зашифровывать при прохождении через каждый промежуточный узел сети связи. Сообщение остается зашифрованным на всем пути от отправителя к получателю.
Основная проблема, с которой сталкиваются пользователи сетей, где применяется сквозное шифрование, связана с тем, что служебная информация. используемая для маршрутизации сообщений, передается по сети в незашифрованном виде. Опытный криптоаналитик может извлечь для себя массу полезной информации, зная кто с кем, как долго и в какие часы общается через компьютерную сеть. Для этого ему даже не потребуется быть в курсе предмета общения.
По сравнению с канальным, сквозное шифрование характеризуется более сложной работой с ключами, поскольку каждая пара пользователей компьютерной сети должна быть снабжена одинаковыми ключами, прежде чем они смогут связаться друг с другом. А поскольку криптографический алгоритм реализуется на верхних уровнях модели OSI, приходится также сталкиваться со многими существенными различиями в коммуникационных протоколах и интерфейсах в зависимости от типов сетей и объединяемых в сеть компьютеров. Все это затрудняет практическое применение сквозного шифрования.
Комбинированное шифрование
Комбинация канального и сквозного шифрования данных в компьютерной сети обходится значительно дороже, чем каждое из них по отдельности. Однако именно такой подход позволяет наилучшим образом защитить данные, передаваемые по сети. Шифрование в каждом канале связи не позволяет противнику анализировать служебную информацию, используемую для маршрутизации. А сквозное шифрование уменьшает вероятность доступа к незашифрованным данным в узлах сети.
При комбинированном шифровании работа с ключами ведется так: сетевые администраторы отвечают за ключи, используемые при канальном шифровании, а о ключах, применяемых при сквозном шифровании, заботятся сами пользователи.
Шифрование файлов
На первый взгляд, шифрование файлов можно полностью уподобить шифрованию сообщений, отправителем и получателем которых является одно и то же лицо, а средой передачи служит одно из компьютерных устройств хранения данных (магнитный или оптический диск, магнитная лента, оперативная память). Однако все не так просто, как кажется на первый взгляд.
Если при передаче по коммуникационным каналам сообщение затеряется по пути от отправителя к получателю, его можно попытаться передать снова. При шифровании данных, предназначенных для хранения в виде компьютерных файлов, дела обстоят иначе. Если вы не в состоянии расшифровать свой файл, вам вряд ли удастся сделать это и со второй, и с третьей, и даже с сотой попытки. Ваши данные будут потеряны раз и навсегда. Это означает, что при шифровании файлов необходимо предусмотреть специальные механизмы предотвращения возникновения ошибок в шифртексте.
Криптография помогает превратить большие секреты в маленькие. Вместо того чтобы безуспешно пытаться запомнить содержимое огромного файла, человеку достаточно его зашифровать и сохранить в памяти использованный для этой цели ключ. Если ключ применяется для шифрования сообщения, то его требуется иметь под рукой лишь до тех пор, пока сообщение не дойдет до своего адресата и не будет им успешно расшифровано. В отличие от сообщений, шифрованные файлы могут храниться годами, и в течение всего этого времени необходимо помнить и держать в секрете соответствующий ключ.
Есть и другие особенности шифрования файлов, о которых необходимо помнить вне зависимости от применяемого криптографического алгоритма:
- нередко после шифрования файла его незашифрованная копия остается на другом магнитном диске, на другом компьютере или в виде распечатки, сделанной на принтере;
- размер блока в блочном алгоритме шифрования может значительно превышать размер отдельной порции данных в структурированном файле, в результате чего зашифрованный файл окажется намного длиннее исходного;
- скорость шифрования файлов при помощи выбранного для этой цели криптографического алгоритма должна соответствовать скоростям, на которых работают устройства ввода/вывода современных компьютеров;
- работа с ключами является довольно непростым делом, поскольку разные пользователи должны иметь доступ не только к различным файлам, но и к отдельным частям одного и того же файла.
Если файл представляет собой единое целое (например, содержит отрезок текста), восстановление этого файла в исходном виде не потребует больших усилий: перед использованием достаточно будет просто расшифровать весь файл. Однако если файл структурирован (например, разделен на записи и поля, как это делается в базах данных), то расшифровывание всего файла целиком каждый раз, когда необходимо осуществить доступ к отдельной порции данных, сделает работу с таким файлом чрезвычайно неэффективной. Шифрование порций данных в структурированном файле делает его уязвимым по отношению к атаке, при которой злоумышленник отыскивает в этом файле нужную порцию данных и заменяет ее на другую по своему усмотрению.
У пользователя, который хочет зашифровать каждый файл, размешенный на жестком диске компьютера, имеются две возможности. Если он использует один и тот же ключ для шифрования всех файлов, то впоследствии окажемся не в состоянии разграничить доступ к ним со стороны других пользователей. Кроме того, в результате у криптоаналитика будет много шифртекста, полученного на одном ключе, что существенно облегчит вскрытие этого ключа.
Лучше шифровать каждый файл на отдельном ключе, а затем зашифрован, все ключи при помощи мастер-ключа. Тем самым пользователи будут избавлены от суеты, связанной с организацией надежного хранения множества ключей. Разграничение доступа групп пользователей к различным файлам будет осуществляться путем деления множества всех ключей на подмножества и шифрования этих подмножеств на различных мастер-ключах. Стойкость такой криптосистемы будет значительно выше, чем в случае использования единого ключа для шифрования всех файлов на жестком диске, поскольку ключи, применяемые для шифрования файлов, можно генерировать случайным образом и, следовательно более стойкими против словарной атаки.
Аппаратное и программное шифрование
Аппаратное шифрование
Большинство средств криптографической защиты данных реализовано в виде специализированных физических устройств. Эти устройства встраиваются в линию связи и осуществляют шифрование всей передаваемой но ней информации. Преобладание аппаратного шифрования над программным обусловлено несколькими причинами.
- Более высокая скорость. Криптографические алгоритмы состоят из огромного числа сложных операций, выполняемых над битами открытого текста. Современные универсальные компьютеры плохо приспособлены для эффективного выполнения этих операций. Специализированное оборудование умеет делать их гораздо быстрее.
- Аппаратуру легче физически защитить от проникновения извне. Программа. выполняемая на персональном компьютере, практически беззащитна. Вооружившись отладчиком, злоумышленник может внести в нее скрытые изменения, чтобы понизить стойкость используемого криптографического алгоритма, и никто ничего не заметит. Что же касается аппаратуры, то она обычно помещается в особые контейнеры, которые делают невозможным изменение схемы ее функционирования. Чип покрывается специальным химическим составом, и в результате любая попытка преодолеть защитный слой этого чипа приводит к самоуничтожению его внутренней логической структуры. И хотя иногда электромагнитное излучение может служить хорошим источником информации о том, что происходит внутри микросхемы, от этого излучения легко избавиться, заэкранировав микросхему. Аналогичным образом можно заэкранировать и компьютер, однако сделать это гораздо сложнее, чем миниатюрную микросхему.
- Аппаратура шифрования более проста в установке. Очень часто шифрование требуется там, где дополнительное компьютерное оборудование является совершенно излишним. Телефоны, факсимильные аппараты и модемы значительно дешевле оборудовать устройствами аппаратного шифрования, чем встраивать в них микрокомпьютеры с соответствующим программным обеспечением.
Даже в компьютерах установка специализированного шифровального оборудования создает меньше проблем, чем модернизация системного программного обеспечения с целью добавления в него функций шифрования данных. В идеале шифрование должно осуществляться незаметно для пользователя. Чтобы добиться этого при помощи программных средств, средства шифрования должны быть упрятаны глубоко в недра операционной системы. С готовой и отлаженной операционной системой проделать это безболезненно не так-то просто. Но даже любой непрофессионал сможет подсоединить шифровальный блок к персональному компьютеру, с одной стороны, и к внешнему модему, с другой.
Современный рынок аппаратных средств шифрования информации предлагает потенциальным покупателям 3 разновидности таких средств самодостаточные шифровальные модули (они самостоятельно выполняют всю работу с ключами), блоки шифрования в каналах связи и шифровальные платы расширения для установки в персональные компьютеры. Большинство устройств первого и второго типов являются узко специализированными. и поэтому прежде, чем принимать окончательное решение об их приобретении, необходимо досконально изучить ограничения, которые при установке накладывают эти устройства на соответствующее "железо", операционные системы и прикладное программное обеспечение. А иначе можно выбросить деньги на ветер, ни на йоту не приблизившись к желанной цели. Правда, иногда выбор облегчается тем, что некоторые компании торгуют коммуникационным оборудованием, которое уже имеет предустановленную аппаратуру шифрования данных.
Платы расширения для персональных компьютеров являются более универсальным средством аппаратного шифрования и обычно могут быть легко сконфигурированы таким образом, чтобы шифровать всю информацию, которая записывается на жесткий диск компьютера, а также все данные, пересылаемые на дискеты и в последовательные порты. Как правило, зашита от электромагнитного излучения в шифровальных платах расширения отсутствует, поскольку нет смысла защищать эти платы, если аналогичные меры не предпринимаются в отношении всего компьютера.
Программное шифрование
Любой криптографический алгоритм может быть реализован в виде соответствующей программы. Преимущества такой реализации очевидны: программные средства шифрования легко копируются, они просты в использовании, их нетрудно модифицировать в соответствии с конкретными потребностями.
Во всех распространенных операционных системах имеются встроенные средства шифрования файлов. Обычно они предназначены для шифрования отдельных файлов, и работа с ключами целиком возлагается на пользователя. Поэтому применение этих средств требует особого внимания. Во-первых, ни в коем случае нельзя хранить ключи на диске вместе с зашифрованными с их помощью файлами, а во-вторых, незашифрованные копии файлов необходимо удалить сразу после шифрования.
Конечно, злоумышленник может добраться до компьютера и незаметно внести нежелательные изменения в программу шифрования. Однако основная проблема состоит отнюдь не в этом. Если злоумышленник в состоянии проникнуть в помещение, где установлен компьютер, он вряд ли будет возиться с программой, а просто установит скрытую камеру в стене, подслушивающее устройство в телефон или датчик для ретрансляции электромагнитного излучения в компьютер. В конце концов, если злоумышленник может беспрепятственно все это сделать, сражение с ним проиграно, даже еще не начавшись.
А также другие работы, которые могут Вас заинтересовать |
|||
| 9393. | Средства для наркоза. Снотворные средства | 39.58 KB | |
| Средства для наркоза Натрия оксибутират - неингаляционный Усиливает ГАМК-ергические (тормозомедиатор) процессы ЦНС. Эффекты: седативный, снотворный, антигипокический. Показания: наркоз (базисный), бессонница, невроз. вм, вв, внутрь, ректально... | |||
| 9394. | Сущность и назначение (задачи) российского уголовного процесса | 52.5 KB | |
| Тема №1: Сущность и назначение (задачи) российского уголовного процесса. Понятие, сущность и структура УПР. Соотношение УПР, уголовного судопроизводства и правосудия. Стадии УПР. Уголовный процесс и уголовно процессуальное п... | |||
| 9395. | Российское уголовно-процессуальное законодательство | 34 KB | |
| Тема №2: Российское уголовно-процессуальное законодательство. Понятие и сущность УПРЗ. Действующее УПРЗ. Действие УПРЗ во времени, пространстве, по кругу лиц. Значение решений КС РФ. Значение Постановлений Пленума ВС... | |||
| 9396. | Принципы уголовного судопроизводства | 63 KB | |
| Тема №3: Принципы уголовного судопроизводства. Понятие, сущность и значение принципов УПР. Их взаимная связь и взаимная обусловленность. В главе 2 УПК закреплена группа норм, объединенных одним названием - принципы уголовного судопроизводст... | |||
| 9397. | Участники уголовного процесса: государственные органы и должностные лица | 51.5 KB | |
| Тема №4. Участники уголовного процесса: государственные органы и должностные лица. Понятие участников уголовного процесса и их классификация. Стороны в уголовном судопроизводстве. Их субъектный состав. Под участниками уголовного судопро... | |||
| 9398. | Участники процесса, отстаивающие свои или представляемые интересы | 40 KB | |
| Тема №5. Участники процесса, отстаивающие свои или представляемые интересы. Потерпевший. Понятие дается в ст.42 УПК - физическое или юридическое лицо. Потерпевший - физическое лицо - которому преступлением причинен физический, имущественны... | |||
| 9399. | Уголовное преследование. Реабилитация | 35.5 KB | |
| Тема №6. Уголовное преследование. Реабилитация. Понятие, сущность и основания уголовного преследования. Соотношение уголовного преследования с обвинением. Уголовное преследование одно из назначений уголовного судопроизводства... | |||
| 9400. | Гражданский иск. Основания, предмет и процессуальный порядок предъявления гражданского иска | 33 KB | |
| Гражданский иск Понятие гражданского иска. Основания, предмет и процессуальный порядок предъявления гражданского иска. УПК предусматривает возможность рассмотрения гражданского иска в рамках производства по уголовному делу. Гражданский иск... | |||
| 9401. | Общие положения теории доказательств | 100.5 KB | |
| Тема №8. Общие положения теории доказательств. Общетеоретические и философские проблемы доказывания в уголовном процессе. Доказательственное право не является самостоятельной отраслью права, оно является подотраслью УПП. Под доказательственным право... | |||
Одной из сложностей реализации 152-ФЗ "О персональных данных" является организация защищенного вебсайта, собирающего персональные данные, т.к. передаваемые персональные данные сайту необходимо скрывать от посторонних (т.е. шифровать).
Из Постановления Правительства 781:
7. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств .
5. Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия .
Из 58 приказа ФСТЭК:
2.8 Для обеспечения безопасности персональных данных при межсетевом взаимодействии отдельных информационных систем через информационно-телекоммуникационную сеть международного информационного обмена (сеть связи общего пользования) применяются следующие основные методы и способы защиты информации от несанкционированного доступа:
создание канала связи, обеспечивающего защиту передаваемой информации.
Техническое средство, реализующее защищенный канал связи, должно быть сертифицировано ФСБ в качестве средства шифрования. Получить сертификат ФСБ могут только те технические средства, которые реализуют отечественные криптоалгоритмы (ГОСТ 28147-89).
Т.о. facebook или gmail могут обеспечивать безопасность ПДн с помощью https и ssl, построенных на западных криптоалгоритмах, но нашим же сайтам обязательно нужно использовать ГОСТ: ставить на всех клиентов КриптоПро CSP или аналоги (КриптоПро стоит 1800р и не на всех платформах работает (iOS)); использовать дорогие решения StoneGate SSL и т.д.
В результате требования к шифрованию веб трафика выполнить зачастую невозможно, т.к. круг посетителей вебсайта обычно не ограничен.
Давайте посмотрим, как из этой ситуации выкручивается сайт gosuslugi.ru:
Все просто! Субъект даёт согласие (галка обязательна!) на передачу своих перс.данных по открытым (незащищённым) каналам связи Интернет. Т.о. портал госуслуги снимает с себя ответственность за возможное разглашение ваших перс.данных (ФИО, СНИЛС, паспорт, контакты, фото и т.д.) по пути от вашего ПК до сервера гос.услуг (или еще хуже - использует несертифицированную криптографию (AES 256 бит + RSA) для защиты персональных данных).
Видя такую несправедливость, я написал жалобу в Роскомнадзор через тот же портал гос.услуг и получил такой вот ответ:
5. Шифрование в каналах связи компьютерной сети
Одной из отличительных характеристик любой компьютерной сети является ее деление на так называемые уровни, каждый из которых отвечает за соблюдение определенных условий и выполнение функций, которые необходимы для общения между собой компьютеров, связанных в сеть. Это деление на уровни имеет фундаментальное значение для создания стандартных компьютерных сетей. Поэтому в 1984 году несколько международных организаций и комитетов объединили свои усилия и выработали примерную модель компьютерной сети, известную под названием
OSI (Open Systems Interconnection).OSI разносит коммуникационные функции по уровням. Каждый из этих уровней функционирует независимо от ниже- и вышележащих. Он может непосредственно общаться только с двумя соседними уровнями, но полностью изолирован от прямого обращения к следующим уровням. Модель OSI выделяет семь уровней: верхние три служат для связи с конечным пользователем, а нижние четыре ориентированы на выполнение коммуникационных функций в реальном масштабе времени.
В теории шифрование данных для передачи по каналам связи компьютерной сети может осуществляться на любом уровне модели OSI. На практике это обычно делается либо на самых нижних, либо на самых верхних уровнях. Если данные шифруются на нижних уровнях, шифрование называется канальным. Если шифрование данных выполняется на верхних уровнях, то оно зовется сквозным. Оба этих подхода к шифрованию данных имеют свои преимущества и недостатки.
Канальное шифрование
При канальном шифровании шифруются абсолютно все данные, проходящие через каждый канал связи, включая открытый текст сообщения, а также информацию о его маршрутизации и об используемом коммуникационном протоколе (рис.5.3.4.1). Однако в этом случае любой интеллектуальный сетевой узел (например, коммутатор) будет вынужден расшифровывать входящий поток данных, чтобы соответствующим образом его обработать, и снова зашифровывать, чтобы передать на другой узел сети.
Тем не менее канальное шифрование представляет собой очень эффективное средство защиты информации в компьютерных сетях. Поскольку шифрованию подлежат все данные, движущиеся от одного узла сети к другому, у криптоаналитика нет никакой дополнительной информации о том, кто служит источником передаваемых данных, кому они предназначены, какова их структура и так далее. А если еще позаботиться и о том, чтобы, пока канал простаивает, передавать по нему случайную битовую последовательность, сторонний наблюдатель не сможет даже сказать, где начинается и где заканчивается текст передаваемого сообщения.
Не слишком сложной является и работа с ключами. Одинаковыми ключами следует снабдить только два соседних узла сети связи, которые затем могут менять используемые ключи независимо от других пар узлов.
Самый большой недостаток канального шифрования связан с тем, что данные приходится шифровать при передаче по каждому физическому каналу компьютерной сети. Отправка информации в незашифрованном виде по какому-то из каналов ставит под угрозу обеспечение безопасности всей сети в целом. В результате стоимость реализации канального шифрования в больших сетях может оказаться чрезмерно велика.
Кроме того, при использовании канального шифрования дополнительно потребуется защищать каждый узел компьютерной сети, через который проходят передаваемые по сети данные. Если абоненты сети полностью доверяют друг другу, и каждый ее узел размещен в защищенном от проникновения злоумышленников месте, на этот недостаток канального шифрования можно не обращать внимание. Однако на практике такое положение встречается чрезвычайно редко. Ведь в каждой фирме есть конфиденциальные данные, знакомиться с которыми могут только сотрудники одного определенного отдела, а за его пределами доступ к этим данным необходимо ограничивать до минимума.
Сквозное шифрование
При сквозном шифровании криптографический алгоритм реализуется на одном из верхних уровней модели OSI. Шифрованию подлежит только содержательная часть сообщения, которое требуется передать по сети. После зашифрования к ней добавляется служебная информация, необходимая для маршрутизации сообщения, и результат переправляется на более низкие уровни с целью отправки адресату.
Теперь сообщение не требуется постоянно расшифровывать и зашифровывать при прохождении через каждый промежуточный узел сети связи. Сообщение остается зашифрованным на всем пути от отправителя к получателю (рис. 5.3.4.2).
Основная проблема, с которой сталкиваются пользователи компьютерных сетей, где применяется сквозное шифрование, связана с тем, что служебная информация, используемая для маршрутизации сообщений, передается по сети в незашифрованном виде. Опытный крипто-аналитик может извлечь для себя массу полезной информации, зная, кто, с кем, как долго и в какие часы общается через компьютерную сеть. Для этого ему даже не потребуется быть в курсе предмета общения.
По сравнению с канальным сквозное шифрование характеризуется более сложной работой с ключами, поскольку каждая пара пользователей компьютерной сети должна быть снабжена одинаковыми ключами, прежде чем они смогут связаться друг с другом. Вдобавок, поскольку криптографический алгоритм реализуется на верхних уровнях модели OSI, приходится также сталкиваться со многими существенными различиями в коммуникационных протоколах и интерфейсах в зависимости от типов компьютерных сетей и объединяемых в сеть компьютеров. Все это затрудняет практическое применение сквозного шифрования.
Комбинированное шифрование
Комбинация канального и сквозного шифрования данных в компьютерной сети обходится значительно дороже, чем канальное или сквозное шифрование по отдельности. Однако именно такой подход позволяет наилучшим образом защитить данные, передаваемые по сети. Шифрование в каждом канале связи не позволяет противнику анализировать служебную информацию, используемую для маршрутизации. А сквозное шифрование уменьшает вероятность доступа к незашифрованным данным в узлах сети.
При комбинированном шифровании работа с ключами ведется раздельно: сетевые администраторы отвечают за ключи, используемые при канальном шифровании, а о ключах, применяемых при сквозном шифровании, заботятся сами пользователи.
Аппаратное
шифрование
Большинство
средств криптографической защиты данных
реализовано в виде специализированных
аппаратных устройств. Эти устройства
встраиваются в линию связи и осуществляют
шифрование всей передаваемой по ней информации.
Преобладание аппаратного шифрования над
программным обусловлено несколькими причинами.
Во-первых,
аппаратное шифрование обладает большей
скоростью. Криптографические алгоритмы состоят
из огромного числа сложных операций, выполняемых
над битами открытого текста. Современные
универсальные компьютеры плохо приспособлены
для эффективного выполнения этих операций.
Специализированное оборудование умеет делать их
гораздо быстрее.
Во-вторых,
аппаратуру легче физически защитить от
проникновения извне. Программа, выполняемая на
персональном компьютере, практически
беззащитна. Вооружившись отладчиком,
злоумышленник может скрытно внести в нее
изменения, чтобы понизить стойкость
используемого криптографического алгоритма, и
никто ничего не заметит. Что же касается
аппаратуры, то она обычно помещается в особые
контейнеры, которые делают невозможным
изменение схемы ее функционирования. Чип
покрывается сверху специальным химическим
составом, и в результате любая попытка
преодолеть защитный слой этого чипа приводит к
самоуничтожению его внутренней логической
структуры. И хотя иногда электромагнитное
излучение может служить хорошим источником
информации о том, что происходит внутри
микросхемы, от этого излучения легко избавиться,
заэкранировав микросхему. Аналогичным образом
можно заэкранировать и компьютер, однако сделать
это гораздо сложнее, чем в случае миниатюрной
микросхемы.
И, в-третьих,
аппаратура шифрования более проста в установке.
Очень часто шифрование требуется там, где
дополнительное компьютерное оборудование
является совершенно излишним. Телефоны,
факсимильные аппараты и модемы значительно
дешевле оборудовать устройствами аппаратного
шифрования, чем встраивать в них микрокомпьютеры
с соответствующим программным обеспечением.
Даже в компьютерах
установка специализированного шифровального
оборудования создает меньше проблем, чем
модернизация системного программного
обеспечения с целью добавления в него функций
шифрования данных. В идеале шифрование должно
осуществляться незаметно для пользователя.
Чтобы добиться этого при помощи программных
средств, шифрование должно быть упрятано глубоко
в недра операционной системы. С готовой и
отлаженной операционной системой безболезненно
проделать это не так-то просто. Но даже любой
непрофессионал сможет подсоединить
шифровальный блок с одной стороны к
персональному компьютеру и к внешнему модему с
другой.
Современный рынок
аппаратных средств шифрования информации
предлагает потенциальным покупателям три
разновидности таких средств - самодостаточные
шифровальные модули (они самостоятельно
выполняют всю работу с ключами), блоки шифрования
в каналах связи и шифровальные платы расширения
для установки в персональные компьютеры.
Большинство устройств первого и второго типа
являются узко специализированными, и поэтому,
прежде чем принимать окончательное и
бесповоротное решение об их приобретении,
необходимо досконально изучить ограничения,
которые при установке накладывают эти
устройства на соответствующее “железо”,
операционные системы и прикладное программное
обеспечение. А иначе можно выбросить деньги на
ветер, ни на йоту не приблизившись к желанной
цели. Правда, иногда выбор облегчается тем, что
некоторые компании торгуют коммуникационным
оборудованием, которое уже имеет в своем составе
предустановленную аппаратуру шифрования данных.
Платы расширения
для персональных компьютеров являются более
универсальным средством аппаратного шифрования
и обычно могут быть легко сконфигурированы таким
образом, чтобы шифровать всю информацию, которая
записывается на жесткий диск компьютера, а также
все данные, пересылаемые на его гибкий диск и в
последовательные порты. Как правило, защита от
электромагнитного излучения в шифровальных
платах расширения отсутствует, поскольку нет
смысла защищать эти платы, если аналогичные меры
не предпринимаются в отношении всего компьютера
в целом.
Программное
шифрование
Любой
криптографический алгоритм может быть
реализован в виде соответствующей программы.
Преимущества такой реализации очевидны:
программные средства шифрования легко
копируются, они просты в использовании, их
нетрудно модифицировать в соответствии с
конкретными потребностями.
Во всех
распространенных операционных системах имеются
встроенные средства шифрования файлов. Обычно
они предназначены для шифрования отдельных
файлов, и работа с ключами целиком возлагается на
пользователя. Поэтому применение этих средств
требует особого внимания: во-первых, ни в коем
случае нельзя хранить ключи на диске вместе с
зашифрованными с их помощью файлами, а во-вторых,
незашифрованные копии файлов необходимо стереть
сразу же после шифрования.
Конечно,
злоумышленник может добраться до компьютера и
незаметно внести нежелательные изменения в
программу шифрования. Однако основная проблема
состоит отнюдь не в этом. Если злоумышленник в
состоянии проникнуть в помещение, где установлен
компьютер, он вряд ли будет возиться с
программой, а просто установит скрытую камеру в
стене, подслушивающее устройство в телефон или
датчик для ретрансляции электромагнитного
излучения в компьютер. В конце концов, если
злоумышленник может беспрепятственно все это
сделать, сражение с ним уже проиграно, даже не
начавшись.
Сжатие и
шифрование
Алгоритмы сжатия
данных очень хорошо подходят для совместного
использования с криптографическими алгоритмами.
На это есть две причины:
- При вскрытии шифра крипто-аналитик более всего полагается на избыточность, свойственную любому открытому тексту. Сжатие помогает избавиться от этой избыточности.
- Шифрование данных является весьма трудоемкой операцией. При сжатии уменьшается длина открытого текста, и тем самым сокращается время, которое будет потрачено на его шифрование. Надо только не забыть сжать файл до того, как он будет зашифрован, а не после. После шифрования файла при помощи качественного криптографического алгоритма полученный шифртекст сжать не удастся, поскольку его характеристики будут близки к характеристикам совершенно случайного набора букв. Кстати, сжатие может служить своеобразным тестом для проверки качества криптографического алгоритма: если шифртекст поддается сжатию, значит, этот алгоритм лучше заменить на более совершенный.
Канальное шифрование
Сквозное шифрование
Характеристика криптографических методов
Практически все
применяемые криптографические методы связаны с
разбиением сообщения на большое число частей
(или знаков) фиксированного размера, каждая из
которых шифруется отдельно, если не независимо.
Это существенно упрощает задачу шифрования, так
как сообщения обычно имеют различную длину.
Можно выделить
три основных метода шифрования
: поточный, блочный и с
применением обратной связи.
Будем считать, что
каждая часть или каждый знак сообщения шифруется
отдельно в определенном порядке.
Выделяются следующие четыре характерных признака криптографических методов.
- Операции с отдельными битами или блоками.
- Зависимость или не зависимость функции шифрования от результатов шифрования предыдущих частей сообщения.
- Зависимость или независимость шифрования отдельных знаков сообщения от их положения в тексте. Например, при поточном шифровании, различные знаки сообщения шифруются с учетом их положения в сообщении. Это свойство называется позиционной зависимостью или независимостью шифра.
- Симметрия или асимметрия функции шифрования. Это важное свойство определяет существенное различие между обычными симметричными (одноключевыми) криптосистемами и асимметричными двухключевыми (криптосистемами с открытым ключом). Основное различие между ними состоит в том, что в асимметричной криптосистеме знание ключа шифрования (или расшифрования) недостаточно для раскрытия соответствующего ключа расшифрования (или шифрования).
Основные характеристики криптосистем
Типы криптосистем |
Операции с битами или блоками |
Зависимость/ независимость от знаков сообщения |
Позиционная зависимость/ независимость |
Симметрия/ асимметрия |
Поточного шифрования |
не зависит |
симметричная |
||
Блочного шифрования |
не зависит |
не зависит |
симметричная или несимметричная |
|
биты или блоки |
не зависит |
симметричная |
В
криптосистеме, обладающей свойством зависимости
функции шифрования от знаков сообщения, может
иметь место размножение ошибок. Если, например,
при передаче будет искажен бит шифртекста, то
после расшифрования открытый текст может
содержать большее количество искаженных битов.
Ошибки типа "вставка" и "выпадение" могут также
привести к катастрофическому размножению ошибок
при дешифровании.
Поточные шифры.
Поточное шифрование состоит в том, что биты
открытого текста складываются по модулю 2 с
битами псевдослучайной последовательности.
К преимуществам
поточных шифров относятся отсутствие размножения ошибок
, простая реализация и
высокая скорость шифрования
.
Недостатком
является
необходимость передачи
информации синхронизации
перед заголовком
сообщения, которая должна быть принята до
расшифрования любого сообщения. Это связано с
тем, что если два различных сообщения шифруются
на одном и том же ключе, то для расшифрования этих
сообщений должна использоваться одна и та же
псевдослучайная последовательность. Такое
положение может создать опасную угрозу
криптостойкости системы и поэтому часто
используется дополнительный, случайно
выбираемый ключ сообщения, который передается в
начале сообщения и используется для модификации
ключа шифрования. В результате разные сообщения
будут шифроваться с использованием различных
последовательностей.
Поточные шифры
широко применяются в военных системах и других
системах, близких к ним по назначению, для
шифрования данных и преобразованных в цифровую
форму речевых сигналов. До недавнего времени
такие применения были преобладающими для
данного метода шифрования. Это объясняется, в
частности, относительной простотой
конструирования и реализации генераторов
хороших шифрующих последовательностей. Но
главным фактором, конечно, остается отсутствие
размножения ошибок в поточном шифре.
Так как для
передачи данных и речевых сообщений в
тактических сетях связи используются каналы
сравнительно невысокого качества, любая
криптографическая система, увеличивающая и без
того высокую частоту ошибок, неприменима. В таких
случаях обязательно применение криптосистемы,
не размножающей ошибки.
Однако размножение
ошибок может быть и положительным явлением.
Пусть, например, зашифрованные данные должны
передаваться по каналу с очень низкой
вероятностью ошибки (например, 10 5) и весьма
важно, чтобы данные принимались совершенно
точно. Это типичная ситуация для вычислительных
сетей, где ошибка в единственном бите может
привести к катастрофическим последствиям, и
поэтому канал связи должен быть очень надежным. В
такой ситуации одна ошибка настолько же опасна,
как 100 или 1000 ошибок. Но 100 или 1000 ошибок могут быть
обнаружены легче, чем одна ошибка. Следовательно,
в данном случае размножение ошибок уже не
является недостатком шифра.
Стандартным
методом генерирования последовательностей для
поточного шифрования является метод,
применяемый в стандарте шифрования данных DES в
режиме обратной связи от выхода.
Блочные шифры.
Для блочного шифрования открытый текст сначала
разбивается на равные по длине блоки, затем
применяется зависящая от ключа функция
шифрования для преобразования блока открытого
текста длиной т
бит в блок шифртекста такой
же длины. Важное свойство блочного шифрования
состоит в том, что каждый бит блока шифртекста
является функцией всех (или почти всех) битов
соответствующего блока открытого текста, и
никакие два блока открытого текста не могут быть
представлены одним и тем же блоком шифртекста.
Алгоритм блочного шифрования может
использоваться в различных вариантах. Четыре
режима шифрования в стандарте DES фактически
применимы к любому блочному шифру.
Эти режимы получили следующие названия:
- режим прямого шифрования, или шифрования с использованием электронной книги кодов ЕСВ (Electronic code book),
- шифрование со сцеплением блоков шифртекста СВС (Cipher block chaining),
- шифрование с обратной связью от шифртекста CFB (Cipher feedback),
- шифрование с обратной связью от выхода OFB (Output feedback).
Основное
преимущество
прямого
блочного шифрования (electronic code book) состоит в том, что в хорошо
сконструированной системе блочного шифрования
небольшие изменения в
шифртексте вызовут большие и непредсказуемые
изменения в соответствующем открытом тексте и
наоборот
.
Вместе с тем,
применение блочного шифра в этом режиме связано
с серьезными недостатками.
Первый из них
состоит в том, что вследствие фиксированного
характера шифрования даже при сравнительно
большой длине блока, например 50-100 бит
, возможен криптоанализ
"со словарем" в ограниченной форме
.
Ясно, что блок
такого размера может повториться в сообщении
вследствие большой избыточности в типичном
тексте на естественном языке. Это может привести
к тому, что идентичные блоки открытого текста
длиной т
бит в сообщении будут представлены
идентичными блоками шифртекста, что дает
криптоаналитику некоторую информацию о
содержании сообщения.
Другой
потенциальный недостаток этого шифра связан с
размножением ошибок (это одна из проблем для всех
видов шифров, за исключением поточных).
Результатом изменения только одного бита в
принятом блоке шифртекста будет неправильное
расшифрование всего блока. Это, в свою очередь,
приведет к появлению от 1 до т
искаженных бит
в восстановленном исходном тексте.
Вследствие
отмеченных недостатков, блочные шифры редко
применяются в указанном режиме для шифрования
длинных сообщений. Однако, в финансовых
учреждениях, где сообщения часто состоят из
одного или двух блоков, блочные шифры (в
частности, алгоритм DES) широко применяются в этом
простом варианте. Поскольку такое применение
связано с возможностью частой смены ключа
шифрования, вероятность шифрования двух
идентичных блоков открытого текста на одном и
том же ключе очень мала. Наиболее часто блочные
шифры применяются в системах шифрования с
обратной связью от шифртекста.
Возможно также
образование смешанных (гибридных) систем
поточного и блочного шифрования
с
использованием лучших свойств каждого из этих
шифров. В таких системах поточное шифрование
комбинируется с псевдослучайными
перестановками. Открытый текст сначала
шифруется как при обычном поточном шифровании,
затем полученный шифртекст разбивается на блоки
фиксированного размера. В каждом блоке
производится псевдослучайная перестановка под
управлением ключа (предпочтительны различные
перестановки для отдельных блоков).
Порядок следования
этих двух операций может быть изменен на
обратный без влияния на основные свойства
системы. В результате получается шифр, не
размножающий ошибки, но обладающий
дополнительным свойством, которого нет у
поточного шифра. Это свойство заключается в том,
что перехватчик не знает, какому биту открытого
текста соответствует бит шифртекста. Благодаря
этому зашифрованное сообщение становится более
сложным и трудным для раскрытия. Но следует
отметить, что это уже не подлинный блочный шифр, в
котором каждый бит шифртекста является функцией
только одного, а не всех битов открытого текста.
Криптосистема с
открытым ключом должна быть системой блочного
шифрования, оперирующей с блоками довольно
большой длины. Это обусловлено тем, что
криптоаналитик, знающий открытый ключ
шифрования, мог бы предварительно вычислить и
составить таблицу соответствия блоков открытого
текста и шифртекста. Если длина блоков мала
(например, 30 бит), то число возможных блоков будет
не слишком большим (при длине 30 бит это 2
30 -10 9 ) и может быть составлена полная
таблица, дающая возможность моментального
дешифрования любого зашифрованного сообщения с
использованием известного открытого ключа.
Было предложено
много различных криптосистем с открытым ключом,
наиболее известной из которых является система
RSA
(Rivest, Shamir, Adleman). Криптостойкость
этой системы основана на трудности разложения
больших чисел на простые сомножители и выборе
для ключей шифрования и расшифрования двух
больших простых чисел.
Известно, что
алгоритм RSA не может быть применен для шифрования
с большой скоростью. Наиболее оптимизированная
программная реализация этого алгоритма
оказывается низкоскоростной, а несколько
аппаратных реализации обеспечивают скорость
шифрования от 10 до 100 Кбит/с (при использовании
простых чисел порядка 2
7
,что представляется минимальной длиной для
обеспечения требуемой криптостойкости). Это
значит, что применение системы RSA для блочного
шифрования ограничено, хотя применение ее для
распределения ключей, аутентификации и
формирования цифровой подписи представляет
интересные возможности. Некоторые известные в
настоящее время криптоалгоритмы с открытым
ключом допускают более высокую скорость
шифрования, чем алгоритм RSA. Однако они пока не
являются настолько популярными.
Системы
шифрования с обратной связью.
Системы
шифрования с обратной связью встречаются в
различных практических версиях. Как и в системах
блочного шифрования, сообщения разбиваются в них
на ряд блоков, состоящих из т
бит, и для
преобразования этих блоков в блоки шифртекста,
которые также состоят из т
бит, используются
специальные функции. Однако, если в блочном шифре
такая функция зависит только от ключа, то в
шифрах с обратной связью она зависит как от
ключа, так и от одного или более предшествующих
блоков шифртекста. Такое общее определение
шифрования с обратной связью включает в себя как
частные случаи большое количество различных
типов практически применяемых систем.
Применение
криптосистем блочного шифрования с обратной
связью дает ряд важных преимуществ
. Первое и
самое значительное -
возможность
использования их для обнаружения манипуляций с
сообщениями,
производимых
активными перехватчиками. При этом используется
факт размножения ошибок, а также способность
таких систем легко генерировать код
аутентификации сообщений
MAC (message aithentication code). Второе преимущество состоит в том,
что
шифры СТАК,
применяемые вместо блочных шифров, не требуют
начальной синхронизации
. Это
значит, что если начало сообщения пропущено при
приеме, то оставшаяся часть его может быть
успешно расшифрована (после успешного приема
следующих один за другим
t
бит шифртекста. Отметим также, что системы
шифрования с обратной связью используются не
только для шифрования сообщений, но также и для
их аутентификации.
Криптосистемам
блочного шифрования с обратной связью
свойственны определенные недостатки
.
Основной из них -
размножение
ошибок
, т.е. один ошибочный
бит при передаче может вызвать от 1 до
sm + i
ошибок в расшифрованном тексте.
Таким образом, требование увеличения
t
для повышения криптостойкости
противоречит системным требованиям, связанным с
размножением ошибок. Другой недостаток состоит в
том, что разработка и реализация систем
шифрования с обратной связью часто оказываются
более трудными, чем для систем поточного
шифрования. Хотя системы шифрования с обратной
связью различных типов находят широкое
применение уже в течение многих лет, специальных
алгоритмов для таких систем очень мало. В
большинстве случаев опубликованные алгоритмы
получены из алгоритмов блочного шифрования,
преобразованных для специальных применений.
Первый вывод,
который можно сделать из проведенного анализа,
состоит в том, что в большинстве практических
криптосистем применяются алгоритмы или
поточного шифрования, или шифрования с обратной
связью. Большинство криптосистем поточного
шифрования использует алгоритмы для
коммерческого сектора (в том числе, алгоритмы,
являющиеся собственностью фирм или отдельных
пользователей) или секретные правительственные
алгоритмы. Такое положение, видимо, сохранится
еще в ближайшие годы.
Возможно также, что
большинство систем шифрования с обратной связью
будет основано на применении алгоритмов
блочного шифрования в специальном варианте, в
частности, наиболее известного алгоритма
блочного шифрования DES. О других методах
шифрования можно сказать, что, несмотря на
быстрый рост публикаций по криптосистемам с
открытым ключом, только одна из них, - система
RSA, выдержала испытание временем.
Но алгоритм этой
системы связан с серьезными ограничениями в
реализации и поэтому не подходит для некоторых
криптографических применений. Конечно, можно
определенно утверждать, что криптосистемы с
открытым ключом оказали значительное влияние на
технику шифрования данных. Они находят все
возрастающее применение, в основном, для
формирования цифровых подписей или для
управления ключами в обычных криптосистемах
(таких, как ключ шифрования ключей).
Потенциальным
пользователям криптографии представляется
возможность выбирать между системами поточного
шифрования и системами шифрования с обратной
связью (возможно, основанными на применении
алгоритмов блочного шифрования). Однако имеются
определенные области применения, например,
финансовые операции, где возможно использование
методов прямого блочного шифрования ("
electronic
codebook"). Выбор криптоалгоритма в
значительной мере зависит от его назначения.
Некоторые данные, которыми можно
руководствоваться при выборе типа шифрования,
приведены в таблице.
Факторы, влияющие на выбор криптосистемы
Типы криптосистем |
Размножение ошибок |
Аутентификация |
Наличие криптоалгоритмов |
Скорость выполнения операций |
Поточного шифрования |
Стандартных алгоритмов нет. Имеются собственные алгоритмы фирм или пользователей |
|||
Блочного шифрования (с секретным ключом шифрования/ расшифрования |
Алгоритм DES; собственные алгоритмы фирм или пользователей |
|||
Блочного шифрования с открытым ключом |
Алгоритм RSA и немногие другие |
|||
С обратной связью от шифртекста |
Просто разрабатываются на основе алгоритмов блочного шифрования |
Решающими
факторами при выборе являются: тип шифруемых
данных, требуемые функции криптографической
защиты, характеристики используемого канала
связи. К характеристикам данных, влияющим на
выбор типа криптосистемы, относится требуемая
скорость шифрования. Например, при низкой
скорости возможно применение криптосистемы RSA,
для которой при аппаратной "быстрой”
реализации достижима скорость 10-100 Кбит/ с (не
приемлемая для многих применений).
Системы блочного
шифрования в программном варианте относятся к
низкоскоростным, но в аппаратном варианте,
например, с алгоритмом DES, могут работать со
скоростями до 10 Мбит/с. Если требуются более
высокие скорости, то лучшим кандидатом может
быть система поточного шифрования с высоким
быстродействием как в программном, так и в
аппаратном вариантах.
В случае если
необходимо обеспечить аутентификацию сообщений,
рекомендуется применять либо системы с обратной
связью от шифртекста, либо системы с открытым
ключом. Если имеющийся канал связи относится к
каналам, подверженным ошибкам, такой системой
является поточное шифрование.
«Практическая криптография». Книга эта невероятно интересная! Если вы интересуетесь криптографией, то просто обязаны держать ее на полке (в крайнем случае — скачать электронную версию), ровно как и любую другую книгу этих авторов, которую сможете найти.
Важно! Если перед вами стоит практическая задача, советую найти настоящего специалиста по криптографии, а не полагаться на бложик никому неизвестного программиста. Учтите также, что книга была написана в 2005 году и к тому моменту, когда вы найдете эту заметку, информация может устареть.
Есть несколько причин, по которой я взялся за написание этой памятки. Для начала, я хочу иметь под рукой краткую заметку по созданию безопасного соединения. Есть подозрения, что когда-нибудь она мне пригодится. Объем «Практической криптографии» — более 400 страниц, так что на краткое руководство оно не тянет. Тем не менее, ознакомиться с книгой стоит для понимания того, почему авторы предлагают то решение, а не иное. Другая причина создания этого поста — мой экземпляр книги начинает потихоньку разваливаться. Третья — информация в интернете доступна отовсюду, а не только у меня дома.
Объяснение таких понятий, как блочный шифр, функция хэширования, и тд в этом тексте вы не найдете. Обращайтесь к соответствующей литературе или Википедии. Если вы хотели бы увидеть в этом блоге посты из серии «основы криптографии», отпишитесь в комментариях — посмотрим, что тут можно сделать.
1. Постановка задачи
Есть пользователи А и Б, которые обмениваются сообщениями. Они могут использовать протокол TCP, UDP, электронную почту или чат — сейчас это не имеет значения. Есть злоумышленник Е, который может перехватывать, подменять и переставлять эти сообщения, заставлять их бесследно исчезнуть, а также слать сообщения от имени А и Б. Задача — помочь А и Б обмениваться сообщениями таким образом, чтобы Е не мог узнать их содержимого. Избавиться от Е никак нельзя.
2. Шифрование данных
В качестве алгоритма шифрования Шнайер и Фергюсон рекомендуют использовать AES (Rijndael с размером блока 128 бит ) с длиной ключа 256 бит в режиме CTR . В этом режиме максимальный размер одного сообщения составляет 16 · 2 32 байт. Вряд ли кого-то стеснит это ограничение. В крайнем случае можно разбить сообщение на части.
Для шифрования сообщения с номером i, имеющего размер L бит, необходимо вычислить L бит следующим способом:
b 1 , b 2 , …, b L = E K (0 || i || 0 ) || E K (1 || i || 0) ||
E K (2 || i || 0) || E K (3 || i || 0) || …
где функция E K (128 бит на выходе) — алгоритм шифрования, K (256 бит) — ключ шифрования, аргумент функции (128 бит) — шифруемые данные, а оператор || означает конкатенацию данных. После вычисления битов b 1 … b L складываем их по Жегалкину (исключающее ИЛИ, операция XOR, ⊕) с битами сообщения, в результате получаем зашифрованный текст. Для расшифровки нужно проделать точно такую же последовательность действий над шифротекстом.
Здесь важно обратить внимание на два момента. Во-первых, ключи шифрования при посылке данных от А к Б и от Б к А должны быть разными. Во-вторых, необходимо согласовать последовательность байт в аргументе функции E K . Порядок байт в 32-х разрядных числах может меняться в зависимости от архитектуры используемого процессора. Традиционно в сетевых протоколах и форматах файлов используется порядок байт от старшего к младшему .
3. Функция хэширования
В качестве функции хэширования авторы рекомендуют SHA-256 . Она используется при вычислении кодов аутентификации сообщений, а также при обмене ключами. В последнем случае применяется функция SHA d -256, определенная, как SHA256(SHA256(message)).
Допустим, мы успешно установили сеансовый ключ с помощью алгоритма Диффи-Хеллмана , в результате А и Б получили общий ключ К. Затем производится следующая последовательность действий:
// Избавляемся от алгебраической структуры ключа
K = SHA d -256(K)
// Строим 4 дочерних ключа:
// 1. Шифрование от А к Б
key_send_enc = SHA d -256(K || «Enc from A to B»)
// 2. Шифрование от Б к А
key_recv_enc = SHA d -256(K || «Enc from B to A»)
// 3. Аутентификация от А к Б
key_send_auth = SHA d -256(K || «Auth from A to B»)
// 4. Аутентификация от Б к А
key_recv_auth = SHA d -256(K || «Auth from B to A»)
4. Коды аутентификации сообщений
Каждое сообщение должно сопровождаться имитовставкой (MAC) . В качестве функции MAC Шнайер и Фергюсон рекомендуют использовать HMAC-SHA-256:
a i = HMAC K (i || L(x i) || x i || m i)
HMAC K (m) = SHA256{(K ⊕ 0x5c5c..5c) || SHA256[(K ⊕ 0x3636..36) || m]}
Здесь a i — код аутентификации i-го сообщения m i . HMAC K (m) представляет собой хэш-функцию, значение которой зависит не только от сообщения m, но и от ключа K. Как и в случае с шифрованием, в MAC должно использоваться два независимых ключа для А и Б. Как уже отмечалось, ⊕ — это операция побитового исключающего ИЛИ (она же XOR).
В «Практической криптографии» делается особый акцент на том, как важно производить аутентификацию не только сообщения m i , являющегося обычной последовательностью байт, но и его смысла. Пусть m i = a || b || c, то есть состоит из нескольких полей определенной длины. Представим, что после очередного обновления протокола размеры полей изменилось. Тогда, если злоумышленник Е сможет подменить версию протокола, сообщение будет интерпретировано неверно. Притом неважно как злоумышленнику удастся это сделать — безопасность одной части системы не должна зависеть от безопасности остальных.
Вот для чего нужна дополнительная информация x i , включающая в себя id протокола (сигнатуру, IP:порт получателя и отправителя), версию протокола, id сообщения, размер и имена полей сообщения. Притом информация x i должна быть закодирована таким образом, чтобы ее можно было однозначно декодировать. L(x i) в нашей формуле — это, очевидно, длина x i . К счастью, всего этого гемора можно избежать, просто передавая сообщения в XML-подобном формате данных, то есть таком, где дополнительная информация о смысле сообщения уже включена в само сообщение. Тут важно не забыть включить в каждое сообщение всю дополнительную информацию, перечисленную выше.
Что еще следует знать о MAC?
- Можно обрезать значение HMAC-SHA-256 до 16-и байт . Делать это не желательно, но такое решение лучше, чем использование HMAC-MD5 с целью уменьшить объем передаваемых данных.
- Рекомендуется сначала вычислять MAC, а затем производить шифрование сообщения вместе с MAC , а не наоборот.
5. Описание обмена сообщениями
Важно! Для каждого нового сеанса связи необходимо генерировать новые ключи шифрования и аутентификации.
Согласование ключей заслуживает написания отдельного поста, если не двух, потому сейчас мы его не рассматриваем.
Теперь А и Б обмениваются сообщениями в формате, подобном XML (либо следуют инструкциям, которые предусмотрены для иной ситуации, см пункт 4). Каждому сообщению присваивается уникальный 32-х битный номер. Нумерация сообщений начинается с единицы — так проще отследить момент, когда номера закончатся. Когда это произойдет, необходимо заново произвести согласование ключей. Можно использовать и 64-х битные номера сообщений, но тогда каждое сообщение станет на 4 байта длиннее. К тому же, время от времени следует производить обновление ключей, так что 32 бита — в самый раз.
Если для передачи данных используется протокол UDP, следует производить повторную посылку сообщения по некоторому таймауту в случае, если другая сторона на него не реагирует. При использовании TCP этого не требуется — транспортный уровень позаботиться о гарантированной доставке пакетов. Злоумышленник Е может нарушить сеанс связи между А и Б, испортив одно из сообщений или переставив пару сообщений местами. Но раз у нас есть «человек посередине», то он в любом случае может нарушить связь между А и Б. Отсюда вывод:
Не стоит тратить время на написание «своего TCP» поверх другого протокола — просто используйте протокол TCP. Если, конечно, в вашем приложении это возможно.
Когда пользователь А хочет послать сообщение m i , он вычисляет MAC этого сообщения a i согласно пункту 4. Затем он шифрует сообщение m i || a i , как это описано в пункте 2 и посылает пользователю Б следующее: i || m’ i || a’ i . После этого А увеличивает значение счетчика отправленных сообщений i на единицу.
Когда пользователь Б получает i || m’ i || a’ i , он расшифровывает m i и a i , проверяет код аутентификации. Сообщения с неверным MAC игнорируются (их мог отправить злоумышленник Е). Затем производится проверка значения i — если оно меньше ожидаемого номера сообщения, для определенности назовем его j, сообщение отбрасывается. В противном случае (i >= j) присваиваем j значение i + 1 и обрабатываем сообщение m i .
Здесь есть несколько моментов, на которых стоит заострить внимание. Во-первых, как уже отмечалось в пункте 2, номера сообщений следует передавать в порядке байт от старшего к младшему. Во-вторых, проверку номера сообщения можно было бы проводить и до расшифровки. Но в этом случае, если сообщение с неверным номером пошлет злоумышленник Е, будет обнаружена (а затем записана в логи) ошибка «неверный номер сообщения», когда на самом деле произошла ошибка «неверный код аутентификации сообщения». Криптографы в первую очередь беспокоятся о безопасности и корректной работе приложений, а не о производительности. Некоторым программистам есть чему у них поучиться.
К сожалению, в случае активного вмешательства злоумышленника Е в передачу данных, пользователь Б может получить лишь подмножество сообщений, отправленных А. Если обнаружена пропажа сообщений, то поведение пользователей должно зависеть от типа информации, которой они обмениваются. В одних случаях пропажа части сообщений может быть не критичной, в другой — требовать прекращения сеанса связи.
6. Заключение
Очень многие моменты не были рассмотрены в этом посте. Как А и Б согласуют сеансовые ключи связи? Откуда во время согласования ключей пользователю А известно, что он общается с Б, если по условию задачи Е может выдавать себя за кого угодно?
Дополнение: Эти вопросы рассматриваются в .
Не менее интересные вопросы — как правильно генерировать псевдослучайные числа? Как противодействовать тайминг-атакам? Что делать, если операционная система поместит запущенное приложение со всеми ключами в файл подкачки? с устаревшей парой RSA-ключей? Злоумышленник Е хоть и не знает содержимого сообщений, но знает их размер и время отправки — опасно ли это и как этому противостоять?
Мир информационной безопасности неописуемо интересен (хоть и сложен) и в этом блоге непременно появятся новые посты о криптографии. Если у вас есть ко мне вопросы, не стесняйтесь задать их в комментариях, постараюсь ответить.
Проблема воровства персональных данных незаметно превратилась в бич цивилизации. Информацию о пользователе тянут все кому не лень: кто-то предварительно испросив согласие (социальные сети, операционные системы, приложения компьютерные и мобильные), другие без разрешения и спросу (злоумышленники всех сортов и антрепренёры, извлекающие любую выгоду из сведений о конкретном человеке). В любом случае приятного мало и всегда есть риск, что вместе с безобидной информацией в чужие руки попадёт что-то такое, что сможет навредить лично вам или вашему работодателю: служебные документы, частная или деловая корреспонденция, семейные фото...
Но как помешать утечкам? Шапочка из фольги тут не поможет, хоть это, бесспорно, и красивое решение. Зато поможет тотальное шифрование данных: перехватив или украв зашифрованные файлы, соглядатай ничего в них не поймёт. Сделать это можно, защитив всю свою цифровую активность с помощью стойкой криптографии (стойкими называются шифры, на взлом которых при существующих компьютерных мощностях потребуется время, по крайней мере большее продолжительности жизни человека). Вот 6 практических рецептов, воспользовавшись которыми, вы решите эту задачу.
Зашифруйте активность веб-браузера. Глобальная сеть устроена таким образом, что ваш запрос даже к близко расположенным сайтам (типа yandex.ru) проходит на своём пути через множество компьютеров («узлов»), которые ретранслируют его туда и обратно. Посмотреть примерный их список можно, введя в командной строке команду tracert адрес_сайта. Первым в таком списке будет ваш интернет-провайдер или владелец точки доступа Wi-Fi, через которую вы подключились к интернету. Потом ещё какие-нибудь промежуточные узлы, и только в самом конце сервер, на котором хранится нужный вам сайт. И если ваше соединение не зашифровано, то есть ведётся по обычному протоколу HTTP, каждый, кто находится между вами и сайтом, сможет пересылаемые данные перехватить и проанализировать.
Поэтому сделайте простую вещь: добавьте к «http» в адресной строке символ «s», чтобы адрес сайта начинался с «https://». Таким образом вы включите шифрование трафика (так называемый слой безопасности SSL/TLS). Если сайт поддерживает HTTPS, он позволит это сделать. А чтобы не мучиться каждый раз, поставьте браузерный плагин : он будет принудительно пытаться включить шифрование на каждом посещаемом вами сайте.
Недостатки : соглядатай не сможет узнать смысл передаваемых и принимаемых данных, но он будет знать, что вы посещали конкретный сайт.
Зашифруйте свою электронную почту. Письма, отправленные по e-mail, тоже проходят через посредников, прежде чем попасть к адресату. Зашифровав, вы помешаете соглядатаю понять их содержимое. Однако техническое решение тут более сложное: потребуется применить дополнительную программу для шифрования и дешифровки. Классическим решением, не потерявшим актуальности до сих пор, будет пакет OpenPGP или его свободный аналог GPG , либо поддерживающий те же стандарты шифрования плагин для браузера (например, Mailvelope).
Прежде чем начать переписку, вы генерируете так называемый публичный криптоключ, которым смогут «закрывать» (шифровать) письма, адресованные вам, ваши адресаты. В свою очередь каждый из ваших адресатов тоже должен сгенерировать свой ключ: с помощью чужих ключей вы сможете «закрывать» письма для их владельцев. Чтобы не путаться с ключами, лучше использовать вышеупомянутый браузерный плагин. «Закрытое» криптоключом письмо превращается в набор бессмысленных символов - и «открыть» его (расшифровать) может только владелец ключа.
Недостатки : начиная переписку, вы должны обменяться ключами со своими корреспондентами. Постарайтесь гарантировать, чтобы никто не смог перехватить и подменить ключ: передайте его из рук в руки, либо опубликуйте на публичном сервере для ключей. Иначе, подменив ваш ключ своим, соглядатай сможет обмануть ваших корреспондентов и будет в курсе вашей переписки (так называемая атака man in the middle - посредника).
Зашифруйте мгновенные сообщения. Проще всего воспользоваться мессенджерами, которые уже умеют шифровать переписку: Telegram, WhatsApp, Facebook Messenger, Signal Private Messenger, Google Allo, Gliph и т.п. В таком случае от любопытных глаз со стороны вы защищены: если случайный человек и перехватит сообщения, то увидит лишь мешанину символов. Но вот от любопытства компании, которая владеет мессенджером, это вас не оградит: у компаний, как правило, есть ключи, позволяющие читать вашу переписку - и мало того, что они любят это делать сами, они по первому требованию сдадут их правоохранительным органам.
Поэтому лучшим решением будет воспользоваться каким-либо популярным свободным (open source) мессенджером с подключенным плагином для шифрования «на лету» (такой плагин часто называют «OTR»: off the record - препятствующий записи). Хорошим выбором будет Pidgin .
Недостатки : как и в случае с электронной почтой, вы не гарантированы от атаки посредника.
Зашифруйте документы в «облаке». Если вы пользуетесь «облачными» хранилищами вроде Google Drive, Dropbox, OneDrive, iCloud, ваши файлы могут быть украдены кем-то, кто подсмотрит (или подберёт) ваш пароль, либо если обнаружится какая-то уязвимость в самом сервисе. Поэтому прежде, чем поместить что-либо в «облако», зашифруйте это. Реализовать такую схему проще и удобней всего с помощью утилиты, которая создаёт на компьютере папку - помещённые куда документы автоматически шифруются и переправляются на «облачный» диск. Такова, например, Boxcryptor . Чуть менее удобно применить для той же цели приложения типа TrueCrypt - создающие целый шифрованный том, размещаемый в «облаке».
Недостатки : отсутствуют.
Зашифруйте весь (не только браузерный) трафик с вашего компьютера. Может пригодиться, если вы вынуждены пользоваться непроверенным открытым выходом в Сеть - например, незашифрованным Wi-Fi в публичном месте. Здесь стоит воспользоваться VPN: несколько упрощая, это защищённый шифрованием канал, протягиваемый от вас до VPN-провайдера. На сервере провайдера трафик дешифруется и отправляется далее по назначению. Провайдеры VPN бывают как бесплатные (VPNbook.com, Freevpn.com, CyberGhostVPN.com), так и платные - различающиеся скоростью доступа, временем сеанса и т.п. Большой бонус такого соединения в том, что для всего мира вы кажетесь выходящим в Сеть с сервера VPN, а не со своего компьютера. Поэтому, если VPN-провайдер находится за пределами Российской Федерации, вам будут доступны сайты, заблокированные внутри РФ.
Того же результата можно добиться, если установить на своём компьютере TOR - с той лишь разницей, что в данном случае провайдера нет: вы будете выходить в интернет через случайные узлы, принадлежащие другим участникам этой сети, то есть неизвестным вам лицам или организациям.
Недостатки : помните, что ваш трафик дешифруется на выходном узле, то есть на сервере VPN-провайдера или компьютере случайного участника TOR. Поэтому если их владельцы пожелают, они смогут анализировать ваш трафик: попробовать перехватить пароли, выделить ценные сведения из переписки и пр. Поэтому пользуясь VPN или TOR, совмещайте их с другими средствами шифрования. Кроме того, настроить TOR правильно - задача непростая. Если у вас нет опыта, лучше воспользоваться готовым решением: комплектом TOR + браузер Firefox (в таком случае будет шифроваться только браузерный трафик) или Linux-дистрибутивом Tails (работающим с компакт-диска или флэшки), где весь трафик уже настроен на маршрутизацию через TOR.
Зашифруйте флэшки и съёмные носители данных, мобильные устройства. Сюда же можно добавить и шифрование жёсткого диска на рабочем компьютере, но его вы по крайней мере не рискуете потерять - вероятность чего всегда присутствует в случае с носимыми накопителями. Чтобы зашифровать не отдельный документ, а сразу целый диск, используйте приложения BitLocker (встроено в MS Windows), FileVault (встроено в OS X), DiskCryptor , 7-Zip и им подобные. Такие программы работают «прозрачно», то есть вы не будете их замечать: файлы шифруются и дешифруются автоматически, «на лету». Однако злоумышленник, в руки которого попадёт закрытая с их помощью, например, флэшка, ничего из неё извлечь не сумеет.
Что касается смартфонов и планшеток, там для полного шифрования лучше воспользоваться встроенным функционалом операционной системы. На Android-устройствах загляните в «Настройки -> Безопасность», на iOS в «Настройки -> Пароль».
Недостатки : поскольку все данные хранятся теперь в зашифрованном виде, процессору приходится их дешифровать при чтении и шифровать при записи, на что, конечно, тратятся время и энергия. Поэтому падение производительности может быть заметным. Насколько в действительности замедлится работа вашего цифрового устройства, зависит от его характеристик. В общем случае более современные и топовые модели проявят себя лучше.
Таков список действий, которые стоит предпринять, если вас беспокоит возможная утечка файлов в чужие руки. Но помимо этого есть ещё несколько соображений общего характера, которые тоже следует иметь в виду:
Свободное приложение для охраны приватности обычно надёжней проприетарного. Свободное - это такое, исходные тексты которого опубликованы под свободной лицензией (GNU GPL, BSD и т.п.) и могут изменяться всеми желающими. Проприетарное - такое, эксклюзивные права на которое принадлежат какой-либо одной компании или разработчику; исходные тексты таких программ обычно не публикуются.
Шифрование предполагает использование паролей, поэтому позаботьтесь, чтобы ваш пароль был правильным: длинным, случайным, разнообразным.
Многие офисные приложения (текстовые редакторы, электронные таблицы и др.) умеют шифровать свои документы самостоятельно. Однако стойкость применяемых ими шифров, как правило, невелика. Поэтому для защиты лучше предпочесть одно из перечисленных выше универсальных решений.
Для задач, которые требуют анонимности/приватности, удобней держать отдельный браузер, настроенный на «параноидальный» режим (вроде уже упоминавшегося комплекта Firefox + TOR).
Javascript, часто используемый в Сети, это настоящая находка для шпиона. Поэтому, если вам есть что скрывать, Javascript в настройках браузера лучше заблокировать. Также безусловно блокируйте рекламу (поставьте любой плагин, реализующий эту функцию, например, AdBlockPlus): под видом банеров в последнее время часто рассылают вредоносный код.
Если пресловутый «закон Яровой» всё-таки вступит в силу (по плану это должно случиться 1 июля 2018 года), запасные ключи от всех шифров в России должны будут быть переданы государству, в противном случае шифр не будет сертифицирован. А за пользование несертифицированным шифрованием даже рядовые обладатели смартфонов смогут быть оштрафованными на сумму от 3 тысяч рублей с конфискацией цифрового устройства.
P.S. В статье использована фотография Christiaan Colen .
Если вам понравилась статья - порекомендуйте ее своим друзьям, знакомым или коллегам, имеющим отношение к муниципальной или государственной службе. Нам кажется, что им это будет и полезно, и приятно.
При перепечатке материалов обязательна ссылка на первоисточник.
