Шифрование и защита данных при хранении и передаче

Первым из получивших распространение  способов оказался экспоненциальный ключевой обмен. Суть его в следующем:

- Алиса и Боб (привлечение  в качестве сторон не абстрактных  "А" и "Б", а симпатичных  Алисы и Боба, стало традицией  в этой области криптологии)  выбирают случайные числа Хa  и Хb соответственно.

- Алиса передает Бобу Y_a =a^Xa (mod q), а Боб Алисе - Yb =a^Xb (mod q).

Здесь a - так называемый примитивный  элемент конечного поля Галуа GF (q), замечательное для нас свойство которого заключается в том, что  его степени дают все ненулевые  значения элементов поля. В качестве секретного ключа используется значение

Ya =a^XaXb (mod q),

которое Алиса получает возведением  переданного Бобом числа в  степень Xa, известную только ей, а  Боб - полученного от Алисы числа  в известную только ему степень  Хb. Криптоаналитик вынужден вычислять  логарифм по крайней мере одного из передаваемых чисел.

Устойчивость экспоненциального  ключевого обмена базируется на так  называемой односторонности функции  возведения в степень: вычислительная сложность получения Ya из Xa при q длиной 1000 битов - порядка 2000 умножений 1000 битовых  чисел, в то время как обратная операция потребует примерно 1030 операций. ОДНОСТОРОННИЕ функции, обладающие подобной асимметрией вычислительной сложности прямой и обратной задачи, играют ведущую роль в криптографии с открытым ключом.

Еще более интересна односторонняя  функция с потайным ходом ("лазейкой"). Идея состоит в том, чтобы построить  функцию, обратить которую можно  только зная некоторую "лазейку" - секретный ключ. Тогда параметры  функции служат открытым ключом, который  Алиса может передать по незащищенному  каналу Бобу; Боб, используя полученный открытый ключ, выполняет шифрование (вычисление прямой функции) и передает по тому же каналу результат Алисе; Алиса, зная "лазейку" (секретный  ключ), легко вычисляет обратную функцию, тогда как криптоаналитик, не зная секретного ключа, обречен на решение намного более сложной  задачи.

Такую функцию в 1976 году удалось  построить Р. Мерклю (R.C. Merkle) на основе задачи об укладке ранца. Сама по себе задача - односторонняя: зная подмножество грузов, уложенных в ранец, легко  подсчитать суммарный вес, но зная вес, непросто определить подмножество грузов. В нашем случае использовался  одномерный вариант задачи: вектор грузов и сумма компонентов его  подвекторов. Встроив "лазейку", удалось  получить так называемую ранцевую систему  Меркля-Хелмана. Первая криптосистема  с открытым ключом заработала, и  Меркль предложил $100 тому, кто сможет ее раскрыть.

Награда досталась А. Шамиру (Adi Shamir) шесть лет спустя после  публикации им в марте 1982 года сообщения  о раскрытии ранцевой системы  Меркля-Хелмана с одной итерацией. На конференции Crypto'82 Л. Адлман (L. Adleman) продемонстрировал на компьютере Apple II раскрытие ранцевой системы. Заметим, что Шамир не построил способ обращения  задачи - получения значения секретного ключа, он сумел построить ключ, не обязательно равный секретному, но позволяющий раскрыть шифр. В этом таится одна из наибольших опасностей для криптографии с открытым ключом: нет строгого доказательства односторонности  используемых алгоритмов, т. е. никто  не гарантирован от возможности нахождения способа дешифрования, вероятно, и  не требующего решения обратной задачи, высокая сложность которой позволяет  надеяться на практическую стойкость  шифра. Хорошо, если раскрытие той  или иной системы проведет ученый с мировым именем (в 1982 году А. Шамир  уже был известен как один из авторов  системы RSA). А если это удастся  нечестолюбивому хакеру?

В заключение драмы о ранцевой системе упомянем еще об одном  пари, которое Меркль заключил с  желающими раскрыть усовершенствованную  систему с многими итерациями на сумму $1000. И эту сумму пришлось заплатить. Ее получил Э. Брикелл, раскрыв  летом 1984 года систему с сорока итерациями и со ста посылками за час работы Cray-1.

Значительно более удачна на сегодняшний день судьба системы RSA, названной так по первым буквам фамилий ее авторов Р. Ривеста (Ronald Rivest) и уже знакомых нам А. Шамира и Л. Адлмана. Кстати, именно первому  систематическому изложению алгоритма RSA обязаны своим появлением на свет Алиса и Боб. С их "помощью" авторы в 1977 году описали систему  на основе односторонних свойств  функции разложения на простые множители (умножать просто, а разлагать - нет).

Развитие криптологии  с открытым ключом позволило криптологическим системам довольно быстро найти широкое  коммерческое применение. Но интенсивное  использование криптографии не обходится  без "накладок". Время от времени  мы узнаем о неприятностях в той  или иной системе защиты. Последним  нашумевшим в мире происшествием  стал взлом системы Kerberos. Система  эта, разработанная в середине 80-х  годов, довольно популярна в мире, и ее взлом вызвал немалое беспокойство пользователей.

В случае с Kerberos неприятность заключалась не в алгоритме шифрования, а в способе получения случайных  чисел, т. е. в методе реализации алгоритма. Когда в октябре прошлого года пришло известие о просчетах в  системе генерации случайных  чисел в программных продуктах Netscape, обнаруженных студентами университета Беркли, Стивен Лодин обнаружил подобную неприятность в Kerberos. Совместно с  Брайаном Доулом он сумел найти брешь  и в системе Kerberos. Действующие  лица этой истории - не дилетанты. Выпускники университета Purdue (штат Иллинойс) сотрудничали с лабораторией COAST (Computer Operations, Audit, and Security Technology), профессионально занятой  вопросами компьютерной безопасности и руководимой проф. Спаффордом, который является также основателем PCERT (Purdue Computer Emergency Response Team) - университетского отряда "быстрого реагирования" на компьютерные ЧП. PCERT, в свою очередь, член аналогичной международной  организации FIRST (Forum of Incident Response Teams). Как видим, мину нашли саперы, а это внушает надежду, что пользователи криптосистем не останутся беззащитными даже в случае выявления недоработок.

Характерно содержание первого  обращения к прессе (от 16 февраля 1996 г.), которое от лица первооткрывателей  сделал проф. Спаффорд. В нем, наряду с информацией о ненадежности системы паролей и возможностях ее взлома в течение пяти минут, говорится  о задержке дальнейшего распространения  технической информации до тех пор, пока разработчиками не будут внесены  коррективы препятствующие несанкционированному доступу.

Не обошли ошибки и наши пенаты. К счастью, есть в наших  краях профессионалы, способные  своевременно найти и показать слабые места системы защиты. Еще месяц  не прошел с тех пор, как специалистами  киевского ООО "Финтроник" П.В. Лесковым и В.В. Татьяниным продемонстрированы недостатки одной из популярных банковских систем защиты: время вскрытия шифротекстов составило менее 6 минут, а время, необходимое для неконтролируемого  нарушения целостности документа (обход системы аутентификации), - менее 5 минут. И здесь нам, читатель, также придется подождать, пока разработчики внесут необходимые изменения. А  уж затем мы сможем рассказать подробнее  о том, как и что было сделано.

Методы защиты информации в канале связи

Методы  защиты информации в канале связи  можно разделить на две группы:

• основанные на ограничении физического доступа к линии и аппаратуре связи;
• основанные на преобразовании сигналов в линии к форме, исключающей (затрудняющей) для злоумышленника восприятие или искажение содержания передачи.

Методы первой группы в  основном находят применение в системах правительственной связи, где осуществляется контроль доступа к среде передачи данных.

Методы второй группы направлены на обратимое изменение формы  представления передаваемой информации. Преобразование должно придавать информации вид, исключающий ее восприятие при  использовании аппаратуры, стандартной  для данного канала связи. При  использовании же специальной аппаратуры восстановление исходного вида информации должно требовать затрат времени  и средств, которые по оценке владельца  защищаемой информации делают бессмысленным  для злоумышленника вмешательство  в информационный процесс.

При защите обмена данными  решающее значение имеет форма представления  сигнала в канале связи.

Следует учесть, что деление  на "аналоговый" или "цифровой" сигнал условно. Для некоторых вариантов  механизмов защиты информации требуется  взаимная синхронизация и обмен  служебными посылками между взаимодействующей  аппаратурой защиты, т.е. присутствует цифровой режим, однако, поскольку этот режим не связан непосредственно  с речевым обменом, требования к  его скоростным характеристикам  достаточно свободны.

С другой стороны, символьный (цифровой) обмен в протяженных  каналах всегда осуществляется через  модемное преобразование в виде аналогового  сигнала.

Попробуем провести краткий  анализ вариантов угроз информации в канале связи. Для удобства анализа  проведем классификацию канала связи  по степени защищенности (защиты) передаваемой информации.

Полученные результаты сведем в таблицу 1. На рисунках 1, 2 изобразим  структурные схемы передачи данных для соответствующих каналов  на примере взаимодействия ОО (КСЗИ) с АТС и удаленным ОО (КСЗИ).

Класс защиты канала связи	Варианты угроз  информации
Открытый канал	Защита информации основана на ограничении доступа к линии. Возможно несанкционированное подключение  к линии. Возможен перехват: При использовании  услуги "Междугородная связь по паролю" возможно перехватить этот пароль, так как он передается с  помощью DTMF; Управляющей информации для/от АТС; Всех данных, передаваемых по каналу связи, вне зависимости  от используемой технологии передачи; Управляющей информации ОО (удаленное  управление ОО, сигнализацией и т.д. Особенно небезопасен перехват команд отключения для некоторых видов охранной сигнализации). Возможен перехват/модификация трафика и его полный анализ.
Полузакрытый канал (закрывается  только информация, управляющая информация передается в открытом виде).	Защита информации основана как на ограничении доступа к  линии, так и на КЗИ. Данные закрываются  с использованием КСЗИ (по ГОСТ 28147-89 в любом режиме). Возможно несанкционированное  подключение к линии. Возможем перехват: при использовании услуги "Междугородная  связь по паролю" также возможно перехватить этот пароль (если он набирался  в открытом режиме); управляющей  информации для/от АТС; момента установления защищенного соединения (возможен перехват ключей); открытых данных/разговора. Возможен перехват трафика но анализ только управляющей информации и открытых данных (опять проблема перехвата  команд отключения систем охранной сигнализации).

Таблица 1. Анализ вариантов угроз информации в канале связи.

Структурная схема передачи данных в открытом канале показана на рисунке 1.

Рисунок 1. Передача данных в открытом канале данных.

Рисунок 2. Передача данных в полузакрытом канале данных.

Примечание: 
А2 - алгоритм 2, К2 - ключ алгоритма А2.

Основная проблема, с которой  сталкиваются пользователи сетей, где  применяется сквозное шифрование, связана  с тем, что служебная информация. используемая для учстановления  соединения, передается по сети в незашифрованном  виде. Опытный криптоаналитик может  извлечь для себя массу полезной информации, зная кто с кем, как  долго и в какие часы общается через сеть доступа. Для этого  ему даже не потребуется быть в  курсе предмета общения.

По сравнению с канальным, сквозное шифрование характеризуется  более сложной работой с ключами, поскольку каждая пара пользователей  должна быть снабжена одинаковыми ключами, прежде чем они смогут связаться  друг с другом. А поскольку криптографический  алгоритм реализуется на верхних  уровнях модели OSI, приходится также  сталкиваться со многими существенными  различиями в коммуникационных протоколах и интерфейсах сети доступа (для  примера: отправитель - канал ТЧ, получатель - 2B+D). Все это затрудняет практическое применение сквозного шифрования.

Приведенные выше методы защиты информации уже не удолетворяют современных  требованиям. При использовании  этих методов злоумышленник может  перехватывать адресную информацию, вести мониторинг передаваемых данных, несанкционированно подключаться к  линии, искажать передаваемую информацию.

Единственным возможным  методом, удовлетворяющим всем современны требованиям, является использования  комбинации канального и сквозного  шифрования. При этом может закрывается  вся передаваемая по каналу связи  информация.

Комбинация канального и  сквозного шифрования данных в сети доступа обходится значительно  дороже, чем каждое из них по отдельности. Однако именно такой подход позволяет  наилучшим образом защитить данные, передаваемые по сети. Шифрование в  каждом канале связи не позволяет  злоумышленнику анализировать служебную информацию, используемую для маршрутизации. А сквозное шифрование уменьшает вероятность доступа к незашифрованным данным в узлах сети.

При этом злоумышленник может  проводить анализ только открыто  передаваемых данных, но не может нелегально использовать линию связи.

Структурная схема передачи данных в закрытом канале показана на рисунке 3.

Кратко опишем механизм взаимодействия КСЗИ и АТС (удаленной КСЗИ) в предложенном методе.

При занятии линии (получении  сигнала вызова от АТС) происходит автоматический переход в закрытый режим связи (А1, К1). После перехода в закрытый режим, абонентский комплект (АК) или  криптографический модуль перед  АК АТС аутентифицирует КСЗИ. Данный шаг необходим для устранения возможности несанкционированного использования линии. После проведения аутентификации возможен выход из закрытого  режима.

При вызове со стороны вызывающего  абонента, АТС принимает адресную информацию, устанавливает соединение.

При ответе удаленной КСЗИ возможны два варианта: аутентификации удаленной КСЗИ и переход в  закрытый режим (А2, К2) либо переход  в закрытый режим (А2, К2) и аутентификация удаленной КСЗИ.