Лекція №19. МЕХАНІЗМИ ЗАХИСТУ ІНФОРМАЦІЇ ВІД НСД. Вступ до криптології

План

1. Основні типи критоаналітичних атак.

2. Апаратно-програмні засоби захисту інформації, що використовують криптографічні методи.

3. Електронний цифровий підпис.

4. Керування ключами.

5. Методи розподілу ключової інформації.

6. Збереження ключової інформації.

7. Поняття стеганографії.

Як було раніше відзначено, криптоаналіз– це наука про розкриття вихідного тексту зашифрованого повідомлення без доступу до ключа. Успішний аналіз може розкрити вихідний текст або ключ. Він дозволяє також знайти слабкі місця в криптосистемі, що, у кінцевому рахунку, веде до тих же результатів.

Фундаментальне правило криптоаналізу, уперше сформульоване голландцем А. Керкхоффом ще в XIX столітті полягає в тому, що стійкість шифру (криптосистеми) повинна визначатися тільки таємністю ключа. Іншими словами, правило Керкхоффа полягає в тому, що увесь алгоритм шифрування, крім значення секретного ключа, відомий криптоаналітику супротивника. Це обумовлено тим, що криптосистема, що реалізує сімейство криптографічних перетворень, звичайно розглядається як відкрита система. Такий підхід відбиває дуже важливий принцип технології захисту інформації: захищеність системи не повинна залежати від таємності чого-небудь такого, що неможливо швидко змінити у випадку витоку секретної інформації. Звичайно криптосистема являє собою сукупність, апаратних і програмних засобів, яку можна змінити тільки при значних витратах часу і засобів, тоді як ключ є легко змінюваним об'єктом. Саме тому стійкість криптосистеми визначається тільки таємністю ключа.

Інше майже загальноприйняте припущення в криптоаналізі полягає в тому, що криптоаналітик має у своєму розпорядженні шифртексти повідомлень.

На рис. 5.7 показано потік інформації в криптосистемі у випадку активних дій перехоплювача. Активний перехоплювач не тільки зчитує всі шифртексти, що передані по каналу, але може також намагатися змінювати їх за своїм розсудом.

Будь-яка спроба з боку перехоплювача розшифрувати шифртекст для одержання відкритого тексту М або зашифрувати свій власний текст М' для одержання правдоподібного шифртекста С', не маючи справжнього ключа, називається криптоаналітчною атакою.

Якщо початі криптоаналитичні атаки не досягають поставленої мети і криптоаналітик не може, не маючи справжнього ключа, вивести М із С або С' з М', то вважається, що така криптосистема є криптостійкою.

k

М М

С С’

Рис.5.7. Потік інформації в криптосистемі при активному перехопленні повідомлень

Існує чотири основних типи криптоаналітичних атак. Звичайно, усі вони формулюються за припущенням, що криптоаналітику відомо застосовуваний алгоритм шифрування і шифртексти повідомлень. Перелічимо ці криптоаналітичні атаки.

1. Криптоаналітична атака при наявності тільки відомого шифртексту.Криптоаналітик має тільки шифртексти С₁, С₂, ..., C_n декількох повідомлень, причому усі вони зашифровані з використанням того самого алгоритму шифрування Е_k. Робота криптоаналітика полягає в тому, щоб розкрити вихідні тексти М₁, M₂, ..., M_n по можливості більшості повідомлень або, ще краще, обчислити ключ k, використаний для шифрування цих повідомлень, для того, щоб розшифрувати й інші повідомлення, зашифровані цим ключем.

2. Криптоаналітична атака при наявності відомого відкритого тексту.Криптоаналітик має доступ не тільки до шифртекстів C₁, С₂, .... C_n декількох повідомлень, але також до відкритих текстів М₁, М₂, ..., M_n цих повідомлень. Його робота полягає в перебуванні ключа k, використаного при шифруванні цих повідомлень, або алгоритму розшифрування D_k будь-яких нових повідомлень, зашифрованих тим же самим ключем.

3. Криптоаналітична атака при можливості вибору відкритого тексту.Криптоаналітик не тільки має доступ до шифртекстів C₁, С₂, ..., C_n, і зв'язаним з ними відкритим текстам М₁, М₂, ..., M_n декількох повідомлень, але і може за бажанням вибирати відкриті тексти, що потім одержує в зашифрованому виді. Такий криптоаналіз виходить більш потужним порівняно з криптоаналізом з відомим відкритим текстом, тому що криптоаналітик може вибрати для шифрування такі блоки відкритого тексту, що дадуть більше інформації про ключ. Робота криптоаналітика складається в пошуку ключа k, використаного для шифрування повідомлень, або алгоритму розшифрування D_k нових повідомлень, зашифрованих тим же ключем.

4. Криптоаналітична атака з адаптивним вибором відкритого тексту.Це особливий варіант атаки з вибором відкритого тексту. Криптоаналітик може не тільки вибирати відкритий текст, що потім шифрується, але і змінювати свій вибір залежно від результатів попереднього шифрування. При криптоаналізі з простим вибором відкритого тексту криптоаналітик звичайно може вибирати кілька великих блоків відкритого тексту для їхнього шифрування; при криптоаналізі з адаптивним вибором відкритого тексту він має можливість вибрати спочатку більш дрібний пробний блок відкритого тексту, потім вибрати наступний блок залежно від результатів першого вибору, і т.д. Ця атака надає криптоаналітику ще більше можливостей, чим попередні типи атак.

Крім перерахованих основних типів криптоаналітичних атак, можна відзначити, принаймні, ще два типи.

5. Криптоаналітична атака з використанням обраного шифртексту.Криптоаналітик може вибирати для розшифрування різні шифртексти С₁, С₂, ..., C_n і має доступ до розшифрованих відкритих текстів М₁, М₂, ..., M_n. Наприклад, криптоаналітик одержав доступ до захищеного від несанкціонованого розкриття блоків, що виконує автоматичне розшифрування. Робота криптоаналітика полягає в отриманні ключа. Цей тип криптоаналізу становить особливий інтерес для розкриття алгоритмів з відкритим ключем.

6. Криптоаналітична атака методом повного перебору всіх можливих ключів.Ця атака припускає використання криптоаналітиком відомого шифртексту і здійснюється за допомогою повного перебору всіх можливих ключів з перевіркою, чи є осмисленим відкритий текст, що отримується. Такий підхід вимагає залучення граничних обчислювальних ресурсів і іноді називається силовою атакою (атакою під ключ).

Де в сучасних комп’ютерних системах використовуються криптографічні перетворення? Розглянемо це питання більш детально.

Перші операційні системи (ОС) для персональних комп'ютерів (MS-DOS і Windows версій до 3.1 включно) не мали власних засобів захисту, що і породило проблему створення додаткових засобів захисту. Актуальність цієї проблеми практично не зменшилася з появою більш могутніх ОС з розвинутими підсистемами захисту, наприклад Windows NT і Windows 2000. Це обумовлено тим, що більшість систем не здатні захистити дані, що знаходяться за її межами, наприклад, при використанні мережного інформаційного обміну.

Апаратно-програмні засоби, що забезпечують підвищений рівень захисту, можна розбити на п'ять основних груп.

Рис. 5.8. Апаратно-програмні засоби захисту комп'ютерної інформації

Першу групу утворюють системи ідентифікації й автентифікації користувачів.Такі системи застосовуються для обмеження доступу випадкових і незаконних користувачів до ресурсів комп'ютерної системи. Загальний алгоритм роботи цих систем полягає в тому, щоб одержати від користувача інформацію, що засвідчує його особистість, перевірити її дійсність і потім надати (або не надати) цьому користувачеві можливість роботи із системою.

При побудові подібних систем виникає проблема вибору інформації, на основі якої здійснюються процедури ідентифікації й автентифікації користувача. Як згадувалося і раніше, можна виділити наступні типи:

1) секретна інформація, якою володіє користувач (пароль, персональний ідентифікатор, секретний ключ і т.д.); цю інформацію користувач повинен запам'ятати або ж може застосувати спеціальні засоби збереження цієї інформації;

2) фізіологічні параметри людини (відбитки пальців, малюнок райдужної оболонки ока і т.д.) або особливості поводження людини (особливості роботи на клавіатурі і т.д.).

Системи ідентифікації, що засновані на першому типі інформації, прийнято вважати традиційними.Системи ідентифікації, що використовують другий тип інформації, називаються біометричними.Слід зазначити тенденцію, що намітилася, випереджального розвитку біометричних систем ідентифікації. Проте на сьгодні їх розповсюдження поки обмежується великою їх вартістю.

Другу групу засобів, що забезпечують підвищений рівень захисту, складають системи шифрування дискових даних.Основна задача, що розв'язується такими системами, полягає в захисті від несанкціонованого використання даних, розташованих на магнітних носіях.

Забезпечення конфіденційності даних, розташованих на магнітних носіях, здійснюється шляхом їхнього шифрування з використанням симетричних алгоритмів шифрування. Основною класифікаційною ознакою для комплексів шифрування служить рівень їхнього вбудовування в комп'ютерну систему.

Робота прикладних програм з дисковими нагромаджувачами складається з двох етапів «логічного» і «фізичного».

Логічний етапвідповідає рівню взаємодії прикладної програми з операційною системою (наприклад, виклик сервісних функцій читання/запису даних). На цьому рівні основним об'єктом є файл.

Фізичний етапвідповідає рівню взаємодії операційної системи й апаратури. Як об'єкти цього рівня виступають структури фізичної організації даних – сектори диску.

У результаті системи шифрування даних можуть здійснювати криптографічні перетворення даних на рівні файлів (захищаються окремі файли) і на рівні дисків (захищаються диски цілком).

До програм першого типу можна віднести архіватори типу arj, що дозволяють використовувати криптографічні методи для захисту архівних файлів. Прикладом систем другого типу може служити програма шифрування Diskreet, що входить до складу популярного програмного пакета Norton Utilities.

Іншою класифікаційною ознакою систем шифрування дискових даних є спосіб їхнього функціонування. За способом функціонування системи шифрування дискових даних поділяють на два класи:

1) системи «прозорого» шифрування;

2) системи, що спеціально призначені для здійснення шифрування.

У системах прозорого шифрування(шифрування «на літу») криптографічні перетворення здійснюються в режимі реального часу, непомітно для користувача. Наприклад, користувач записує підготовлений у текстовому редакторі документ на диск, що захищається, а система захисту в процесі запису виконує його шифрування.

Системи другого класу звичайно являють собою утиліти, які необхідно спеціально викликати для виконання шифрування. До них відносяться, наприклад, архіватори з убудованими засобами парольного захисту.

До третьої групи засобів, що забезпечують підвищений рівень захисту, відносяться системи шифрування даних, що передаються по комп'ютерних мережах.Розрізняють два основних способи шифрування: канальне шифрування й кінцеве (абонентське) шифрування.

У випадку канального шифруваннязахищається вся передана каналом зв'язку інформація, включаючи службову. Відповідні процедури шифрування реалізуються за допомогою протоколу канального рівня семірівневої еталонної моделі взаємодії відкритих систем OSI (Open System Interconnection). Цей спосіб шифрування має наступне достоїнство – убудовування процедур шифрування на канальний рівень дозволяє використовувати апаратні засоби, що сприяє підвищенню продуктивності системи.

Однак у даного підходу є істотні недоліки:

•шифруванню на даному рівні підлягає вся інформація, включаючи службові дані транспортних протоколів; це ускладнює механізм маршрутизації мережних пакетів і вимагає розшифрування даних у пристроях проміжної комутації (шлюзах, ретрансляторах і т.д.);

•шифрування службової інформації, неминуче на даному рівні, може привести до появи статистичних закономірностей у шифрованих даних; це впливає на надійність захисту і накладає обмеження на використання криптографічних алгоритмів.

Кінцеве (абонентське) шифруваннядозволяє забезпечити конфіденційність даних, переданих між двома прикладними об'єктами (абонентами). Кінцеве шифрування реалізується за допомогою протоколу прикладного або представницького рівня еталонної моделі OSI. У цьому випадку захищеним виявляється тільки зміст повідомлення, уся службова інформація залишається відкритою. Даний спосіб дозволяє уникнути проблем, зв'язаних із шифруванням службової інформації, але при цьому виникають інші проблеми. Зокрема, зловмисник, що має доступ до каналів зв'язку комп'ютерної мережі, одержує можливість аналізувати інформацію про структуру обміну повідомленнями, наприклад про відправника й одержувача, про час і умови передачі даних, а також про обсяг переданих даних.

Четверту групу засобів захисту складають системи автентифікації електронних даних.При обміні електронними даними по мережах зв'язку виникає проблема автентифікації автора документа і самого документа, тобто встановлення дійсності автора і перевірка відсутності змін в отриманому документі. Для автентифікації електронних даних застосовують код автентифікації повідомлення (імітовставку) або електронний цифровий підпис. При формуванні коду автентифікації повідомлення й електронного цифрового підпису використовуються різні типи систем шифрування.

Код автентифікації повідомленняформують за допомогою симетричних систем шифрування даних. Зокрема, симетричний алгоритм шифрування даних DES при роботі в режимі зчеплення блоків шифру СВС дозволяє сформувати за допомогою секретного ключа і початкового вектора IV код автентифікації повідомлення MAC (Message Authentication Code). Перевірка цілісності прийнятого повідомлення здійснюється шляхом перевірки коду MAC одержувачем повідомлення.

Аналогічні можливості надає вітчизняний стандарт симетричного шифрування даних ДСТ 28147-89. У цьому алгоритмі передбачений режим вироблення, імітовставки, що забезпечує імітозахист, тобто захист системи шифрованого зв'язку від нав'язування помилкових даних.

Імітовставкавиробляється з відкритих даних за допомогою спеціального перетворення шифрування з використанням секретного ключа і передається каналом зв'язку наприкінці зашифрованих даних. Імітовставка перевіряється одержувачем повідомлення, що володіє секретним ключем, шляхом повторення процедури, виконаної раніше відправником, над отриманими відкритими даними.

Електронний цифровий підпис(ЕЦП) являє собою відносно невелику кількість додаткової цифрової інформації, переданої разом з текстом, що підписується. Для реалізації ЕЦП використовуються принципи асиметричного шифрування. Система ЕЦП включає процедуру формування цифрового підпису відправником з використанням секретного ключа відправника і процедуру перевірки підпису одержувачем з використанням відкритого ключа відправника.

П'яту групу засобів, що забезпечують підвищений рівень захисту, утворюють засоби керування ключовою інформацією. Під ключовою інформацією розуміється сукупність усіх використовуваних у комп'ютерній системі або мережі криптографічних ключів. Безпека будь-якого криптографічного алгоритму визначається використовуваними криптографічними ключами. У випадку ненадійного керування ключами зловмисник може заволодіти ключовою інформацією й одержати повний доступ до всієї інформації в комп'ютерній системі або мережі.

Розглянемо тепер більш детально поняття електронного підпису. У чому полягає проблема автентифікації даних? Наприкінці звичайного листа чи документа виконавець чи відповідальна особа звичайно ставить свій підпис. Подібна дія звичайно переслідує дві мети. По-перше, одержувач має можливість переконатися в істинності листа, звіривши підпис з наявним у нього зразком. По-друге, особистий підпис є юридичним гарантом авторства документа. Останній аспект особливо важливий при складанні різного роду торгових угод, складанні доручень, зобов'язань і т.д.

Якщо підробити підпис людини на папері дуже непросто, а установити авторство підпису сучасними криміналістичними методами – технічна деталь, то з підписом електронним справа обстоїть інакше. Підробити ланцюжок бітів, просто її скопіювавши, чи непомітно внести нелегальні виправлення в документ зможе будь-який користувач.

Із широким поширенням у сучасному світі електронних форм документів (у тому числі і конфіденційних) і засобів їхньої обробки особливо актуальною стала проблема встановлення дійсності й авторства безпаперової документації.

Електронним (цифровим) підписом називається приєднане до тексту його криптографічне перетворення, що дозволяє при одержанні тексту іншим користувачем перевірити авторство і дійсність повідомлення.

У розділі криптографічних систем з відкритим ключем було показано, що при всіх перевагах сучасних систем шифрування вони не дозволяють забезпечити автентифікацію даних. Тому засоби автентифікації повинні використовуватися в комплексі і криптографічних алгоритмах.

Отже, є два користувачі Олександр і Борис. Від яких порушень і дій зловмисника повинна захищати система автентифікації.

Відмовлення (ренегатство).

Олександр заявляє, що він не надсилав повідомлення Борису, хоча насправді він усе-таки надсилав.

Для виключення цього порушення використовується електронний (чи цифровий) підпис.

Модифікація (переробка).

Борис змінює повідомлення і затверджує, що дане (змінене) повідомлення послав йому Олександр.

Підробка.

Борис формує повідомлення і стверджує, що дане (змінене) повідомлення послав йому Олександр.

Активне перехоплення.

Володимир перехоплює повідомлення між Олександром і Борисом з метою їхньої скритої модифікації.

Для захисту від модифікації, підробки і маскування використовуються цифрові сигнатури.

Маскування (імітація).

Володимир надсилає Борису повідомлення від імені Олександра.

У цьому випадку для захисту також використовується електронний підпис.

Півтор.

Володимир повторює повідомлення, яке Олександр надіслав раніше Борису. Незважаючи на те, що приймаються всілякі заходи захисту від повторів, саме на цей метод приходиться більшість випадків незаконного зняття і витрати грошей у системах електронних платежів.

Найбільш діючим методом захисту від повтору є:

* використання імитовставок,

* облік вхідних повідомлень.

Іноді немає необхідності зашифровувати передане повідомлення, але потрібно його скріпити електронним підписом. У цьому випадку текст шифрується закритим ключем відправника й отриманий ланцюжок символів прикріплюється до документа. Одержувач за допомогою відкритого ключа відправника розшифровує підпис і звіряє її з текстом.

Крім вибору придатної для конкретної інформаційної системи криптографічної системи, важлива проблема – керування ключами. Як би ні була складна і надійна сама криптосистема, вона заснована на використанні ключів. Якщо для забезпечення конфіденційного обміну інформацією між двома користувачами процес обміну ключами тривіальний, то в системі, де кількість користувачів складає десятки і сотні керування ключами – серйозна проблема.

Під ключовою інформацією розуміється сукупність усіх діючих в системі ключів. Якщо не забезпечене досить надійне керування ключовою інформацією, то заволодівши нею, зловмисник одержує необмежений доступ до всієї інформації.

Керування ключами – інформаційний процес, що включає до себе три елементи:

* генерацію ключів;

* накопичення (або збереження) ключів;

* розподіл ключів.

Розглянемо, як вони повинні бути реалізовані для того, щоб забезпечити безпеку ключової інформації в інформаційній системі.

На самому початку розмови про криптографічні методи було сказано, що не варто використовувати невипадкові ключі з метою легкості їхнього запам'ятовування. У серйозних інформаційних системах використовуються спеціальні апаратні і програмні методи генерації випадкових ключів. Як правило, використовують датчики псевдовипадкових чисел (ПВЧ). Однак ступінь випадковості їхньої генерації повинна бути досить високою. Ідеальним генераторами є пристрої на основі «натуральних» випадкових процесів. Наприклад, з'явилися серійні зразки генерації ключів на основі білого радіошуму. Іншим випадковим математичним об'єктом є десяткові знаки ірраціональних чисел, наприклад p чи е, що обчислюються за допомогою стандартних математичних методів.

У інформаційних системах із середніми вимогами захищеності цілком прийнятні програмні генератори ключів, що обчислюють ПВЧ як складну функцію від поточного часу і/або числа, уведеного користувачем.

Під накопиченням ключів розуміється організація їхнього збереження, обліку і видалення.

Оскільки ключ є самим привабливим для ЗЛ об'єктом, що відкриває йому шлях до конфіденційної інформації, то питанням накопичення ключів варто приділяти особливу увагу.