Передача сообщения отправителем (пользователь А) получателю (пользователь В) предполагает передачу данных, побуждающих пользователей к определённым действиям. Передача данных может представлять собой передачу фондов между банками, продажу акций или облигаций на автоматизированном рынке, а также передачу приказов (сигналов) по каналам электросвязи. Участники нуждаются в защите от множества злонамеренных действий, к которым относятся:

- отказ - отправитель в последствии отказывается от переданного сообщения;

- фальсификация - получатель подделывает сообщение;

- изменение - получатель вносит изменения в сообщение;

- маскировка - пользователь маскируется под другого.

Для верификации (подтверждения) сообщения М (пользователь А - пользователю В) необходимо следующее:

- отправитель (пользователь А) должен внести в М подпись, содержащую дополнительную информацию, зависящую от М и, в общем случае, от получателя сообщения и известной только отправителю k_A;

- необходимо, чтобы правильную подпись М SIG{k_A, M, идентификатор В} в сообщении для пользователя В нельзя было составить без k_A;

- для предупреждения повторного использования устаревших сообщений процедура составления подписи зависит от времени;

- пользователь В должен иметь возможность удостовериться, SIG{k_A, M, идентификатор В} - есть правильная подпись М пользователем А.

Рассмотрим эти пункты подробнее:

1. Подпись сообщения - определённый способ шифрования М путём криптографического преобразования. Закрываемым элементом k_A в преобразовании

<Идентификатор В, М>>SIG{k_A, M, Идентификатор В} (2.4.1)

является ключ криптопреобразования.

Во всех практических криптографических системах k_A принадлежит конечному множеству ключей. Исчерпывающая проверка всех ключей, задаваемая соответствующими парами

<М, Идентификатор В>>SIG{k_A, M, Идентификатор В} (2.4.2)

в общем должна привести к определению ключа k_А злоумышленником. Если множество К достаточно велико и ключ k определён методом случайного выбора, то полная проверка ключей невозможна. Говоря, что составить правильную подпись без ключа невозможно, имеется в виду, что определение SIG{k_A, M, Идентификатор В} без k_А с вычислительной точки зрения эквивалентно поиску ключа.

2. Доступ к аппаратуре, программам и файлам системы обработки информации обычно контролируется паролями. Подпись - это вид пароля, зависящий от отправителя, получателя информации и содержания передаваемого сообщения.

3. Подпись должна меняться от сообщения к сообщению для предупреждения её повторного использования с целью проверки нового сообщения. Цифровая подпись отличается от рукописной, которая обычно не зависит от времени составления и данных. Цифровая и рукописная подписи идентичны в том смысле, что они характерны только для данного владельца.

4. Хотя получатель информации не может составить правильную подпись, он должен уметь удостоверять её подлинность. В обычных коммерческих сделках, таких, например, как продажа недвижимой собственности, эту функцию зачастую выполняет третье независимое доверенное лицо (нотариус).

Установление подлинности подписи - это процесс, посредством которого каждая сторона устанавливает подлинность другой. Обязательным условием этого процесса является сохранение тайны. Для того, чтобы в системе обработки данных получатель мог установить подлинность отправителя, необходимо выполнение следующих условий:

- отправитель (пользователь А) должен обеспечить получателя (пользователя В) удостоверяющей информацией AUTH{k_A, M, Идентификатор В}, зависящей от секретной информации k_А известной только пользователю А;

- необходимо, чтобы удостоверяющую информацию AUTH{k_A, M, Идентификатор В} от пользователя А пользователю В можно было дать только при наличии ключа k_А;

- пользователь В должен располагать процедурой проверки того, что AUTH{k_A, M, Идентификатор В} действительно подтверждает личность пользователя А;

- для предупреждения использования предыдущей проверенной на достоверность информации процесс установления подлинности должен иметь некоторую зависимость от времени.

Установление подлинности и верификация передаваемого сообщения имеют сходные элементы: цифровая подпись является удостоверением подлинности информации с добавлением требования о её зависимости от содержания передаваемого сообщения.

2.4.1 Функции хэширования

Функция хэширования Н представляет собой отображение, на вход которого подаётся сообщение переменной длины М, а выходом является строка фиксированной длины Н(М). В общем случае Н(М) будет гораздо меньшим, чем М, например, Н(М) может быть 128 или 256 бит, тогда как М может быть размером мегабайт или более.

Функция хэширования может служить для обнаружения модификации сообщения. Она может служить в качестве криптографической контрольной суммы (также называемой кодом обнаружения изменений или кодом аутентификации сообщения).

Теоретически возможно, что два различных сообщения могут быть сжаты в одну и ту же свёртку (так называемая ситуация «столкновения»). Поэтому для обеспечения стойкости функции хэширования необходимо предусмотреть способ избегать столкновений. Полностью столкновений избежать нельзя, поскольку в общем случае количество возможных сообщений превышает количество возможных выходных значений функции хэширования, но вероятность столкновений должна быть низкой.

Чтобы функция хэширования Н могла должным образом быть использована в процессе аутентификации, она должна обладать следующими свойствами:

1. Н может быть применена к аргументу любого размера;

2. Выходное значение Н имеет фиксированный размер;

3. Н(х) достаточно просто вычислить для любого х. Скорость вычисления хэш-функции должна быть такой, чтобы скорость выработки и проверки ЭЦП при использовании хэш-функции была значительно больше, чем при использовании самого сообщения;

4. Для любого у с вычислительной точки зрения невозможно найти х, такое что

Н(х)=у; (2.4.1.1)

5. Для любого фиксированного х с вычислительной точки зрения невозможно найти , такое что

. (2.4.1.2)

Свойство 5 гарантирует, что не может быть найдено другое сообщение, дающее ту же свёртку. Это предотвращает подделку и также позволяет использовать Н в качестве криптографической контрольной суммы для проверки целостности.

Свойство 4 эквивалентно тому, что Н является односторонней функцией. Стойкость систем с открытыми ключами зависит от того, что открытое криптопреобразование является односторонней функцией-ловушкой. Напротив, функции хэширования являются односторонними функциями, не имеющими ловушек.

2.5 Управление криптографическими ключами

Помимо выбора подходящих для конкретной информационной системы средств криптографической защиты информации, важной проблемой является управление ключами. Как бы не была сложна и надёжна сама криптосистема, она основана на использовании ключей. Если для обеспечения конфиденциального обмена информацией между двумя пользователями процесс обмена ключами тривиален, то в информационной системе, где количество пользователей составляет сотни и тысячи, управление ключами - серьёзная проблема.

Под ключевой информацией понимается совокупность всех действующих в ИС ключей. Если не обеспечено достаточно надёжное управление ключевой информацией, то, завладев ею, злоумышленник получает неограниченный доступ ко всей информации.

Управление ключами - информационный процесс, включающий в себя три элемента:

- генерацию ключей;

- накопление ключей;

- распределение ключей.

Известно, что не стоит использовать неслучайные ключи с целью лёгкости их запоминания. В серьёзных информационных системах используются специальные аппаратные и программные методы генерации случайных ключей. Как правило, используют датчики псевдослучайных чисел. Степень случайности их генерации должна быть достаточно высокой. Идеальными генераторами являются устройства на основе «натуральных» случайных процессов. Например, появились серийные образцы генерации ключей на основе белого радиошума. Физический датчик случайных чисел встроен в ядро процессора Pentium-III. Другим случайным математическим объектом является десятичные знаки трансцендентных чисел, например р или е, которые вычисляются с помощью стандартных математических методов.

В ИС со средними требованиями защищённости вполне приемлемы программные генераторы ключей, которые вычисляют псевдослучайные числа как сложную функцию от текущего времени и/или числа, введённого пользователем.

Под накоплением ключей понимается организация их хранения, учёта и удаления.

Поскольку ключ является самым привлекательным для злоумышленника объектом, открывающим ему путь к конфиденциальной информации, то вопросам накопления ключей следует уделять особое внимание.

Секретные ключи никогда не должны записываться в явном виде на носители, которые могут быть считаны или скопированы.

В достаточно сложной ИС один пользователь может работать с большим объёмом ключевой информации, и иногда даже возникает необходимость организации мини-баз данных по ключевой информации. Такие базы данных отвечают за принятие, хранение, учёт и удаление используемых ключей.

Каждая информация об используемых ключах должна храниться в зашифрованном виде. Ключи, зашифровывающие ключевую информацию, называются мастер-ключами. Желательно, чтобы мастер-ключи каждый пользователь знал наизусть, и не хранил их вообще на каких-либо материальных носителях.

Очень важным условием безопасности информации является периодическое обновление ключевой информации в ИС. При этом переназначаться должны как обычные ключи, так и мастер-ключи. В особо ответственных ИС обновление ключевой информации желательно делать ежедневно.

Вопрос обновления ключевой информации связан и с третьим элементом управления ключами - распределением ключей.

Для описания алгоритмов и методов потребуются следующие обозначения:

I_A - идентификатор стороны А;

D_А - секретное криптопреобразование стороны А (с использованием секретного ключа асимметричной криптосистемы);

Е_А - открытое криптопреобразование стороны А (с использованием открытого ключа асимметричной криптосистемы);

Т_А - временной штамп стороны А;

R_А - случайное число, выбранное стороной А.

2.5.1 Обычная система управления ключами

Распределение ключей - самый ответственный процесс в управлении ключами. К нему предъявляются два требования:

- оперативность и точность распределения;

- скрытность распределяемых ключей.

В рамках симметричной (одноключевой) системы шифрования двум пользователям, желающим установить безопасное взаимодействие, необходимо сначала установить безопасный общий ключ. Одной из возможностей этого является использование третей стороны, такой как курьера. На практике по соображениям безопасности необходимо время от времени менять ключ. Это может сделать использование курьера или другой подобной схемы дорогостоящим и неэффективным.

Альтернативой является получение двумя пользователями общего ключа от центрального органа - центра распределения ключей (ЦРК), с помощью которого они могут безопасно взаимодействовать. Для организации обмена данными между ЦРК и пользователем последнему при регистрации выделяется специальный ключ, которым шифруются сообщения, передаваемые между ними.

Поскольку каждому пользователю выделяется отдельный ключ, его компрометация не приведёт к особо неприятным последствиям. Слабое место этого подхода заключается в следующем: в ЦРК, обладающий доступом к ключам, возможно проникновение злоумышленника. Вследствие концентрации доверия одно нарушение безопасности скомпрометирует всю систему. Кроме того, ЦРК может, например, долгое время участвовать в пассивном подслушивании, прежде чем это будет обнаружено, хотя доказать это может оказаться трудно.

В больших сетях эта процедура может стать узким местом, поскольку каждой паре пользователей, нуждающейся в ключе, необходимо хотя бы один раз обратиться к центральному узлу. Кроме того, сбой центрального органа может разрушить систему ключей. Иерархическая (древовидная) система с пользователями, находящимися на листьях, и центрами распределения ключей в промежуточных узлах является одним из способов смягчения этой проблемы.

Однако, это создаёт новую проблему безопасности, поскольку создаётся множество точек входа для злоумышленника. Более того, данная система будет неэффективной, если пара часто взаимодействующих пользователей не будет находиться в одном поддереве, поскольку в этом случае корень дерева опять окажется узким местом.

Некоторые из этих недостатков можно устранить, применив подход к распределению ключей, основанный на системах с открытым ключом.

2.5.2 Управление ключами, основанное на системах с открытым ключом

До использования криптосистемы с открытым ключом для обмена обычными секретными ключами пользователи А и В должны обменяться своими открытыми ключами. Эта проблема проще, чем обмен секретными ключами, поскольку открытые ключи не требуют секретности при хранении и передаче. Управление открытыми ключами может быть организованно с помощью оперативной или автономной службы каталогов, пользователи могут также обмениваться ключами непосредственно.

Однако проблемой здесь является аутентичность. Если А думает что Е_С в действительности является Е_В, то А может зашифровать сообщение с помощью Е_С и ненамеренно дать возможность С расшифровать сообщение используя D_C. Второй проблемой является целостность: любая ошибка в передаче открытого ключа сделает его бесполезным. Поэтому желательно наличие какой-либо формы обнаружения ошибок.

В независимости от схемы, выбранной для распределения открытых ключей, скорее всего, на каком-либо этапе будет участвовать центральный орган. При этом обмен открытыми ключами между пользователями не требует участия центрального органа, поскольку основной проблемой является аутентичность. Следовательно, последствия компрометации центрального органа будут не столь тяжёлыми, как в случае обычной ключевой системы.

Ещё одним аспектом проблемы является достоверность: открытый ключ пользователя может оказаться недостоверным вследствие компрометации соответствующего секретного ключа или по какой-либо иной причине, например, из-за истечения срока действия. Это создаёт проблему устаревших данных в случае, если открытые ключи хранятся или доступ к ним осуществляется через каталог.

В качестве примера можно привести протокол обмена ключом Диффи-Хеллмана. Системными параметрами этого протокола является большое простое число р и число g, являющееся примитивным элементом GF(p).

Пусть теперь пользователи А и В желают получить общий секретный ключ. Сначала А генерирует случайное число a, которое он держит в секрете, а В генерирует случайное число b, которое он также держит в секрете. Затем они вычисляют и соответственно и передают вычисленные значения друг другу, причём это можно сделать по открытым каналам связи. После этого А вычисляет

, (2.5.2.1)

а В вычисляет

. (2.5.2.2)

Поскольку , у А и В теперь есть общий секретный ключ k.

Протокол Диффи-Хеллмана, однако, является уязвимым для атаки, называемой «человек в середине». Злоумышленник С может перехватить открытое значение, посылаемое от А к В, и послать вместо него своё открытое значение. Затем он может перехватить открытое значение, посылаемое от В к А, и также послать вместо него своё открытое значение. Тем самым С получит общие секретные ключи А и В и сможет читать и/или модифицировать сообщения, передаваемые от одной стороны к другой.

2.5.3 Протоколы обмена секретным ключом

Для защиты от атаки «человек в середине» можно использовать следующий протокол. При этом предполагается, что А и В обладают возможностью проверить аутентичность открытых ключей друг друга.

Предположим, что А и В желают определить общий секретный ключ (К). Предположим далее, что они получили открытые ключи друг друга. Теперь можно использовать трёхэтапный протокол рукопожатия.

А может послать В сообщение

, (2.5.3.1)

где Е_В - процедура шифрования с открытым ключом В, I_A - идентификатор А и R_A - случайное число. Теперь В может расшифровать С и получить I_A. Теперь В выбирает случайное число R_В и посылает

(2.5.3.2)

А. После расшифрования С' А может в реальном времени проверить, что В получил R_A, поскольку только В может расшифровать С.

Наконец, А посылает В

, (2.5.3.3)

и когда В расшифрует С'' он сможет проверить в реальном времени, что А получил R_В, поскольку только А может расшифровать С'. Тем самым А и В аутентифицировали друг друга, то есть каждый из них знает, что они общаются друг с другом.

Теперь А посылает В , В расшифровывает сообщение и получает К. Данная процедура обеспечивает как секретность, так и аутентичность при обмене ключом К.

Рассмотренная выше процедура является вариантом так называемого механизма «запрос-ответ», который заключается в том, что для аутентификации контрагента пользователь направляет ему некоторое непредсказуемое заранее сообщение, на которое тот должен дать ответ, выполнив некоторую заранее обусловленную операцию над сообщением-запросом.

После получения ответа пользователь может быть уверен в подлинности сеанса связи. Недостатком этого метода является возможность установления, хотя и сложной, закономерности между запросом и ответом.

2.5.4 Использование сертификатов

Метод достижения одновременно аутентичности и целостности при распределении открытых ключей заключается в использовании сертификатов. Система, основанная на сертификатах, предполагает, что имеется центральный орган (ЦО), как и в случае распределения секретных ключей.

Далее предполагается, что каждый пользователь может осуществлять безопасное взаимодействие с ЦО. Это относительно просто сделать, поскольку для этого требуется только, чтобы у каждого пользователя был открытый ключ ЦО - Е_ЦО. Тогда каждый пользователь А может зарегистрировать в ЦО свой открытый ключ Е_А. Поскольку Е_А является открытым, это можно сделать по почте, по открытому каналу электросвязи и так далее.

Обычно при регистрации в ЦО А будет следовать определённой аутентификационной процедуре. Альтернативным вариантом может быть обработка регистрации системы, имеющая древовидную структуру: ЦО выдаёт сертификаты местным представителям, которые в дальнейшем действуют в качестве посредников в процессе регистрации пользователя на более низких уровнях иерархии.

В любом случае, в ответ А получает сертификат, подписанный ЦО и содержащий Е_А. То есть, ЦО формирует сообщение М, содержащее Е_А, идентификационную информацию для А (I_A), период действия сертификата и так далее. Затем ЦО вычисляет

CERT_A=D_ЦО(М), (2.5.4.1)

который и становится сертификатом А. CERT_A делается общедоступным документом, который содержит Е_А и одновременно аутентифицирует его, поскольку сертификат подписан ЦО. Сертификаты могут распространяться ЦО, пользователями или использоваться в иерархической системе. Включение срока действия является обобщением временного штампа. Важность временного штампа заключается в защите от использования скомпрометированных ключей.

Однако проблема устаревших данных не может быть решена только с помощью временных штампов, поскольку сертификат может стать недействительным до истечения срока его действия вследствие компрометации или по административным причинам. Поэтому, если сертификаты хранятся у пользователей (а не выдаются каждый раз ЦО при их использовании), ЦО должен время от времени публиковать списки аннулированных сертификатов.

Некоторые свойства рассмотренных схем могут быть объединены в подход, известный под названием «телефонный справочник», с использованием электронного эквивалента, такого как гибкий диск, содержащий сертификаты. Это облегчит использование, поскольку пользователь сможет быстро связаться с другим пользователем, быстро получая доступ к сертификату последнего. Однако, и в этом случае ЦО должен выпускать «горячие списки». Периодическое распространение списков сертификатов будет представлять собой отдельный управленческий процесс. Кроме того, безопасность подобной схемы определённо находится под вопросом, поскольку элементы телефонного справочника могут содержать ошибки или быть намеренно изменены.

2.5.5 Протоколы аутентификации

Предположим, что А желает установить связь с В. Предположим далее, что А получил сертификационный путь от А до В, например, обратившись к каталогу, и использовал этот путь для получения открытого ключа В.

Пусть:

I_A - идентификатор стороны А;

D_A - секретное криптопреобразование стороны А (секретный ключ);

Е_А - открытое криптопреобразование стороны А (открытый ключ);

Т_А - временный штамп стороны А;

R_A - случайное число, выбранное стороной А;

С_А - сертификат стороны А;

I_В - идентификатор стороны В;

D_В - секретное криптопреобразование стороны В (секретный ключ);

Е_В - открытое криптопреобразование стороны В (открытый ключ);

Т_В - временный штамп стороны В;

R_В - случайное число, выбранное стороной В.

Идентификаторы - это уникальные имена А и В. Временной штамп, включаемый в сообщение М, содержит также дату истечения срока действия М. Дополнительно он также может включать время создания М. Случайные числа могут быть заменены последовательными числами, которые не должны повторяться в течение срока действия, указанного во временном штампе в том же сеансе связи.

Тогда односторонний протокол аутентификации будет выглядеть следующим образом.

Пользователь А:

- выбирает R_A;

- формирует сообщение

М=(Т_А, Т_А, I_В,<данные>), (2.5.5.1)

где <данные> произвольны, причём, они могут быть зашифрованы с помощью Е_В, например, когда А передаёт В ключ шифрования данных;

- посылает (С_А, D_A(М)) пользователю В.

Пользователь В:

- расшифровывает С_А и получает Е_А;

- проверяет дату окончания срока действия сертификата;

- использует Е_А для расшифрования D_A(М), проверяя как подлинность подписи А, так и целостность подписанной информации;

- проверяет I_В, содержащийся в М, на точность;

- проверяет Т_А в М;

- дополнительно проверяет R_А, содержащийся в М.

Широкое распространение основанных на интеллектуальных картах систем доступа для различного рода приложений (как гражданского, так и военного назначения) потребовало создать схему обеспечения безопасной аутентификации субъекта. При этом секретный ключ владельца карты становится неотъемлемым признаком его личности, и для обеспечения защиты от возможной компрометации этого ключа был предложен ряд схем, называемых протоколами доказательства с нулевым разглашением или с нулевым знанием (zero-knowledge proofs), в рамках которого субъект может подтвердить свои полномочия, не раскрывая значение своего секретного ключа.

Первая схема подобного рода была предложена в 1986 году Фейге, Фиатом и Шамиром. Суть её состоит в следующем.

Для группы пользователей, которым придётся доказывать свою подлинность, выбирается большое (длиной более 512 бит) случайное целое число n, являющееся произведением двух простых чисел. В процессе аутентификации участвуют две стороны. Сторона А, доказывающая свою подлинность, и сторона В - проверяющая.

Доверенный арбитр (центр распределения ключей) выбирает некоторое целое число v, являющееся квадратичным вычетом по модулю n, то есть существует x:

x²=v(mod n), (2.5.5.2)

и взаимно простое с n. Это значение v передаётся А в качестве открытого ключа. Затем вычисляется наименьшее значение s, такое что

s=(v^-1)^1/2(mod n). (2.5.5.3)

Это значение будет секретным ключом стороны А.

После этого протокол аутентификации выглядит следующим образом:

- сторона А выбирает случайное число r: 0<r<n, затем она вычисляет

x=r²mod n (2.5.5.4)

и отправляет его стороне В;

- сторона В посылает А случайный бит b;

- если b=0, то А отправляет В число r, если же b=1, то А отправляет В

y=rs(mod n); (2.5.5.5)

- если b=0, то В проверяет, что x=r²mod n, чтобы убедиться, что А знает квадратный корень из х, если же b=1, то сторона В проверяет, что

x=y²v(mod n), (2.5.5.6)

чтобы убедиться, что А знает квадратный корень из v^-1.

Эти шаги образуют один цикл протокола. Стороны повторяют этот цикл t раз при разных случайных значениях r и b. Если сторона А не знает значения s, она может выбрать такое r, которое позволит ей обмануть В в случае b=0 или b=1, но не в обоих случаях одновременно. Вероятность обмана в одном цикле составляет 0.5. Вероятность обмана в t циклах равна 2^-t.

Недостатком данной схемы является большое число циклов протокола, необходимое для доказательства с требуемой вероятностью, если эта вероятность достаточно мала. Способ, требующий только одного раунда обмена, но требующий большого объёма вычислений был предложен Гиллоу и Куискуотером.

Пусть I - идентификационная информация стороны А (или значение её хэш-функции), n - открытое произведение двух секретных простых чисел, v - открытое значение (показатель степени).

Секретный ключ g стороны А выбирается так, что

Ig^v=1(mod n). (2.5.5.7)

Сторона А отправляет В свои идентификационные данные I. Протокол доказательства выглядит следующим образом:

- А выбирает случайное целое r, такое, что 1<r<n-1 и вычисляет

T=r^v(mod n) (2.5.5.8)

и отправляет это значение стороне В;

- В выбирает случайное целое d: 1<d<n-1 и отправляет это число стороне А;

- А вычисляет

D=rg^d(mod n) (2.5.5.9)

и отправляет это значение В;

- В вычисляет

T'=D^vI^d(mod n) (2.5.5.10)

и проверяет выполнение равенства Т=Т', если оно выполняется, то проверка считается завершённой успешно.

В самом деле,

T=D^vI^d=(rg^d)^vI^d=r^vg^dvI^d=r^v(Ig^v)^d=r^v?T(mod n). (2.5.5.11)

2.5.6 Анонимное распределение ключей

Если мы полагаем, что пользователи сами не могут выбирать собственные ключи, то они должны пользоваться услугами центра распределения ключей. Проблема заключается в том, что ключи должны распределяться так, чтобы никто не мог определить, кто получил какой ключ. Процедура распределения ключей в этом случае может выглядеть так:

- А выбирает пару <открытый ключ, секретный ключ> (для этого протокола он держит оба ключа в секрете);

- ЦРК генерирует непрерывный поток ключей;

- ЦРК шифрует ключи, один за другим, своим открытым ключом;

- ЦРК передаёт зашифрованные ключи, один за другим, в сеть;

- А выбирает ключ случайным образом;

- А шифрует выбранный ключ своим открытым ключом;

- А ожидает некоторое время и посылает дважды зашифрованный ключ обратно в ЦРК;

- ЦРК расшифровывает дважды зашифрованный ключ своим секретным ключом, оставляя ключ зашифрованным один раз открытым ключом А;

- ЦРК посылает зашифрованный ключ назад пользователю А;

- А расшифровывает ключ своим секретным ключом.

2.6 Имитозащита информации