Protecția informațiilor criptografice - protecția informațiilor prin transformarea sa criptografică.
Tehnicile criptografice sunt în prezent de bază pentru a asigura autentificarea fiabilă a părților la schimbul de informații, protecție.
LA mijloace de protecție a informațiilor criptografice(CIPF) include hardware, software și hardware și software care implementează algoritmi criptografici pentru transformarea informațiilor pentru a:
Protecția informațiilor în timpul procesării, stocării și transmiterii acestora;
Asigurarea fiabilității și integrității informațiilor (inclusiv utilizarea algoritmilor de semnătură digitală) în timpul procesării, stocării și transmiterii acestora;
Generarea de informații utilizate pentru identificarea și autentificarea subiecților, utilizatorilor și dispozitivelor;
Generarea de informații utilizate pentru a proteja elementele de autentificare ale AS protejat în timpul generării, stocării, procesării și transmiterii acestora.
Tehnicile criptografice includ criptarea și codificarea informațiilor... Există două metode principale de criptare: simetrică și asimetrică. În primul, aceeași cheie (păstrată secretă) este folosită atât pentru criptarea, cât și pentru decriptarea datelor.
Au fost dezvoltate metode de criptare simetrice foarte eficiente (rapide și de încredere). Există, de asemenea, un standard național pentru astfel de metode - GOST 28147-89 „Sisteme de procesare a informațiilor. Protecție criptografică. Algoritm pentru transformarea criptografică”.
Metodele asimetrice folosesc două chei. Unul dintre ele, neclasificat (poate fi publicat împreună cu alte informații publice despre utilizator), este folosit pentru criptare, celălalt (secret, cunoscut doar destinatarului) - pentru decriptare. Cea mai populară dintre cele asimetrice este metoda RSA, bazată pe operații pe numere prime mari (100 de cifre) și pe produsele lor.
Metodele criptografice vă permit să controlați în mod fiabil integritatea atât a datelor individuale, cât și a setului acestora (cum ar fi fluxul de mesaje); determinarea autenticității sursei de date; pentru a garanta imposibilitatea de a refuza acțiunile comise („nerepudierea”).
Controlul integrității criptografice se bazează pe două concepte:
Semnătură electronică (ES).
O funcție hash este o transformare a datelor greu de inversat (funcție unidirecțională), implementată de obicei prin intermediul criptării simetrice de legare a blocurilor. Rezultatul criptării ultimului bloc (în funcție de toate cele anterioare) este rezultatul funcției hash.
Criptografia ca mijloc de protejare (închidere) a informațiilor devine din ce în ce mai importantă în activitățile comerciale.
Pentru transformarea informațiilor se folosesc diverse instrumente de criptare: mijloace de criptare a documentelor, inclusiv cele portabile, mijloace de criptare a vorbirii (comunicații telefonice și radio), mijloace de criptare a mesajelor telegrafice și de transmitere a datelor.
Pentru protejarea secretelor comerciale pe piețele internaționale și interne, sunt oferite diverse dispozitive tehnice și seturi de echipamente profesionale de criptare și cripto-protecție pentru comunicații telefonice și radio, corespondență de afaceri etc.
Scramblerii și mascatorii s-au răspândit, înlocuind semnalul de vorbire cu transmisia digitală de date. Sunt produse mijloace de protecție pentru teletipuri, telexuri și faxuri. În aceste scopuri se folosesc criptoare, realizate sub formă de dispozitive separate, sub formă de atașamente la dispozitive sau încorporate în proiectarea telefoanelor, modemurilor fax și a altor dispozitive de comunicație (stații radio și altele). Pentru a asigura acuratețea mesajelor electronice transmise, semnăturile electronice digitale sunt utilizate pe scară largă.
Introducere
1.Excursie în istoria criptografiei electronice
1.1 Sarcini de bază ale criptografiei
1.2 Criptografia astăzi
2. Concepte de bază
2.1 Criptografia
2.2 Confidențialitate
2.3 Integritate
2.4 Autentificare
2.5 Semnătură digitală
3. Protecții criptografice
3.1 Criptosisteme
3.2 Principiile de funcționare a Criptosistemului
3.2.1 Metodologia cheie
3.2.1.1 Simetric (metodologie secretă)
3.2.1.2 Asimetric (metodologie deschisă)
3.3 Distribuția cheilor
3.4 Algoritmi de criptare
3.4.1 Algoritmi simetrici
3.4.2 Algoritmi asimetrici
3.5 Funcții hash
3.6 Mecanisme de autentificare
3.7 Semnături electronice și marcaje temporale
3.8 Puterea cifrului
Concluzie
Bibliografie
Introducere
Criptografia este știința de a proteja informațiile de a fi citite de străini. Protecția se realizează prin criptare, adică transformări care fac ca datele de intrare protejate să fie dificil de dezvăluit din datele de intrare fără cunoașterea informațiilor cheie speciale - cheia. Cheia este înțeleasă ca o parte ușor de schimbată a criptosistemului, ținută secretă și determinând care dintre posibilele transformări de criptare se efectuează în acest caz. Un criptosistem este o familie de transformări reversibile selectate cu o cheie care transformă textul simplu protejat într-un cifr și invers.
Este de dorit ca metodele de criptare să aibă cel puțin două proprietăți:
Destinatarul legitim va putea face inginerie inversă și decriptează mesajul;
Criptoanalistul unui adversar care interceptează un mesaj nu va putea recupera mesajul original de pe acesta fără o astfel de investiție de timp și bani care ar face această lucrare nepractică.
Scopul lucrării de curs: să se familiarizeze cu elementele de bază ale protecției informațiilor criptografice. Pentru atingerea acestui obiectiv, lucrarea a avut în vedere:
1. istoricul criptografiei, care include principalele sarcini ale criptografiei;
2. concepte de bază ale criptografiei (confidențialitate, integritate, autentificare, semnătură digitală);
3. mijloace criptografice de protecție (criptosisteme, principii ale criptosistemelor, distribuția cheilor, algoritmi de criptare etc.).
1.Excursie în istoria criptografiei electronice
Apariția la mijlocul secolului al XX-lea a primelor calculatoare electronice a schimbat radical situația în domeniul criptării (criptografiei). Odată cu pătrunderea computerelor în diverse sfere ale vieții, a apărut o industrie fundamental nouă - industria informației. În anii ’60 și parțial în anii ’70, problema protecției informațiilor a fost rezolvată destul de eficient prin utilizarea preponderent de măsuri organizaționale. Acestea au inclus, în primul rând, măsuri de securitate, securitate, semnalizare și cele mai simple instrumente software pentru protejarea informațiilor. Eficacitatea utilizării acestor instrumente a fost realizată datorită concentrării informațiilor pe centre de calcul, de regulă, autonome, care au contribuit la asigurarea protecției cu mijloace relativ mici. „Dispersia” informațiilor în locurile de stocare și prelucrare a acesteia, care a fost în mare măsură facilitată de apariția în cantități uriașe a calculatoarelor personale ieftine și a rețelelor de calculatoare naționale și transnaționale locale și globale construite pe baza acestora, folosind canale de comunicații prin satelit, crearea de sisteme foarte eficiente de explorare și producere a informațiilor, au exacerbat situația cu protecția informațiilor.
Problema asigurării nivelului necesar de protecție a informațiilor s-a dovedit a fi (și acest lucru este confirmat în mod substanțial atât de cercetările teoretice, cât și de experiența soluțiilor practice) foarte complexă, necesitând pentru soluționarea sa nu numai implementarea unui anumit set de metode științifice, măsuri științifice, tehnice și organizatorice și utilizarea mijloacelor și metodelor specifice, dar crearea unui sistem integral de măsuri organizatorice și utilizarea mijloacelor și metodelor specifice de protecție a informațiilor.
Volumul de informații care circulă în societate este în continuă creștere. Popularitatea World Wide Web din ultimii ani contribuie la dublarea informației în fiecare an. De fapt, în pragul noului mileniu, omenirea a creat o civilizație informațională în care bunăstarea și chiar supraviețuirea umanității în capacitatea ei actuală depinde de funcționarea cu succes a instalațiilor de procesare a informațiilor. Modificările survenite în această perioadă pot fi caracterizate după cum urmează:
Volumele de informații prelucrate au crescut cu câteva ordine de mărime într-o jumătate de secol;
Accesul la anumite date vă permite să controlați valori materiale și financiare semnificative;
Informația a căpătat o valoare care poate fi chiar calculată;
Natura datelor prelucrate a devenit extrem de variată și nu se mai limitează la date pur textuale;
Informația a fost complet „depersonalizată”, adică. particularitățile reprezentării sale materiale și-au pierdut sensul - comparați scrisoarea secolului trecut și mesajul modern prin e-mail;
Natura interacțiunilor informaționale a devenit extrem de complicată și, odată cu sarcina clasică de a proteja mesajele text transmise de citirea neautorizată și denaturare, au apărut noi sarcini în domeniul protecției informațiilor, care au existat anterior și au fost rezolvate în cadrul tehnologii „de hârtie” – de exemplu, semnătura sub un document electronic și livrarea unui document electronic „la primire” – încă vorbim despre astfel de „noi „probleme ale criptografiei;
Subiecții proceselor informaționale sunt acum nu numai oamenii, ci și sistemele automate create de aceștia, acționând conform programului stabilit în acestea;
„Abilitățile” de calcul ale computerelor moderne au ridicat la un nivel cu totul nou atât capacitatea de a implementa cifruri, de neconceput anterior datorită complexității lor mari, cât și capacitatea analiștilor de a le sparge. Modificările enumerate mai sus au dus la faptul că, foarte repede, după răspândirea computerelor în sfera afacerilor, criptografiile practice au făcut un salt uriaș în dezvoltarea sa și în mai multe direcții simultan:
În primul rând, au fost dezvoltate blocuri puternice cu cheie secretă, menite să rezolve problema clasică - pentru a asigura secretul și integritatea datelor transmise sau stocate, ele rămân în continuare „calul de bătaie” al criptografiei, cel mai des folosit mijloc de protecție criptografică;
În al doilea rând, au fost create metode de rezolvare a unor probleme noi, netradiționale, în domeniul securității informațiilor, dintre care cele mai cunoscute sunt problema semnării unui document digital și distribuirea deschisă a cheilor. În lumea modernă, o resursă informațională a devenit una dintre cele mai puternice pârghii ale dezvoltării economice. Deținerea de informații de calitatea cerută la momentul potrivit și la locul potrivit este cheia succesului în orice tip de afacere. Deținerea prin monopol a anumitor informații este adesea un avantaj decisiv în lupta competitivă și astfel predetermina prețul ridicat al „factorului informațional”.
Introducerea pe scară largă a computerelor personale a adus nivelul de „informatizare” a vieții de afaceri la un nivel calitativ nou. În zilele noastre este greu de imaginat o companie sau o întreprindere (inclusiv cele mai mici) care să nu fie înarmată cu mijloace moderne de procesare și transmitere a informațiilor. Într-un computer pe suport de date se acumulează cantități semnificative de informații, adesea de natură confidențială sau de mare valoare pentru proprietarul acesteia.
1.1. Principalele sarcini ale criptografiei.
Sarcina criptografiei, i.e. transmisie secretă, are loc numai pentru informațiile care necesită protecție. În astfel de cazuri, ei spun că informația conține un secret sau este protejată, privată, confidențială, secretă. Pentru cele mai tipice, frecvent întâlnite situații de acest tip, au fost introduse chiar și concepte speciale:
secrete de stat;
Un secret militar;
Secret comercial;
Secrete juridice;
1. există un anumit cerc de utilizatori legitimi care au dreptul de a deține aceste informații;
2. există utilizatori ilegali care caută să intre în posesia acestor informații pentru a le transforma în beneficiul lor și în prejudiciul utilizatorilor legitimi.
1.2. Criptografia astăzi
Criptografia este știința securizării datelor. Ea caută soluții la patru probleme importante de securitate - confidențialitatea, autentificarea, integritatea și controlul participanților la interacțiune. Criptarea este transformarea datelor într-o formă ilizibilă folosind chei de criptare-decriptare. Criptarea vă permite să asigurați confidențialitatea păstrând informațiile secrete față de cei cărora nu le sunt destinate.
2. Concepte de bază.
Scopul acestei secțiuni este de a defini conceptele de bază ale criptografiei.
2.1. Criptografie.
Tradus din greacă, cuvântul criptografieînseamnă criptografie. Sensul acestui termen exprimă scopul principal al criptografiei - de a proteja sau de a păstra secrete informațiile necesare.
Criptografia oferă un mijloc de a proteja informațiile și, prin urmare, face parte din activitățile de securitate a informațiilor.
Există diverse metode protectia informatiilor... Puteți, de exemplu, să restricționați fizic accesul la informații prin stocarea acestora într-un seif sigur sau într-o cameră strict păzită. Când stocați informații, această metodă este convenabilă, dar atunci când o transferați, trebuie să utilizați alte mijloace.
Puteți folosi una dintre metodele binecunoscute de a ascunde informații:
· Ascundeți canalul de transmitere a informațiilor folosind un mod nestandard de transmitere a mesajelor;
· Deghizarea canalului de transmitere a informațiilor închise într-un canal de comunicare deschis, de exemplu, prin ascunderea informațiilor într-un „container” inofensiv folosind una sau alta metodă textuală, sau prin schimbul de mesaje deschise, a căror semnificație a fost convenită în prealabil;
· Complicarea semnificativă a posibilității de interceptare a mesajelor transmise de către adversar, folosind metode speciale de transmisie pe canale de bandă largă, semnal sub nivelul de zgomot, sau folosind frecvențe purtătoare „săritoare” etc.
Spre deosebire de metodele enumerate, criptografia nu „ascunde” mesajele transmise, ci le transformă într-o formă inaccesibilă inamicului. În acest caz, de obicei pornesc de la presupunerea că inamicul are controlul complet asupra canalului de comunicare. Aceasta înseamnă că adversarul nu poate doar să intercepteze pasiv mesajele transmise pentru analiza lor ulterioară, ci și să le modifice în mod activ, precum și să trimită mesaje false în numele unuia dintre abonați.
Există și alte probleme de protecție a informațiilor transmise. De exemplu, cu un schimb complet deschis, se pune problema fiabilității informațiilor primite. Pentru a o rezolva, este necesar să furnizați:
· Verificarea și confirmarea autenticității conținutului sursei mesajului;
· Prevenirea și detectarea fraudelor și a altor încălcări deliberate din partea participanților la schimbul de informații.
Pentru a rezolva această problemă, mijloacele uzuale utilizate în construcția sistemelor de transmisie a informațiilor sunt departe de a fi întotdeauna adecvate. Criptografia este cea care oferă mijloacele de detectare a înșelăciunii sub formă de fals sau respingere a acțiunilor comise anterior, precum și a altor acțiuni ilegale.
Prin urmare, modernul criptografie este un domeniu de expertiză legat de abordarea problemelor de securitate a informațiilor, cum ar fi confidențialitatea, integritatea, autentificarea și non-repudierea. Realizarea acestor cerințe este principalul obiectiv al criptografiei.
Securitate confidențialitatea– Rezolvarea problemei protejării informațiilor împotriva familiarizării cu conținutul acesteia de către persoanele care nu au dreptul de a le accesa.
Securitate integritate– Garantați imposibilitatea modificărilor neautorizate ale informațiilor. Pentru a asigura integritatea, este necesar un criteriu simplu și de încredere pentru detectarea oricărei modificări a datelor. Manipularea datelor include inserarea, ștergerea și înlocuirea.
Securitate autentificare-elaborarea metodelor de confirmare a autenticităţii părţilor (identificare) şi a informaţiei în sine în procesul de interacţiune informaţională. Informațiile transmise prin canalul de comunicare trebuie să fie autentificate după sursă, momentul creării, conținutul datelor, timpul transmisiei etc.
2.2 Confidențialitate
Sarcina tradițională a criptografiei este problema asigurării confidențialității informațiilor la transmiterea mesajelor printr-un canal de comunicare controlat de inamic. În cel mai simplu caz, această sarcină este descrisă prin interacțiunea a trei subiecți (părți). Proprietarul informațiilor, numit de obicei de către expeditor, transformă originalul ( deschis) informație (procesul de transformare însuși se numește criptare) sub formă de transmis destinatar printr-un canal de comunicare deschis criptat mesaje pentru a-l proteja de inamic.
Orez . 1. Transmiterea informațiilor criptate
Expeditor Adversar Receptor
Sub adversarînseamnă orice subiect care nu are dreptul de a se familiariza cu conținutul informațiilor transmise. Inamicul poate fi criptoanalist care este priceput în metodele de decriptare a cifrurilor. Destinatarul legal al informației efectuează decriptare mesajele primite. Adversarul încearcă să câștige controlul asupra informațiilor protejate (acțiunile sale sunt de obicei numite atacuri). În același timp, el poate efectua atât acțiuni pasive, cât și active. Pasiv atacurile sunt legate de interceptarea cu urechea, analiza traficului, interceptarea, înregistrarea mesajelor criptate transmise, decriptare, adică încearcă să „crape” protecția pentru a obține informații.
La conducere activ atacuri, adversarul poate întrerupe transmiterea mesajelor, poate crea false (fabricate) sau modifica mesajele criptate transmise. Aceste acțiuni active sunt numite imitatiiși substituiri respectiv.
Sub cifru de obicei ne referim la o familie de transformări reversibile, fiecare dintre acestea fiind determinată de un parametru, numit cheie, precum și de ordinea de aplicare a acestei transformări, numită modul de conversie... Definiția formală a cifrului va fi dată mai jos.
Cheie- Aceasta este cea mai importantă componentă a cifrului, care este responsabilă pentru alegerea transformării utilizate pentru a cripta un anumit mesaj. De obicei, o cheie este o secvență alfabetică sau numerică. Această secvență, așa cum spune, „ajustează” algoritmul de criptare.
Fiecare transformare este identificată în mod unic printr-o cheie și descrisă de unii algoritm criptografic... Același algoritm criptografic poate fi utilizat pentru criptare în diferite moduri. Astfel, sunt implementate diverse metode de criptare (înlocuire simplă, gamma etc.). Fiecare mod de criptare are atât avantaje, cât și dezavantaje. Prin urmare, alegerea modului depinde de situația specifică. Decriptarea folosește un algoritm criptografic, care, în general, poate diferi de algoritmul utilizat pentru a cripta mesajul. În consecință, ei pot distinge între cheile de criptare și de decriptare. Câțiva algoritmi de criptare și decriptare sunt denumiți în mod obișnuit ca sistem de criptare, și dispozitivele care le implementează - tehnologie de cifrare.
2.3. Integritate
Alături de confidențialitate, o sarcină la fel de importantă este asigurarea integrității informațiilor, cu alte cuvinte, imuabilitatea acesteia în timpul transmiterii sau stocării. Soluția acestei probleme presupune dezvoltarea unor instrumente care să permită detectarea nu atât de distorsiuni aleatoare (în acest scop sunt destul de potrivite metodele teoriei codificării cu detectarea și corectarea erorilor), cât și impunerea intenționată a unor informații false de către adversar. . Pentru aceasta, în informațiile transmise se introduce redundanță. De regulă, acest lucru se realizează prin adăugarea unei anumite combinații de verificare la mesaj, calculată folosind un algoritm special și jucând rolul unei sume de control pentru a verifica integritatea mesajului primit. Principala diferență a acestei metode față de metodele teoriei codificării este că algoritmul pentru generarea combinației de verificare este „criptografic”, adică depinde de cheia secretă. Fără cunoașterea cheii secrete, probabilitatea de a impune cu succes informații distorsionate sau false de către adversar este mică. Această probabilitate servește drept măsură rezistență la imitație cifrul, adică capacitatea cifrului însuși de a rezista atacurilor active din partea inamicului.
2.4. Autentificare
Autentificarea este stabilirea autenticității. În general, acest termen se poate referi la toate aspectele interacțiunii informaționale: sesiune de comunicare, petreceri, mesaje transmise etc.
Autentificarea (adică verificarea și confirmarea) tuturor aspectelor comunicării este o parte importantă a problemei asigurării fiabilității informațiilor primite. Această problemă este deosebit de acută în cazul părților care nu au încredere una în alta, când sursa amenințărilor poate fi nu numai terțul (adversarul), ci și partea cu care se realizează interacțiunea.
Să luăm în considerare aceste întrebări.
În ceea ce privește o sesiune de comunicare (tranzacție), autentificarea înseamnă verificarea: a integrității conexiunii, a imposibilității retransmiterii datelor de către adversar și a oportunității transmiterii datelor. Pentru aceasta, de regulă, se folosesc parametri suplimentari, care permit „concatenarea” datelor transmise într-o secvență ușor de verificat. Acest lucru se realizează, de exemplu, prin inserarea unor numere speciale în mesaje sau timbre de timp... Acestea vă permit să preveniți încercările de retransmitere, reordonarea sau post-back a unei părți din mesajele transmise. Mai mult, astfel de inserții în mesajul transmis trebuie protejate (de exemplu, folosind criptarea) de eventuale falsuri și distorsiuni.
În ceea ce privește părțile la interacțiune, autentificarea înseamnă verificarea de către una dintre părți că partea care comunică este exact cea care pretinde a fi. Autentificarea partidei este adesea denumită Identificare.
Principalele mijloace de realizare a identificării sunt protocoale de identificare permițând identificarea (și autentificarea) fiecăreia dintre părțile implicate în interacțiune și neavând încredere unul în celălalt. Distinge protocoale unidirecționaleși identificare reciprocă.
Protocol este un algoritm distribuit care determină succesiunea acțiunilor fiecăreia dintre părți. În timpul executării protocolului de identificare, fiecare dintre părți nu transmite nicio informație despre cheia sa secretă, ci o stochează și o folosește pentru a forma mesaje de răspuns la solicitările primite în timpul executării protocolului.
În sfârșit, în raport cu informația în sine, autentificarea înseamnă verificarea faptului că informațiile transmise pe canal sunt autentice în conținut, sursă, timp de creare, timp de transmisie etc.
Verificarea autenticității conținutului informațiilor se reduce, de fapt, la verificarea imuabilității acesteia (din momentul creării) în procesul de transmitere sau stocare, adică la verificarea integrității.
Autentificarea sursei de dateînseamnă confirmarea faptului că documentul original a fost creat de sursa revendicată.
Rețineți că, dacă părțile au încredere reciprocă și au o cheie secretă partajată, atunci părțile pot fi autentificate folosind un cod de autentificare. Într-adevăr, fiecare mesaj decorat cu succes de destinatar poate fi creat doar de expeditor, deoarece numai el le cunoaște secretul împărtășit. Pentru părțile care nu au încredere unul în celălalt, rezolvarea unor astfel de probleme folosind un secret comun devine imposibilă. Prin urmare, la autentificarea unei surse de date, este necesar un mecanism de semnătură digitală, care va fi discutat mai jos.
În general, autentificarea sursei de date are același rol ca un protocol de identitate. Singura diferență este că, în primul caz, există unele informații transmise, a căror calitate de autor trebuie stabilită, iar în al doilea, trebuie doar să stabiliți partea cu care se realizează interacțiunea.
2.5. Semnatura digitala
În unele situații, cum ar fi din cauza unor circumstanțe schimbate, persoanele pot renunța la circumstanțe acceptate anterior. În acest sens, este necesar un mecanism pentru a preveni astfel de încercări.
Întrucât în această situație se presupune că părțile nu au încredere una în alta, utilizarea unei chei secrete partajate pentru a rezolva problema pusă devine imposibilă. Expeditorul poate refuza faptul transmiterii mesajului, pretinzând că acesta a fost creat de destinatar ( declinare a răspunderii). Destinatarul poate modifica, înlocui sau crea cu ușurință un mesaj nou și apoi poate pretinde că a fost primit de la expeditor ( atribuire). Este clar că într-o astfel de situație arbitrul nu va putea stabili adevărul la soluționarea litigiului.
Principalul mecanism de rezolvare a acestei probleme este așa-numitul semnatura digitala.
Schema de semnătură digitală include doi algoritmi, unul pentru calcul și celălalt pentru verificarea semnăturii. Calcularea semnăturii poate fi efectuată numai de autorul semnăturii. Algoritmul de verificare trebuie să fie disponibil public, astfel încât toată lumea să poată verifica corectitudinea semnăturii.
Sistemele de criptare simetrice pot fi utilizate pentru a crea o schemă de semnătură digitală. În acest caz, mesajul în sine criptat pe cheia secretă poate servi drept semnătură. Cu toate acestea, principalul dezavantaj al unor astfel de semnături este că sunt de unică folosință: după fiecare verificare, cheia secretă devine cunoscută. Singura cale de ieșire din această situație în cadrul utilizării sistemelor de criptare simetrică este introducerea unui terț de încredere care să acționeze ca un intermediar de încredere de ambele părți. În acest caz, toate informațiile sunt trimise printr-un intermediar, el re-criptează mesajele de la cheia unuia dintre abonați la cheia celuilalt. Desigur, această schemă este extrem de incomodă.
Două abordări pentru construirea unui sistem de semnătură digitală folosind sisteme de criptare cu cheie publică:
1. În transformarea unui mesaj într-un formular care poate fi folosit pentru a restabili mesajul în sine și, prin urmare, a verifica corectitudinea „semnăturii”. În acest caz, mesajul semnat are aceeași lungime ca și mesajul original. Pentru a crea un astfel de „mesaj semnat”, puteți, de exemplu, să criptați mesajul original cu cheia secretă a autorului semnăturii. Apoi toată lumea poate verifica corectitudinea semnăturii prin decriptarea mesajului semnat pe cheia publică a autorului semnăturii;
2. Semnătura este calculată și trimisă împreună cu mesajul original. Calculul semnăturii constă în transformarea mesajului original într-o combinație digitală (care este semnătura). Algoritmul de calcul al semnăturii ar trebui să depindă de cheia privată a utilizatorului. Acest lucru este necesar pentru ca doar proprietarul cheii să poată folosi semnătura. La rândul său, algoritmul de verificare a semnăturii ar trebui să fie disponibil pentru toată lumea. Prin urmare, acest algoritm depinde de cheia publică a utilizatorului. În acest caz, lungimea semnăturii nu depinde de lungimea mesajului semnat.
Cu problema semnăturii digitale, a existat o problemă de construire a criptografice fără cheie funcții hash... Faptul este că atunci când calculați o semnătură digitală, se dovedește a fi mai convenabil să efectuați mai întâi funcții hash, adică să pliați textul într-o anumită combinație de lungime fixă și apoi să semnați combinația rezultată cu o cheie secretă. În acest caz, funcția de hashing, deși nu depinde de cheie și este deschisă, trebuie să fie „criptografică”. Aceasta se referă la proprietate unilateralitate această funcție: prin valoarea combinației-convoluție, nimeni nu ar trebui să poată ridica mesajul corespunzător.
În prezent, există standarde pentru funcțiile hash criptografice care sunt aprobate independent de standardele pentru algoritmii criptografici și schemele de semnătură digitală.
3. Instrumente de securitate criptografică.
Mijloacele criptografice de protecție sunt mijloace și metode speciale de transformare a informațiilor, în urma cărora conținutul acesteia este mascat. Principalele tipuri de închidere criptografică sunt criptarea și criptarea datelor protejate. În același timp, criptarea este un tip de închidere în care fiecare caracter al datelor care se închid este supus unei transformări independente; în timpul codificării, datele protejate sunt împărțite în blocuri care au o semnificație semantică, iar fiecare astfel de bloc este înlocuit cu un cod digital, alfabetic sau combinat. În același timp, sunt utilizate mai multe sisteme de criptare diferite: înlocuire, rearanjare, jocuri de noroc, transformare analitică a datelor criptate. Cifrurile combinate sunt larg răspândite atunci când textul original este transformat secvenţial folosind două sau chiar trei cifruri diferite.
3.1 Criptosisteme
Criptosistemul funcționează după o anumită metodologie (procedură). Se compune din:
ü unul sau mai mulți algoritmi de criptare (formule matematice);
ü cheile utilizate de acești algoritmi de criptare;
ü sisteme de management al cheilor;
ü text necriptat;
ü și ciphertext (ciphertext).
Cheie Cheie
Algoritm text Cifrare Algoritm text Text
criptare decriptare
Metodologie
Conform metodologiei, textului se aplică mai întâi un algoritm de criptare și o cheie pentru a obține textul cifrat din acesta. Textul cifrat este apoi trimis la destinație, unde același algoritm este folosit pentru a-l decripta pentru a obține din nou textul. Metodologia include, de asemenea, proceduri pentru generarea cheilor și distribuirea acestora (nu sunt prezentate în figură).
3.2 Principiile de funcționare a Criptosistemului.
În Fig. unu:
Figura 2. A și B sunt utilizatori legitimi ai informațiilor protejate, doresc să facă schimb de informații printr-un canal public de comunicare. P - utilizator ilegal ( dusman, hacker), care dorește să intercepteze mesajele transmise prin canalul de comunicare și să încerce să extragă din acestea informații de interes pentru el. Această schemă simplă poate fi considerată un model al unei situații tipice în care sunt utilizate metode criptografice de protejare a informațiilor sau pur și simplu criptare. Din punct de vedere istoric, unele cuvinte militare s-au înrădăcinat în criptografie (inamic, atac asupra unui cifr etc.). Ele reflectă cel mai precis sensul conceptelor criptografice corespunzătoare. În același timp, terminologia militară larg cunoscută bazată pe conceptul de cod (coduri navale, coduri de stat major, cărți de coduri, desemnări de coduri etc.) nu mai este folosită în criptografia teoretică. Cert este că în ultimele decenii teoria codificarii- o arie științifică extinsă care dezvoltă și studiază metode de protejare a informațiilor de distorsiuni aleatorii în canalele de comunicare.
Criptografia se ocupă de metode de transformare a informațiilor care ar împiedica un adversar să le extragă din mesajele interceptate. În acest caz, nu informația protejată în sine este transmisă prin canalul de comunicare, ci rezultatul transformării acesteia folosind un cifr, iar adversarul se confruntă cu sarcina dificilă de a sparge cifrul. Deschidere(hacking) cifru- procesul de obținere a informațiilor protejate dintr-un mesaj criptat fără cunoașterea cifrului aplicat.
Adversarul poate încerca să nu primească, ci să distrugă sau să modifice informațiile protejate în procesul de transmitere a acestora. Acesta este un tip complet diferit de amenințare la adresa informațiilor, diferit de interceptarea și spargerea unui cifr. Pentru a proteja împotriva unor astfel de amenințări, sunt dezvoltate propriile metode specifice.
Prin urmare, pe drumul de la un utilizator legitim la altul, informațiile trebuie protejate în diferite moduri împotriva diferitelor amenințări. Apare o situație a unui lanț de diferite tipuri de legături, care protejează informațiile. Desigur, inamicul se va strădui să găsească cea mai slabă verigă pentru a ajunge la informații la cel mai mic cost. Aceasta înseamnă că utilizatorii legitimi ar trebui să țină cont de această circumstanță în strategia lor de protecție: nu are sens să facem o legătură foarte puternică dacă există în mod evident legături mai slabe („principiul forței egale a protecției”).
A găsi un cifr bun este laborios. Prin urmare, este de dorit să creșteți durata de viață a unui cifr bun și să-l utilizați pentru a cripta cât mai multe mesaje. Dar, în același timp, există pericolul ca inamicul să fi dezlegat (deschis) deja codul și să citească informațiile protejate. Dacă rețeaua are o cheie amovibilă în cifr, atunci prin înlocuirea cheii, este posibil să o faceți astfel încât metodele dezvoltate de inamic să nu mai dea efect.
3.2.1 Metodologia cheie
În această metodologie, un algoritm de criptare combină o cheie cu un text pentru a crea un text cifrat. Securitatea acestui tip de sistem de criptare depinde de confidențialitatea cheii utilizate în algoritmul de criptare, și nu de secretul algoritmului în sine. Mulți algoritmi de criptare sunt disponibili public și au fost bine testați pentru acest lucru (de exemplu DES). Dar principala problemă cu această metodologie este cum să generați și să transmiteți în siguranță cheile participanților la interacțiune. Cum se stabilește un canal securizat pentru transferul de informații între participanții la interacțiune înainte de transferul cheilor?
O altă problemă este autentificarea. Cu toate acestea, există două probleme majore:
· Mesajul este criptat de cineva care deține în prezent cheia. Acesta ar putea fi proprietarul cheii;
· Dar dacă sistemul este compromis, poate fi o persoană diferită.
Când participanții la interacțiune primesc cheile, de unde pot ști că aceste chei au fost de fapt
· Creat și trimis de o persoană autorizată?
Există două metodologii cheie - simetrică (cu o cheie privată) și asimetrică (cu o cheie publică). Fiecare metodologie folosește propriile sale proceduri, propriile metode de distribuție a cheilor, tipuri de chei și algoritmi pentru criptarea și decriptarea cheilor. Deoarece terminologia folosită de aceste metodologii poate părea confuză, să definim termenii de bază:
|
Termen |
Sens |
Observatii |
|
Metodologie simetrică |
Este utilizată o singură cheie, cu care atât criptarea, cât și decriptarea sunt efectuate folosind același algoritm de criptare simetrică. Această cheie este transmisă în siguranță celor doi participanți la interacțiune înainte ca datele criptate să fie transmise. |
Deseori se face referire la metodologia cheii secrete. |
|
Metodologie asimetrică |
Utilizează algoritmi de criptare simetrică și chei simetrice pentru a cripta datele. Utilizează algoritmi de criptare asimetrică și chei asimetrice pentru a cripta o cheie simetrică. Sunt create două chei asimetrice înrudite. O cheie simetrică criptată folosind o cheie asimetrică și un algoritm de criptare asimetrică trebuie decriptate folosind o cheie diferită și un algoritm de criptare diferit. Sunt create două chei asimetrice înrudite. Una trebuie să fie transferată în siguranță proprietarului său, iar cealaltă persoanei care este responsabilă cu păstrarea acestor chei (Autoritatea de certificare a cheilor CA), înainte de a le utiliza. |
Deseori denumită metodologie cu cheie publică. |
|
Cheie secretă (1) |
Metodologie simetrică. |
Utilizează o cheie cu care sunt efectuate atât criptarea, cât și decriptarea. Vezi deasupra. |
|
Cheie secretă (2) |
Cheie secretă de criptare simetrică. |
Cheie secretă simetrică. |
|
cheie secretă (3) |
Cheie secretă de criptare asimetrică |
Cheie asimetrică. Cheile asimetrice sunt create în perechi deoarece sunt legate între ele. Expresia „cheie secretă” este adesea folosită pentru una dintre perechile de chei asimetrice care trebuie păstrate secrete. Un secret asimetric nu are nimic de-a face cu un secret simetric. |
|
Cheie publică (1) |
Metodologie asimetrică |
Utilizează o pereche de chei care sunt cogenerate și legate între ele. Orice lucru criptat cu o cheie poate fi decriptat numai cu o altă cheie din acea pereche. |
|
Cheie publică (2) |
Cheie publică de criptare asimetrică |
Cheile asimetrice sunt create în perechi, fiecare dintre cele două chei fiind legată de cealaltă. Expresia „cheie publică” este adesea folosită pentru una dintr-o pereche de chei asimetrice care ar trebui să fie cunoscute de toată lumea. |
|
Cheia de sesiune |
Cheie de criptare simetrică (secretă). |
Folosit în metodologia asimetrică pentru a cripta datele în sine folosind metodologii simetrice. Este doar o cheie secretă simetrică (vezi mai sus). |
|
Algoritm de criptare |
Formula matematică |
Algoritmii simetrici necesită chei simetrice. Algoritmii asimetrici necesită chei asimetrice. Nu puteți utiliza chei simetrice pentru algoritmi asimetrici și invers. |
|
Criptosisteme secrete |
|
|
|
Criptosisteme deschise |
Utilizează algoritmi asimetrici și chei asimetrice pentru a cripta cheile de sesiune. Ei folosesc algoritmi simetrici și chei simetrice (secrete) pentru a cripta datele. |
|
3.2.1.1 Metodologie simetrică (secretă).
În această metodologie, atât expeditorul, cât și destinatarul folosesc aceeași cheie atât pentru criptare, cât și pentru decriptare, pe care au fost de acord să o folosească înainte de a începe interacțiunea. Dacă cheia nu a fost compromisă, atunci în timpul decriptării, expeditorul este autentificat automat, deoarece numai expeditorul are o cheie cu care puteți cripta informațiile și numai destinatarul are o cheie cu care puteți decripta informațiile. Deoarece expeditorul și destinatarul sunt singurele persoane care cunosc această cheie simetrică, dacă cheia este compromisă, doar interacțiunea acestor doi utilizatori va fi compromisă. O problemă care va fi relevantă pentru alte criptosisteme este întrebarea cum să distribuiți în siguranță cheile simetrice (secrete). Algoritmii de criptare simetrică folosesc chei scurte și pot cripta rapid cantități mari de date.
Ordinea de utilizare a sistemelor cu chei simetrice:
1. O cheie secretă simetrică este creată, distribuită și stocată în siguranță.
2. Expeditorul creează o semnătură electronică calculând o funcție hash pentru text și adăugând șirul primit textului.
3. Expeditorul folosește un algoritm rapid de criptare-decriptare simetrică împreună cu o cheie simetrică secretă pentru pachetul primit (textul împreună cu semnătura electronică atașată) pentru a primi textul cifrat. Implicit, se realizează astfel autentificarea, întrucât doar expeditorul cunoaște cheia secretă simetrică și poate cripta acest pachet.
4. Doar destinatarul cunoaște cheia secretă simetrică și poate decripta pachetul.
5. Expeditorul transmite textul cifrat. Cheia secretă simetrică nu este niciodată transmisă prin canale de comunicare nesigure.
6. Destinatarul folosește același algoritm de criptare-decriptare simetrică împreună cu aceeași cheie simetrică (pe care destinatarul o are deja) la textul cifrat pentru a recupera textul original și semnătura electronică. Restaurarea sa cu succes autentifică pe cineva care cunoaște cheia secretă.
7. Destinatarul separă semnătura electronică de text.
8. Destinatarul creează o altă semnătură electronică calculând funcția hash pentru textul primit.
9. Destinatarul compară aceste două semnături electronice pentru a verifica integritatea mesajului (fără manipulare).
Instrumentele disponibile astăzi care utilizează metodologia simetrică sunt:
· Kerberos, care a fost conceput pentru a autentifica accesul la resursele din rețea, nu pentru a verifica datele. Utilizează o bază de date centrală care stochează copii ale cheilor private ale tuturor utilizatorilor.
· Rețele de bancomate (ATM Banking Networks). Aceste sisteme sunt dezvoltări originale ale băncilor care le dețin și nu sunt de vânzare. De asemenea, folosesc metodologii simetrice.
3.2.1.2 Metodologie asimetrică (deschisă).
În această metodologie, cheile pentru criptare și decriptare sunt diferite, deși sunt create împreună. O cheie este făcută cunoscută tuturor, iar cealaltă este ținută secretă. Deși poate fi criptat și decriptat cu ambele chei, datele criptate cu o cheie pot fi decriptate doar cu cealaltă cheie. Toate criptosistemele asimetrice sunt supuse atacurilor de forță brută și, prin urmare, trebuie să utilizeze chei mult mai lungi decât cele utilizate în criptosistemele simetrice pentru a oferi un nivel echivalent de protecție. Acest lucru afectează imediat resursele de calcul necesare pentru criptare, deși algoritmii de criptare cu curbe eliptice pot atenua această problemă.
Bruce Schneier, în Applied Cryptography: Protocols, Algorithms, and C Source Code, furnizează următoarele informații despre lungimi echivalente ale cheilor.
Pentru a evita viteza redusă a algoritmilor de criptare asimetrică, se generează o cheie simetrică temporară pentru fiecare mesaj și numai această cheie este criptată cu algoritmi asimetrici. Mesajul în sine este criptat utilizând această cheie de sesiune temporară și algoritmul de criptare/decriptare descris în clauza 2.2.1.1. Această cheie de sesiune este apoi criptată folosind cheia publică asimetrică a destinatarului și un algoritm de criptare asimetrică. Această cheie de sesiune criptată este apoi transmisă destinatarului împreună cu mesajul criptat. Destinatarul folosește același algoritm de criptare asimetric și cheie privată pentru a decripta cheia de sesiune, iar cheia de sesiune rezultată este folosită pentru a decripta mesajul în sine. În criptosistemele asimetrice, este important ca cheile de sesiune și cheile asimetrice să fie comparabile în ceea ce privește nivelul de securitate pe care îl oferă. Dacă se folosește o cheie de sesiune scurtă (cum ar fi DES pe 40 de biți), nu contează cât de mari sunt cheile asimetrice. Hackerii nu îi vor ataca, ci cheile de sesiune. Cheile publice asimetrice sunt vulnerabile la atacurile de forță brută, în parte pentru că sunt dificil de înlocuit. Dacă atacatorul învață cheia secretă asimetrică, atunci nu numai interacțiunile curente, ci și toate interacțiunile ulterioare dintre emițător și destinatar vor fi compromise.
Cum se utilizează sisteme cu chei asimetrice:
1. Cheile publice și private asimetrice sunt generate și distribuite în siguranță (a se vedea secțiunea 2.2 de mai jos). Cheia secretă asimetrică este transferată proprietarului său. Cheia publică asimetrică este stocată într-o bază de date X.500 și administrată de o Autoritate de Certificare (CA). Implicația este că utilizatorii trebuie să aibă încredere că un astfel de sistem creează, distribuie și administrează în siguranță chei. Mai mult, dacă creatorul cheilor și persoana sau sistemul care le administrează nu sunt aceiași, atunci utilizatorul final trebuie să creadă că creatorul cheilor a distrus de fapt o copie.
2. O semnătură electronică a textului este creată prin calcularea funcției hash. Valoarea primită este criptată folosind cheia secretă asimetrică a expeditorului, iar apoi șirul de caractere primit este atașat textului transmis (doar expeditorul poate crea o semnătură electronică).
3. Se creează o cheie simetrică secretă, care va fi folosită pentru a cripta doar acest mesaj sau sesiune de interacțiune (cheie de sesiune), apoi folosind un algoritm de criptare/decriptare simetrică și această cheie, textul original este criptat împreună cu semnătura electronică adăugată la it - se obține un text criptat (cipher -text).
4. Acum trebuie să rezolvați problema cu transferul cheii de sesiune către destinatarul mesajului.
5. Expeditorul trebuie să aibă o cheie publică asimetrică de la Autoritatea de Certificare (CA). Interceptarea cererilor necriptate pentru această cheie publică este o formă comună de atac. Poate exista un întreg sistem de certificate care validează autenticitatea cheii publice a CA. Standardul X.509 descrie o serie de metode pentru ca utilizatorii să obțină chei publice CA, dar niciuna dintre ele nu poate proteja complet împotriva falsării cheilor publice CA, ceea ce demonstrează în mod clar că nu există un astfel de sistem care să garanteze autenticitatea cheii publice CA. .
6. Expeditorul solicită CA cheia publică asimetrică a destinatarului. Acest proces este vulnerabil la un atac în care un atacator interferează cu comunicarea dintre emițător și receptor și poate modifica traficul dintre ei. Prin urmare, cheia publică asimetrică a destinatarului este „semnată” de CA. Aceasta înseamnă că CA a folosit cheia privată asimetrică pentru a cripta cheia publică asimetrică a destinatarului. Numai CA cunoaște cheia privată asimetrică a CA, așa că există garanția că cheia publică asimetrică a destinatarului este de la CA.
7. Odată primită, cheia publică asimetrică a destinatarului este decriptată utilizând cheia publică asimetrică a CA și algoritmul de criptare/decriptare asimetrică. Desigur, se presupune că CA nu a fost compromisă. Dacă se dovedește a fi compromis, atunci incapacită întreaga rețea a utilizatorilor săi. Prin urmare, puteți cripta singur cheile publice ale altor utilizatori, dar unde este încrederea că acestea nu sunt compromise?
8. Cheia de sesiune este acum criptată utilizând algoritmul de criptare-decriptare asimetrică și cheia destinatarului asimetrică (primită de la CA și decriptată).
9. Cheia de sesiune criptată este atașată textului cifrat (care include și semnătura electronică adăugată anterior).
10. Tot pachetul de date primit (text cifrat, care include, pe lângă textul original, semnătura sa electronică și cheia de sesiune criptată) este transferat destinatarului. Deoarece cheia de sesiune criptată este transmisă printr-o rețea nesecurizată, este o țintă evidentă pentru diferite atacuri.
11. Destinatarul extrage cheia de sesiune criptată din pachetul primit.
12. Acum destinatarul trebuie să rezolve problema cu decriptarea cheii de sesiune.
13. Destinatarul trebuie să aibă o cheie publică asimetrică de la Autoritatea de Certificare (CA).
14. Folosind cheia lor secretă asimetrică și același algoritm de criptare asimetrică, destinatarul decriptează cheia de sesiune.
15. Destinatarul aplică același algoritm de criptare-decriptare simetrică și aceeași cheie simetrică (de sesiune) decriptată textului criptat și primește textul original împreună cu semnătura electronică.
16. Destinatarul separă semnătura electronică de textul original.
17. Destinatarul cere CA-ului cheia publică asimetrică a expeditorului.
18. Odată obținută această cheie, destinatarul o decriptează folosind cheia publică a CA și algoritmul de criptare-decriptare asimetric corespunzător.
19. Funcția hash a textului este apoi decriptată folosind cheia publică a expeditorului și un algoritm de criptare-decriptare asimetric.
20. Funcția hash a textului original rezultat este recalculată.
21. Aceste două funcții hash sunt comparate pentru a verifica dacă textul nu s-a schimbat.
3.3 Distribuția cheilor
Este clar că în ambele criptosisteme este necesar să se rezolve problema distribuției cheilor.
În metodologiile simetrice, această problemă este mai acută și, prin urmare, definesc clar modul de transfer al cheilor între participanții la o interacțiune înainte de a începe interacțiunea. Modul exact de a face acest lucru depinde de nivelul de securitate necesar. Dacă nu este necesar un nivel ridicat de securitate, atunci cheile pot fi trimise folosind un mecanism de livrare (de exemplu, folosind un serviciu de curierat sau poștă simplă). Băncile, de exemplu, folosesc poșta pentru a trimite coduri PIN. Pentru a asigura un nivel mai ridicat de securitate, este mai indicat să livrați manual cheile de către persoane responsabile, eventual în părți de mai multe persoane.
Metodologiile asimetrice încearcă să rezolve această problemă prin criptarea cheii simetrice și atașarea acesteia ca atare la datele criptate. Și folosesc autoritățile de certificare a cheilor pentru a distribui cheile publice asimetrice utilizate pentru a cripta cheia simetrică. CA, la rândul lor, semnează aceste chei publice folosind cheia secretă asimetrică a CA. Utilizatorii unui astfel de sistem trebuie să aibă o copie a cheii publice a CA. În teorie, aceasta înseamnă că participanții la interacțiune nu au nevoie să cunoască cheile celuilalt înainte de a stabili o interacțiune sigură.
Susținătorii sistemelor asimetrice consideră că un astfel de mecanism este suficient pentru a asigura autenticitatea abonaților interacțiunii. Dar problema rămâne. O pereche de chei asimetrice trebuie generată împreună. Ambele chei, indiferent dacă sunt disponibile pentru toată lumea sau nu, trebuie trimise în siguranță proprietarului cheii, precum și autorității de certificare a cheilor. Singura modalitate de a face acest lucru este să utilizați un fel de metodă de livrare cu cerințe de securitate scăzute și să le livrați manual - cu cerințe de securitate ridicate.
Problema cu distribuția cheilor în sistemele asimetrice este următoarea:
· X.509 implică faptul că cheile sunt distribuite în siguranță și nu descrie cum se rezolvă această problemă - ci indică doar existența acestei probleme. Nu există standarde pentru a face față acestui lucru. Pentru securitate, cheile trebuie livrate manual (indiferent dacă sunt simetrice sau asimetrice).
· Nu există o modalitate fiabilă de a verifica între ce computere comunică. Există un tip de atac în care atacatorul se preface ca CA și primește datele transmise în timpul interacțiunii. Pentru a face acest lucru, un atacator trebuie doar să intercepteze o solicitare către o autoritate de certificare a cheilor și să înlocuiască cheile acesteia cu ale sale. Acest atac poate continua cu succes mult timp.
· Semnătura electronică a cheilor de către o autoritate de certificare a cheilor nu garantează întotdeauna autenticitatea acestora, deoarece cheia CA în sine poate fi compromisă. X.509 descrie o modalitate de a semna electronic cheile CA de către CA cheie de nivel superior și o numește „calea de certificare”. X.509 abordează problemele asociate cu validarea cheii publice, presupunând că această problemă poate fi rezolvată numai dacă nu există nicio întrerupere în lanțul de locuri de încredere din directorul de chei publice distribuite de utilizatori. Nu există nicio cale de a ocoli asta.
· X.509 presupune că utilizatorul are deja acces la cheia publică a CA. Cum se face acest lucru nu este definit în el.
· Compromisul autorității cheie de certificare este o amenințare foarte reală. A compromite CA înseamnă. Că toți utilizatorii acestui sistem vor fi compromisi. Și nimeni nu va ști despre asta. X.509 presupune că toate cheile, inclusiv cele ale CA în sine, sunt stocate într-o locație sigură. Implementarea sistemului de directoare X.509 (unde sunt stocate cheile) este destul de dificilă și vulnerabilă la erori de configurare. În prezent, prea puțini oameni au cunoștințele tehnice necesare pentru a administra corect astfel de sisteme. Mai mult, este de înțeles că se pot exercita presiuni asupra oamenilor în poziții atât de importante.
· CA poate fi un blocaj. Pentru toleranța la erori, X.509 sugerează ca baza de date CA să fie replicată folosind facilități standard X.500; acest lucru va crește semnificativ costul criptosistemului. Și când te machizi ca CA, va fi dificil să stabilești ce sistem a fost atacat. Mai mult, toate datele din baza de date CA trebuie să fie trimise într-un fel prin canalele de comunicare.
· Sistemul de directoare X.500 este complex de instalat, configurat și administrat. Acest director trebuie accesat fie printr-un serviciu opțional de abonament, fie organizația va trebui să-l organizeze singură. Certificatul X.509 presupune că fiecare persoană are un nume unic. A da nume oamenilor este responsabilitatea unui alt serviciu de încredere, serviciul de denumire.
· Cheile de sesiune, în ciuda faptului că sunt criptate, sunt totuși transmise prin canale de comunicare neprotejate.
În ciuda tuturor acestor dezavantaje serioase, utilizatorul trebuie implicit să aibă încredere în criptosistemul asimetric.
Managementul cheilor se referă la distribuirea lor, autentificarea și reglementarea ordinii de utilizare. Indiferent de tipul de criptosistem folosit, cheile trebuie gestionate. Tehnicile securizate de gestionare a cheilor sunt foarte importante deoarece multe atacuri asupra sistemelor criptografice vizează procedurile de gestionare a cheilor.
|
Procedură |
Termenul „criptografie” provine din cuvintele grecești antice „ascuns” și „scriere”. Expresia exprimă scopul principal al criptografiei - este protecția și păstrarea secretului informațiilor transmise. Protecția informațiilor poate avea loc în diferite moduri. De exemplu, prin limitarea accesului fizic la date, ascunderea canalului de transmisie, crearea dificultăților fizice în conectarea la liniile de comunicație etc.
Scopul Criptografiei Spre deosebire de criptografia tradițională, criptografia presupune acces deplin la canalul de transmisie pentru atacatori și asigură confidențialitatea și autenticitatea informațiilor folosind algoritmi de criptare care fac informațiile inaccesibile pentru cei din afară. Un sistem modern de protecție a informațiilor criptografice (CIP) este un complex de computere software și hardware care asigură protecția informațiilor în funcție de următorii parametri principali.
+ Confidențialitate- imposibilitatea citirii informatiilor de catre persoanele care nu au drepturi de acces corespunzatoare. Componenta principală a asigurării confidențialității în CIPF este o cheie (cheie), care este o combinație alfanumerică unică pentru accesul utilizatorului la un anumit bloc al CIPF.
+ Integritate- imposibilitatea modificărilor neautorizate, cum ar fi editarea și ștergerea informațiilor. Pentru aceasta, la informațiile inițiale se adaugă redundanță sub forma unei combinații de cec, calculată folosind un algoritm criptografic și în funcție de cheie. Astfel, fără a cunoaște cheia, adăugarea sau modificarea informațiilor devine imposibilă.
+ Autentificare- confirmarea autenticității informațiilor și a părților care le transmit și le primesc. Informațiile transmise prin canalele de comunicare trebuie să fie autentificate fără ambiguitate prin conținut, momentul creării și transmiterii, sursă și destinatar. De reținut că sursa amenințărilor poate fi nu numai atacatorul, ci și părțile implicate în schimbul de informații cu o încredere reciprocă insuficientă. Pentru a preveni o astfel de situație, CIPF folosește un sistem de marcare temporală pentru a face imposibilă trimiterea sau retrimiterea informațiilor și modificarea ordinii acestora.
+ Paternitatea- confirmarea și imposibilitatea refuzului acțiunilor efectuate de utilizatorul informațiilor. Cea mai comună modalitate de a confirma autenticitatea este semnătura digitală electronică (EDS). Sistemul EDS constă din doi algoritmi: pentru crearea unei semnături și pentru verificarea acesteia. În cazul lucrului intens cu ECC, se recomandă utilizarea centrelor de certificare software pentru a crea și gestiona semnăturile. Astfel de centre pot fi implementate ca instrument de protecție a informațiilor criptografice, complet independent de structura internă. Ce înseamnă asta pentru organizație? Aceasta înseamnă că toate tranzacțiile cu semnături electronice sunt procesate de organizații independente certificate, iar contrafacerea este aproape imposibilă.
În acest moment, printre instrumentele de protecție a informațiilor criptografice prevalează algoritmi de criptare deschiși cu utilizarea cheilor simetrice și asimetrice cu o lungime suficientă pentru a asigura complexitatea criptografică necesară. Cei mai comuni algoritmi sunt:
chei simetrice - rusă Р-28147.89, AES, DES, RC4;
chei asimetrice - RSA;
folosind funcții hash - Р-34.11.94, MD4 / 5/6, SHA-1/2. 80
Multe țări au propriile lor standarde naționale pentru algoritmii de criptare. În SUA, se utilizează un algoritm AES modificat cu o lungime a cheii de 128-256 de biți, iar în Federația Rusă, un algoritm de semnătură electronică R-34.10.2001 și un algoritm criptografic bloc R-28147.89 cu o cheie de 256 de biți. Unele elemente ale sistemelor criptografice naționale sunt interzise pentru export în afara țării; dezvoltarea sistemelor de protecție a informațiilor criptografice necesită licențiere.
Sisteme hardware de protecție criptografică
Dispozitivele hardware de protecție a informațiilor criptografice sunt dispozitive fizice care conțin software pentru criptarea, înregistrarea și transmiterea informațiilor. Dispozitivele de criptare pot fi realizate sub formă de dispozitive personale, cum ar fi criptoare ruToken USB și unități flash IronKey, carduri de expansiune pentru computere personale, switch-uri și routere de rețea specializate, pe baza cărora este posibilă construirea de rețele de computere complet securizate.
Instrumentele hardware de protecție a informațiilor criptografice sunt instalate rapid și funcționează la viteză mare. Dezavantaje - mare, în comparație cu instrumentele de protecție a informațiilor criptografice bazate pe software și hardware, costuri și opțiuni limitate de modernizare. De asemenea, hardware-ul poate fi atribuit blocurilor CIPF încorporate în diverse dispozitive de înregistrare și transmitere a datelor, unde sunt necesare criptarea și restricționarea accesului la informații. Astfel de dispozitive includ tahometre auto, fixarea parametrilor vehiculelor, unele tipuri de echipamente medicale etc. Pentru funcționarea completă a unor astfel de sisteme este necesară o activare separată a modulului CIPF de către specialiștii furnizorului.
Sisteme software de protecție criptografică
Software CIPF este un pachet software special pentru criptarea datelor de pe medii de stocare (hard și flash drive, carduri de memorie, CD/DVD) și în timpul transmiterii prin Internet (e-mail-uri, fișiere în atașamente, chat-uri securizate etc.). Există o mulțime de programe, inclusiv gratuite, de exemplu, DiskCryptor. Rețelele virtuale protejate pentru schimbul de informații care funcționează „pe Internet” (VPN), o extensie a protocolului de Internet HTTP cu suport pentru criptare HTTPS și SSL, un protocol criptografic pentru transferul de informații utilizat pe scară largă în sistemele de telefonie IP și aplicațiile Internet, pot, de asemenea, să fie referite la CIPF-uri software.
Instrumentele software de protecție a informațiilor criptografice sunt utilizate în principal pe Internet, pe computerele de acasă și în alte zone în care cerințele pentru funcționalitatea și stabilitatea sistemului nu sunt foarte mari. Sau ca și în cazul internetului, când trebuie să creați mai multe conexiuni sigure diferite în același timp.
Protecție criptografică hardware și software
Combină cele mai bune calități ale sistemelor hardware și software pentru protecția informațiilor criptografice. Acesta este cel mai fiabil și funcțional mod de a crea sisteme securizate și rețele de transmisie a datelor. Sunt acceptate toate opțiunile de identificare a utilizatorului, atât hardware (stocare USB sau smart-card), cât și „tradiționale” - login și parolă. Instrumentele software și hardware de protecție a informațiilor criptografice acceptă toți algoritmii moderni de criptare, au o gamă largă de funcții pentru crearea unui flux de documente securizat bazat pe EDS, toate certificatele de stat necesare. Instalarea SKZI este realizată de personalul calificat al dezvoltatorului.
Vizualizări postare: 294
În acest articol veți afla ce este un instrument de protecție a informațiilor criptografice și pentru ce este acesta. Această definiție se referă la criptografie - protecția și stocarea datelor. Protecția informațiilor în formă electronică se poate face în orice mod - chiar și prin deconectarea computerului de la rețea și instalarea de paznici înarmați cu câini în apropierea acestuia. Dar este mult mai ușor să realizați acest lucru folosind instrumente de cripto-securitate. Să vedem ce este și cum este implementat în practică.
Principalele obiective ale criptografiei
Decriptarea CIPF sună ca un „sistem de protecție a informațiilor criptografice”. În criptografie, canalul de comunicare poate fi complet accesibil atacatorilor. Dar toate datele sunt confidențiale și foarte bine criptate. Prin urmare, în ciuda deschiderii canalelor, infractorii cibernetici nu pot obține informații.
Instrumentele moderne de protecție a informațiilor criptografice constau dintr-un complex de software și computer. Cu ajutorul acestuia, se asigură protecția informațiilor pentru cei mai importanți parametri, pe care îi vom lua în considerare în continuare.
Confidențialitate
Este imposibil să citiți informațiile dacă nu aveți permisiunea de a face acest lucru. Ce este instrumentul de protecție a informațiilor criptografice și cum criptează datele? Componenta principală a sistemului este cheia electronică. Este o combinație de litere și cifre. Doar introducând această cheie puteți ajunge la secțiunea dorită pe care este instalată protecția.
Integritate și autentificare
Acesta este un parametru important care determină posibilitatea unor modificări neautorizate ale datelor. Dacă nu există nicio cheie, atunci informațiile nu pot fi editate sau șterse.
Autentificarea este o procedură de verificare a autenticității informațiilor care sunt înregistrate pe un purtător de chei. Cheia trebuie să corespundă mașinii pe care sunt decriptate informațiile.
Paternitatea
Aceasta este o confirmare a acțiunilor utilizatorului și a imposibilității de a le refuza. Cel mai comun tip de confirmare este EDS (semnătură digitală electronică). Conține doi algoritmi - unul creează o semnătură, al doilea o verifică.
Vă rugăm să rețineți că toate tranzacțiile care se efectuează cu semnături electronice sunt procesate de centre certificate (independente). Din acest motiv, calitatea de autor nu poate fi contrafăcută.
Algoritmi de bază de criptare a datelor
Astăzi, multe certificate CIPF sunt răspândite; diferite chei sunt utilizate pentru criptare - atât simetrice, cât și asimetrice. Și cheile sunt suficient de lungi pentru a oferi complexitatea criptografică necesară.
Cei mai populari algoritmi utilizați în protecția cripto:
- Cheie simetrică - DES, AES, RC4, rusă Р-28147.89.
- Cu funcții hash - de exemplu, SHA-1/2, MD4 / 5/6, R-34.11.94.
- Cheie asimetrică - RSA.
Multe țări au propriile lor standarde pentru algoritmii de criptare. De exemplu, în Statele Unite, se utilizează criptarea AES modificată, cheia poate avea o lungime de 128 până la 256 de biți.
Federația Rusă are propriul algoritm - R-34.10.2001 și R-28147.89, în care se folosește o cheie de 256 de biți. Vă rugăm să rețineți că există elemente în sistemele criptografice naționale cărora li se interzice exportul în alte țări. Toate activitățile legate de dezvoltarea instrumentelor de protecție a informațiilor criptografice necesită licențiere obligatorie.
Protecție criptografică hardware
La instalarea tahografelor CIPF, puteți asigura o protecție maximă a informațiilor stocate în dispozitiv. Toate acestea sunt implementate atât la nivel software, cât și la nivel hardware.
Tipul hardware al sistemului de protecție a informațiilor criptografice este un dispozitiv care conține programe speciale care oferă criptare fiabilă a datelor. Tot cu ajutorul lor, informațiile sunt stocate, înregistrate și transmise.
Dispozitivul de criptare se realizează sub forma unui criptator conectat la porturile USB. Există și dispozitive care sunt instalate pe plăcile de bază ale PC-urilor. Chiar și comutatoarele specializate și cardurile de rețea protejate prin criptografie pot fi folosite pentru a lucra cu date.
Tipurile hardware de dispozitive de protecție a informațiilor criptografice sunt instalate destul de rapid și sunt capabile să facă schimb de informații la viteză mare. Dar dezavantajul este costul destul de ridicat, precum și posibilitatea limitată de modernizare.
Protecție criptografică software
Acesta este un complex de programe care vă permite să criptați informațiile care sunt stocate pe diverse medii (unități flash, discuri hard și optice etc.). De asemenea, dacă există o licență pentru dispozitivele de protecție a informațiilor criptografice de acest tip, puteți cripta datele atunci când le transmiteți prin Internet (de exemplu, prin e-mail sau chat).
Există un număr mare de programe de protecție și chiar și gratuite - precum DiskCryptor. Tipul de software al CIPF este și rețele virtuale care permit schimbul de informații „pe internet”. Acestea sunt VPN-uri cunoscute de mulți. Acest tip de protecție include protocolul HTTP, care acceptă criptarea SSL și HTTPS.
Software-ul CIPF este folosit mai ales atunci când lucrați pe Internet, precum și pe computerele de acasă. Cu alte cuvinte, doar în acele zone în care nu există cerințe serioase pentru stabilitatea și funcționalitatea sistemului.
Tip hardware-software de protecție criptografică
Acum știți ce este CIPF, cum funcționează și unde este utilizat. De asemenea, este necesar să se evidențieze un singur tip - software și hardware, în care sunt colectate toate cele mai bune proprietăți ale ambelor tipuri de sisteme. Această metodă de procesare a informațiilor este cea mai fiabilă și mai sigură astăzi. Mai mult, utilizatorul poate fi identificat în diverse moduri - atât hardware (prin instalarea unei unități flash sau dischete), cât și standard (prin introducerea unei perechi de autentificare/parolă).
Toți algoritmii de criptare care există astăzi sunt acceptați de sisteme hardware și software. Vă rugăm să rețineți că instalarea SKZI trebuie efectuată numai de personal calificat al dezvoltatorului complex. Este clar că un astfel de instrument de protecție a informațiilor criptografice nu trebuie instalat pe computere care nu procesează informații confidențiale.
Criptografia ca mijloc de protecție (închidere) a informațiilor devine din ce în ce mai importantă în lumea afacerilor.
Criptografia are o istorie destul de lungă. La început, a fost folosit mai ales în domeniul comunicațiilor militare și diplomatice. Acum este nevoie de el în activități industriale și comerciale. Având în vedere că astăzi, doar în țara noastră, prin canale de comunicații criptate sunt transmise sute de milioane de mesaje, convorbiri telefonice, volume uriașe de date informatice și telemetrice, iar toate acestea, după cum se spune, nu sunt pentru privirile și urechile indiscrete, devine clar. : păstrarea secretelor acestei corespondențe extrem de necesară.
Ce este criptografia? Include mai multe secțiuni ale matematicii moderne, precum și ramuri speciale de fizică, electronică, comunicații și alte ramuri conexe. Sarcina acestuia este de a transforma prin metode matematice un mesaj secret, conversație telefonică sau date informatice transmise prin canalele de comunicare în așa fel încât să devină complet de neînțeles pentru persoanele neautorizate. Adică, criptografia ar trebui să ofere o astfel de protecție a informațiilor secrete (sau a oricăror alte) informații încât, chiar dacă sunt interceptate de persoane neautorizate și procesate prin orice mijloace folosind cele mai rapide computere și cele mai recente realizări ale științei și tehnologiei, să nu fie decriptate pentru mai multe decenii. Pentru o astfel de transformare a informațiilor se folosesc diverse instrumente de criptare, precum instrumente de criptare pentru documente, inclusiv cele portabile, instrumente de criptare pentru vorbire (comunicații telefonice și radio), instrumente de criptare pentru mesaje telegrafice și transmisie de date.
Tehnologia generală de criptare
Informațiile inițiale care sunt transmise prin canalele de comunicare pot fi semnale vocale, date, video, numite mesaje necriptate P (Fig. 16).
Orez. 16. Modelul sistemului criptografic
În dispozitivul de criptare, mesajul P este criptat (convertit în mesajul C) și transmis printr-un canal de comunicație „deschis”. Pe partea de recepție, mesajul C este decriptat pentru a restabili valoarea inițială a mesajului P.
Un parametru care poate fi utilizat pentru a prelua informații specifice se numește cheie.
În criptografia modernă, sunt luate în considerare două tipuri de algoritmi criptografici (chei). Acest algoritmi criptografici clasici, bazat pe utilizarea cheilor secrete și noi algoritmi criptografici de cheie publică bazați pe utilizarea a două tipuri de chei: secrete (private) și publice.
În criptografia cu chei publice, există cel puțin două chei, dintre care una nu poate fi calculată din cealaltă. Dacă cheia de decriptare nu poate fi obținută din cheia de criptare prin metode de calcul, atunci se va asigura secretul informațiilor criptate folosind cheia neclasificată (publică). Cu toate acestea, această cheie trebuie protejată de înlocuire sau modificare. Cheia de decriptare trebuie, de asemenea, să fie secretă și protejată de înlocuire sau modificare.
Dacă, dimpotrivă, este imposibil să se obțină cheia de criptare din cheia de decriptare prin metode de calcul, atunci cheia de decriptare poate să nu fie secretă.
Separarea funcțiilor de criptare și de decriptare prin împărțirea în două a informațiilor suplimentare necesare pentru a efectua operațiuni este o idee valoroasă în spatele criptografiei cu cheie publică.
Tehnologia de criptare a vorbirii
Cea mai comună modalitate de a cripta un semnal vocal analogic este împărțirea lui în părți.
În acest caz, semnalul vocal de intrare intră în filtrele trece-bandă pentru a selecta benzile spectrului criptat. Semnalul de ieșire al fiecărui filtru în procesul de criptare este supus fie unei permutări de frecvență, fie unei inversări a spectrului (inversie) sau ambelor în același timp. Ieșirea completă de criptare este apoi sintetizată.
Acest principiu funcționează sistemAVPS (AnalogicVocePrivatSistem) - un codificator de vorbire (scrambler), care permută „slices” individuale ale semnalului de intrare folosind un filtru trece-bandă - analizor. Sistemul dispune de 12 chei de criptare datorită posibilelor permutări, ceea ce asigură fiabilitatea metodei utilizate.
Sistemul AVPS este utilizat în timp real cu orice telefoane unificate. Calitatea criptării vorbirii este ridicată, recunoașterea abonatului este păstrată.
Există sisteme digitale foarte răspândite pentru criptarea semnalelor de vorbire. Aceste sisteme oferă o criptare foarte sigură.
În sistemele de criptare a datelor, se folosesc în principiu două sisteme elementare:
1. Permutare (biții sau subblocurile din fiecare bloc de date de intrare sunt permuți).
2. Înlocuire (biții sau subblocurile din fiecare bloc de date de intrare sunt înlocuite).
Au fost dezvoltați un număr mare de algoritmi de criptare. Cel mai eficient algoritm este DES (Data Encryption Standard) - un standard de criptare a datelor. Biroul Național de Standarde al SUA, NBS, a legitimat DES ca standard pentru sistemele de comunicații. Mecanismul de criptare din acest algoritm se bazează pe utilizarea unei chei de 56 de biți.
Pentru a proteja informațiile industriale și comerciale de pe piețele internaționale și interne, sunt oferite diverse dispozitive tehnice și seturi de echipamente profesionale pentru criptarea și protecția criptografică a comunicațiilor telefonice și radio, corespondența de afaceri etc.
Scramblerii și mascatorii s-au răspândit, înlocuind semnalul de vorbire cu transmisia digitală de date. Sunt produse mijloace de protecție pentru teletipuri, telexuri și faxuri. În aceste scopuri se folosesc criptoare, realizate sub formă de dispozitive separate, sub formă de atașamente la dispozitive sau încorporate în proiectarea telefoanelor, a modemurilor fax și a altor dispozitive de comunicație (stații radio etc.).
Prevalența criptării ca mijloc de asigurare a securității printr-un mijloc sau altul poate fi caracterizată prin următoarele date (Fig. 17).
Orez. 17. Prevalența criptării ca instrument de securitate
Hardware, software, software și hardware și mijloace criptografice implementează anumite servicii de securitate a informațiilor cu diverse mecanisme de protecție a informațiilor care asigură confidențialitatea, integritatea, completitudinea și disponibilitatea.
Inginerie si protectie tehnica informația utilizează mijloace fizice, hardware, software și criptografice.
concluzii
Securitatea cuprinzătoare a resurselor informaționale se realizează prin utilizarea actelor juridice la nivel de stat și departamental, a măsurilor organizatorice și a mijloacelor tehnice de protejare a informațiilor de diferite amenințări interne și externe.
Măsurile legale pentru asigurarea securității și protecției informațiilor stau la baza ordinii de activitate și a comportamentului angajaților de toate nivelurile și a gradului de responsabilitate a acestora pentru încălcarea normelor stabilite.
