<<
>>

1.5. Проблемы обеспечения конфиденциальности и аутентичности информации

Как известно из курса основ криптографии, о защищенности со-общений, передаваемых по каналам связи, можно говорить лишь в том случае, если для них обеспечены конфиденциальность (сек-ретность) и аутентичность (подлинность). Подлинность неявно под-разумевает целостность сообщения, т. е. если оно было повреждено при передаче, то нельзя говорить и о подлинности источника сооб-щения. Здесь мы остановимся на основных результатах, известных в этой области, а также, теоретических проблемах, остающихся не до конца разрешенными.

Конфиденциальность сообщений, как известно, может быть обеспечена либо симметричными шифрами, либо схемами открыто-го шифрования.

Практическое использование последних сдерживается сравнительно низкой скоростью их работы (как правило, на много порядков ниже, чем у симметричных). По этой причине ос-новным средством обеспечения конфиденциальности сообщений достаточно большого объема и при интенсивном трафике были и остаются симметричные алгоритмы шифрования.

Подлинность сообщений можно обеспечивать, используя коды аутентификации сообщений (Message Authentication Codes - MAC) либо цифровую подпись. Целесообразность применения одного из двух механизмов определяется требованием обеспечения в конкрет-ном приложении невозможности отказа от сообщений (или отсут-ствием этого требования). Невозможность отказа может быть обес-печена только асимметричными криптосхемами, т. е. в данном случае схемами цифровой подписи, так как в любой схеме цифровой подписи секретные ключи подписи имеют только одного владельца. Следовательно, при возникновении спора о факте создания какого- либо документа, заверенного цифровой подписью, его автора всегда можно установить однозначно. Симметричные криптосхемы сделать этого не позволяют, так как в них используются ключи, которые являются общими секретами как минимум для двух, а то и более уча-стников криптосистемы. Следовательно, однозначно установить единственное лицо, применившее секретный ключ для выполнения криптографического преобразования, не представляется возможным.

Применение цифровой подписи для обеспечения подлинности сообщений в электронной коммерции и в электронном документообороте, на наш взгляд, требует некоторых дополнительных ком-ментариев. Заметим, что для человека, несомненно, более удобным является подписание открытого текста документа: при этом он хорошо осознает свои действия и психологически готов нести ответст-венность за подписываемый документ. Далее подписанный документ при необходимости зашифровывается. Получатель обрабатывает документ в обратном порядке: сначала расшифровывает, потом проверяет цифровую подпись. С технической точки зрения более надежным было бы, напротив, подписание уже полностью обрабо-танного, в том числе зашифрованного, документа. При этом получа-телем проверялась бы подлинность «окончательного» источника данных, т. е. если проверка цифровой подписи получателем даст от-рицательный результат, это совершенно точно будет свидетельствовать о «внешней» ошибке либо злоумышленном воздействии на со- общение при передаче по каналу связи. Для корректной проверки цифровых подписей необходимо обеспечивать подлинность откры-тых ключей всех участников криптосистемы. Гарантии подлинности открытых ключей, как правило, предоставляются инфраструктурой криптосистемы, в частности инфраструктурой открытых ключей.

В тех случаях, когда требование невозможности отказа (с юри-дическим разрешением конфликтных ситуаций) не является крити-чески важным, используют симметричные методы аутентификации.

В симметричных криптосистемах также необходимо обеспечить подлинность общих секретных ключей, что достигается применением протоколов аутентичного распределения ключей. Когда участни-кам криптосистемы предоставлены гарантии подлинности их общих секретных ключей, только тогда можно говорить об обеспечении подлинности данных, передаваемых по каналу связи между ними.

Традиционно известны два метода обеспечения подлинности данных в электронных каналах связи: хеш-функции с ключом и блочные шифры в режимах работы, обеспечивающих аутентификацию сообщений. Оба подхода основаны на вычислении некоторого «контрольного кода», называемого в различных случаях хеш-кодом, тегом или имитовставкой. Для определенности будем далее во всех случаях называть его хеш-кодом. Независимо от способа вычисле-ния он прикрепляется отправителем к сообщению, а получатель са-мостоятельно тем же способом пересчитывает хеш-код полученного им сообщения и сверяет его с тем, которое прикреплено к сообще-нию. При положительном результате проверки источник сообщения считается аутентичным, так как верно сгенерировать хеш-код могло только то лицо, которое знает общий с получателем секретный ключ.

Симметричные алгоритмы обеспечивают высокую производи-тельность, что позволяет обрабатывать в режиме реального времени достаточно интенсивный трафик без ощутимых для человека вре-менных задержек. В зависимости от конкретных прикладных про-грамм и условий применения механизмов защиты можно выделить три ситуации:

требуется обеспечить только конфиденциальность данных;

требуется обеспечить только аутентичность данных;

3) требуется одновременно обеспечить конфиденциальность и аутентичность данных.

Таким образом, понятие защищенного канала передачи инфор-мации включает в себя три составные части: протокол аутентичного распределения ключей и механизмы обеспечения конфиденциально-сти и(или) аутентичности сообщений. Несмотря на кажущуюся про-стоту (всего две функции: обеспечение конфиденциальности и ау-тентичности), проблема получила серьезное научное содержание, что связано с множественностью самих определений безопасности и стойкости к различным видам атак, множеством требований к рас-пределению ключей, большим количеством известных протоколов распределения ключей и режимов шифрования.

Рассмотрим вначале случай, когда требуется только конфиденциальность данных. В настоящее время наиболее употребительны-ми в практике защиты информации являются пять режимов работы блочных шифров, обеспечивающих конфиденциальность, которые перечислены ниже:

режим простой замены, или режим электронной кодовой книги (Electronic CodeBook - ЕСВ );

режим сцепления блоков (Cipher Block Chaining - СВС);

автономный режим, или режим обратной связи по выходу (Output FeedBack - OFB);

режим обратной связи по шифртексту (Cipher FeedBack - CFB);

режим счетчика (Counter Mode Encryption - CTR).

Режимы различаются удобством (или неудобством) использования в тех или иных ситуациях, свойствами распространения ошибки, возможностями несанкционированного внесения изменений в шиф- ртекст, доказанными утверждениями о безопасности и пр.

Отечественным стандартом ГОСТ 28147-89 рекомендованы три режима работы блочного шифра, обеспечивающие конфиденциаль-ность: режим простой замены, режим гаммирования (соответствующий OFB) и режим гаммирования с обратной связью (соответствующий CFB).

Известны и другие режимы блочного шифрования, обеспечи-вающие конфиденциальность: 2DEM (2D-Encryption Mode), ABC (Accumulated Block Chaining), IGE (Infinite Garble Extension), XCB (Extended Codebook Mode). Последний режим рассматривается в научной литературе как перспективный, так как позволяет обрабатывать блоки произвольной длины, для которых реализует строгую псевдослучайную перестановку.

Теперь обратимся к случаю, когда при передаче данных необхо-димо обеспечить только аутентичность.

Для этого можно исполь-зовать либо хеш-функцию с ключом, либо блочный шифр в режиме аутентификации.

Стандартизованным, широко применяемым в практике защиты информации является режим СВС-МАС. Отечественным стандартом ГОСТ 28147-89 рекомендован режим выработки имитовставки, по принципу устройства в целом соответствующий режиму СВС-МАС, где в качестве хеш-кода сообщения берется фрагмент последнего блока шифртекста.

Из научной литературы известен целый ряд режимов работы блочных шифров, обеспечивающих аутентичность. Из них наиболее эффективными и стойкими считаются следующие два, которые являются кандидатами на стандартизацию:

одноключевой режим аутентификации со сцеплением блоков ОМАС (One-Key СВС MAC);

режим вероятностной аутентификации RMAC (Randomized MAC).

Перечислим и остальные режимы: РМАС (Parallelizable MAC), ТМАС (Two-Key СВС MAC), ХСВС-МАС (Extended Cipher Block Chaining MAC), XECB-MAC (Extended Electronic CodeBook MAC).

Напомним, что отечественным стандартом на хеш-функцию с ключом является ГОСТ Р 34.11-94.

Случай, когда требуется обеспечить одновременно конфиденци-альность и аутентичность, более всего интересен для обсуждения. Рассмотрим сначала основные теоретические результаты в этой области.

Функции обеспечения конфиденциальности и аутентичности мо-гут применяться к открытому тексту либо раздельно, либо одновре-менно. В первом случае немедленно возникает вопрос о порядке их применения. Пусть КЕ - общий секретный ключ шифрования отпра-вителя и получателя данных, Км - их общий секретный ключ аутен- 62 Запечников С. В. Криптографические протоколы и их применение

тификации, EKf - алгоритм шифрования, ТК - алгоритм вычисле-ния хеш-кода, EKt>K - алгоритм обработки сообщения отправителем, М - открытый текст, С - шифртекст. Очевидно, возможны три варианта обработки сообщения отправителем (получатель обраба-тывает сообщения в обратном порядке):

отдельно зашифровывается открытый текст и отдельно вы-числяется хеш-код, который присоединяется к шифртексту (encrypt- and-authenticate):

eke,km{m)=ekf{mItku{m)-,

сначала вычисляется хеш-код, который присоединяется к от-крытому тексту сообщения, а затем оба они зашифровываются (au-thenticate-then-encrypt):

сначала открытый текст зашифровывается, затем вычисляется хеш-код шифртекста, который присоединяется к нему (encrypt-then- authenticate):

Екк,ки (М) = С\К (С)' где С = ЕКе (МУ

Какой из этих способов лучше? И каковы критерии их оценки? Доказано, что самым стойісим методом является третий. Он макси-мально полно удовлетворяет всем критериям безопасности, включая стойкость к атакам по выбранным открытым текстам и к атакам по выбранным шифртекстам. Другие методы в общем случае не обес-печивают безопасности передаваемых данных, хотя в не очень от-ветственных случаях различия в доказанных свойствах не имеют практического значения. Можно даже построить пример такого про-токола, в котором используется совершенно секретный (по Шенно-ну) шифр, но если выбран второй метод защиты (authenticate-then- encrypt), то протокол получается абсолютно нестойким к атакам ак-тивного противника. Вместе с тем доказано, что в частном случае, когда применяется стойкий алгоритм блочного шифрования в режиме СВС или поточный шифр (накладывающий на поток данных слу-чайную или псевдослучайную двоичную последовательность), метод authenticate-then-encrypt является стойким.

Есть и второй путь решения рассматриваемой задачи защиты - одновременное применение функций обеспечения конфиденциаль-ности и аутентичности. Для этого используются специальные режимы работы блочных шифров, называемые реэ/симами аутентичного іиифрования (authenticated encryption).

Наиболее эффективными из них, претендующими быть стандар-тами, являются следующие:

режим счетчика со сцеплением блоков ССМ (Counter with СВС-МАС);

режим счетчика над полем Галуа GCM (Galois/Counter Mode).

Кроме них, известен еще целый ряд режимов аутентичного шифрования: CS (Cipher-State Mode), CWC (Carter - Wegman autheti- cation with Counter encryption), EAX (A Conventional Authenticated- Encryption Mode), IACBC (Integrity Aware Cipher Block Chaining), IAPM (Integrity Aware Parallelizable Mode), OCB (Offset CodeBook), PCFB (Propagating Cipher Feedback), XCBC (Extended Cipher Block Chaining Encryption).

Большинство теоретических результатов в рассматриваемой области было получено за последние несколько лет. Наиболее распро-страненные сейчас протоколы образования защищенных каналов передачи данных были разработаны раньше, чем стали известны эти результаты. Так, в протоколе SSL используется метод authenticate- then-encrypt, в SSH - метод encrypt-and-authenticate, которые с точки зрения теоретической криптографии в общем случае являются не-стойкими. Но в стандартизованной спецификации протокола SSL как раз использован режим шифрования СВС, который согласно из-вестным, доказанным криптографами результатам является исклю-чением из общего правила и обеспечивает стойкость протокола в данном частном случае, несмотря на его нестойкость в общем случае. Все же возможности атаки на протокол SSL остаются, и такой пример мы рассмотрим в гл. 4.

Было бы, конечно, лучше, чтобы протоколы обеспечивали наи-высшую степень стойкости независимо от конкретных условий и особенностей применения, но поскольку жизненный цикл хорошо разработанных и апробированных технологий достаточно длителен, надеяться на корректировку протоколов можно только в будущем, с развитием и совершенствованием информационных технологий.

<< | >>
Источник: Запечников С. В.. Криптографические протоколы и их применение в финансовой и коммерческой деятельности: Учебное пособие для вузов. - М.: Горячая линия-Телеком,2007. - 320 с.. 2007

Еще по теме 1.5. Проблемы обеспечения конфиденциальности и аутентичности информации:

  1. 1.3.4. Проблема обеспечения специальных образовательных потребностей лиц с ограничениями слуха
  2. 2.3. Защита информации органов власти Российской Федерации как механизм реализации государственной политики в области обеспечения информационной безопасности России
  3. ГЛАВА I. ГЕНЕЗИС И ПРОБЛЕМЫ ОБЕСПЕЧЕНИЯ УСТОЙЧИВОГО РАЗВИТИЯ ПРЕДПРИНИМАТЕЛЬСКИХ СТРУКТУР
  4. 7. Международное сотрудничество Российской Федерации в области обеспечения информационной безопасности
  5. 8.2. Требования к системам защиты информации от несанкционированного доступа
  6. 1.5. Проблемы обеспечения конфиденциальности и аутентичности информации
  7. 3.1.4. Цели обеспечения безопасности информации в СЭП
  8. Информация о персональных данных работника и ее защита.
  9. § 1. Проблемы обеспечения сохранности объектов историко-культурного наследия
  10. ПРОБЛЕМЫ ОБЕСПЕЧЕНИЯ ПРАВ ЛИЧНОСТИ ПРИ ЗАКЛЮЧЕНИИ ЛИЦА ПОД СТРАЖУ В УГОЛОВНОМ ПРОЦЕССЕ РОССИИ Т. С. Михалёв
  11. 26(2).5. Защита информации в защищенной системе (принципы целостности и изменчивости в решении задачи обеспечения безопасности)
  12. 6.2. МАССОВАЯ ИНФОРМАЦИЯ. ПРОБЛЕМЫ ПОЭТИКИ И РИТОРИКИ МАССОВОЙ ИНФОРМАЦИИ
  13. ГЛАВА 1. ПРОБЛЕМЫ ОБЕСПЕЧЕНИЯ МЕДИЦИНСКИХ ОРГАНИЗАЦИЙ РЕСУРСАМИ В СОВРЕМЕННЫХ УСЛОВИЯХ
  14. ГЛАВА 4. ПРОБЛЕМЫ ОБЕСПЕЧЕНИЯ ЛЕЧЕБНО- ДИАГНОСТИЧЕСКОГО ПРОЦЕССА МЕДИЦИНСКИМИ ИЗДЕЛИЯМИ ПО ДАННЫМ СОЦИОЛОГИЧЕСКОГО ИССЛЕДОВАНИЯ