2010/05/24 13:42:04

Криптография в цифровых технологиях

Криптография в цифровых технологиях необходима как инструмент защиты конфиденциальных данных а так же как средство противодействия незаконному копированию и распространению данных, являющихся интеллектуальной собственностью.

Содержание

Различные алгоритмы шифрования постоянно применяются в банковских и корпоративных сетях для защиты от промышленного шпионажа или взлома. Все каналы и серверы в таких системах являются защищенными, то есть подвергнутыми обработке по тому или иному алгоритму шифрования. Такие системы требуют обязательного поточного шифрования каналов связи на сетевом уровне и выше, что обеспечивает защиту передаваемого трафика от компрометации при передаче по потенциально скомпрометированным провайдерским каналам, а потенциально скомпрометированным каналом для банка считается любой канал, который не обеспечивается самим банком как провайдером.


Цели криптографии

Криптография рассматривается как средство защиты конфиденциальных данных от:

  • Несанкционированного прочтения
  • Преднамеренного нарушения целостности либо ничтожения
  • Нежелательного копирования
  • Фальсификации

Одним из основополагающих требований, предъявляемых к криптографической защите, является принцип ее равнопрочности. То есть, если защита может быть разделена на звенья, то все эти звенья должны иметь одинаковую стойкость к взлому.

Принципы применения

Есть несколько основополагающих принципов применения криптографических алгоритмов

  • Криптографические методы позволяют обеспечить защиту передаваемых данных даже в том случае, если эти данные передаются в ненадежной среде (как, например Интернет).
  • Алгоритмы шифрования применяют для защиты файлов, содержащих важные сведения, чтобы максимально снизить вероятность доступа к ним посторонних лиц.
  • Криптография используется не только для обеспечения секретности, но и для сохранения целостности данных.
  • Криптография — средство проверки достоверности данных и их источников (речь идет о цифровых подписях и сертификатах)
  • Ключи к алгоритму шифрования держатся в секрете.
  • Алгоритмы, форматы файлов и размеры ключей могут быть общеизвестными.

Криптографические алгоритмы, основанные на использовании открытого распределения ключей, позволили создать систему комплексного обеспечения безопасности информации в больших компьютерных сетях и информационных базах данных. Причиной тому явилась особенность криптосистем с открытыми ключами (построенных на основе асимметричных алгоритмов шифрования) использовать гораздо меньшее количество ключей для одного и того же количества пользователей, нежели того требует криптосистема с открытыми ключами.

Существует немало готовых алгоритмов шифрования, имеющих высокую криптостойкость, шифровщику остается только создать свой уникальный ключ для придания информации необходимых криптографических качеств. Ключ используется как для шифрования, так и в процессе расшифрования.

Сертификаты

Верификация сертификата в операционной системе Microsoft Windows XP

Сертификаты, как правило, используются для обмена зашифрованными данными в больших сетях. Криптосистема с открытым ключом решает проблему обмена секретными ключами между участниками безопасного обмена, однако не решает проблему доверия к открытым ключам. Так как существует возможность замены злоумышленником открытого ключа и перехвата зашифрованного этим ключом сообщения с целью последующей расшифровки собственным закрытым ключом. Подробнее об этом смотрите в статье Криптография. Идеей сертификата понимается наличие третьей стороны, которой доверяют две другие стороны информационного обмена. Предполагается, что таких третьих сторон немного, и их открытые ключи известны всем остальным пользователям заранее. Таким образом, подлог открытого ключа третьей стороны легко выявляется. Если пользователь А сформирует сертификат со своим открытым ключом, и этот сертификат будет подписан третьей стороной С, то любой пользователь сети, доверяющий условной стороне С, сможет удостовериться в подлинности открытого ключа пользователя А. В централизованной инфраструктуре в роли стороны С выступает удостоверяющий центр. В сетях доверия С может быть любым пользователем, и следует ли доверять этому пользователю, удостоверившему ключ пользователя А, решает сам отправитель сообщения.

Структура сертификата

Перечень обязательных и необязательных требований, предъявляемых к сертификату, определяется стандартом на его формат (например, X.509). Как правило, сертификат включает в себя следующие поля:

  • имя владельца сертификата (имя пользователя, которому принадлежит сертификат)
  • один или более открытых ключей владельца сертификата
  • имя удостоверяющего центра
  • серийный номер сертификата, присвоенный удостоверяющим центром
  • срок действия сертификата (дата начала действия и дата окончания действия)
  • информация об использованных криптографических алгоритмах
  • электронная цифровая подпись, сгенерированная с использованием секретного ключа удостоверяющего центра (подписывается результат хэширования всей информации, хранящейся в сертификате).

Верификация сертификата

Доверие любому сертификату пользователя определяется на основе цепочки сертификатов. Причем начальным элементом цепочки является сертификат центра сертификации, хранящийся в защищенном персональном справочнике пользователя.

Процедура верификации цепочки сертификатов проверяет связанность между именем владельца сертификата и его открытым ключом. Она подразумевает, что все верные цепочки начинаются с сертификатов, изданных одним доверенным центром сертификации. Под доверенным центром понимается главный ЦС, открытый ключ которого содержится в самоподписанном сертификате. Такое ограничение упрощает процедуру верификации, хотя наличие самоподписанного сертификата и его криптографическая проверка не обеспечивают безопасности. Для обеспечения доверия к открытому ключу такого сертификата должны быть применены специальные способы его распространения и хранения, так как на данном открытом ключе проверяются все остальные сертификаты.

Криптографическая система с открытыми ключами, использующая сертификаты, позволяет реализовать по настоящему защищенные системы, использующие современные технологии и сети передачи данных. Стандартизация в этой области позволяет различным приложениям взаимодействовать между собой, используя единую инфраструктуру открытых ключей.

Электронная цифровая подпись (ЭЦП)

Электронная цифровая подпись применяется в тех случаях, когда необходимо подтвердить принадлежность полученных данных либо исключить возможность отрицания авторства адресантом. Также ЭЦП проверяет целостность данных, но не обеспечивает их конфиденциальность. Электронная подпись добавляется к сообщению и может шифроваться вместе с ним при необходимости сохранения данных в тайне.

Реализация ЭЦП

Электронно-цифровая подпись (ЭЦП) используется физическими и юридическими лицами в качестве аналога собственноручной подписи для придания электронному документу юридической силы, равной юридической силе документа на бумажном носителе, подписанного собственноручной подписью правомочного лица и скрепленного печатью. Последовательность действий по созданию ЭЦП:

  • Создание ключей электронной подписи
  • Секретные ключи остаются у пользователей-участников обмена; открытые ключи становятся доступными для обеих сторон.
  • Секретным ключом подписывается исходящее сообщение, открытым ключом проверяется его подлинность.
  • Результатом проверки служит один из ответов: «верна»/«неверна».

Таким образом достигается невозможность подмены авторства и защита сообщения от внесения посторонних изменений, даже если эти изменения незначительны.

Квантовая криптография

Одним из надёжных способов сохранить в тайне телефонные переговоры или передаваемую по электронным сетям информацию является использование квантовой криптографии.

Наибольшее практическое применение квантовой криптографии находит сегодня в сфере защиты информации, передаваемой по волоконно-оптическим линиям связи.

Это объясняется тем, что оптические волокна (ВОЛС) позволяют обеспечить передачу фотонов на большие расстояния с минимальными искажениями. В качестве источников фотонов применяются лазерные диоды передающих модулей; далее происходит существенное ослабление мощности светового сигнала — до уровня, когда среднее число фотонов на один импульс становится много меньше единицы. Системы передачи информации по ВОЛС, в приемном модуле которых применяются лавинные фотодиоды в режиме счета фотонов, называются квантовыми оптическими каналами связи (КОКС).

Вследствие малой энергетики сигналов скорости передачи информации в квантовых сетях по сравнению с возможностями современных оптоволоконных сетей не слишком высоки — первые существенно проигрывают вторым в скорости. Поэтому в большинстве случаев квантовые криптографические системы применяются для распределения ключей, которые затем используются средствами шифрования высокоскоростного потока данных. Важно отметить, что квантово-криптографическое оборудование пока серийно не выпускается. Однако, по мере совершенствования и уменьшения стоимости такого оборудования, можно ожидать появления ККС на рынке телекоммуникаций в качестве, например, дополнительной услуги при построении корпоративных оптоволоконных сетей. Читать статью «Квантовая криптография (шифрование)»

Предпосылки секретности квантового канала связи

При переходе от сигналов, где информация кодируется импульсами, содержащими тысячи фотонов, к сигналам, где среднее число фотонов, приходящихся на один импульс, много меньше единицы, вступают в действие законы квантовой физики. Именно на использовании этих законов в сочетании с процедурами классической криптографии основана природа секретности ККС.

Здесь применяется принцип неопределенности Гейзенберга, согласно которому попытка произвести измерения в квантовой системе искажает ее состояние, и полученная в результате такого измерения информация не полностью соответствует состоянию до начала измерений. Попытка перехвата информации из квантового канала связи неизбежно приводит к внесению в него помех, обнаруживаемых легальными пользователями. Квантовые системы используют этот факт для обеспечения возможности двум сторонам, которые ранее не встречались и предварительно не обменивались никакой секретной информацией, осуществлять между собой связь в обстановке полной секретности без боязни быть подслушанным. Таким образом, в деле криптографии открылись совершенно новые возможности.

Литература

  • А. Ю. Винокуров. ГОСТ не прост..,а очень прост, М., Монитор.-1995.-N1.
  • А. Ю. Винокуров. Еще раз про ГОСТ., М., Монитор.-1995.-N5.
  • А. Ю. Винокуров. Алгоритм шифрования ГОСТ 28147-89, его использование и реализация для компьютеров платформы Intel x86., Рукопись, 1997.
  • А. Ю. Винокуров. Как устроен блочный шифр?, Рукопись, 1995.
  • М. Э. Смид, Д. К. Бранстед. Стандарт шифрования данных: прошлое и будущее.

/пер. с англ./ М., Мир, ТИИЭР.-1988.-т.76.-N5.

  • Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования ГОСТ 28147-89, М., Госстандарт, 1989.
  • Б. В. Березин, П. В. Дорошкевич. Цифровая подпись на основе традиционной криптографии//Защита информации, вып.2.,М.: МП «Ирбис-II»,1992.
  • W.Diffie,M.E.Hellman. New Directions in cryptography// IEEE Trans.

Inform. Theory, IT-22, vol 6 (Nov. 1976), pp. 644—654.

  • У.Диффи. Первые десять лет криптографии с открытым ключом. /пер. с англ./ М., Мир, ТИИЭР.-1988.-т.76.-N5.
  • Водолазкий В., «Стандарт шифрования ДЕС», Монитор 03-04 1992 г. С.
  • Воробьев, «Защита информации в персональных ЗВМ», изд. Мир, 1993 г.
  • Ковалевский В., «Криптографические методы», Компьютер Пресс 05.93 г.
  • Мафтик С., «Механизмы защиты в сетях ЭВМ», изд. Мир, 1993 г.

См. также

Криптография

Ссылки