Технологии криптографической защиты информации
Криптография – это совокупность технических, математических, алгоритмических и программных методов преобразования данных (шифрования данных), которая делает их бесполезными для любого пользователя, у которого нет ключа для расшифровки. Криптографические преобразования обеспечивают решение следующих базовых задач защиты – конфиденциальности (невозможности прочитать данные и извлечь полезную информацию) и целостности (невозможности модифицировать данные для изменения смысла или внесения ложной информации).
Технологии криптографии позволяют реализовать следующие процессы информационной защиты:
• идентификацию (отождествление) объекта или субъекта сети или информационной системы;
• аутентификацию (проверку подлинности) объекта или субъекта сети;
• контроль/разграничение доступа к ресурсам локальной сети или внесетевым сервисам;
• обеспечение и контроль целостности данных.
Общая схема простой (симметричной) криптосистемы показана на рис. 7.4 [3].
Рис. 7.4. Схема симметричной криптосистемы с закрытым ключом
Существуют два класса криптосистем – симметричные (с одним ключом) и асимметричные (с двумя ключами). Симметричные криптосистемы используют один и тот же ключ в процедурах шифрования и расшифровки текста, поэтому такие системы называются системами с секретным ключом. Ключ должен быть известен только тем, кто занимается отправкой и получением сообщений. Передача такого ключа от адресата пользователю может быть выполнена только по защищенному каналу связи (рис. 7.4, пунктирная линия), что является существенным недостатком симметричной системы шифрования. Такой вид шифрования наиболее часто применяется в закрытых локальных сетях, в том числе входящих в КИС, для предотвращения несанкционированного доступа (НСД) в отсутствие владельца ресурса. Таким способом можно шифровать отдельные тексты, файлы, логические и физические диски.
Асимметричные криптосистемы используют различные ключи (рис. 7.5):
• открытый ключ К, употребляется для шифрования данных и вычисляется по параметрам секретного ключа К2;
• секретный ключ К2 применяется для расшифровки информации, закодированной с помощью парного ему открытого ключа К1.
Рис. 7.5. Обобщенная схема асимметричной криптосистемы с открытым ключом
Открытый и секретный ключи К, и К2 генерируются попарно. При этом ключ К2 остается у его владельца и должен быть надежно защищен от НСД. Копии ключа К1 распространяются среди пользователей сети, с которыми обменивается информацией обладатель секретного ключа К2. Таким образом, в асимметричной криптосистеме ключ К1 свободно передается по открытым каналам связи, а секретный ключ К2 хранится на месте его генерации.
Система защиты информации называется криптостойкой, если в результате предпринятой злоумышленником атаки на зашифрованное послание невозможно расшифровать перехваченный зашифрованный текст <С> для получения открытого текста <М> или зашифровать текст злоумышленника <М'> для передачи правдоподобного зашифрованного текста <С'> с искаженными данными.
В 90-е гг. XX в. в США были разработаны методы шифрования с помощью особого класса функций – хэш-функций (Hash Functions). Хэш-функция (дайджест-функция) – это отображение, на вход которого подается сообщение переменной длины М, а выходом является строка фиксированной длины h(M) – дайджест-сообщения. Криптостойкость такого метода шифрования состоит в невозможности подобрать документ М', который обладал бы требуемым значением хэш-функции. Параметры вычисления хэш-функции h являются семейством ключей {А]Л„ В настоящее время на этих принципах разрабатываются алгоритмы формирования электронной цифровой подписи (ЭЦП).
Наиболее известными симметричными алгоритмами шифрования на сегодня являются DES (Data Encryption Standard), IDEA (International Data Encryption Algorithm), RC2, RC5, CAST, Blowfish. Асимметричные алгоритмы – RSA (Rivest, Shamir, Adleman), алгоритм Эль Гамаля, криптосистема ЕСС на эллиптических кривых, алгоритм открытого распределения ключей Диффи-Хеллмана. Алгоритмы, основанные на применении хэш-функций, – MD4 (Message Digest 4), MD5 (Message Digest 5), SHA (Secure Hash Algorithm) [3]. Наиболее популярным программным продуктом, распространяемым свободно, является пакет PGP (Pretty Good Privacy) Фила Циммермана (Phil Zimmerman), который использовал упомянутые алгоритмы RSA, IDEA и MD5 [mit.edu/network/pgp-form.html].
В России установлен единый алгоритм криптографических преобразований данных для систем обработки и передачи данных в сетях, который установлен стандартом ГОСТ 28147-89. Стандарт ГОСТ Р 34.11-94 определяет алгоритм и процедуру вычисления хэш-функций, а ГОСТ Р 34.10-94 и позже дополненный ГОСТ Р 34.10-2001 являются стандартами, определяющими алгоритм формирования ЭЦП.