БЕЛОРУССКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ

ФАКУЛЬТЕТ РАДИОФИЗИКИ И ЭЛЕКТРОНИКИ

Кафедра системного анализа

Аппаратнопрограммные

методы и средства

защиты информации

Учебное пособие по специальным курсам

“Защита информации” и “Системы защиты и контроля доступа к

информационным ресурсам”

Для студентов факультета радиофизики и электроники

специальностей 1 31 04 02 “Радиофизика” и 1 31 04 03 “Физическая электроника” МИНСК БГУ 2008 УДК 004.3, 004.4(003.26) ББК А91 Рекомендовано Ученым советом факультета радиофизики и электроники 31 октября 2007 г., протокол № Рецензенты:

доктор физико-математических наук П. В. Кучинский, доцент, кандидат технических наук А. И. Шемаров Астапенко Г.Ф.

Аппаратно-программные методы и средства защиты инA формации / Г. Ф. Астапенко. – Минск : БГУ, 2008. 188с. : ил.

ISBN 978-985-485-939-2.

В пособии рассматриваются методы, алгоритмы и технические средства защиты информации и анализируются основные направления их развития.

Предназначено для студентов факультета радиофизики и электроники БГУ.

УДК 004.3, 004.4(003.26) ББК © Астапенко Г. Ф., © БГУ, ISBN 978-985-485-939-

СОДЕРЖАНИЕ

ПРЕДИСЛОВИЕ ……………………………………………………… ВВЕДЕНИЕ………………………………………………………….....

1. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

КОМПЬЮТЕРНЫХ СИСТЕМ ………………………………… 1.1. Критерии оценки информационной безопасности……………. 1.2. Общие методы и средства информационной безопасности..…. 1.2.1. Типовые пути утечки информации и угрозы безопасности ….……………………………………….. 1.2.2. Основные этапы проектирования системы комплексной защиты информации...……..…………… 1.3. Управление доступом к информационным ресурсам ………… 1.3.1. Схемы управления доступом ………..……………… 1.3.2. Системы биометрической аутентификации ……………...

2. КРИПТОГРАФИЧЕСКИЕ МЕТОДЫ ЗАЩИТЫ

ИНФОРМАЦИИ ……....………………………………….………… 2.1. Стойкость шифра………………………………………………… 2.2. Симметричные криптосистемы………………………………….. 2.2.1. Алгоритм шифрования ГОСТ 28147-89.……………… 2.2.2. Алгоритм AES ……………………………………………. 2.3. Асимметричные криптосистемы ……………………………….. 2.3.1. Система открытого распределения ключей Диффи–Хеллмана……………………………………….. 2.3.2. Криптосистема RSA……………………………………… 2.3.3. Система шифрования ElGamal…………………………… 2.3.4. Криптосистемы на основе эллиптической кривой ……… 2.3.5. Цифровая (электронная) подпись ……………………….. 2.3.6. Хэш-функции……………………………………………..

3. МЕТОДЫ ЭФФЕКТИВНОЙ ТЕХНИЧЕСКОЙ

РЕАЛИЗАЦИИ КРИПТОАЛГОРИТМОВ ……………………... 3.1. Эффективность реализации алгоритмов ГОСТ 28147-89 и AES …………………………………………… 3.1.1. Эквивалентность прямого и обратного преобразований. 3.1.2 Характеристики стойкости алгоритмов…………………... 3.1.3. Производительность и простота реализации …………… 3.2. Эффективность технической реализации несимметричных криптосистем ……………...………………………………….. 3.2.1. Реализация модулярных операций …………………… 3.2.2. Реализация RSA криптосистемы………………………. 3.2.3. Реализация криптосистем на основе эллиптических кривых……………………………….….

4. СПЕЦИАЛИЗИРОВАННЫЕ АППАРАТНЫЕ

СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ.……………………… 4.1. Специализированная компьютерная система безопасности …. 4.2. Криптографический сопроцессор ……………………………… 4.2.1. Стандарт FIPS PUB 140-2 и IBM 4758 ………………….. 4.2.2. Аппаратура IBM 4758 …………………………………… 4.2.3. Программное обеспечение низкоуровневой начальной 4.3. Электронные ключи ………………………………….………… 4.3.1. Электронный ключ Touch Memory (iButton) …………… 4.3.2. Однонаправленный интерфейс MicroLAN …………….. 4.4. Радиочастотные идентификаторы (RFID) ……………………... 4.4.1. Стандарты для RFID технологии ………………………. 4.4.2. Элементы спецификации стандарта ISO 14443 ……….. 4.4.3. Новые риски технологии RFID …………………………. 4.5. Смарт-карты …..………………………………………………….. 4.5.1. Микропроцессорные смарт-карты ………………………. 4.5.2. Активация смарт карт ……………………………………. 4.5.3. Ответ на сброс (последовательность ATR) ……………… 4.5.4. Структура сообщения APDU …………………………….. 4.5.5. Защищенная передача данных …………………………… 5. МЕТОДЫ ФИЗИЧЕСКОГО КРИПТОАНАЛИЗА……………… 5.1. Физическая защита ……………………………………………… 5.1.1. Сценарии атаки ………………………………………….. 5.1.2. Цели защиты …………………………………………….. 5.1.3. Требования защиты ……………………………………… 5.1.4. Противодействие вмешательству ……………………….. 5.2. Введение в физический криптоанализ …………………………. 5.2.1. Модель противника ……………………………………… 5.2.2. Побочный канальный криптоанализ ……………………. 5.2.3. Канальный анализ на основе дефектов …….…………… 5.2.4. Некоторые виды физических канальных атак на RFID…

6. ПРИЛОЖЕНИЯ АППАРАТНО - ПРОГРАММНЫХ

МЕТОДОВ И СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ ……… 6.1. Защита во встроенных системах ………….…………………….. 6.1.1. Информационно-технологическая защита ……………. 6.1.2. Технологии встроенной защиты ………………………. 6.1.3. Элементы защиты флэшинга программного обеспечения. 6.1.4. Классы защиты встроенных электронных модулей ….. 6.2. Защита данных в мобильных беспроводных сетях …………… 6.2.1. Механизмы защиты WLAN на основе WEP …………… 6.2.2. IEEE 802.1X аутентификация ………………………….. 6.2.3. Протокол TKIP …………………………………………... 6.2.4. Стандарт защиты IEEE 802.11i…………………………… СПИСОК ТЕРМИНОВ И СОКРАЩЕНИЙ..……………………….. ЛИТЕРАТУРА ……………………………………………………….…..

ПРЕДИСЛОВИЕ

В пособии затрагиваются проблемы технической защиты информации с практической точки зрения. При этом основное внимание уделено алгоритмическому и программно-аппаратному обеспечению решения задач компьютерной безопасности при хранении и передаче конфиденциальных и секретных данных. Последовательно рассматриваются критерии безопасности и защищенности компьютерных и встроенных систем обработки информации; криптографические методы защиты и способы их эффективной реализации на основе аппаратно-программных средств;

архитектура криптопроцессоров, электронных ключей, смарт-карт и радиоэлектронных меток; введение в методы физического криптоанализа;

прикладные аспекты защиты данных и средств их обработки во встроенных электронных системах, а также в беспроводных каналах передачи данных.

ВВЕДЕНИЕ

В последнее время в вопросах национальной безопасности и бизнеса все чаще подчеркивается приоритетный характер безопасности в информационной сфере. Информация является таким же стратегическим ресурсом, как сырье и энергия, и поэтому должна оберегаться, защищаться и надежно сохраняться. В 1992 г. Американская ассоциация специалистов в области вычислительной техники учредила Международный комитет «День защиты компьютера» (1-й рабочий день декабря). ООН выработала Конвенцию о запрещении военного или иного враждебного использования методов и средств воздействия на инфосферу (запрет информационного оружия). В настоящее время выделяются следующие аспекты защиты информации: защита национального информационного ресурса при включении собственных систем в международные системы и сети; защита прав собственника по владению, распоряжению и управлению его информационными ресурсами; защита коммерческой тайны в условиях офисной информатизации; защита автоматизированных систем обработки и передачи информации в кредитно-финансовой сфере; защита систем электронной коммерции. Системный подход к защите информации – это создание защищенной среды обработки, хранения и передачи информации, объединяющей разнородные методы и средства противодействия угрозам: программно-технические, правовые, организационно-экономические. Такой подход позволяет гарантировать определенный уровень безопасности.

Информационная безопасность – является свойством процесса информатизации общества, характеризующим состояние защищенности личности, общества и государства от возможных негативных последствий информатизации. Под безопасностью информационной системы понимается ее защищенность от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, а также от попыток хищения, модификации или разрушения ее компонентов. Генеральный секретариат Интерпола присвоил специальные коды различным видам компьютерных преступлений: QA – несанкционированный доступ и перехват; QD – изменение компьютерных данных; QF – компьютерное мошенничество; QR – незаконное копирование; QS – компьютерный саботаж; QZ – прочие компьютерные преступления.

Можно выделить следующие основные компоненты обеспечения технической защиты информации: защита данных, компьютерная защита, сетевая защита, программная защита.

Защита данных определяет методы и средства создания, обработки и хранения конфиденциальных и секретных данных. В данном разделе защиты информации могут рассматриваться как алгоритмические, так и архитектурные особенности построения баз данных, систем электронного документооборота для различных государственных, офисных и частных приложений.

Компьютерная защита рассматривает проблемы доверия пользователей по реализации алгоритмов обработки и сохранения конфиденциальных данных. Здесь немаловажную роль играет надежность, эффективность и защищенность реализации алгоритмов, как программными, так и аппаратными средствами. Следует отметить, что под аппаратнопрограммными средствами мы будем понимать не только стационарные и мобильные компьютеры, но и встроенные электронные системы (микропроцессорные, микроконтроллерные и др.).

Сетевая защита связана с проблемами безопасной передачи конфиденциальных и секретных данных. Данный компонент защиты охватывает не только проводные локальные и глобальные (сотовые) сети, но и стремительно развивающиеся в последнее время беспроводные сети (IEEE 802.11 (Wi-Fi), WiMAX, сенсорные сети и сети ad hoc). Отдельная область сетевой защиты – защита в сетях Internet и intranet (серверов, клиентов, протоколов передачи, электронной почты и т. д.).

Программная защита должна обеспечивать защиту кода, системного и прикладного программного обеспечения компьютерных (в т. ч.

встроенных электронных) систем от неполномочного вмешательства в процесс функционирования. Обеспечение подобной защиты должно осуществляться на протяжении полного цикла использования программных средств (при разработке, поставке, инсталляции, полномочной модификации и деинсталляции).

В данном пособии рассматриваются в основном аспекты, связанные с компьютерной защитой, и в частности: методы и алгоритмы криптографической защиты данных и кода; особенности аппаратнопрограммной реализации криптографических алгоритмов; стационарные и мобильные аппаратно-программные средства хранения, обработки и передачи конфиденциальных данных (криптопроцессоры и сопроцессоры, электронные ключи, смарт-карты, радиочастотные метки (RFID));

основы физического криптоанализа; особенности реализации защитных механизмов во встроенных электронных системах и мобильных беспроводных средствах связи.

1. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ

БЕЗОПАСНОСТИ В КОМПЬЮТЕРНЫХ СИСТЕМАХ

Безопасность информационной системы хранения, обработки и передачи информации достигается обеспечением конфиденциальности обрабатываемой ею информации, а также целостности, доступности и наблюдаемости компонентов и ресурсов системы.

Конфиденциальность информации – это свойство информации быть известной только допущенным и прошедшим проверку (авторизацию) субъектам системы (пользователям, программам, процессам и т.д.).

Целостность компонента (ресурса) системы – свойство быть неизменным (в семантическом смысле) при функционировании системы.

Доступность информации определяется предоставлением своевременного и качественного доступа к информационным ресурсам санкционированных объектов и субъектов. Угрозы доступности – сделать так, чтобы ресурсы информационные услуги были неудовлетворенными или с пониженным качеством.

Наблюдаемость (управление доступом) – обеспечение возможности только полномочным объектам и субъектам отслеживать действия внутри системы. Угрозы наблюдаемости – ухудшение управления и контроля доступом, манипулирование системой, ресурсами или информацией.

Достоверность информации – строгая принадлежность объекту, который является ее источником.

Безопасность информации обеспечивается комплексом технологических и административных мер, примененных в отношении аппаратных средств, программного обеспечения, данных и служб с целью обеспечения доступности, наблюдаемости, целостности и конфиденциальности информации.

1.1. КРИТЕРИИ ОЦЕНКИ ИНФОРМАЦИОННОЙ

БЕЗОПАСНОСТИ

Впервые официальное издание критериев оценки защищенности компьютерных систем было опубликовано в 1985 г. в США (так называемая «Оранжевая книга» – TCSEC – Критерии оценки доверия (надежности) компьютерных систем). Европейские критерии оценки безопасных надежных информационных технологий (ITSEC) были изданы в 1991 г. В 1993 г. появились Канадские критерии оценки безопасности.

Также в 1993 г. были изданы Федеральные критерии (FC), в которых были пересмотрены и устранены ограничения «Оранжевой книги». Обобщая и развивая национальные критерии безопасности, международная организация по стандартизации ISO/IEC в 1999 г. разработала стандарт 15408 «Единые критерии оценки безопасности информационных технологий».

Стандартом TCSEC определено 7 классов безопасности.

Класс D – подсистемы безопасности. Используются лишь отдельные компоненты, функции обеспечения безопасности.

Класс С1 – избирательная защита. Избирательное управление доступом, обеспечивающее разделение пользователей и данных. Для каждого объекта и субъекта в системе задается перечень допустимых типов доступа (чтение, запись и др.). Здесь обязательна идентификация и аутентификация субъекта доступа.

Класс С2 – управляемый доступ. Удовлетворяет большинству требований коммерческой безопасности. Добавлены требования уникальной идентификации субъекта доступа, защиты по умолчанию и регистрации событий. Уникальность идентификации означает, что любой пользователь системы должен иметь уникальное имя. Защита по умолчанию: назначение полномочий пользователю по принципу «Все, что не разрешено, то запрещено». Обязательно ведение системного журнала, в котором должны отмечаться события, связанные с безопасностью системы. Доступ к данным в журнале – только со стороны администратора.

Класс В1 – меточная защита. Метки конфиденциальности (или уровни) должны быть применены ко всем субъектам и объектам системы, которые могут содержать конфиденциальную информацию. Доступ к объектам внутри системы разрешается только тем субъектам, чья метка удовлетворяет определенному критерию относительно метки объекта.

Оборудование должно обеспечить целостность меток конфиденциальности. Политика безопасности строится на основе модели Белла-Лападулы, которая предоставляет технологию разграниченного доступа к системе.

Модель оперирует понятиями субъекта и объекта. Субъект инициирует процессы доступа, а объект является пассивным элементом в системе.

Субъекты и объекты имеют уровни защиты. Реализуемый в модели в виде програм-мно-аппаратного механизма диспетчер доступа (монитор ссылок) обеспечивает необходимую дисциплину разграничения доступа «субъектов» (активных элементов вычислительного процесса: пользователей, процессов, процедур и т. п.) к «объектам» (пассивным информационным элементам и контейнерам данных: файлам, каталогам, устройствам, программам и т.п.). На основании полномочий субъекта и свойств объекта данных, записанных в базе полномочий, и характеристик доступа диспетчер принимает решение разрешить доступ либо отказать в нем.

Класс В2 – структурированная защита. Добавлены требования наличия хорошо определенной и документированной формальной (математической) модели политики безопасности, требующей действия избирательного и полномочного управления доступом ко всем объектам системы. Вводится требование управления информационными потоками (контроль скрытых каналов). Также предъявляются дополнительные требования по защите механизмов аутентификации.

Класс В3 – области безопасности. Должна быть реализована концепция монитора ссылок в оборудовании систем этого класса. Все взаимодействия субъектов с объектами должны контролироваться этим монитором. Действия должны выполняться в рамках областей безопасности, которые имеют иерархическую структуру и защищены друг от друга с помощью специальных механизмов. Механизм регистрации событий безопасности должен оповещать администратора и пользователей о нарушении безопасности.

Класс А1 – верифицированная разработка. Для проверки спецификаций применяются методы формальной верификации – анализа спецификации системы на предмет неполноты или противоречивости, что может привести к появлению «брешей безопасности».

В России разработан стандарт, во многом аналогичный TCSEC.

Здесь также используются 7 классов безопасности (самый низкий – 7-й):

1 – верифицированная защита; 2, 3, 4 – полномочная защита; 5, 6 – избирательная защита. В Европейском Союзе (в соответствии с ITSEC) класс F2 соответствует классу C2 в TCSEC.

Единые критерии оценки безопасности информационных технологий (ISO/IEC 15408) являются образцом применения системного подхода для решения проблемы защиты информации и соответствуют принципу комплексной стандартизации в области обеспечения безопасности информации. Основными компонентами Единых критериев являются:

продукт информационных технологий;

политика безопасности;

потенциальные угрозы и типовые задачи защиты;

профиль защиты и проект защиты;

функциональные требования к средствам защиты;

требования и стандартные уровни адекватности средств защиты.

Политика безопасности – это совокупность законов, норм и правил, регламентирующих порядок использования информации, включая ее обработку, хранение, защиту и распределение. Требования к гарантиям отделены от требований к функциональности. Политика безопасности не зависит от функциональных возможностей.

Задачи защиты определяются потребностью заказчика (потребителя) продуктов информационных технологий в противостоянии множеству угроз безопасности или в необходимости реализации политики безопасности.

Профиль защиты – совокупность задач защиты, функциональных требований, требований адекватности и их обоснования. Оформляются в виде специального нормативного документа, служащего руководством для разработки продукта информационных технологий (ИТ).

Проект защиты - совокупность задач защиты, функциональных требований и требований адекватности, общих и специфических средств защиты и их обоснования. Служит руководством для квалифицированного анализа и сертификации ИТ продукта. Проект защиты состоит в основном из следующих разделов:

1. Введение.

2. Описание ИТ продукта.

3. Среда эксплуатации.

4. Задачи защиты.

5. Требования безопасности проекта защиты.

6. Общие спецификации ИТ продукта (уровни адекватности, функциональные возможности).

7. Заявка на соответствие профилю защиты.

8. Обоснование множества требований безопасности.

Следует отметить, что в Единых критериях функциональные требования безопасности разбиты на 9 классов и 76 разделов. Ранжирование функциональных требований осуществляется по множеству критериев (более 280). Набор критериев – в виде иерархической структуры, при этом усиление требований происходит при переходе к более высоким уровням. Адекватность – степень эффективности и надежности реализованных средств защиты – разбита на 7 стандартизованных уровней.

При этом предусмотрены широкие возможности средств контроля и верификации, применяемые в процессе разработки, анализа и совершенствования ИТ продуктов.

1.2. ОБЩИЕ МЕТОДЫ И СРЕДСТВА

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

К общим методам информационной безопасности можно отнести следующие: препятствие, управление доступом, маскировка, регламентация, принуждение и побуждение. К общим средствам информационной безопасности относятся: физические, аппаратные, программные, организационные, законодательные, морально-этические. В компьютерных и телекоммуникационных системах содержание указанных методов и средств можно определить следующим образом.

Препятствие – метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.п.).

Управление доступом – метод защиты информации регулированием использования всех ресурсов системы (технических средств, элементов баз данных, программ и т.п.). При этом реализуются следующие функции защиты: идентификация пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора); аутентификация (установление подлинности) объекта или субъекта по предъявлению или идентификатору; проверка полномочий – проверка соответствия запрашиваемых ресурсов и процедур установленному регламенту; регистрация (протоколирование) обращений к защищаемым ресурсам; реагирование – сигнализация, отказ в запросе при попытках НСД.

Маскировка – метод защиты информации путем ее криптографического закрытия. Применяется при обработке, хранении и передаче информации. При передачах на большие расстояния является единственно надежным средством.

Регламентация – метод защиты информации, создание таких условий обработки, хранения и передачи защищаемой информации, при которых возможность НСД сводилась бы к минимуму.

Принуждение – пользователи и персонал обслуживания системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Побуждение – побуждает пользователя и персонал системы не нарушать установленные правила за счет соблюдения сложившихся моральных и этических норм.

1.2.1. Типовые каналы утечки информации и угрозы безопасности К типовым каналам утечки информации относятся:

перехват электронных излучений;

применение подслушивающих устройств (закладок);

дистанционное видеонаблюдение и фотографирование;

перехват акустических излучений и восстановление текста принтера;

хищение носителей информации и производственных отходов;

считывание данных в массивах других пользователей;

чтение остаточной информации в памяти системы после выполнения санкционированных запросов;

копирование носителей информации с преодолением мер защиты;

маскировка под зарегистрированного пользователя;

мистификация (маскировка под запросы системы);

использование недостатков операционных систем и программных приложений;

включение в модули программного обеспечения специальных блоков типа «троянский конь»;

незаконное подключение к аппаратуре и линиям связи;

злоумышленный вывод из строя механизмов защиты;

внедрение и использование компьютерных вирусов.

Способы воздействия угроз на объекты информационной безопасности:

информационные (безадресность, несвоевременность, НСД, дезинформация, копирование);

программно-математические (вирусы, закладки, модификация ПО);

радиоэлектронные (перехват, излучение, подавление линий связи), организационно-правовые (нарушение, задержка, ограничение).

Опасные факторы и угрозы информационным объектам можно представить в виде табл. 1.1:

Опасные факторы информационным объектам Вредоносные программы Ц, Д, К Различные версии программы Ц Ошибки программирования К, Ц, Д Потайные ходы и лазейки К, Ц, Д Аппаратные сбои К, Ц, Д Неточная / устаревшая информация Ц, З, Э Подлог, самозванство К, Ц, Д Подключение после некорректного К, Ц, Д Примечание: Ц – целостность, Д – доступность, К – конфиденциальность, З – законодательство, Э – этика, П – производительность.

1.2.2. Основные этапы проектирования системы комплексной защиты информации проектирования ситемы технической защиты информации.

Рис.1.1. Основные этапы проектирования системы технической защиты информации Первый этап проектирования системы начинается с изучения среды функционирования, ее структуризации и определения основных условий.

Второй этап заключается в анализе уязвимости информационных потоков. При этом формируется система показателей уязвимости и система угроз информации. Разрабатываются соответствующие методы и модели угроз. Прогнозируются значения показателей уязвимости. На третьем этапе определяются основные требования к системе защиты, формулируются цели и критерии оценки работоспособности проектируемой системы. На четвертом этапе определяется набор функций механизмов защиты, выбираются соответствующие аппаратные и программные средства, разрабатываются и тестируются компоненты и модули системы. Если на этапе комплексного тестирования в условиях, максимально приближенных к реальной среде функционирования, будут обнаружены просчеты, процесс проектирования претерпевает дополнительные итерационные процедуры.

1.3. УПРАВЛЕНИЕ ДОСТУПОМ К ИНФОРМАЦИОННЫМ

РЕСУРСАМ

Управление доступом – это обеспечение неприкосновенности информации личного характера, защита конфиденциально важной корпоративной информации, обеспечение целостности информации в компьютерах, снижение риска заражения вирусом. Надежное управление доступом требует, чтобы легальные пользователи имели максимально простой доступ, а нелегальные – максимально сложный.

Создание схемы защиты – многошаговый процесс, который включает: а) определение ресурсов, нуждающихся в защите; б) определение субъектов, имеющих доступ к ресурсам; в) определение действий, производимых с ресурсами (например, чтение, запись, исполнение и т. п.);

г) определение схемы защиты путем принятия решения о том, какие действия и с какими ресурсами может выполнять каждый субъект.

Используются следующие технические приемы: 1) аутентификация, которая требует, чтобы пользователь подтвердил свою личность перед доступом к ресурсам, на которые он имеет права; 2) правила предоставления доступа, которые диктуют системе безопасности предоставление определенных прав доступа и возможностей для каждого пользователя (субъект ресурс); 3) защита файлов, обеспечивающая дополнительные меры безопасности и делающая файл нечитаемым для нелегальных пользователей; 4) ведение контроля с помощью протоколирования действий пользователей.

Процесс аутентификации включает сочетание следующих шагов:

а) требование, чтобы субъект предъявил вещественное доказательство, подтверждающее его личность (ключ, карточка – «нечто, подтверждающее личность»); б) требование, чтобы субъект предъявил нечто, известное только ему (секретный пароль, фраза или число, которое известно только данному субъекту и компьютеру – «нечто, известное лицу»);

в) требование, чтобы субъект предъявил нечто, свойственное только ему (элемент, который не доступен другим пользователям или не изменяем, например голос, отпечаток пальцев или рисунок сетчатки глаза – «нечто, свойственное личности»).

1.3.1. Схемы управления доступом Схемы управления доступом к информационным ресурсам определяются следующими структурными элементами:

1) Уровни управления доступом. Административный (главный, местный), пользовательский.

2) Пароли. Должны иметь длину не менее 10 символов (любые из символов алфавита ASCII).

3) Временная блокировка. Администратор определяет время для каждого дня недели, когда пользователь имеет право входить в систему.

4) Отображение для пользователя даты и времени последнего входа в систему.

5) Управление доступом в режиме «Гость».

6) Контроль за попытками нелегального доступа. В случае нелегального доступа ПО безопасности может прекратить работу системы с сохранением контрольного журнала во внутренней энергонезависимой памяти или в защищенном файле. Может подаваться звуковой сигнал и очищаться CMOS и секретные данные на диске (в случае превышения предельного числа попыток доступа). Может использоваться следующая схема защиты от попыток подбора идентификаторов пользователей и паролей. Например, пять неправильных попыток – регистрация в журнале, холодный перезапуск системы. Может гаситься экран, блокироваться клавиатура. Пароль на подачу питания защищает от холодной загрузки или получения доступа путем отключения питания и повторного включения. Журнал может регистрировать несколько типов событий (успешная попытка доступа, безуспешная, блокировка системы) с указанием даты, времени, идентификатора пользователя.

7) Управление количеством попыток получения доступа (от одной до нескольких).

8) Использование опознавательных знаков (token), которые содержат пароль, идентификатор и другие пользовательские атрибуты. Могут использоваться гибкие диски, смарт-карты, электронные ключи и специализированные устройства, подключаемые через параллельные или последовательные порты компьютера.

9) Блокировка устройств хранения информации под управлением администратора. Администратор может разрешить или запретить пользователям запись на любой локальный диск, а также устанавливать права доступа к дискам, каталогам, подкаталогам, группам файлов и отдельным файлам на чтение, запись, модификацию, поиск, выполнение и др.

Для заданного каталога разные пользователи могут иметь разные права.

Управляемый доступ к дополнительному аппаратному обеспечению (последовательные, параллельные порты, сканеры, принтеры, сетевые адаптеры, модемы и др.).

Блокировка клавиатуры. Может реализовываться в следующих случаях: при попытках НСД; при удалении ПО безопасности, а также модификации такого ПО. Может применяться также специальный модуль блокировки клавиатуры и затемнения экрана. После разблокировки (с помощью ввода специальных паролей) встроенные процедуры проверки целостности определяют отсутствие модификаций ПО безопасности.

Временная блокировка внешних устройств при загрузке.

Осуществляется, пока не будет выполнена программа защиты ПО безопасности.

Шифрование паролей. Пароли должны шифроваться и сохраняться в ЭППЗУ, в недоступной области жесткого диска или специализированного устройства. Ни один пароль не должен быть видим ни администратору, ни пользователю при установке или сопровождению.

Пароль шифруется с помощью однонаправленных функций.

Защита против проникновения в систему с использованием закладок или «троянских коней». Например, против программ, имитирующих процедуру последовательного входа в систему. Для борьбы могут использоваться дополнительные аппаратные средства, контроль выполнения и регистрация всех исполняемых программ, генерация дополнительных опознавательных знаков для пользователя, вводящего идентификатор и пароль.

Очистка памяти после сеанса работы (например, запись '1' и '0' в память компьютера).

Тестирование памяти CMOS и Flash-BIOS. Используется для проверки системного таймера и системных программ. Могут сохраняться образы данных и программ в защищаемых областях.

Очистка экрана и кластеров жесткого диска.

Защита от вирусов и несанкционированных изменений.

Контрольные суммы (CRC) защищаемых программ и файлов данных должны храниться или на сервере, или локально в аппаратном модуле.

1.3.2. Системы биометрической аутентификации Данные системы основаны на анализе различных персональных физиологических характеристик людей: форма и размер руки, фигура, отпечаток пальца, лицо, голос, параметры сетчатки глаза и радужной оболочки, рукописный текст, термографические изображения лица и ладони, код ДНК. Такие системы начали внедряться с середины 1970-х гг., но наибольшее распространение получили только в последние годы, с развитием мощных микропроцессоров и разработкой достаточно совершенных систем анализа образов. Основные требования к подобным системам: 1) считывание не должно вызывать у пользователя чувства дискомфорта; 2) считыватели должны быть легки в использовании и работать достаточно быстро; 3) считыватели должны работать корректно, однозначно обеспечивая доступ авторизованных лиц и отсечение неавторизованных.

Одними из основных параметров систем биометрической аутентификации являются следующие технические характеристики:

а) вероятность ложного срабатывания (должна быть порядка 0, 0,1 %); б) вероятность несрабатывания (0,00066 1 %). Можно изменять эти характеристики, уменьшая или увеличивая чувствительность анализирующих приборов. Чтобы уменьшить время анализа (поиск в БД), в системах могут быть встроены клавиатуры – для набора личного кода.

Для связи считывателей с компьютером могут использоваться различные интерфейсы: RS-485, RS-232, Вейганда (раздельные линии передачи '0' и '1'), однонаправленный специализированный интерфейс. Следует отметить, что кроме отмеченных выше систем, анализирующих статический образ пользователя, разработаны биометрические системы, анализирующие динамические образы: динамика воспроизведения подписи, иного ключевого слова или фразы; особенности голоса; клавиатурного почерка;

реакция на нестандартные вопросы и ситуации в процессе интерактивного диалога и работы. Переоценка и недооценка качества динамических биометрических систем аутентификации обусловлены существенно различными способностями пользователей стабильно воспроизводить заданные движения и реагировать на внешние условия.

Интерфейс BioAPI. С целью более широкого применения биометрических технологий, производители биометрических систем разработали ряд унифицированных программных интерфейсов приложений: BAPI, HA-API, SVAPI, BioAPI. Из них наиболее согласованным и универсальным является интерфейс BioAPI, разработанный Консорциумом BioAPI.

В разработке интерфейса BioAPI принимали активное участие основные производители биометрических продуктов, производители компьютеров и электронных компонентов, а также орган стандартизации (NIST), что говорит о перспективах его широкого применения.

В интерфейсе BioAPI определены два уровня. Уровень 'H' (high) является «верхним» уровнем, на котором выполняются основные биометрические функции, вызываемые приложением для идентификации (аутентификации) человека. Считается, что уровень 'H' содержит все функции, необходимые приложению для биометрической аутентификации.

Поэтому на этом уровне количество дополнительных функциональных возможностей сведено к минимуму.

Уровень SPI (Service Provider Interface) определяет интерфейс к поставщику биометрических услуг (BSP – Biometric Service Provider), в качестве которого могут выступать практически любые поддерживающие этот интерфейс биометрические системы, устройства или программное обеспечение. За небольшими исключениями, SPI один к одному отображает вызовы верхнего уровня в вызовы к BSP, присоединенному к структуре BioAPI с помощью интерфейса верхнего уровня.

Форматы данных. Одним из широко используемых терминов интерфейса BioAPI является термин BIR (Biometric Identification Record).

Его можно определить как «массив биометрических данных», содержащий любые биометрические данные, возвращаемые приложению. BIR может содержать необработанные и промежуточные данные, а также обработанные данные, готовые для идентификации, верификации и регистрации. Термин «template» (шаблон) используется для обозначения биометрических данных регистрации пользователя. Как правило, только те данные, которые сохраняются постоянно, являются BIR, создаваемым для регистрации (т. е. шаблоном). Структура BIR показана на рис. 1.2.

Рис. 1.2. Формат записи биометрических данных (BIR).

Массив BIR содержит заголовок, сами биометрические данные с неявно выраженной (непрозрачной) структурой (Opaque Biometric Data) и необязательное поле цифровой подписи (сигнатура). Заголовок содержит следующие поля:

поле размера массива (с учетом заголовка и биометрических данных);

поле версии заголовка;

поле типа защиты биометрических данных, указывающее механизм защиты BIR – цифровая подпись и/или симметричное шифрование;

поле формата неявных биометрических данных с двумя подполями – владелец формата и идентификатор формата (ID). Формат может быть стандартным или частным, а его значения назначаются и регистрируются Международной биометрической промышленной ассоциацией IBIA, которая гарантирует их уникальность;

поле качества биометрических данных;

поле назначения биометрических данных (с целью верификации, идентификации, регистрации, регистрации только для верификации, регистрации только для идентификации, аудита);

поле типа биометрической технологии (комбинированное распознавание, распознавание по лицу, по голосу, по отпечаткам пальцев, по радужной оболочке глаз, по глазному дну, по геометрии руки, по динамике подписи, по динамике клавиатурного почерка, по движению губ, по тепловому образу лица, по тепловому образу руки, по походке, распознавание по паролю).

Модель BioAPI. Интерфейс BioAPI поддерживает универсальную биометрическую модель аутентификации верхнего уровня с использованием любых известных биометрических технологий. Для него определены три основные абстрактные функции:

Enroll (Регистрация). Измерения со считывающего биометрического устройства собираются, фиксируются, обрабатываются в пригодную для использования форму, из которой формируется шаблон, и возвращаются приложению.

Verify (верификация, распознавание один к одному). Одно или большее количество измерений собираются, фиксируются, обрабатываются в пригодную для использования форму и затем сравниваются с соответствующим шаблоном. Результаты сравнения возвращаются приложению.

Identify (идентификация, распознавание один ко многим). Одно или большее количество измерений собираются, фиксируются, обрабатываются в пригодную для использования форму и сравниваются с набором шаблонов. В качестве результата возвращается список, показывающий, насколько близко измерения совпадают с ближайшими кандидатами на идентификацию из набора шаблонов.

Процедура аутентификации человека может быть разделена на множество этапов, соответствующих базовым функциям уровня 'H'.

Обработка биометрических данных с момента сбора и фиксации потоковых данных до момента сравнения с шаблоном может разделяться на множество этапов с различной вычислительной нагрузкой. Исходя из этого, интерфейс BioAPI предполагает возможность распределения вычислительной нагрузки между клиентским местом (имеющим биометрическое считывающее устройство) и сервером. Кроме того, также учитывается возможность проведения всей обработки в автономном биометрическом устройстве.

Для поддержки клиент-серверной обработки биометрических данных применяются два способа. Первый способ использует базовые функции. Существуют четыре базовые функции, которые при использовании в определенной последовательности на клиентском месте и на сервере реализуют абстракции верхнего уровня:

Process (Обработка). Функция предназначена для обработки измерений, необходимых для распознавания один к одному или один ко многим (но не для регистрации). Она всегда принимает «промежуточный»

BIR в качестве входных данных и может завершить обработку биометрических данных «конечной» формой, соответствующей их назначению.

Алгоритмы обработки обычно выполняются на сервере, но могут также выполняться и на клиентском месте. На клиентском месте после завершении обработки приложению возвращается «обработанный» BIR; в противном случае возвращается «промежуточный» BIR, показывающий, что обработку необходимо завершать на сервере. На сервере обработка завершается всегда, и приложению всегда возвращается «обработанный»

BIR;

Match (Сопоставление). Данная функция производят сравнение между «обработанным» BIR и шаблоном или между «обработанным»

BIR и набором шаблонов. В случае их поддержки, Match-функции всегда доступны на сервере, однако могут быть доступны и на клиентском месте;

CreateTemplate (Создание шаблона). Функция осуществляет обработку измерений при формировании шаблона регистрации.

CreateTemplate всегда использует «промежуточный» BIR в качестве входных данных и создает шаблон (т.е. «обработанный» BIR с установленным назначением: верификация и/или идентификация). Дополнительно функция CreateTemplate может создать новый шаблон путем адаптации старого шаблона, используя новые биометрические измерения из «промежуточного» BIR.

Второй способ клиент-серверной обработки состоит в использовании потокового обратного вызова StreamingCallback. Приложения (как на клиентской, так и на серверной стороне) отвечают за поддержку потокового интерфейса с BSP, используемого для перемещения измерений и возврата данных результата. Функции Verify, Identify и Enroll используют потоковый интерфейс для разделения функций BSP между клиентским и серверным BSP. Управление процедурой аутентификации может осуществляться как серверным, так и клиентским приложением. Интерфейс StreamingCallback, устанавливаемый управляющим приложением, позволяет контрольному BSP через управляющее приложение посылать протокольные сообщения для взаимодействующего BSP. Взаимодействующее приложение использует функцию StreamInputOutput для доставки этих сообщений взаимодействующему BSP. Пересылка протокольных сообщений между BSP в противоположном направлении производится аналогично.

Особенности BioAPI. Интерфейс BioAPI содержит развитый блок работы с базами данных и предполагает два способа их использования. Первый способ состоит в дополнении (замене) пароля, когда биометрическое приложение просто устанавливает взаимосвязь биометрического шаблона с каждым пользователем базы данных. Второй способ состоит в массовом хранении биометрических шаблонов для идентификации в базе данных BSP.

Основные возможности интерфейса BioAPI соответствуют уровню развития биометрии и по сути мало отличаются от других биометрических API верхнего уровня, однако в интерфейсе BioAPI определен ряд полезных возможностей, позволяющих компенсировать некоторые отрицательные стороны существующих биометрических технологий. К таким возможностям относятся:

запрос и получение качества биометрических данных при их фиксации и обработке;

запрос и получение фактических вероятностных характеристик биометрической системы для конкретного пользователя;

управление графическим интерфейсом пользователя (GUI) со стороны приложения;

обнаружение источника биометрических данных;

использование клиент-серверной технологии;

адаптация шаблонов;

работа с автономными биометрическими устройствами;

ограничение размерности области поиска в базах данных при идентификации один ко многим.

2. КРИПТОГРАФИЧЕСКИЕ МЕТОДЫ

ЗАЩИТЫ ИНФОРМАЦИИ

В основе криптографических методов защиты информации лежат математические алгоритмы преобразования (шифрования) данных с целью их защиты от прочтения незаконными пользователями. Различают математические дисциплины: криптографию и криптоанализ.

Криптоанализ – наука о методах и способах вскрытия шифров и кодов, анализа надежности криптоалгоритмов.

Криптография – наука (искусство) о защите информации от прочтения ее посторонними, о методах преобразования (шифрования) информации с целью ее защиты от незаконных пользователей.

В криптографии широко используются следующие преобразования и термины.

Перестановка – нарушение нормального порядка следования единиц информации, например, букв (СЕКРЕТ – ЕТКРСЕ).

Замена на основе шифралфавита – перечень эквивалентов, используемых для преобразования открытого текста в шифрованный. Иногда шифралфавит предусматривает несколько замен одного знака. Например, С {16, 21, 35, 72}, т. е. С заменяется одним из чисел. Этот выбор называется гомофоном. Время от времени в шифралфавит включают символ, который ничего не значит (символ-пустышка).

Код – огромный шифр замены. С одной стороны – тысячи слов, фраз, букв и слогов открытого текста, с другой – заменяющие их кодовые слова или кодовые обозначения.

Шифр – код, основной единицей которого является знак, несколько знаков или битовый блок.

Криптограмма – окончательно обработанное и отосланное сообщение.

Расшифровка (раскодирование) – преобразование шифротекста (кодотекста), при наличии ключа и системы шифрования.

2.1. СТОЙКОСТЬ ШИФРА Для построения абсолютно стойкого шифра необходимо уметь получать совершенно случайный ключ. Иначе можно выявить некоторую закономерность в шифрованных сообщениях. Стойкость шифра – это сложность задачи его вскрытия. Сложность задачи – минимальная сложность алгоритмов ее решения. Например, экспоненциальная сложность (порядка 2n) или полиномиальная сложность (порядка n2). Важный вклад в теоретические основы шифрования внес К. Шеннон. Его работа «Теория связи в секретных системах» положила начало теоретическому осмыслению стойкости и надежности систем шифрования. Рассмотрим некоторые определения и выводы из этой работы.

Была рассмотрена следующая криптосистема (рис. 2.1).

Неопределенность (или энтропия) – это математическое ожидание взятого со знаком минус логарифма распределения вероятностей:

где суммы берутся по всем x и y.

при этом X = (x1, x2, …, xM), Z = (z1, z2, …, zK).

При шифрации:

Определение совершенной секретности: H(X/Y) = H(X) – выполняется, когда X и Y – статистически независимы. Для криптосистемы с секретными ключами:

H(X/Y) H(X,Z/Y) = H(Z/Y) + H(X/Y,Z) = H(Z/Y) H(Z). (2.5) Если система обеспечивает совершенную секретность, то – это граница Шеннона для совершенно секретных систем. Неопределенность секретного ключа должна быть не меньше неопределенности шифруемого с его помощью текста.

Если K знаков ключа выбраны из алфавита объемом Lz, то где равенство выполняется тогда и только тогда, когда ключ совершенно случаен. Аналогично, где Lx – объем алфавита открытого текста. Равенство – когда открытый текст полностью случаен.

Таким образом, если Lx = Lz и открытый текст полностью случаен, граница Шеннона дает: K M, т. е. ключ не должен быть меньше текста (из границы Шеннона (2.6) с учетом (2.7) и (2.8)).

Раскрытие несовершенного шифра. Шеннон ввел функцию ненадежности ключа:

являющуюся мерой неопределенности ключа для криптоаналитика, анализирующего первые n знаков криптограммы.

Шеннон также определил расстояние единственности как наименьшее число n, для которого f(n) 0. Если известны u символов шифрованного текста (и не меньше), то на основе Y1,Y2,…,Yu можно найти лишь одно значение секретного ключа, т. е. именно в этот момент криптоаналитик с неограниченным временем и вычислительными возможностями может восстановить секретный ключ и раскрыть таким образом криптосистему. Для вполне определенного «случайного шифра»

Шеннон показал, что где избыточность текста криптограммы, содержащей N знаков из алфавита объемом Ly. Если N = M и Lx = Ly, то r – это просто избыточность открытого текста, равная 3/4 в обычном английском языке. Если Lz = Ly и для увеличения расстояния единственности ключ выбирается совершенно случайно, то из (2.10) получаем: u = K/r. Таким образом, если криптосистема с Lx = Ly = Lz используется для шифрования английского текста, то она может быть раскрыта после получения около N = (4/3)K знаков шифротекста. Сжатие данных и рандомизация увеличивают расстояние единственности u путем уменьшения избыточности криптограммы (вместо H(x) H(X, R)).

2.2. СИММЕТРИЧНЫЕ КРИПТОСИСТЕМЫ Симметричные системы шифрования, в отличие от асимметричных, используют один и тот же ключ как на этапе зашифрования данных, так и на этапе их расшифрования. За последние несколько десятков лет разработано множество алгоритмов симметричного шифрования (как блочных, так и поточных). Все эти алгоритмы в той или иной мере строгости обладают следующими основными свойствами:

рассеивание (распространение влияния);

перемешивание (исключение статистической взаимосвязи).

Под рассеиванием понимается распространение влияния каждого отдельного бита как открытого текста, так и ключа, на максимальное число битов зашифрованного текста. Перемешивание означает получение минимальной (в идеале – нулевой) статистической взаимосвязи между открытым текстом и зашифрованным, а также между ключом и зашифрованным текстом.

Основные этапы стандартизации алгоритмов симметричного шифрования: 1977 г. – стандарт DES в США; 1987 г. – международный стандарт ISO 8372 (на основе DES); 1991 г. – отечественный криптоалгоритм ГОСТ 28147-89; 2000 г. – стандарт AES (Advanced Encryption Standard) в США. Далее рассмотрим алгоритмы ГОСТ 28147-89 и AES.

2.2.1. Алгоритм шифрования ГОСТ 28147- В алгоритме используется 256-битный ключ (восемь 32-разрядных чисел) K(7), K(6),…, K(0). Применяются операции:

[ ] – сложение по mod 232, { } – сложение по mod (232 – 1).

Алгоритм шифрования реализует несколько операций.

Режим простой замены. Основной операцией алгоритма является режим простой замены (реализация функции f2). Открытые данные разбиваются на блоки по 64 бита в каждом. Очередной блок данных расщепляется на две 32-битные подпоследовательности: А(0) – старшая, В(0) – младшая. Затем выполняется итерационный процесс шифрования:

A(i) = f1(A(i–1) [ ] K(j)) B(i–1), B(i) = A(i–1), A(32) = A(31), B(32) = f1(A(31) [ ] K(0)) B(31), если i = 32.

Функция шифрования f1. Реализует две операции над полученной 32разрядной суммой. Первая операция – подстановка Р. Блок подстановки состоит из 8 узлов замены Р(7), Р(6),…,Р(0), каждый из которых представляет собой таблицу размером 16 4 битов. Поступающий на блок подстановки 32-разрядный вектор разбивается на 8 последовательно идущих 4-разрядных векторов, каждый из которых преобразуется в 4разрядный вектор соответствующим узлом замены. Входной вектор определяет адрес строки в таблице Р(i). Вторая операция – циклический сдвиг в сторону старших разрядов 32-битного вектора, полученного в результате подстановки.

Режим гаммирования. Открытые данные, разбитые на 64разрядные блоки X(i) (i =1, 2,…, m), зашифровываются путем поразрядного суммирования по mod 2 с гаммой шифра G, которая вырабатывается блоками по 64 бита: G(i) (i = 1, 2,…, m). Уравнение зашифрования данных:

Y(i) = f2(A(i – 1) [ ] C2, B(i – 1) { } C1) X(i) = G(i) X(i), где С1, С2 – константы.

Величины A(i) и B(i) определяются итерационно по мере формирования гаммы, при этом:

(A(0), B(0)) = f2(S), где S – 64-разрядная двоичная последовательность (синхропосылка).

Режим гаммирования с обратной связью. Открытые данные – 64-разрядные блоки X(i) (i = 1, 2, …, m). Гамма шифра GS(i) (i =1, 2,…, m) вырабатывается с учетом последовательных открытых блоков данных. Последовательность шифрограмм:

Y(1) = GS(1) = f2(S) X(1), (S – синхропосылка), Y(i) = GS(i) = f2(GS(i – 1)) X(i), для i = 2, 3, …, m.

Вычисление имитовставки. Исходные данные – 64-разрядные блоки X(i) (i = 1, 2, …, m). Выработка имитовставки производится в соответствии со следующей процедурой:

Im = f3(X(m) f3(X(m – 1) … f3(X(2) f3(X(1))) … )), где f3(D) – первые 16 циклов реализации функции f2 для аргумента D.

2.2.2. Алгоритм AES В качестве нового стандарта симметричного шифрования AES для США в конце 2000 г., в результате почти 3-летнего конкурсного отбора, был принят алгоритм Rijndael, разработанный бельгийскими криптографами В. Рейманом (V. Rijman) и Й. Даменом (J. Daemen).

В основу разработки Rijndael были положены три критерия:

стойкость по отношению ко всем известным атакам;

скорость и компактность кода;

простота реализации алгоритма.

Входной блок данных в данном алгоритме рассматривается как матрица 4 4 байта, причем слова (32-битные) соответствуют столбцам. Например, X23 обозначает второй байт третьего слова блока X. Для выполнения преобразования в блоке используется распределенный (рабочий) ключ W, полученный из секретного ключа K. Размер секретного ключа Nk и размер преобразуемого блока Nb определяют общее число раундов r.

Например, для Nb = 4 слова (128 битов): Nk = 4 r = 10; Nk = 6 r = 12;

Рабочий ключ состоит из блоков (по 128, 192 или 256 битов – в зависимости от величины Nb), количество которых равно числу раундов плюс 1: W = W0, W1, …, Wr.

Каждый раунд алгоритма состоит из трех различных обратимых преобразований, называемых слоями:

1) линейный смешивающий слой, гарантирующий высокую степень взаимопроникновения битов блока для маскировки статистических свойств;

2) нелинейный слой – реализован с помощью S-боксов, имеющих оптимальную нелинейность, максимально ограничивающий возможности использования дифференциального, линейного и других современных методов криптоанализа;

3) слой сложения с ключом – выполняет непосредственное шифрование.

Шифр начинается и заканчивается сложением с ключом. Это позволяет закрыть вход первого раунда при атаке по известному тексту и сделать криптографически значимым результат последнего раунда.

В табл. 2.1 приведены псевдокоды операций прямого (шифрования) и инверсного (дешифрования) преобразований алгоритма. Процедура SubBytes (замена байтов) реализует слой нелинейного преобразования.

Процедуры ShiftRows (сдвиг строк) и MixColumns (перемешивание столбцов) представляют линейный смешивающий слой.

Псевдокоды шифрования и дешифрования алгоритма AES В AES полиномы-байты умножаются по модулю полинома m(x) = = x + x4 + x3 + x + 1. Данный полином нельзя представить как произведение других полиномов меньшей степени с двоичными коэффициентами.

В результате любой полином a(x) 0 имеет инверсию, т. е. полином a–1(x) (a(x) a–1(x) mod m(x) = 1). В этом случае полиномы-байты образуют поле F28. Каждое слово данных (32-битное) представляется уже как полином с коэффициентами в F28. Например, 08B370007 = (08B)x3 + (037)x2 + 7.

Преобразование SubBytes(Y) действует независимо на каждый байт в Y (X):

b(x) b-1(x) mod m(x) (0 0), Преобразование ShiftRows – это циклический сдвиг влево (вправо) на указанное число байтов. Оно действует на каждую строку i (i = 0, 1, 2, 3) в Y. Преобразование MixColumns(Y) действует на каждый столбец ci в блоке Y по правилу:

где a(x) = 3x + x + x + 2.

Эта операция может быть записана в матричном виде:

Преобразование SubBytes–1(X) действует на каждый байт в X:

где x7 + x5 + x2 = (x7 + x6 + x5 + x4 + 1)–1 mod (x8 + 1).

Преобразование ShiftRows–1(X) – циклический сдвиг строк вправо на указанное число байтов.

Преобразование MixColumns–1(X) действует на каждый столбец ci в блоке X по правилу:

где a–1(x) = Bx3 + Dx2 + 9x + E; B, D, E – 16-ричные цифры.

В матричном виде эта операция записывается как:

Процесс формирования рабочего ключа. В процессе формирования должно быть выработано (r + 1) блоков, где r – количество раундов в шифре. Поэтому количество слов рабочего ключа равно Nb(r + 1). Число же слов в секретном ключе K, которое обозначается как Nk, может быть равным 4, 6 или 8. Псевдокод алгоритма формирования рабочего ключа представлен в табл. 2.2.

В данном алгоритме SubWord(t) – функция, применяющая преобразование SubBytes(ti) шифра к каждому байту ti (i = 0, 1, 2, 3) слова t. Преобразование RotWord(t) осуществляет циклический сдвиг слова t на один байт влево:

[t0, t1, t2, t3] [t1, t2, t3, t0].

Массив раундовых констант Rcon состоит из слов:

Rcon[i] = [ci, 0, 0, 0], где ci = xi –1 mod m(x).

Выбранный метод построения рабочего ключа должен способствовать решению следующих задач:

затруднить атаки на шифр при частично известном секретном ключе или при использовании зависимых (связанных общими правилами построения) ключей;

устранить имеющиеся симметрии внутри раунда шифра и между раундами (для этого используется массив раундовых констант Rcon).

Псевдокод алгоритма формирования рабочего ключа W

2.3. АСИММЕТРИЧНЫЕ КРИПТОСИСТЕМЫ

В алгоритмах шифрования и дешифрования используются разные ключи – открытый (публичный) и закрытый (секретный). Подобные системы шифрования являются несимметричными (асимметричными) и основаны на применении односторонних или необратимых функций.

Односторонняя функция – функция F: X Y, обладающая следующими свойствами:

а) существует полиномиальный алгоритм вычисления значения F(x);

б) не существует полиномиального алгоритма инвертирования функции F, т. е. решения уравнения F(x) = y относительно x. Это новое понятие в математике введено в 1975 г. Диффи и Хеллманом.

Односторонняя функция с секретом K (one way trap drop) – функция FK: X Y, зависящая от параметра K и обладающая тремя свойствами:

а) при любом K существует полиномиальный алгоритм вычисления значений FK(x);

б) при неизвестном K не существует полиномиального алгоритма инвертирования FK;

в) при известном K существует полиномиальный алгоритм инвертирования FK.

Было построено несколько функций, которые могут оказаться односторонними. Это означает, что для них свойство б) пока строго не доказано, но известно, что задача инвертирования эквивалентна некоторой давно изучаемой трудной математической задаче.

Идея Диффи и Хеллмана в общем виде представляется следующим образом. Пользователь А, который хочет получать шифрованные сообщения, должен сначала выбрать какую-нибудь одностороннюю функцию FK с секретом K. Он публикует описание функции FK в качестве своего алгоритма шифрования. Но при этом значение K держит в секрете. Пользователь B, желающий послать защищенную информацию к А (информацию х), вычисляет FK(x) и посылает результат по открытому каналу к А. Так как А умеет инвертировать FK, то он вычисляет х по принятому сообщению. Никто другой не знает K и поэтому в силу свойства б) не сможет за полиномиальное время по известному шифрованному сообщению вычислить защищенную информацию х. При этом выполнены два новых свойства:

1) для передачи сообщения не требуется предварительный обмен ключами по секретному каналу связи;

2) стойкость шифра зависит от сложности решения трудной математической задачи инвертирования односторонней функции с секретом.

В качестве односторонней функции Диффи и Хеллман предложили функцию дискретного возведения в степень f(x) = x (mod p), где х – целое число от 1 до р – 1 включительно, р – очень большое целое число, целое число (1 < p)( - примитивный элемент конечного поля GF(p)).

Если y = mod p, то естественно писать x = log y mod p и задача обращения f(x) называется задачей нахождения дискретных логарифмов. Даже для очень больших р можно очень легко вычислить f(x). Если функция дискретного возведения в степень действительно является односторонней, то вычисление log y mod p должно быть неосуществимо практически для всех y (1 y < p). Вскоре было обнаружено, что дискретные логарифмы сложно вычисляются при условии, когда не только р велико, но и р – 1 имеет большой простой множитель. При этом дополнительном условии лучшие известные алгоритмы для нахождения дискретных логарифмов требуют p умножений (по mod p) по сравнению с примерно 2log2р умножений при дискретном возведении в степень (например, 21000).

2.3.1. Система открытого распределения ключей Диффи – Хеллмана Система была открыта в середине 1970-х гг. Диффи и Хеллманом и привела к настоящей революции в криптографии и ее практических применениях. Суть открытия заключается в защите информации без использования секретных ключей, передаваемых по защищенным каналам.

Предположим, что в организации имеется N пользователей, где N – большое число. Реализация секретной связи для каждой пары из них абонентов потребуется 5000 ключей, для 10 4 абонентов – 5 107 ключей.

Диффи и Хеллман решили эту задачу за счет открытого распространения и вычисления ключей.

Пусть всем пользователям известны и р. Каждый пользователь, скажем i, случайным образом выбирает целое число Ki, заключенное между 1 и р – 1, и держит его в секрете.

Далее он вычисляет Yi = (mod p); Yi – открытый (публичный) ключ, доступный для всех пользователей. В дальнейшем, если пользователи i и j захотят установить секретную связь, пользователь i возьмет из каталога (открытого) Yi и с помощью своего секретного ключа Ki вычислит:

Таким же образом и пользователь j вычисляет Zji. Однако Zij = Zji, и пользователи i и j могут с этого момента использовать Zij как секретный ключ в классической криптосистеме. Подобные системы, однако, требуют проведения аутентификации.

2.3.2. Криптосистема RSA Впервые односторонняя функция с потайным ходом была предложена в 1978 г. в статье «Метод получения цифровых подписей и криптосистем с открытыми ключами» Р. Ривеста, А. Шамира и Л. Аделмана. В этой системе используются следующие два факта из теории чисел:

1. Задача проверки числа на простоту является сравнительно легкой.

2. Задача разложения числа вида n = p q (p и q – простые числа) на множители является очень трудной, если известно только n, а p и q – большие простые числа (так называемая задача факторизации).

Рассмотрим некоторые предварительные факты из теории чисел.

Пусть НОД (i, n) – наибольший общий делитель целых чисел i и n. Для каждого положительного n функция Эйлера (n) определяется как число положительных целых i, не превосходящих n и таких, что НОД(i, n) = (при n = 1 (n) = 1). Например, (6) = 2. Очевидно, что для простого числа р имеем (р) = р – 1. Для двух неравных простых чисел p и q:

(p q) = (p – 1)( q – 1). Например, (15) = (3 5) = 8. Знаменитая теорема Эйлера гласит: для любых целых чисел x и n (x < n): x (n) = (mod n), при условии, что НОД(x, n) = 1.

Дополнительно, если e и m удовлетворяют условиям 0 < e < m и НОД(m, e) = 1, то существует единственное d такое, что 0 < d < m и d e = 1 (mod m), и кроме того, d может быть вычислено с помощью «расширенного» алгоритма Евклида для нахождения НОД(m, e).

Односторонняя функция RSA с потайным ходом – есть просто дискретное возведение в степень: fz(x) = xe (mod n), где x – положительное целое, не превосходящее n = p q. p, q – большие неравные числа, такие, что (n) = (p – 1)(q – 1), а e – целое, не превосходящее (n), для которого НОД(e, (n)) = 1.

Работа RSA. Пусть n = p q; d – некоторое число, взаимно простое с (n). Найдем число e из уравнения: d e = 1 (mod (n)).

Секретный (потайной ход): z = {p, q, d}. Числа n и e – открытые и общедоступные.

Функция Fz: X Y определяется равенством Fz(x) = xe (mod n).

Решением уравнения Fz(x) = y будет:

учитывая, что d e = (n) m + 1.

Почему обращение функции fz на основе знания только n и e вычислительно неосуществимо? Ведь разложив n = p q на множители, противник будет иметь полную информацию о «потайном ходе» z = {p, q, d}, и следовательно, может легко расшифровать сообщение. Однако разложение n на множители, как отмечалось ранее, представляет собой достаточно сложную вычислительную задачу, особенно если длина выбранных p и q составляет не менее 100 десятичных знаков. Время работы всех лучших известных алгоритмов разложения на множители ограничено одной и той же функцией «нехорошего вида», растущей в 10 раз при удлинении числа на 15 десятичных знаков (в диапазоне от 50 до 200 знаков). Супер-ЭВМ способны за один день разложить на множители число длиной около 100 десятичных знаков. Для разложения 200-значного числа потребуется в 107 раз больше времени. Лучшие известные алгоритмы решения задачи дискретного логарифма (по модулю р) и лучшие алгоритмы разложения n на множители требуют при p n приблизительно одинакового количества вычислений.

Выбор больших простых чисел. Теорема Чебышева утверждает, что доля положительных целых чисел, меньших некоторого целого m и являющихся простыми, близка к (ln m)–1. Например, доля целых чисел, меньших 10100 и являющихся простыми, 1/230. Поскольку 90 % этих чисел лежит между 1099 и 10100, то доля простых чисел в этом диапазоне также составляет 1/230. Поэтому если совершенно случайно выбрать нечетное число в этом диапазоне, то оно окажется простым с вероятностью 1/115. Как можно отличить простые числа от составных? Такие проверки основаны на теореме Ферма, утверждающей, что для любого положительного целого числа b, не превосходящего некоторого простого числа р: bp–1 = 1 (mod p). Таким образом, осуществив несколько проб различных чисел b, можно протестировать число р на простоту.

Система шифрования ElGamal В 1985 г. Т. Эль Гамал предложил систему шифрования, основанную на вычислении дискретного логарифма. В этой системе всем пользователям сообщается большое (несколько сотен десятичных разрядов) целое число р, а также число g такое, что при этом gd 1 (mod p) для всех 1 < d < p – 1.

Секретный ключ пользователя A – целое число da, выбранное произвольным образом:

Открытый ключ пользователя А – это целое число:

Пусть пользователь В посылает А сообщение М, которое есть целое число: 1 M < p – 1.

Шифрование.

1. Пользователь В выбирает случайное число k такое, что 1 k < p – 1.

2. Далее вычисляется: r ea mod p 3. Производится преобразование сообщения в пару элементов:

Расшифрование.

1. Восстанавливается число r по правилу:

2. Восстанавливается М путем деления С2 на r.

Отметим, что в системе ElGamal объем шифра в 2 раза превышает объем сообщения, но требуется только одна передача данных (при условии, что таблица с открытыми ключами заранее известна всем абонентам).

2.3.4. Криптосистемы на основе эллиптических кривых В последнее десятилетие приобретают все большую популярность, в силу ряда своих преимуществ по отношению к классическим криптосистемам, рассмотренным выше, криптосистемы на основе эллиптических кривых. Вначале рассмотрим алгебраические основы операций на множестве точек эллиптической кривой.

Эллиптическая кривая E над полем K определяется уравнением где a1, a2, a3, a4, a6 K и 0 – дискриминант E.

Выражение 0 говорит о том, что эллиптическая кривая «гладкая», т.е. не имеется точек, на которых кривая имеет две или более пересекающихся (соприкасающихся) линий.

Рассмотрим упрощенный вариант уравнения (2.22):

Дискриминант этого уравнения:

Если < 0, то (2.23) имеет три различных корня, если = 0, то данная кривая имеет три корня, по крайней мере два из которых равны (сингулярная кривая). Если > 0, то уравнение (2.23) имеет один действительный корень и два – комплексно-сопряженных. Потребуем, чтобы 0, что эквивалентно условию Рис. 2.2. Геометрическая иллюстрация сложения (дублирования) точек Операции композиции точек на кривой. Имеется эллиптическая кривая (2.23) с коэффициентами a и b, удовлетворяющими условию (2.25). Операция сложения двух точек кривой P = (x1, y1) и Q = (x2, y2) и получения результирующей точки R = (x3, y3) (рис. 2.2) определяется следующим образом:

Необходимо отметить, что третья точка пересечения R' обязательно существует, т. к. кубическое уравнение, полученное после подстановки уравнения прямой в (2.23), имеет два действительных корня, соответствующих точкам P и Q, следовательно, его третий корень, соответствующий R', также действителен. Считается, что вертикальная прямая, проходящая через точки P и –P, пересекает кривую в бесконечно удаленной точке O, т. е. P + (–P) = O. Точка O играет роль нуля в операциях на эллиптической кривой.

Если P и Q – одна и та же точка (допустим, D), тогда композиция (дублирование) RD = (x3, y3) = D + D = (x1, y1) + (x1, y1) получается путем проведения касательной в точке D и отражения ее второго пересечения RD' с кривой. Уравнения, определяющие вычисление координат точки дублирования:

Следует отметить, что если ордината точки D равна нулю, то касательная проходит параллельно оси ординат и удвоение точки: [2]D = O.

Операция [m]D реализуется как (m – 1) последовательных операций удвоения точек, полученных на предыдущем шаге, при этом [0]D = O, а [–m]D = –(D + D + …+ D), где количество слагаемых равно m. Отрицание точки P(x, y) определяется как –P = (x, –y). При эффективной реализации операции [m]D требуется не более 2log2 m композиций точек.

Все приведенные выше уравнения сохраняются, если вычисления будут выполняться с целыми числами по модулю простого числа p. В модулярном случае эллиптическая кривая определяется как при этом должен удовлетворяться модулярный вариант условия (2.25).

Множество Ep(a, b) состоит из всех точек (x, y), 0 < x, y < p, удовлетворяющих уравнению (2.28). Это множество обозначается как #Ep(a, b).

Свойства множества точек кривой Ep(a, b). Это множество конечно, так как в него входят только точки с целочисленными координатами 0 x, y p. Ep(a, b) имеет генератор, т. е. такую точку G, что ряд G, [2]G, [3]G, …, [n]G, где n = #Ep(a, b), содержит все точки множества Ep(a, b), причем [n]G = O. Число точек на кривой, при тщательном выборе параметров p, a и b, может быть простым числом, т. е. #Ep(a, b) = q. В этом случае любая точка (кроме O) является генератором всего множества точек. Если по каким-то причинам такую кривую найти не удалось, и #Ep(a, b) = h q, где q – опять простое число, то в Ep(a, b) существует подмножество из q точек, генератором которого может служить любая точка G O, такая, что [q]G = O. Однако при выборе кривой все же следует стремиться получить q = #Ep(a, b).

Задача дискретного логарифмирования на эллиптической кривой. Зная точки P и Q, найти число m такое, что Q = [m]P. Эта задача оказывается очень трудной. Если тщательно выбрать параметры кривой, то наилучшие известные в настоящее время алгоритмы для нахождения m требуют O q операций на кривой, где q – количество точек подмножества, к которому принадлежат точки P и Q. Все вычисления на кривой проводятся по модулю p, т. е. с числами размером t log2 p битов. Для криптографических приложений log2 q log2 p, поэтому O q = O(2t/2) означает экспоненциальный рост трудоемкости.

Выбор параметров эллиптической кривой. Основными параметрами эллиптической кривой являются: p, a, b, n, q, G. Определение параметров можно проводить в следующем порядке:

1. Простое число p. Отправной точкой может служить величина t/ битов – стойкость шифра на эллиптической кривой. Если ориентироваться на длину ключей алгоритма AES (128, 192 и 256 битов), то длина модулей эллиптических кривых должна составлять 256, 392 и 512 битов.

2. Числа a и b должны удовлетворять следующим условиям:

a, b 0 (mod p) и 4a3 + 27b2 0 (mod p). Можно случайно выбрать b, а a принимать равным небольшому целому числу (для эффективности вычислений). Например, можно использовать a = –3.

3. Определение числа точек на кривой n = #Ep(a, b). Существенно, чтобы n имело большой простой делитель q, а лучше всего, чтобы n было простым числом, т. е. n = q. Если поиск кривой занимает слишком много времени, то можно допустить n = h q, где h – небольшое число.

Если не удается найти приемлемое q, то необходимо возвратиться на шаг 2.

4. Проверка выполнения неравенства:

p – 1 mod q 0 для всех k < 32.

Если условие не выполняется, то следует выполнить возврат на шаг 2.

Эта проверка предотвращает возможности некоторых атак, а также исключает из рассмотрения кривые с #Ep(a, b) = p – 1.

5. Проверка выполнения неравенства q p. Если условие не выполнено, то необходимо возвратиться к шагу 2. Это связано с тем, что для кривых с q = p, которые называются аномальными, предложены эффективные методы вычисления логарифмов.

6. Определение точки G – генератора подмножества мощности q.

Если q < n, то выбирается случайная точка G', пока не получится G = [n/q]G' O. Чтобы получить случайную точку на кривой, берется случайное число x < p, вычисляется s = (x3 + ax + b) mod p и затем s mod p. Если корень существует, то получается точка (x, y).

Криптосистема – шифр ElGamal на эллиптической кривой. В классическом шифре ElGamal основной операцией является вычисление y = gx mod p. В варианте шифра на эллиптической кривой такой операцией является вычисление Y = [x]G mod p.

В шифре ElGamal на эллиптической кривой выбраны: кривая Ep(a, b) и точка G на ней; мощность подмножества q – простое число, при этом G, [2]G, …, [q]G – различные точки и [q]G = O.

Каждый пользователь u выбирает случайное число du, 0 < du < q, которые используются как секретные ключи, и вычисляет на кривой точку Cu = [du]G, которая будет использоваться как открытый ключ. Параметры кривой и список открытых ключей передаются всем пользователям сети.

Пусть пользователь A намеревается передать сообщение пользователю B. Считается, что сообщение представлено в виде числа m < p. A выполняет следующее:

1) выбирает случайное число k, 0 < k < q;

2) вычисляет R = [k]G, P = [k]Cb = (x, y);

3) шифрует l = m x mod p;

4) посылает B шифротекст (R, l).

Пользователь B, после получения (R, l):

1) вычисляет Q = [db]R = (x, y);

2) дешифрует m' = l x–1 mod p.

Для доказательства корректности обмена достаточно показать, что [db]R = [db]( [k]G) = [k]( [db]G) = [k]Cb, т. е. Q = P. Поэтому m' = m.

Координата x точки Q остается секретной для противника, так как он не знает числа k. Противник может попытаться вычислить k из точки R, но для этого ему нужно решить проблему дискретного логарифмирования на кривой. Наиболее приемлемый вариант использования данного протокола – передача в качестве числа m секретного ключа для симметричного шифра. В этом случае целесообразно выбирать параметры кривой так, чтобы log2q примерно вдвое превышал длину ключа симметричного шифра.

2.3.5. Цифровая (электронная) подпись Можно определить следующие основные свойства подписи:

1. Подписать документ может только «законный» владелец подписи (и, следовательно, никто не может подделать подпись).

2. Автор подписи не может от нее отказаться.

3. В случае возникновения спора возможно участие третьих лиц (например, суда) для установления подлинности подписи.

Проблема цифровой подписи – доказательство третьей стороне о подлинности подписи. Один из способов реализации цифровой подписи заключается в следующем. Каждый пользователь регистрирует пару своих преобразований Ea и Da у «нотариуса», причем для любого сообщения должно соблюдаться соотношение Ea(Da(M)) = M. Чтобы переслать подписанное сообщение М пользователю В, пользователь А вычисляет С = Da(M) и передает его В. Чтобы проверить корректность С и получить открытый текст М, В предлагает сообщение С «нотариусу», который вычисляет Ea(C) = М и передает для В сообщение М, зашифрованное личным ключом В: М1 = Db(M).

Последовательные шаги пересылки подписанных сообщений:

1. Пользователь А, вычислив предварительно хэш-образ (результат необратимого преобразования большого массива данных в число фиксированной длины) сообщения М: HM = H(M), определяет сигнатуру: S = Da(HM).

2. Воспользовавшись затем открытым ключом В, А вычисляет С = Eb(S, M), и передает B.

3. На приемной стороне В расшифровывает сообщение с помощью своего личного ключа Db: (S, M') = Db(C).

4. Используя открытый ключ А, В может восстановить H M = Ea(S), и затем проверить равенство: H M = H(M'). Если равенство соблюдается, то подпись и документ M' – подлинные.

Практические схемы цифровой подписи. Рассмотрим некоторые наиболее распространенные схемы цифровой (электронной подписи).

Цифровая подпись DSA. DSA – цифровая подпись Национального института стандартов США. Данная система основана на системе шифрования ElGamal.

Параметры:

g = h(p–1)/q mod p.

Переменные:

m – сообщение; H – односторонняя хэш-функция;

k Zq – случайное число;

d Zq – секретный ключ; e = gd mod p – открытый ключ.

Генерация подписи:

Получателю передаются сообщение m и подпись (r, s).

Верификация подписи:

На первом этапе выполняется проверка полученной подписи на соответствие условиям 0 < r < q и 0 < s < q. Затем вычисляются:

Если = r, то сообщение и подпись считаются правильными.

RSA – цифровая подпись Параметры:

p и q - два больших простых числа; n = p q.

Переменные:

d – секретный ключ; e – открытый ключ; e d = 1 mod (p – 1)(q – 1).

H – хэш-функция; m – сообщение.

Генерация подписи:

Получателю передаются m и s.

Верификация подписи:

Сообщение и подпись считаются правильными, если выполняется условие: H(m) = se mod n.

Схема цифровой подписи Шнорра Параметры:

p и q – простые числа, p 2512, q 2140;

Переменные:

k Zq – случайное число;

d Zq – секретный ключ; e = 1/ad mod p – открытый ключ;

H – хэш-функция; m – сообщение.

Генерация подписи:

Получателю передаются сообщение m и подпись (r, y).

Верификация подписи:

Получатель сообщения вычисляет ay er mod p и проверяет выполнение условия r = H(ay er mod p, m).

ГОСТ Р 34.10- Параметры:

p – простое число, 2509 < p < 2512 либо 21020 < p < 21024;