09.07.2003
Шифрование используется человечеством с того самого момента, как появилась первая секретная информация, т. е. такая, доступ к которой должен быть ограничен. Это было очень давно - так, один из самых известных методов шифрования носит имя Цезаря, который если и не сам его изобрел, то активно им пользовался (см. врезку ).
Криптография обеспечивает сокрытие смысла сообщения и раскрытие его расшифровкой с помощью специальных алгоритмов и ключей. Ключ понимается нами как конкретное секретное состояние параметров алгоритмов шифрования и дешифрования. Знание ключа дает возможность прочтения секретного сообщения. Впрочем, как вы увидите ниже, далеко не всегда незнание ключа гарантирует то, что сообщение не сможет прочесть посторонний человек.
Процесс вскрытия шифра без знания ключа называется криптоанализом. Время, необходимое для взлома шифра, определяется его криптостойкостью. Чем оно больше, тем «сильнее» алгоритм шифрования. Еще лучше, если изначально вообще нельзя выяснить, достижим ли результат взлома.
Среди разнообразнейших способов шифровании можно выделить следующие основные методы:
Когда пользователь вводит свой пароль при входе в Windows 95, из него по алгоритму шифрования RC4 генерируется гамма (всегда одна и та же), применяемая для шифрования сетевых паролей. Простота подбора пароля обусловливается в данном случае тем, что Windows всегда предпочитает одну и ту же гамму.
Прежде чем перейти к отдельным алгоритмам, рассмотрим вкратце концепцию симметричных и асимметричных криптосистем. Сгенерировать секретный ключ и зашифровать им сообщение - это еще полдела. А вот как переслать такой ключ тому, кто должен с его помощью расшифровать исходное сообщение? Передача шифрующего ключа считается одной из основных проблем криптографии.
Оставаясь в рамках симметричной системы (так она названа оттого, что для шифрования и дешифрования подходит один и тот же ключ), необходимо иметь надежный канал связи для передачи секретного ключа. Но такой канал не всегда бывает доступен, и потому американские математики Диффи, Хеллман и Меркле разработали в 1976 г. концепцию открытого ключа и асимметричного шифрования. В таких криптосистемах общедоступным является только ключ для процесса шифрования, а процедура дешифрования известна лишь обладателю секретного ключа.
Например, когда я хочу, чтобы мне выслали сообщение, то генерирую открытый и секретный ключи. Открытый посылаю вам, вы шифруете им сообщение и отправляете мне. Дешифровать сообщение могу только я, так как секретный ключ я никому не передавал. Конечно, оба ключа связаны особым образом (в каждой криптосистеме по-разному), и распространение открытого ключа не разрушает криптостойкость системы.
В асимметричных системах должно удовлетворяться следующее требование: нет такого алгоритма (или он пока неизвестен), который бы из криптотекста и открытого ключа выводил исходный текст. Пример такой системы - широко известная криптосистема RSA.
Алгоритм RSA (по первым буквам фамилий его создателей Rivest-Shamir-Adleman) основан на свойствах простых чисел (причем очень больших). Простыми называются такие числа, которые не имеют делителей, кроме самих себя и единицы. А взаимно простыми называются числа, не имеющие общих делителей, кроме 1.
Для начала выберем два очень больших простых числа (большие исходные числа нужны для построения больших криптостойких ключей. Например, Unix-программа ssh-keygen по умолчанию генерирует ключи длиной 1024 бита).
Определим параметр n как результат перемножения p и q . Выберем большое случайное число и назовем его d , причем оно должно быть взаимно простым с результатом умножения (p -1)*(q -1) .
Отыщем такое число e, для которого верно соотношение
(e*d) mod ((p -1)*(q -1)) = 1
(mod - остаток от деления, т. е. если e, умноженное на d, поделить на ((p -1)*(q -1)) , то в остатке получим 1).
Открытым ключом является пара чисел e и n , а закрытым - d и n .
При шифровании исходный текст рассматривается как числовой ряд, и над каждым его числом мы совершаем операцию
C(i)= (M(i) e) mod n.
В результате получается последовательность C(i) , которая и составит криптотекст. Декодирование информации происходит по формуле
M(i) = (C(i) d) mod n.
Как видите, расшифровка предполагает знание секретного ключа.
Давайте попробуем на маленьких числах.
Установим p=3, q=7 . Тогда n=p*q=21. Выбираем d как 5. Из формулы (e*5) mod 12=1 вычисляем e=17 . Открытый ключ 17, 21 , секретный - 5, 21 .
Зашифруем последовательность «12345»:
C(1)= 1 17 mod 21= 1
C(2)= 2 17 mod 21 =11
C(3)= 3 17 mod 21= 12
C(4)= 4 17 mod 21= 16
C(5)= 5 17 mod 21= 17
Криптотекст - 1 11 12 16 17.
Проверим расшифровкой:
M(1)= 1 5 mod 21= 1
M(2)= 11 5 mod 21= 2
M(3)= 12 5 mod 21= 3
M(4)= 16 5 mod 21= 4
M(5)= 17 5 mod 21= 5
Как видим, результат совпал.
Криптосистема RSA широко применяется в Интернете. Когда вы подсоединяетесь к защищенному серверу по протоколу SSL, устанавливаете на свой ПК сертификат WebMoney либо подключаетесь к удаленному серверу с помощью Open SSH или SecureShell, то все эти программы применяют шифрование открытым ключом с использованием идей алгоритма RSA. Действительно ли эта система так надежна?
С момента своего создания RSA постоянно подвергалась атакам типа Brute-force attack (атака методом грубой силы, т. е. перебором). В 1978 г. авторы алгоритма опубликовали статью, где привели строку, зашифрованную только что изобретенным ими методом. Первому, кто расшифрует сообщение, было назначено вознаграждение в размере 100 долл., но для этого требовалось разложить на два сомножителя 129-значное число. Это был первый конкурс на взлом RSA. Задачу решили только через 17 лет после публикации статьи.
Криптостойкость RSA основывается на том предположении, что исключительно трудно, если вообще реально, определить закрытый ключ из открытого. Для этого требовалось решить задачу о существовании делителей огромного целого числа. До сих пор ее аналитическими методами никто не решил, и алгоритм RSA можно взломать лишь путем полного перебора. Строго говоря, утверждение, что задача разложения на множители сложна и что взлом системы RSA труден, также не доказано.
Полученное в результате обработки хэш-функцией текста сообщения число шифруется по RSA-алгоритму на закрытом ключе пользователя и посылается адресату вместе с письмом и экземпляром открытого ключа. Адресат с помощью открытого ключа отправителя выполняет ту же хэш-функцию над пришедшим сообщением. Если оба числа равны, это означает, что сообщение подлинное, а если был изменен хотя бы один символ, то числа не совпадут.
Один из самых распространенных в России почтовых клиентов, программа The Bat!, обладает встроенными возможностями добавлять цифровые подписи к письмам (обратите внимание на пункт меню Privacy при редактировании письма). Подробнее об этой методике читайте в статье (см. «Мир ПК», № 3/02).
 |
| Рис. 3 |
Криптография - наука о принципах, средствах и методах преобразования информации для защиты ее от несанкционированного доступа и искажения. В последнее время она развивается очень и очень бурно. Это бесконечная увлекательная гонка, требующая много времени и сил: криптоаналитики взламывают алгоритмы, которые еще недавно были стандартами и повсеместно использовались. Кстати, недавно математики Дэн Голдстон (США) и Кем Илдирим (Турция) доказали первую закономерность в распределении простых чисел (до сих пор таких закономерностей не замечали). Простые числа располагаются на числовой оси некоторыми скоплениями, что несколько облегчает их поиск.
Математические исследования, ведущиеся во всем мире, постоянно приводят все к новым и новым открытиям. Как знать, может быть, мы стоим на пороге взлома алгоритма RSA или других криптосистем, основанных на нерешенных математических задачах.
Олег Бунин - специалист по разработке ПО для крупных Интернет-проектов, сотрудник компании «Рамблер», http://www..htm ).
Пример алгоритма замены - система шифрования Цезаря. Этот метод основан на замене каждой буквы сообщения на другую путем смещения от исходной на фиксированное количество символов. Попробуйте расшифровать четверостишие Омара Хайяма (время выполнения - 10 минут).
РЛЗЬ ЁМЭЙЗ АВБЖУ ИЙЗАВЛУ, БЖЩЛУ ЖЩЭЗЬЖЗ ЖЮЁЩЕЗ, ЭЫЩ ЫЩАЖФО ИЙЩЫВЕЩ БЩИЗЁЖВ ЭЕШ ЖЩРЩЕЩ: ЛФ ЕМРСЮ ЪЗЕЗЭЩГ, РЮЁ РЛЗ ИЗИЩЕЗ ЮКЛУ, В ЕМРСЮ ЬМЭУ ЗЭВЖ, РЮЁ ЫЁЮКЛЮ К ДЮЁ ИЗИЩЕЗ.
Успели? Привожу «отгадку»:
Чтоб мудро жизнь прожить, знать надобно немало,
Два важных правила запомни для начала:
Ты лучше голодай, чем что попало есть,
И лучше будь один, чем вместе с кем попало.
Ключ для расшифровки: сдвигаем на семь символов (берем седьмой) влево по алфавиту. Алфавит закольцован. Регистр символов не учитывается.
Система берет пароль, преобразует его в верхний регистр, обрезает до 14 символов, затем делит их на две половины по 7, шифрует каждую по отдельности и так сохраняет, что несколько упрощает взлом. Кстати, когда будете придумывать пароль, имейте в виду, что комбинация длиннее 14 символов имеет мало смысла.
В 80-х гг. в США приняли стандарт симметричного шифрования для внутреннего применения - DES ((Data Encryption Standard, подобный стандарт есть и в России). Но в 1997 г., когда стало понятно, что 56-битового ключа DES недостаточно для надежной криптосистемы, Американский институт стандартизации объявил конкурс на новый стандартный алгоритм. Из 15 вариантов был выбран лучший: бельгийский алгоритм Rijndael (его название составлено из фамилий авторов - Rijmen и Daemen, читается как «Рэйндал». Этот алгоритм уже встроен в различные криптографические средства, поставляемые на рынок). Другими финалистами конкурса стали MARS, RC6, Serpent, TwoFish. Все эти алгоритмы были признаны достаточно стойкими и успешно противостоящими всем широко известным методам криптоанализа.
Криптографические хэш-функции преобразуют входные данные любого размера в строку фиксированного размера. Для них чрезвычайно сложно найти:
10.3.1. Системы шифрования
Среди криптографических систем, обеспечивающих сохранение информации в тайне, наибольшее распространение получили системы шифрования информации. Рассмотрим обобщенную модель системы шифрования представленную на рис. 10.6.
Источник сообщений генерирует сообщения , которые необходимо сохранить в тайне от нарушителя при передаче по незащищенному каналу. В системе имеется защищенный от нарушителя источник ключевой информации, который вырабатывает некоторый ключ , предназначенный для шифрования сообщений отправителем сообщений и ключ , предназначенный для дешифрования криптограмм получателем. Ключи шифрования и дешифрования связаны друг с другом и позволяют восстановить сообщение из криптограммы. Сформированная ключевая информация передается по защищенному каналу ее доставки. Под защищенным будем понимать канал передачи информации, в котором нарушитель не способен на успешные атаки. Отправитель сообщений шифрует сообщение по ключу , используя шифрующее преобразование .
Образованная криптограмма передается по незащищенному каналу передачи информации получателю. На приеме получатель способен из криптограммы однозначно восстановить сообщение по ключу , используя дешифрующее преобразование .
Для однозначного восстановления сообщения из криптограммы требуется, чтобы дешифрующее преобразование являлось обратным к шифрующему преобразованию при использовании ключей и соответственно .
Системы шифрования информации разделяются на два больших класса: симметричные и несимметричные. Система шифрования информации называется симметричной, если для любой допустимой пары ключей вычислительно просто определить один ключ, зная другой, т.е. из можно вычислить и, зная , «легко» определить . В таких системах оба ключа должны быть секретными. Во многих симметричных системах ключ шифрования совпадает с ключом дешифрования: . Поэтому симметричные криптосистемы иногда называют одноключевыми системами или системами с секретным ключом.
Система шифрования информации называется несимметричной, если для любой допустимой пары ключей вычислительно невозможно определить ключ дешифрования , зная ключ шифрования . В несимметричной системе шифрования ключ шифрования может быть несекретным (открытым), известным для всех, включая нарушителя. Поэтому такие криптосистемы иногда называют системами с открытым ключом или двухключевыми системами. В таких системах должна обеспечиваться секретность ключа дешифрования .
Несимметричные системы шифрования удобны для практического использования тем, что при доставке ключей отправителям сообщений не надо обеспечивать секретность ключевой информации шифрования сообщений.
Известно , что максимальная степень защищенности информации от чтения достигается, если произвольные передаваемые сообщения и наблюдаемые нарушителем соответствующие им криптограммы статистически независимы:
|
|
Для приближения характеристик реальных шифраторов к характеристикам идеального используют сжатие сообщений до шифрования и рандомизацию шифруемых сообщений. Идея рандомизации заключается в уменьшении избыточности шифруемых сообщений за счет специального кодирования, обеспечивающего равную вероятность появления символов, но длина сообщений при этом увеличивается.
Основной характеристикой шифра является криптостойкость, которая обычно определяется интервалом времени, необходимым для раскрытия шифра. К шифрам, используемым для криптографической защиты информации, предъявляется ряд требований:
В той или иной мере этим требованиям отвечают шифры перестановок, шифры замены, шифры гаммирования и шифры, основанные на аналитических преобразованиях шифруемых данных .
Шифрование перестановкой заключается в том, что символы исходного текста переставляются по определенному правилу в пределах некоторого блока этого текста. При достаточной длине блока, в пределах которого осуществляется перестановка, и сложном, неповторяющемся порядке перестановки можно достигнуть приемлемой для простых практических приложений стойкости шифра.
Шифрование заменой (подстановкой) заключается в том, что символы исходного текста заменяются символами того же или другого алфавита в соответствии с заранее обусловленной схемой замены. Возможны моно- и многоалфавитные подстановки. В случае моноалфавитных подстановок каждый символ исходного текста преобразуется в символ шифрованного текста по одному и тому же закону. При многоалфавитной подстановке преобразование меняется от символа к символу. Для обеспечения высокой криптостойкости требуется использование сложных ключей.
Шифрование гаммированием заключается в том, что символы исходного текста складываются с символами некоторой псевдослучайной последовательности, именуемой гаммой шифра. Примером может служить, поразрядное сложение сообщения и гаммы при формировании криптограммы . На приеме необходимо генерировать такую же псевдослучайную последовательность () тогда дешифрование будет осуществляться на основе следующего преобразования: . Стойкость шифрования определяется в основном длиной (периодом) неповторяющейся части гаммы шифра. Поскольку с помощью ЭВМ можно генерировать гамму шифра очень большой длины, то данный способ является одним из основных для шифрования информации в автоматизированных системах.
Сергей Панасенко
,
начальник отдела разработки программного обеспечения фирмы «Анкад»,
[email protected]
Процесс преобразования открытых данных в зашифрованные и наоборот принято называть шифрованием, причем две составляющие этого процесса называют соответственно зашифрованием и расшифрованием. Математически данное преобразование представляется следующими зависимостями, описывающими действия с исходной информацией:
С = Ek1(M)
M" = Dk2(C),
где M (message) - открытая информация (в литературе по защите информации часто
носит название "исходный текст");
C (cipher text) - полученный в результате зашифрования шифртекст (или криптограмма);
E (encryption) - функция зашифрования, выполняющая криптографические преобразования
над исходным текстом;
k1 (key) - параметр функции E, называемый ключом зашифрования;
M" - информация, полученная в результате расшифрования;
D (decryption) - функция расшифрования, выполняющая обратные зашифрованию криптографические
преобразования над шифртекстом;
k2 - ключ, с помощью которого выполняется расшифрование информации.
Понятие "ключ" в стандарте ГОСТ 28147-89 (алгоритм симметричного шифрования) определено следующим образом: "конкретное секретное состояние некоторых параметров алгоритма криптографического преобразования, обеспечивающее выбор одного преобразования из совокупности всевозможных для данного алгоритма преобразований". Иными словами, ключ представляет собой уникальный элемент, с помощью которого можно изменять результаты работы алгоритма шифрования: один и тот же исходный текст при использовании различных ключей будет зашифрован по-разному.
Для того, чтобы результат расшифрования совпал с исходным сообщением (т. е. чтобы M" = M), необходимо одновременное выполнение двух условий. Во-первых, функция расшифрования D должна соответствовать функции зашифрования E. Во-вторых, ключ расшифрования k2 должен соответствовать ключу зашифрования k1.
Если для зашифрования использовался криптостойкий алгоритм шифрования, то при отсутствии правильного ключа k2 получить M" = M невозможно. Криптостойкость - основная характеристика алгоритмов шифрования и указывает прежде всего на степень сложности получения исходного текста из зашифрованного без ключа k2.
Алгоритмы шифрования можно разделить на две категории: симметричного и асимметричного шифрования. Для первых соотношение ключей зашифрования и расшифрования определяется как k1 = k2 = k (т. е. функции E и D используют один и тот же ключ шифрования). При асимметричном шифровании ключ зашифрования k1 вычисляется по ключу k2 таким образом, что обратное преобразование невозможно, например, по формуле k1 = ak2 mod p (a и p - параметры используемого алгоритма).
Свою историю алгоритмы симметричного шифрования ведут с древности: именно этим способом сокрытия информации пользовался римский император Гай Юлий Цезарь в I веке до н. э., а изобретенный им алгоритм известен как "криптосистема Цезаря".
В настоящее время наиболее известен алгоритм симметричного шифрования DES (Data Encryption Standard), разработанный в 1977 г. До недавнего времени он был "стандартом США", поскольку правительство этой страны рекомендовало применять его для реализации различных систем шифрования данных. Несмотря на то, что изначально DES планировалось использовать не более 10-15 лет, попытки его замены начались только в 1997 г.
Мы не будем рассматривать DES подробно (почти во всех книгах из списка дополнительных материалов есть его подробнейшее описание), а обратимся к более современным алгоритмам шифрования. Стоит только отметить, что основная причина изменения стандарта шифрования - его относительно слабая криптостойкость, причина которой в том, что длина ключа DES составляет всего 56 значащих бит. Известно, что любой криптостойкий алгоритм можно взломать, перебрав все возможные варианты ключей шифрования (так называемый метод грубой силы - brute force attack). Легко подсчитать, что кластер из 1 млн процессоров, каждый из которых вычисляет 1 млн ключей в секунду, проверит 256 вариантов ключей DES почти за 20 ч. А поскольку по нынешним меркам такие вычислительные мощности вполне реальны, ясно, что 56-бит ключ слишком короток и алгоритм DES необходимо заменить на более "сильный".
Сегодня все шире используются два современных криптостойких алгоритма шифрования: отечественный стандарт ГОСТ 28147-89 и новый криптостандарт США - AES (Advanced Encryption Standard).
Алгоритм, определяемый ГОСТ 28147-89 (рис. 1), имеет длину ключа шифрования 256 бит. Он шифрует информацию блоками по 64 бит (такие алгоритмы называются блочными), которые затем разбиваются на два субблока по 32 бит (N1 и N2). Субблок N1 обрабатывается определенным образом, после чего его значение складывается со значением субблока N2 (сложение выполняется по модулю 2, т. е. применяется логическая операция XOR - "исключающее или"), а затем субблоки меняются местами. Данное преобразование выполняется определенное число раз ("раундов"): 16 или 32 в зависимости от режима работы алгоритма. В каждом раунде выполняются две операции.
Первая - наложение ключа. Содержимое субблока N1 складывается по модулю 2 с 32-бит частью ключа Kx. Полный ключ шифрования представляется в виде конкатенации 32-бит подключей: K0, K1, K2, K3, K4, K5, K6, K7. В процессе шифрования используется один из этих подключей - в зависимости от номера раунда и режима работы алгоритма.
Вторая операция - табличная замена. После наложения ключа субблок N1 разбивается на 8 частей по 4 бит, значение каждой из которых заменяется в соответствии с таблицей замены для данной части субблока. Затем выполняется побитовый циклический сдвиг субблока влево на 11 бит.
Табличные замены (Substitution box - S-box) часто используются в современных алгоритмах шифрования, поэтому стоит пояснить, как организуется подобная операция. В таблицу записываются выходные значения блоков. Блок данных определенной размерности (в нашем случае - 4-бит) имеет свое числовое представление, которое определяет номер выходного значения. Например, если S-box имеет вид 4, 11, 2, 14, 15, 0, 8, 13, 3, 12, 9, 7, 5, 10, 6, 1 и на вход пришел 4-бит блок "0100" (значение 4), то, согласно таблице, выходное значение будет равно 15, т. е. "1111" (0 а 4, 1 а 11, 2 а 2 ...).
Алгоритм, определяемый ГОСТ 28147-89, предусматривает четыре режима работы: простой замены, гаммирования, гаммирования с обратной связью и генерации имитоприставок. В них используется одно и то же описанное выше шифрующее преобразование, но, поскольку назначение режимов различно, осуществляется это преобразование в каждом из них по-разному.
В режиме простой замены для зашифрования каждого 64-бит блока информации выполняются 32 описанных выше раунда. При этом 32-бит подключи используются в следующей последовательности:
K0, K1, K2, K3, K4, K5, K6, K7, K0, K1 и т. д. - в раундах с 1-го по 24-й;
K7, K6, K5, K4, K3, K2, K1, K0 - в раундах с 25-го по 32-й.
Расшифрование в данном режиме проводится точно так же, но с несколько другой последовательностью применения подключей:
K0, K1, K2, K3, K4, K5, K6, K7 - в раундах с 1-го по 8-й;
K7, K6, K5, K4, K3, K2, K1, K0, K7, K6 и т. д. - в раундах с 9-го по 32-й.
Все блоки шифруются независимо друг от друга, т. е. результат зашифрования каждого блока зависит только от его содержимого (соответствующего блока исходного текста). При наличии нескольких одинаковых блоков исходного (открытого) текста соответствующие им блоки шифртекста тоже будут одинаковы, что дает дополнительную полезную информацию для пытающегося вскрыть шифр криптоаналитика. Поэтому данный режим применяется в основном для шифрования самих ключей шифрования (очень часто реализуются многоключевые схемы, в которых по ряду соображений ключи шифруются друг на друге). Для шифрования собственно информации предназначены два других режима работы - гаммирования и гаммирования с обратной связью.
В режиме гаммирования каждый блок открытого текста побитно складывается по модулю 2 с блоком гаммы шифра размером 64 бит. Гамма шифра - это специальная последовательность, которая получается в результате определенных операций с регистрами N1 и N2 (см. рис. 1).
1. В регистры N1 и N2 записывается их начальное заполнение - 64-бит величина, называемая синхропосылкой.
2. Выполняется зашифрование содержимого регистров N1 и N2 (в данном случае - синхропосылки) в режиме простой замены.
3. Содержимое регистра N1 складывается по модулю (232 - 1) с константой C1 = 224 + 216 + 28 + 24, а результат сложения записывается в регистр N1.
4. Содержимое регистра N2 складывается по модулю 232 с константой C2 = 224 + 216 + 28 + 1, а результат сложения записывается в регистр N2.
5. Содержимое регистров N1 и N2 подается на выход в качестве 64-бит блока гаммы шифра (в данном случае N1 и N2 образуют первый блок гаммы).
Если необходим следующий блок гаммы (т. е. необходимо продолжить зашифрование или расшифрование), выполняется возврат к операции 2.
Для расшифрования гамма вырабатывается аналогичным образом, а затем к битам зашифрованного текста и гаммы снова применяется операция XOR. Поскольку эта операция обратима, в случае правильно выработанной гаммы получается исходный текст (таблица).
Для выработки нужной для расшифровки гаммы шифра у пользователя, расшифровывающего криптограмму, должен быть тот же ключ и то же значение синхропосылки, которые применялись при зашифровании информации. В противном случае получить исходный текст из зашифрованного не удастся.
В большинстве реализаций алгоритма ГОСТ 28147-89 синхропосылка не секретна, однако есть системы, где синхропосылка - такой же секретный элемент, как и ключ шифрования. Для таких систем эффективная длина ключа алгоритма (256 бит) увеличивается еще на 64 бит секретной синхропосылки, которую также можно рассматривать как ключевой элемент.
В режиме гаммирования с обратной связью для заполнения регистров N1 и N2, начиная со 2-го блока, используется не предыдущий блок гаммы, а результат зашифрования предыдущего блока открытого текста (рис. 2). Первый же блок в данном режиме генерируется полностью аналогично предыдущему.
 |
Рис. 2. Выработка гаммы шифра в режиме гаммирования с обратной связью. |
Рассматривая режим генерации имитоприставок , следует определить понятие предмета генерации. Имитоприставка - это криптографическая контрольная сумма, вычисляемая с использованием ключа шифрования и предназначенная для проверки целостности сообщений. При генерации имитоприставки выполняются следующие операции: первый 64-бит блок массива информации, для которого вычисляется имитоприставка, записывается в регистры N1 и N2 и зашифровывается в сокращенном режиме простой замены (выполняются первые 16 раундов из 32). Полученный результат суммируется по модулю 2 со следующим блоком информации с сохранением результата в N1 и N2.
Цикл повторяется до последнего блока информации. Получившееся в результате этих преобразований 64-бит содержимое регистров N1 и N2 или его часть и называется имитоприставкой. Размер имитоприставки выбирается, исходя из требуемой достоверности сообщений: при длине имитоприставки r бит вероятность, что изменение сообщения останется незамеченным, равна 2-r.Чаще всего используется 32-бит имитоприставка, т. е. половина содержимого регистров. Этого достаточно, поскольку, как любая контрольная сумма, имитоприставка предназначена прежде всего для защиты от случайных искажений информации. Для защиты же от преднамеренной модификации данных применяются другие криптографические методы - в первую очередь электронная цифровая подпись.
При обмене информацией имитоприставка служит своего рода дополнительным средством контроля. Она вычисляется для открытого текста при зашифровании какой-либо информации и посылается вместе с шифртекстом. После расшифрования вычисляется новое значение имитоприставки, которое сравнивается с присланной. Если значения не совпадают - значит, шифртекст был искажен при передаче или при расшифровании использовались неверные ключи. Особенно полезна имитоприставка для проверки правильности расшифрования ключевой информации при использовании многоключевых схем.
Алгоритм ГОСТ 28147-89 считается очень сильным алгоритмом - в настоящее время для его раскрытия не предложено более эффективных методов, чем упомянутый выше метод "грубой силы". Его высокая стойкость достигается в первую очередь за счет большой длины ключа - 256 бит. При использовании секретной синхропосылки эффективная длина ключа увеличивается до 320 бит, а засекречивание таблицы замен прибавляет дополнительные биты. Кроме того, криптостойкость зависит от количества раундов преобразований, которых по ГОСТ 28147-89 должно быть 32 (полный эффект рассеивания входных данных достигается уже после 8 раундов).
В отличие от алгоритма ГОСТ 28147-89, который долгое время оставался секретным, американский стандарт шифрования AES, призванный заменить DES, выбирался на открытом конкурсе, где все заинтересованные организации и частные лица могли изучать и комментировать алгоритмы-претенденты.
Конкурс на замену DES был объявлен в 1997 г. Национальным институтом стандартов и технологий США (NIST - National Institute of Standards and Technology). На конкурс было представлено 15 алгоритмов-претендентов, разработанных как известными в области криптографии организациями (RSA Security, Counterpane и т. д.), так и частными лицами. Итоги конкурса были подведены в октябре 2000 г.: победителем был объявлен алгоритм Rijndael, разработанный двумя криптографами из Бельгии, Винсентом Риджменом (Vincent Rijmen) и Джоан Даймен (Joan Daemen).
Алгоритм Rijndael не похож на большинство известных алгоритмов симметричного шифрования, структура которых носит название "сеть Фейстеля" и аналогична российскому ГОСТ 28147-89. Особенность сети Фейстеля состоит в том, что входное значение разбивается на два и более субблоков, часть из которых в каждом раунде обрабатывается по определенному закону, после чего накладывается на необрабатываемые субблоки (см. рис. 1).
В отличие от отечественного стандарта шифрования, алгоритм Rijndael представляет блок данных в виде двухмерного байтового массива размером 4X4, 4X6 или 4X8 (допускается использование нескольких фиксированных размеров шифруемого блока информации). Все операции выполняются с отдельными байтами массива, а также с независимыми столбцами и строками.
Алгоритм Rijndael выполняет четыре преобразования: BS (ByteSub) - табличная замена каждого байта массива (рис. 3); SR (ShiftRow) - сдвиг строк массива (рис. 4). При этой операции первая строка остается без изменений, а остальные циклически побайтно сдвигаются влево на фиксированное число байт, зависящее от размера массива. Например, для массива размером 4X4 строки 2, 3 и 4 сдвигаются соответственно на 1, 2 и 3 байта. Далее идет MC (MixColumn) - операция над независимыми столбцами массива (рис. 5), когда каждый столбец по определенному правилу умножается на фиксированную матрицу c(x). И, наконец, AK (AddRoundKey) - добавление ключа. Каждый бит массива складывается по модулю 2 с соответствующим битом ключа раунда, который, в свою очередь, определенным образом вычисляется из ключа шифрования (рис. 6).
 |
| Рис. 3. Операция BS. |
 |
| Рис. 4. Операция SR. |
 |
| Рис. 5. Операция MC. |
Количество раундов шифрования (R) в алгоритме Rijndael переменное (10, 12 или 14 раундов) и зависит от размеров блока и ключа шифрования (для ключа также предусмотрено несколько фиксированных размеров).
Расшифрование выполняется с помощью следующих обратных операций. Выполняется обращение таблицы и табличная замена на инверсной таблице (относительно применяемой при зашифровании). Обратная операция к SR - это циклический сдвиг строк вправо, а не влево. Обратная операция для MC - умножение по тем же правилам на другую матрицу d(x), удовлетворяющую условию: c(x) * d(x) = 1. Добавление ключа AK является обратным самому себе, поскольку в нем используется только операция XOR. Эти обратные операции применяются при расшифровании в последовательности, обратной той, что использовалась при зашифровании.
Rijndael стал новым стандартом шифрования данных благодаря целому ряду преимуществ перед другими алгоритмами. Прежде всего он обеспечивает высокую скорость шифрования на всех платформах: как при программной, так и при аппаратной реализации. Его отличают несравнимо лучшие возможности распараллеливания вычислений по сравнению с другими алгоритмами, представленными на конкурс. Кроме того, требования к ресурсам для его работы минимальны, что важно при его использовании в устройствах, обладающих ограниченными вычислительными возможностями.
Недостатком же алгоритма можно считать лишь свойственную ему нетрадиционную схему. Дело в том, что свойства алгоритмов, основанных на сети Фейстеля, хорошо исследованы, а Rijndael, в отличие от них, может содержать скрытые уязвимости, которые могут обнаружиться только по прошествии какого-то времени с момента начала его широкого распространения.
Алгоритмы асимметричного шифрования, как уже отмечалось, используют два ключа: k1 - ключ зашифрования, или открытый, и k2 - ключ расшифрования, или секретный. Открытый ключ вычисляется из секретного: k1 = f(k2).
Асимметричные алгоритмы шифрования основаны на применении однонаправленных функций. Согласно определению, функция y = f(x) является однонаправленной, если: ее легко вычислить для всех возможных вариантов x и для большинства возможных значений y достаточно сложно вычислить такое значение x, при котором y = f(x).
Примером однонаправленной функции может служить умножение двух больших чисел: N = P*Q. Само по себе такое умножение - простая операция. Однако обратная функция (разложение N на два больших множителя), называемая факторизацией, по современным временным оценкам представляет собой достаточно сложную математическую задачу. Например, разложение на множители N размерностью 664 бит при P ? Q потребует выполнения примерно 1023 операций, а для обратного вычисления х для модульной экспоненты y = ax mod p при известных a, p и y (при такой же размерности a и p) нужно выполнить примерно 1026 операций. Последний из приведенных примеров носит название - "Проблема дискретного логарифма" (DLP - Discrete Logarithm Problem), и такого рода функции часто используются в алгоритмах асимметричного шифрования, а также в алгоритмах, используемых для создания электронной цифровой подписи.
Еще один важный класс функций, используемых в асимметричном шифровании, - однонаправленные функции с потайным ходом. Их определение гласит, что функция является однонаправленной с потайным ходом, если она является однонаправленной и существует возможность эффективного вычисления обратной функции x = f-1(y), т. е. если известен "потайной ход" (некое секретное число, в применении к алгоритмам асимметричного шифрования - значение секретного ключа).
Однонаправленные функции с потайным ходом используются в широко распространенном алгоритме асимметричного шифрования RSA.
Разработанный в 1978 г. тремя авторами (Rivest, Shamir, Adleman), он получил свое название по первым буквам фамилий разработчиков. Надежность алгоритма основывается на сложности факторизации больших чисел и вычисления дискретных логарифмов. Основной параметр алгоритма RSA - модуль системы N, по которому проводятся все вычисления в системе, а N = P*Q (P и Q - секретные случайные простые большие числа, обычно одинаковой размерности).
Секретный ключ k2 выбирается случайным образом и должен соответствовать следующим условиям:
1 где НОД - наибольший общий делитель, т. е. k1 должен быть взаимно простым со значением функции Эйлера F(N), причем последнее равно количеству положительных целых чисел в диапазоне от 1 до N, взаимно простых с N, и вычисляется как F(N) = (P - 1)*(Q - 1)
. Открытый ключ k1 вычисляется из соотношения (k2*k1) = 1 mod F(N)
, и
для этого используется обобщенный алгоритм Евклида (алгоритм вычисления наибольшего
общего делителя). Зашифрование блока данных M по алгоритму RSA выполняется следующим
образом: C = M[в степени k1]
mod N
. Заметим, что, поскольку в
реальной криптосистеме с использованием RSA число k1 весьма велико (в настоящее
время его размерность может доходить до 2048 бит), прямое вычисление M[в
степени k1]
нереально. Для его получения применяется комбинация многократного
возведения M в квадрат с перемножением результатов. Обращение данной функции при больших размерностях неосуществимо; иными словами, невозможно найти M по известным C, N и k1. Однако, имея секретный ключ k2, при помощи несложных преобразований можно вычислить M = Ck2 mod N. Очевидно, что, помимо собственно секретного ключа, необходимо обеспечивать секретность параметров P и Q. Если злоумышленник добудет их значения, то сможет вычислить и секретный ключ k2. Основной недостаток симметричного шифрования - необходимость передачи ключей "из рук в руки". Недостаток этот весьма серьезен, поскольку делает невозможным использование симметричного шифрования в системах с неограниченным числом участников. Однако в остальном симметричное шифрование имеет одни достоинства, которые хорошо видны на фоне серьезных недостатков шифрования асимметричного. Первый из них - низкая скорость выполнения операций зашифрования и расшифрования, обусловленная наличием ресурсоемких операций. Другой недостаток "теоретический" - математически криптостойкость алгоритмов асимметричного шифрования не доказана. Это связано прежде всего с задачей дискретного логарифма - пока не удалось доказать, что ее решение за приемлемое время невозможно. Излишние трудности создает и необходимость защиты открытых ключей от подмены - подменив открытый ключ легального пользователя, злоумышленник сможет обеспечить зашифрование важного сообщения на своем открытом ключе и впоследствии легко расшифровать его своим секретным ключом. Тем не менее эти недостатки не препятствуют широкому применению алгоритмов
асимметричного шифрования. Сегодня существуют криптосистемы, поддерживающие
сертификацию открытых ключей, а также сочетающие алгоритмы симметричного и асимметричного
шифрования. Но это уже тема для отдельной статьи. Тем читателям, которые непраздно интересуются шифрованием, автор рекомендует
расширить свой кругозор с помощью следующих книг. Полное описание алгоритмов шифрования можно найти в следующих документах: В предыдущих выпусках мы с вами выяснили, что криптография
- это дисциплина, изучающая способы защиты
процессов информационного взаимодействия от
целенаправленных попыток отклонить их от
условий нормального протекания, основанные на
криптографических преобразованиях, то есть
преобразованиях данных по секретным алгоритмам.
С давних времен вплоть до настоящего время
важнейшей задачей криптографии является защита
передаваемых по каналам связи или хранящихся в
системах обработки информации данных от
несанкционированного ознакомления с ними и от
преднамеренного их искажения. Криптография
решает указанную задачу посредством шифрования
защищаемых данных, что предполагает
использование двух следующих взаимно обратных
преобразований: Перед отправлением данных по линии связи или
перед помещением на хранение они подвергаются зашифрованию;
На следующем ниже рисунке 1 приведена схема
преобразования данных при шифровании: Рис.1.
Схема преобразования
данных при шифровании.
Шифром
называется пара алгоритмов,
реализующих каждое из указанных преобразований.
Секретность второго из них делает данные
недоступными для несанкционированного
ознакомления, а секретность первого делает
невозможным навязывание ложных данных.
Получение открытых данных по зашифрованным без
знания алгоритма расшифрования называется дешифрованием
.
Изначально шифрование использовалось для защиты
передаваемых сообщений от обеих указанных угроз,
однако позднее было показано, что оно может
защитить данные от несанкционированной
модификации только если выполнены определенные
условия, а именно: Шифруемое сообщение содержит большую
избыточность; Так как эти условия выполняются далеко не
всегда, то в общем случае шифрование не является
средством имитозащиты
- защиты от
навязывания ложных данных. Этой проблеме будет
посвящено один или несколько будущих выпусков, а
пока мы про нее на время "забудем". Каким же условиям должен удовлетворять шифр? Ну
прежде всего, процедура расшифрования должна
всегда восстанавливать открытое сообщение в его
исходном виде. Иными словами, для каждого
допустимого сообщения T
преобразования
за- и расшифрования должны удовлетворять
следующему свойству: T = D(E(T))
Второе условие, которому должен удовлетворять
шифр, следующее: он должен... шифровать
данные, то есть делать их непонятными для
непосвященного. Другими словами, не должно существовать легко
прослеживаемых связей между исходными и
зашифрованными данными. Кроме того, шифр должен
быть криптостойким
, то есть устойчивым
к попыткам дешифрования сообщений. Понятно, что
вопрос стойкости шифров является главным в этой
отрасли криптографии, и его рассмотрение мы
начнем с выяснения того, что же может служить
мерой стойкости. Отправленное сообщение до поступления к
получателю является для него и, естественно, для
злоумышленника неопределенным - если это было бы
не так, тогда не было бы вообще никакого смысла
его посылать. Пусть возможна отправка сообщений T1,T2,...,Tn
с вероятностью p1, p2,..., pn
соответственно.
Тогда мерой неопределенности сообщения
для всех, кто обладает этой априорной
информацией, может служить величина
математического ожидания логарифма вероятности
одного сообщения, взятая со знаком "минус";
по некоторым соображениям в качестве основания
логарифма удобно выбрать 2: Эта величина имеет вполне понятный физический
смысл: количество битов информации, которое необходимо
в среднем передать, чтобы полностью устранить
неопределенность. Если никакой априорной
информации о сообщении нет кроме его размера в N
бит, то все возможные из 2 N вариантов
считаются равновероятными и тогда
неопределенность сообщения равна его размеру: H(T
) = -2 N
·2 -N
·log 2 (2 -N
)
= N
= | T
|, где через | X
| обозначен размер блока
данных X
в битах. А если об исходном
тексте неизвестно вообще ничего, даже его размер?
В этом случае все равно необходимо принять за
основу какую-либо модель распределения. Как
правило, в реальности подобных трудностей не
возникает, поскольку многие весьма стойкие шифры
<не считают нужным> скрывать размер
шифруемого сообщения, так как в этом
действительно почти никогда нет особой
необходимости, и эта характеристика априорно
считается известной злоумышленнику. Там же, где
этот размер все же реально необходимо скрыть, все
сообщения перед зашифрованием преобразуются в
массивы данных одной и той же длины, и мы опять
получаем рассмотренную выше ситуацию. После перехвата шифротекста эта величина,
естественно, может измениться, теперь она
становится апостериорной ("после-опытной")
условной неопределенностью - условием здесь
является перехваченное шифрованное сообщение T"
.
Теперь она задается следующей формулой: где через p (T i | T")
обозначена
вероятность того, что исходное сообщение есть T i
при условии, что результат его зашифрования есть T"
. Одной из важнейших характеристик качества
шифра служит количество информации об исходном
тексте, которое злоумышленник может извлечь из
перехваченного шифротекста - оно находится как
разность между априорной и апостериорной
неопределенностью исходного сообщения: I = H
(T
) - H
(T
| T
"
). Эта величина всегда неотрицательна.
Показателем здесь является то, насколько
уменьшится - понятно, что увеличиться она не
может - неопределенность исходного текста при
получении соответствующего шифротекста по
сравнению с априорной неопределенностью, и не
станет ли она меньше минимально допустимой
величины. В наилучшем для разработчиков шифра случае обе
эти неопределенности равны: H(T
| T
"
) = H
(T
), то есть злоумышленник не может извлечь никакой
полезной для себя информации об открытом тексте
из перехваченного шифротекста: I
= 0.
Иными словами, знание шифротекста не позволяет
уменьшить неопределенность соответствующего
открытого текста, улучшить его оценку и
увеличить вероятность его правильного
определения. Шифры, удовлетворяющие данному
условию, называются абсолютно стойкими
или совершенными шифрами
, так как
зашифрованные с их применением сообщения не
только не могут быть дешифрованы в принципе, но
злоумышленник даже не сможет приблизиться к
успешному определению исходного текста, то есть
увеличить вероятность его правильного
дешифрования. Естественно, основной вопрос, который
интересовал криптографов, это существуют ли на
практике абсолютно стойкие шифры. Специалистам
было интуитивно понятно, что они существуют, и
пример подобного шифра привел Вернам более чем
за два десятилетия до того, как один из
основоположников теории информации К.Шеннон
формально доказал их существование. В этом
доказательстве Шеннон также получил и
необходимое условие абсолютной стойкости шифра: Для того, чтобы шифр был абсолютно стойким,
необходимо, чтобы неопределенность алгоритма
шифрования была не меньше
неопределенности шифруемого сообщения:
Неопределенность алгоритма шифрования
определяется точно так же, как и
неопределенность сообщения - математическое
ожидание двоичного логарифма вероятности
использования алгоритма со знаком минус, - и
имеет смысл только в том случае, если определено
множество возможных алгоритмов и задана
вероятность использования каждого из них.
Стойкость шифров основана на секретности, то
есть на неопределенности для злоумышленника
алгоритма расшифрования - если бы это было не так,
любой бы мог расшифровать зашифрованные данные.
Чем меньше знает злоумышленник о шифре, тем менее
вероятно успешное дешифрование сообщения.
Поясним сказанное на примере: пусть перехвачена
короткая 12-битовая шифровка, имеющая следующее
содержание: 1 0 0 1 0 1 1 1 0 1 0 1 Для простоты предположим, что исходное
сообщение имеет ту же длину. Если у
злоумышленника нет никаких априорных сведений о
зашифрованном сообщении, для него каждый из 2 12
исходных вариантов равновероятен, и, таким
образом, вероятность правильно определить
исходное сообщение простым угадыванием равна 2 -12 .
Предположим теперь, что злоумышленнику априорно
известно, что зашифрование является наложением
одной и той же 4-битовой маски на каждую 4-битовую
группу сообщения с помощью операции побитового
исключающего или.
Очевидно, возможно 16 = 2 4
различных вариантов битовой маски,
соответственно, возможно 16 различных значений
исходного текста: маска исходный текст
0000 100101110101
0001 100001100100
0010 101101010110
.....
1111 011010001010 Таким образом, теперь вероятность
правильно угадать исходный текст равна 1/16 -
знание особенности использованного способа
шифрования повысило ее в 256 раз. Отсюда следует
интересный вывод: чем больше неопределенность в
шифрующем преобразовании для постороннего лица,
тем дальше оно стоит от разгадки шифра, тем шифр
надежнее. Шифр, полностью неопределенный для
злоумышленника является нераскрываемым для него, то есть
абсолютно стойким! Получается, что надежность
шифра зависит исключительно от его секретности и
не зависит от прочих его свойств. Самое интересное, что это верно, и никакого
парадокса здесь нет. Однако, на практике бывает
сложно сохранить полную неопределенность
относительно шифра у злоумышленника - он может
получить информацию о шифре следующими
способами: Анализировать перехваченное шифрованное
сообщение - практически всегда в его
распоряжении имеется определенный набор
шифротекстов, для некоторых из них могут иметься
и соответствующие открытые тексты, или даже
возможность получить шифротекст для любого
наперед заданного открытого текста; Злоумышленник может располагать априорными
сведениями о шифре, полученными из различных
источников - например, раньше это могла бы быть
инструкция по шифрованию или черновик с
промежуточными результатами для конкретного
текста, в настоящее время - фрагмент
компьютерного кода или микросхема, реализующая
шифрование аппаратно. Первая возможность есть у злоумышленника
всегда, вторая также очень вероятна - трудно
удержать в секрете от посторонних активно
"работающий" алгоритм. Исходя из сказанного
выше, можно перечислить несколько качеств,
которым должен удовлетворять шифр, претендующий
на то, чтобы считаться хорошим. 1. Анализ зашифрованных данных не должен давать
злоумышленнику никаких сведений о внутреннем
устройстве шифра. В шифротексте не должно
прослеживаться никаких статистических
закономерностей - например, статистические тесты
не должны выявлять в зашифрованных данных
никаких зависимостей и отклонений от
равновероятного распределения битов (символов)
шифротекста. 2. Алгоритм должен быть перенастраиваемым. В
распоряжении злоумышленника рано или поздно
может оказаться описание алгоритма, его
программная или аппаратная реализация. Для того,
чтобы в этом случае не пришлось заменять
алгоритм полностью на всех узлах шифрования, где
он используется, он должен содержать легко
сменяемую часть. Второе условие приводит нас к принципу
Кирхгофа (в переводах с английского его иногда
"обзывают" Керкхоффом, что не вполне верно,
так как он голландец, а не англичанин, и
транскрипция его фамилии должна быть немецкой, а
не английской), безоговорочно принятому сейчас в
искусстве построения надежных шифров. Этот
принцип заключается в следующем: шифр
определяется как параметризованный алгоритм,
состоящий из процедурной части, то есть описания
того, какие именно операции и в какой
последовательности выполняются над шифруемыми
данными, и параметров - различных элементов
данных, используемых в преобразованиях.
Раскрытие только процедурной части не должно
приводить к увеличению вероятности успешного
дешифрования сообщения злоумышленником выше
допустимого предела. По этой причине, а также в
силу того, что рассекречивание этой части
достаточно вероятно само по себе, особого смысла
хранить ее в секрете нет. В секрете держится
некоторая часть параметров алгоритма, которая
называется ключом шифра
: T" = E
(T
)
= E K
(T
), здесь K
- ключ шифра. Использование принципа Кирхгофа позволяет
получить следующие преимущества в построении
шифров: Разглашение конкретного шифра (алгоритма и
ключа) не приводит к необходимости полной замены
реализации всего алгоритма, достаточно заменить
только скомпрометированный ключ; Ключи можно отчуждать от остальных
компонентов системы шифрования - хранить
отдельно от реализации алгоритма в более
надежном месте и загружать их в шифрователь
только по мере необходимости и только на время
выполнения шифрования - это значительно повышает
надежность системы в целом; Появляется возможность для точной оценки
"степени неопределенности" алгоритма
шифрования - она просто равна неопределенности
используемого ключа: H (E K
) = H
(K
). Соответственно, становится возможным оценить
вероятность и трудоемкость успешного
дешифрования, то есть количество вычислительной
работы, которую необходимо выполнить
злоумышленнику для этого. Вернемся к необходимому условию абсолютной
стойкости шифра для шифров, построенных в
соответствии с принципом Кирхгофа. В
предположении, что никаких априорных данных о
шифруемом тексте кроме его длины нет, получаем,
что неопределенность исходного текста равна его
длине, выраженной в битах: H(T
) = | T
|. Максимально возможная неопределенность блока
данных фиксированного размера достигается,
когда все возможные значения этого блока
равновероятны - в этом случае она равна размеру
блока в битах. Таким образом, неопределенность
ключа K
не превышает его длины: С учетом сказанного выше получаем необходимое
условие абсолютной стойкости для шифров,
удовлетворяющих принципу Кирхгофа: Для того, чтобы шифр, построенный по принципу
Кирхгофа, был абсолютно стойким,
необходимо, чтобы размер использованного для
шифрования ключа был не меньше размера
шифруемых данных,
Точное равенство возможно только в том
случае, если все возможные значения
ключа равновероятны, что эквивалентно условию,
что биты ключа равновероятны и
статистически независимы друг от друга.
Примером абсолютно стойкого шифра может
служить одноразовая гамма Вернама - наложение на
открытые данные ( T
) ключа (K
)
такого же размера, составленного из
статистически независимых битов, принимающих
возможные значения с одинаковой вероятностью, с
помощью некоторой бинарной операции °: Используемая для наложения гаммы операция
должна удовлетворять некоторым условиям,
которые можно суммировать следующим образом:
уравнение зашифрования должно быть однозначно
разрешимо относительно открытых данных при
известных зашифрованных и ключе, и однозначно
разрешимо относительно ключа при известных
открытых и зашифрованных данных. Если операция
удовлетворяет этому свойству, она подходит.
Среди подходящих операций нет подходящих лучше и
подходящих хуже, с точки зрения стойкости шифра
они все одинаковы - понятие "совершенство"
не знает сравнительных степеней, оно либо есть,
либо его нет. По указанной причине для
практического использования обычно выбирают
наиболее удобную в реализации операцию - побитовое
суммирование по модулю 2
или побитовое
исключающее ИЛИ
, так как она: Требует для своей реализации минимальной по
сложности логики из всех возможных операций; Обратна самой себе, поэтому для за- и
расшифрования применяется одна и та же
процедура. Вернемся к вопросу об абсолютной стойкости
шифров: как было отмечено ранее, абсолютно
стойкие шифры требуют использования ключа, по
размеру не меньшего шифруемых данных. Этот ключ
должен быть и у отправителя, и у получателя, то
есть его необходимо предварительно доставить им,
а для этого необходим защищенный канал. Таким
образом, наряду с потенциально незащищенным
каналом для передачи зашифрованных данных
необходимо существование защищенного канала для
передачи такого же по размеру ключа. Это не
всегда приемлемо по экономическим соображениям,
поэтому подобные системы применяются лишь в
исключительных случаях для защиты сведений,
представляющих особую ценность. В подавляющем
большинстве реальных систем шифрованной связи
используются алгоритмы, не обладающие
абсолютной стойкостью и поэтому называемые несовершенными
шифрами
. Естественно, для таких шифров актуален вопрос
надежной оценки их стойкости. Для них знание
шифротекста позволяет снизить неопределенность
соответствующего открытого текста, повысив тем
самым вероятность успешного дешифрования.
Однако, вопреки распространенному заблуждению,
из этого вовсе не следует, что такое дешифрование
возможно всегда.
Мнение о том, что сообщение, зашифрованное
несовершенным шифром всегда можно однозначно
дешифровать, если криптоаналитик
располагает достаточным по объемы
шифротекстом и неограниченными вычислительными
возможностями, является чрезмерно грубым
упрощением и в общем случае неверно.
Все дело в том, что несколько повысить
вероятность успешного дешифрования и сделать ее
равной единице - не одно и то же. Данную мысль
легко проиллюстрировать на примере: пусть
зашифрованию подвергается некий массив битов,
ключ имеет размер один бит и шифрование
осуществляется по следующим правилам: Если ключ равен 0, инвертируются нечетные по
номеру биты исходного текста, нумерация слева
направо; Если ключ равен 1, инвертируются четные по
номеру биты исходного текста; Таким образом, E 0 (01) = 11, E 1 (01) = 00.
Очевидно, что наш шифр не обладает абсолютной
стойкостью. Предположим, что перехвачена
шифровка "10". Каков исходный текст? Понятно,
что он может быть как 00 так и 11 в зависимости от
значения ключа, и однозначно определить это
невозможно, что и требовалось доказать. Для более
серьезных шифров у криптоаналитика будет просто
больше "вариантов выбора" открытого текста,
и никаких указаний на то, какой из них
предпочесть. Таким образом, вопрос о возможности
однозначного дешифрования сообщения,
зашифрованного несовершенным шифром, остается
открытым. Когда же такое дешифрование возможно?
Шеннон в своих работах подробно исследовал этот
вопрос. Для анализа он ввел в рассмотрение
следующие характеристики шифра, в целях
упрощения изложения здесь они приведены для
варианта битового представления данных: 1. Функция ненадежности ключа -
неопределенность ключа при известных n битах
шифротекста: f (n
) = H
(K
| T
"
), где |
T
"
| = n
. Понятно, что f
(n)
может быть
определена не для всех n
. 2. Расстояние единственности шифра - такое
значение n
, при котором функция
ненадежности, то есть неопределенность ключа
становится близкой к 0
. U(E) = n
, где n
-минимальное из
тех, для которых Шеннон показал, что обе определенные выше
величины зависят от избыточности открытого
текста, причем расстояние единственности прямо
пропорционально размеру ключа и обратно
пропорционально избыточности: где избыточность исходного текста R
определяется следующим соотношением: Сказанное означает, что полностью устранив
избыточность открытого текста, мы сделаем
невозможным его однозначное дешифрование на
основе знания только соответствующего
шифротекста, даже если в распоряжении
криптоаналитика имеются неограниченные
вычислительные возможности. При этом
неопределенность исходного текста будет равной
неопределенности, и, следовательно, размеру
ключа:
H(T
) = H
(K
) = | K
| Полное отсутствие избыточности в исходном
тексте означает, что какой бы мы не взяли ключ,
после расшифрования мы получим "корректные"
исходные данные, и оснований предпочесть один
вариант другому просто не будет. Из этого, в
частности, следует, что в реальной практике перед
зашифрованием данные весьма полезно "ужать"
каким-либо архиватором. Конечно, полная
безизбыточность исходного текста при этом
недостижима, однако такое "ужатие" очень
сильно затруднит криптоанализ на основе только
шифротекста. Аналогичные числовые характеристики стойкости
шифра можно получить и для ситуации, когда в
распоряжении криптоаналитика есть не только
шифротекст, но и соответствующий открытый текст.
Понятно, что они уже не будут зависеть от
избыточности исходных сообщений. В этом случае
расстояние единственности шифра имеет порядок
размера его ключа, то есть весьма мало. В силу
указанных причин такой шифр легко вскрывается
при неограниченных вычислительных ресурсах
аналитика, и при проектировании стойких шифров
на первый план выступают уже совершенно другие
принципы. Но речь об этом пойдет уже в следующем
выпуске. (Продолжение следует
)
Математической
моделью системы шифрования/дешифрования
дискретных сообщений называется пара
функций , которые преобразуют
сообщение
Голландский
криптограф А. Керкхофс (1835 – 1903)
предположил, что секретность шифров
должна основываться только на секретности
ключа, а не на секретности алгоритма
шифрования, который, в конце концов,
может оказаться известным противнику. Если ключ шифрования
равен ключу дешифрования, т.е. то система называется
симметричной
(одноключевой
).
Для ее работы в пункты шифрования и
дешифрования должны быть секретным
образом доставлены одинаковые ключи Если
Существуют два
основных класса стойкости криптосистем: Идеально
(безусловно) стойкие илисовершенные
криптосистемы, для которых стойкость
к криптоанализу (дешифрованию) без
знания ключа не зависит от вычислительной
мощности оппонента. Их называюттеоретически недешифруемыми
(ТНДШ)
системами. Вычислительно
стойкие криптосистемы, у которых
стойкость к криптоанализу зависит от
мощности вычислительной системы
оппонента. Для шифрования
выбирают целое число
N
=p
q
,
гдеp
иq
– два
больших простых числа. Сообщение
M
представляется одним из чисел M
{2,3,...,N
–1}. Формулы, описывающие
шифрование/дешифрование, имеют следующий
вид: где K
– открытый
ключ шифрования,k
– закрытый
ключ дешифрования. Из этих двух
соотношений следует равенство которое в обычной
арифметике выполняется, если kK
= 1,
а в модульной арифметике и при kK
= 1 + l
(N
), (*) где l
– целое. Действительно с помощью теоремы
Эйлера проверяем если M
иN
– взаимно простые
числа. Рассмотренные
соотношения указывают путь формирования
ключей. Вначале выбирают очень большие
случайные простые числа p
иq
с мало отличающимся
числом разрядов так, чтобы произведение
N
= pq
имело не менее 768 бит (по данным 2001 года).
Вычиcляют функцию Эйлера (N
) = (p
–1)(q
–1). Равенство (*)
эквивалентно K
k
= 1 mod (N
), откуда следует,
что оба ключа взаимно обратные по модулю
(N
). Открытый ключ K
выбирают, соблюдая необходимые условия: K
< (N
), НОД(K
, (N
)) = 1. Закрытый ключ k
вычисляют k
= K
–
1 mod (N
), с помощью алгоритма
Евклида. Завершив подготовительные
работы, открытый ключ K
и модульN
помещают
в открытый справочник, приняв меры,
гарантирующие невозможность подмены.
Числаp
и
q
хранят в секрете. Отметим, что условие
взаимной простоты чисел M
и
N
, невыполнение
которого делает невозможным декодирование,
не создает серьезных ограничений.
Во-первых, среди чисел меньшихN
доля чисел взаимно простых сN
равна (p
–1)(q
–1)/(pq
),
т.е. неотличима от единицы, а, во-вторых,
условие легко обеспечивается несущественной
модификацией сообщения. Также степеньM
K
не должна быть меньшеN
.
При невыполнении этого условия
криптограмма имеет вид и без вычислений
по модулю она легко вскрывается, т.к. K
известно. Очевидно, что в
рассмотренных соотношениях числа K
иk
равноправны, т.е.
ключи можно поменять местами, и
использоватьk
как
открытый ключ шифрования, аK
как закрытый ключ дешифрования. Таким образом, оба
ключа RSA задаются парами целых чисел:
(K
, N
)
и (k
, N
). Когда авторы
R. Rivest,A.Shamir,L. Adleman(Ривест, Шамир, Адлеман) в 1977 году
предложили криптосистемуRSA,
они зашифровали фразу “ItsallGreektome”, представленную в
цифровой форме. Были опубликованы
значенияM
,
K
,
N
с указанием, что
129 десятичных разрядовN
получены при умножении 64- и 65-разрядных
чиселp
иq
.
ФакторизацияN
и
вскрытие криптограммы были выполнены
примерно за 220 дней лишь в 1994 году после
предварительной теоретической подготовки.
В работе принимало участие 600 добровольцев
и 1600 компьютеров, объединенных в сеть
с помощью Интернет. Стойкость системы
с открытым ключом, и в частности RSA,
зависит от выбора ее параметров. Если
выбратьlog 2 N
= 200
бит, то для факторизации потребуется
примерно 2,710 11
операций, что на персональном
компьютере займет несколько дней. Если
выбратьlog 2 N
= 664
бит, то для факторизации потребуется
1210 23 операций.
При скорости выполнения 10 6 операций
в секунду на факторизацию уйдет несколько
миллиардов лет. Таким образом,
если параметры шифра RSAвыбраны правильно и модульN
взят достаточно большим, например Реализация шифраRSAотработана как в
программном, так и в аппаратном варианте.
ИспользуетсяRSAи для
шифрования в смарт-картах. В программном
варианте скорость шифрования имеет
порядок 1 кбит/с, в аппаратном – 1050
кбит/с. Сравнительно
низкая скорость шифрования и дешифрования
по сравнению с симметричными, блоковыми
или потоковыми системами, является
недостатком всех асимметричных систем
шифрования, в том числе RSA. Обычной «бумажной»
подписью традиционно заверяется
подлинность документа. Стойкость
подписи, т.е. невозможность ее подделки
посторонними лицами, обеспечивается
двумя основными условиями: во-первых,
ее уникальностью, основанной на
индивидуальных особенностях почерка,
а во-вторых, физической целостностью
бумажного документа, на котором
произведена подпись. При этом подпись
не может быть подделана даже тем лицом,
которое проверяет ее подлинность. Однако при передаче
документов по компьютерным сетям
воспользоваться данными условиями
невозможно, в том числе и при передаче
факсимильных сообщений (ФАКС), поскольку
они допускают простую подделку. Цифровой подписью
заверяются документы, передаваемые по
компьютерным сетям. Цифровая подпись
решает проблему возможного спора между
отправителем и получателем, в том числе
и в суде, при наличии юридической базы
для ее применения. Цифровая подпись
должна обладать свойствами обычной
подписи и одновременно представлять
собой цепочку данных, которые можно
передавать по сетям, т.е. она должна
удовлетворять следующим четырем основным
требованиям: цифровая подпись
должна быть уникальной, т.е. никто, кроме
автора, не может создать такую же
подпись, включая лиц, проверяющих ее
подлинность; каждый пользователь
сети, законный или незаконный, может
проверить истинность цифровой подписи; подписавший не
может отказаться от сообщения, заверенного
его цифровой подписью; как реализация,
так и проверка цифровой подписи, должны
быть достаточно простыми. Чтобы удовлетворить
всем перечисленным требованиям цифровая
подпись, в отличие от «бумажной», должна
зависеть от всех бит сообщения и
изменяться даже при изменении одного
бита подписанного сообщения. Для
реализации цифровой подписи на основе
симметричных криптосистем необходимо
участие доверенного лица – арбитра.
Реализация цифровой подписи без арбитра
возможна только на основе использования
асимметричных систем. Существуют различные
виды цифровой подписи, основанные на
криптосистемах с открытым ключом.
Рассмотрим реализацию ЦП на основе
криптосистемы RSA. В этом случае
пользователь A
,
подписывающий сообщениеM
,
генерирует пару ключейk
A
,K
A
и сообщает пользователям сети значенияK
A
иN
. Далее пользовательA
создает контрольную
группу которая и будет
цифровой подписью (рис. 17). Контрольная
группа приписывается к сообщению и
передается вместе с ним. Легко убедиться,
что в данном случае все четыре требования
к цифровой подписи, сформулированные
ранее, выполняются, если шифр RSAвыбран достаточно стойким. Однако рассмотренная
система выработки цифровой подписи
имеет два существенных недостатка: возникает
значительная избыточность за счет
приписывания контрольной группы, длина
которой равна длине сообщения, что
требует удвоения объема памяти, времени
передачи и т.п.; при сообщениях
большой длины операция возведения в
степень при вычислении контрольной
группы и ее проверке будет выполняться
за недопустимо большое время.Какое шифрование лучше?
Дополнительные источники информации
- для восстановления исходных данных из
зашифрованных к ним применяется процедура расшифрования.
- процесс шифрования хорошо "перемешивает"
структурные единицы сообщения (биты, символы и
т.д.).
,
,
,
в криптограмму
при помощи ключа шифрования
и, наоборот, криптограмму
в сообщение
при помощи ключа дешифрования
.
Обе функции, задающие криптосистему,
должны удовлетворять следующим
требованиям:
= 
=
,
.
,
т.е. ключ шифрования не равен ключу
дешифрования, то система шифрования
называетсянесимметричной
(двухключевой
). В этом случае ключ
доставляется в пункт шифрования, а ключ
– в пункт дешифрования. Оба ключа
очевидно должны быть связаны функциональной
зависимостью
,
но такой, что по известному ключу
шифрования
нельзя было бы восстановить ключ
дешифрования
.
Это означает, что для несимметричной
системы шифрования функция ()
должна быть трудно вычисляемой.Критосистема RSA
,
,
,
,
,
то данную систему можно считать достаточно
стойкой. На сегодняшний день отсутствуют
какие-либо методы ее успешного
криптоанализа.Цифровая подпись
,
.
