24. Современные симметричные криптосистемы. Абсолютно стойкий шифр.

• Потоковые (результат шифрования каждого бита открытого текста зависит от ключа шифрования и значения этого бита).

• Блочные (результат шифрования каждого бита открытого текста зависит от ключа шифрования и значений всех битов шифруемого блока и, возможно, предыдущего блока).

Потоковые шифры

• В основе лежит гаммирование. Криптостойкость полностью определяется структурой используемого генератора псевдослучайной последовательности (чем меньше период псевдослучайной последовательности, тем ниже криптостойкость потокового шифра).

• Основным преимуществом является высокая производительность. Эти шифры наиболее пригодны для шифрования непрерывных потоков открытых данных (например, в сетях передачи данных или связи).

• К наиболее известным относятся:

• RC4 (Rivest Cipher 4), разработанный Р.Ривестом (R.Rivest); в шифре RC4 может использоваться ключ переменной длины;

• SEAL (Software Encryption ALgorithm) – приспособленный для программной реализации потоковый шифр, использующий ключ длиной 160 бит;

• WAKE (Word Auto Key Encryption).

Блочные шифры

• В этих криптосистемах открытый текст разбивается на блоки фиксированной, как правило, длины, и к каждому блоку применяется функция шифрования, использующая перестановки битов блока и многократное повторение операций подстановки и гаммирования, после чего над зашифрованными блоками может выполняться дополнительная операция перед включением их в шифротекст.

К наиболее распространенным способам построения блочных шифров относится сеть Фейстела, при использовании которой каждый блок открытого текста представляется сцеплением двух полублоков одинакового размера L₀||R₀. Затем для каждой итерации (раунда) i выполняется следующее:

1. L_i=R_i-1 ;

2. R_i=L_i-1 Å f(R_i-1, k_i), где

• f – функция шифрования;

• k_i – внутренний ключ, используемый на i-м раунде шифрования (k_i определяется исходным ключом шифрования открытого текста и номером раунда).

Совершенный шифр

" X, Y p(X|Y)=p(X), где

• p(X) – вероятность выбора для шифрования открытого текста X,

• p(X|Y) – вероятность передачи открытого текста X при условии перехвата шифротекста Y.

Условия построения идеального (абсолютно стойкого) шифра

Определены К.Шенноном:

• ключ шифрования вырабатывается совершенно случайным образом;

• один и тот же ключ должен применяться для шифрования только одного открытого текста;

• длина шифруемого открытого текста не должна превышать длину ключа шифрования.

К сожалению, в большинстве случаев выполнение этих условий обеспечить практически невозможно, хотя короткие и наиболее важные сообщения следует шифровать именно так. Для открытых текстов большой длины главной проблемой симметричной криптографии является генерация, хранение и распространение ключа шифрования достаточной длины.

Очевидно, что за счет увеличения длины ключа шифрования можно уменьшить требования к сложности алгоритма блочного шифрования (например, уменьшить количество раундов) и наоборот – более короткий ключ требует увеличения сложности криптоалгоритма.

24. Криптосистема DES.

Алгоритм DES до 2001 г. являлся федеральным стандартом США на защиту информации, не относящейся к государственной тайне. Он был поддержан национальным институтом США по стандартам и технологиям (National Institute of Standards and Technologies) и американской ассоциацией банкиров (American Bankers Association). Алгоритм DES допускает программную и аппаратную реализацию.

K – ключ шифрования (длина 64 бита, из которых 8 битов контрольных), IP – начальная перестановка битов в блоке открытого текста P длиной 64 бита, IP^-1 – обратная к IP перестановка, L и R – соответственно левый и правый полублоки (длиной 32 бита) блока P, k_i – внутренний ключ шифрования i-го раунда длиной 48 бит (k_i=KS(i, K)), f – основная функция шифрования, на вход которой поступает блок длиной 32 бита, а на выходе формируется блок длиной также 32 бита.

Шифрование блока открытого текста P

1. L₀R₀=IP(P).

2. Сеть Фейстела с количеством раундов, равным 16.

3. C=IP^-1(R₁₆L₁₆).

24. Модификации DES. Криптосистема ГОСТ 28147-89.

Модификации DES.

• В тройном DES (3-DES) к одному и тому же блоку открытого текста P функция шифрования применяется трижды с тремя разными ключами (k1, k2 и k3), что обеспечивает увеличение длины ключа окончательного шифрования и количества раундов в три раза:

C=E_k3(D_k2(E_k1(P))).

• Расшифрование выполняется следующим образом:

P=D_k1(E_k2(D_k3(C))).

• На втором шаге тройного DES используется не функция шифрования, а функция расшифрования, поскольку при k1=k2=k3 результат шифрования по алгоритму 3-DES совпадает с шифрованием по алгоритму DES на ключе k1.

• Недостатком алгоритма 3-DES является снижение производительности шифрования в три раза по сравнению с алгоритмом DES. Этого недостатка лишен алгоритм DESX:

С=k2 Å E_k(k1 Å P), где

• k – ключ DES-шифрования длиной 56 бит;

• k1 и k2 – дополнительные ключи шифрования длиной 64 бита каждый.

• Общая длина ключа шифрования, используемого в алгоритме DESX, составляет, таким образом, 184 бита. Расшифрование шифротекста по алгоритму DESX производится следующим образом:

P=D_k(C Å k2) Å k1.

Криптосистема ГОСТ 28147-89.

• Используется ключ шифрования k длиной 256 бит, который может рассматриваться как массив из 8 32-битных элементов k₀, k₁, … , k₇ (внутренних ключей).

• Дополнительным ключевым элементом алгоритма является таблица замен H, представляющая собой матрицу из 8 строк и 16 столбцов, элементы которой – целые числа от 0 до 15. Каждая строка таблицы замен должна содержать 16 различных чисел. Таким образом, общий размер таблицы замен составляет 512 бит.

• В алгоритме основной функции шифрования f используется нелинейная операция - циклический сдвиг на 11 бит влево, что дополнительно повышает криптостойкость алгоритма по сравнению с DES.

Режимы

• Режим простой замены соответствует режиму ECB криптосистемы DES.

• Режим гаммирования похож на режим OFB криптосистемы DES, но не используется регистр сдвига, а блоки открытого текста складываются с результатом шифрования очередного элемента псевдослучайной последовательности, генерируемой на основе двух рекуррентных соотношений – одного для старшей части псевдослучайного числа и другого для младшей части.

• Режим гаммирования с обратной связью похож на режим CFB криптосистемы DES, но в нем не используется регистр сдвига.

• Дополнительный режим выработки имитовставки используется с одним из основных режимов и предназначен для обеспечения подлинности и целостности шифротекста:

" i, 1≤i≤n S_i=E_k(S_i-1 Å P_i), S₀=0 (в качестве имитовставки берется младшая часть (32 бита) полученного двоичного числа S_n)

24. Принципы создания и свойства асимметричных криптосистем.

В основе асимметричных криптографических систем лежит понятие однонаправленной функции f, обладающей следующими свойствами:

• простое (не требующее больших ресурсов) вычисление значения функции y=f(x);

• существование обратной функции f-1;

• сложное (требующее ресурсов за переделами возможностей современных компьютеров) вычисление значения обратной функции x=f-1(y).

• Фактически в асимметричной криптографии используется подкласс однонаправленных функций – однонаправленные функции с обходными путями, для которых обратная функция может быть вычислена так же просто, как и прямая, только если известна специальная информация об обходных путях. Эта специальная информация исполняет роль секретного (закрытого) ключа.

Требования

Пусть pk – открытый ключ, а sk –закрытый ключ. Должны выполняться следующие условия, чтобы E и D образовывали асимметричную криптосистему:

1. D_sk(E_pk(P))=P (расшифрование должно восстанавливать открытый текст P).

2. Функции E_pk и D_sk должны быть просты в реализации.

3. При раскрытии преобразования, выполняемого с помощью E_pk, не должно раскрываться преобразование, выполняемое с помощью D_sk (из открытого ключа нельзя получить закрытый ключ).

4. D_pk(E_sk(P))=P (возможно использование закрытого ключа для шифрования, а открытого – для расшифрования).

• Четвертое условие является необязательным и не все асимметричные криптосистемы им обладают.

Свойства

• К особенностям современных асимметричных криптосистем, которые не позволяют им полностью заменить симметричные криптосистемы, относятся:

• большая продолжительность процедур шифрования и расшифрования (примерно в 1000 раз больше);

• необходимость использования существенно более длинного ключа шифрования для обеспечения той же криптостойкости шифра (например, симметричному ключу длиной 56 бит будет соответствовать асимметричный ключ длиной 384 бита, а симметричному ключу длиной 112 бит – асимметричный ключ длиной 1792 бита).

24. Криптосистемы RSA и Диффи-Хеллмана.

Криптосистема RSA

RSA (Rivest, Shamir, Adleman).

Выбор ключей шифрования:

1. выбираются два больших простых числа p и q;

2. вычисляется значение модуля n=p•q;

3. выбирается достаточно большое целое число y (или d), которое является взаимно простым с φ(n) и вместе с n образует закрытый ключ шифрования (y, n) (φ(n) – функция Эйлера);

4. вычисляется целое число x (или e), которое является мультипликативно обратным числу y по модулю φ(n) и вместе с n образует открытый ключ шифрования (x, n).

• Шифрование по алгоритму RSA выполняется следующим образом:

C=P^x {mod n}, где

• P – открытый текст;

• C – шифротекст.

• Для расшифрования шифротекста производится следующее действие:

• P=C^y {mod n}. Если P и n являются взаимно простыми, то C^y {mod n}=(P^x)^y {mod n}=P^xy {mod n}=P^1+φ(n)•k {mod n}=P•P^φ(n)•k {mod n} = P•1^k {mod n}=P (из теоремы Эйлера).

• Если криптоаналитику удастся разложить n на множители p и q, то он сможет вычислить значение φ(n)=(p-1)(q-1), затем определить значение y и раскрыть тем самым параметры шифрования. На современном уровне развития компьютерных технологий значение n должно содержать не менее 1024 бит.

Диффи-Хеллмана.

Предназначена только для генерации ключа симметричного шифрования, который затем будет использован субъектами A и B для защищенного обмена сообщениями по открытой сети:

1. A: выбирает x_a и вычисляет y_a=a^xa {mod p} (p – простое число или степень простого числа, 1<a<p-1).

2. B: выбирает x_b и вычисляет y_b=a^xb {mod p}.

3. A->B: y_a.

4. B->A: y_b.

5. A: вычисляет k_a=(y_b)^xa {mod p}.

6. B: вычисляет k_b=(y_a)^xb {mod p}.

7. Конец (k_a=(y_b)^xa {mod p}=(a^xb)^xa {mod p}=a^xb∙xa {mod p}=a^xa∙xb {mod p}=k_b и созданный ключ может теперь использоваться для защищенного обмена сообщениями между A и B).

• Основана на вычислительной сложности задачи дискретного логарифмирования: вычисление y=a^x {mod p} (p – простое число или степень простого числа, 1<x<p-1, 1<a<p-1) выполняется просто, но вычисление x=log_ay {mod p} выполняется весьма сложно.

• Значения a и p в системе Диффи-Хеллмана не являются секретными, поскольку, даже зная их, нарушитель не сможет решить задачу дискретного логарифмирования и найти значения x_a и x_b, чтобы вычислить сгенерированный ключ симметричного шифрования (однако необходимо получение A и B этих параметров из надежного источника).

24. Электронная цифровая подпись и ее использование.

Угрозы безопасности электронных документов

• подготовка документа от имени другого субъекта (маскарад);

• отказ автора документа от факта его подготовки (ренегатство);

• изменение получателем документа его содержания (подмена);

• изменение содержания документа третьим лицом (активный перехват);

• повторная передача по компьютерной сети ранее переданного документа (повтор).

• Представляет собой относительно небольшой по объему блок данных, передаваемый (хранящийся) вместе (реже – отдельно) с подписываемым с ее помощью документом.

• Механизм ЭЦП состоит из двух процедур – получения (простановки) подписи с помощью закрытого ключа автора документа и проверки ЭЦП при помощи открытого ключа автора документа.

Алгоритм получения ЭЦП под документом P

1. Вычисление хеш-значения H(P) для документа P.

2. Шифрование H(P) с помощью закрытого ключа автора документа ska – E_ska(H(P)) (полученный шифротекст и будет являться ЭЦП).

Алгоритм проверки ЭЦП S под документом P

1. Вычисления хеш-значения H(P) для документа P.

2. Расшифрование ЭЦП с помощью открытого ключа автора документа pka – D_pka(S)=D_pka(E_ska(H(P)))=H(P).

3. Сравнение вычисленного и расшифрованного хеш-значений для документа P.

Механизм ЭЦП

• Принципиальным моментом является то, что подпись под электронным документом невозможно подделать без знания закрытого ключа автора документа, поэтому компрометация закрытого ключа недопустима.

• Способы хранения личного ключа: в файле, зашифрованном с помощью ключа, выводимого из парольной фразы; на устройстве, защищенном PIN-кодом от несанкционированного чтения; на сервере с возможностью его безопасной передачи на рабочую станцию.

24. Функции хеширования.

Процесс преобразования исходного текста M произвольной длины в хеш-значение (хеш-код, дайджест, образ или просто хеш) H(M) фиксированной длины.

Требования

• постоянство длины хеш-значения независимо от длины исходного текста

"M Length[H(M)]=const

• полная определенность (для двух одинаковых исходных текстов должно получаться одно и то же хеш-значение)

"M₁=M₂ H(M₁)=H(M₂)

• необратимость (невозможность восстановления исходного текста по его хеш-значению)

$ØH^-1 H^-1(M)=M

• стойкость к «взлому» (практическая невозможность подобрать другой исходный текст для известного хеш-значения)

$ØM′≠M H(M′)=H(M)

Применение

• Хранение многоразовых паролей пользователей компьютерных систем.

• Генерация одноразовых паролей и откликов на случайные запросы службы аутентификации (протоколы S/Key, CHAP).

• При вычислении и проверке ЭЦП.

• Для обеспечении целостности информации (конструкция HMAC_K(M)=H[(KÅopad) || H[(KÅipad) || M]], где K – секретный ключ, ipad и opad − константы).

Функции хеширования

• MD2, MD4, MD5 (Message Digest) – получают хеш-значение длиной 128 бит и используются в системе ЭЦП RSA;

• SHA (Secure Hash Algorithm) – получает хеш-значение длиной 160, 192 или 256 бит и используется в системе ЭЦП DSS;

• ГОСТ Р 34.11-94 – получает хеш-значение длиной 256 бит и используется в российских стандартах ЭЦП;

• RIPEMD (Race Integrity Primitives Evaluation Message Digest) – получает хеш-значение длиной 128 или 160 бит (две модификации).

24. Криптографический интерфейс ОС Windows и принципы его использования.

• Набор констант, типов данных и функций, предназначенных для выполнения операций шифрования, расшифрования, получения и проверки ЭЦП, генерации, хранения и распределения ключей шифрования.

• Эти услуги для приложений предоставляют криптопровайдеры (Cryptographic Service Provider, CSP) – динамически компонуемые библиотеки (DLL), экспортирующие единый набор объектов, определяемый интерфейсом CryptoAPI.

Принципы взаимодействия между приложением и CSP

• приложение не имеет прямого доступа к изготовлению и хранению ключей шифрования (нет риска их потери из-за ошибок в приложении);

• приложение не определяет деталей выполнения криптографических операций, а лишь указывает на требуемые от CSP действия (например, зашифровать по заданному алгоритму данные и получить для них ЭЦП);

• приложение не обрабатывает данных, по которым проводится аутентификация пользователя (владельца секретных ключей), а предоставляет это CSP.

Криптопровайдер

Характеризуется своим присвоенным производителем именем (строкой символов) и типом (именованной целочисленной константой), определяющим поддерживаемые этим провайдером криптографические алгоритмы и их характеристики (атрибуты криптопровайдера).

Версии CryptoAPI

• 1.0 – содержит базовый набор функций для выполнения всех необходимых криптографических операций.

• 2.0 – содержит дополнительные функции для работы с сертификатами и поддержки инфраструктуры открытых ключей (требуется подключение библиотеки crypt32.dll).

• CAPICOM – содержит набор многокомпонентных объектов для выполнения криптографических операций в сценариях и апплетах (требуется библиотека capicom.dll).

Примеры использования CryptoAPI

• Шифрующая файловая система Windows (EFS).

• Пакет программ Microsoft Office.

24. Компьютерная стеганография и ее применение.

• Применительно к стеганографии различают сообщение (объект, существование и содержание которого должно быть скрыто) и контейнер (объект, в котором скрывается сообщение).

• При помещении сообщения в контейнер может использоваться секретный ключ, определяющий порядок помещения сообщения в контейнер. Этот же ключ должен быть задан при извлечении сообщения из контейнера

Принципы компьютерной стеганографии

• обеспечение аутентичности и целостности файла-сообщения;

• открытость методов компьютерной стеганографии;

• сохранение основных свойств файла-контейнера после помещения в него сообщения (после этого файл-контейнер можно открывать, сжимать, восстанавливать без потери качества и изменения содержания информации в контейнере);

• сложность извлечения сообщения из файла контейнера при известности факта скрытия сообщения, но без знания ключа.

Применение компьютерной стеганографии

• защита от несанкционированного доступа к конфиденциальной информации;

• преодоление систем сетевого мониторинга и управления сетевыми ресурсами (например, систем промышленного шпионажа, регистрирующих частоту обмена конфиденциальными сообщениями даже при отсутствии возможности их расшифрования);

• камуфлирование конфиденциального программного обеспечения (защита от его использования незарегистрированными пользователями путем его скрытия в мультимедийных файлах);

• защита авторских прав создателей (владельцев) электронных документов путем нанесения на файлы с этими документами (фото, аудио и видеоматериалами) специальной метки («водяного знака»), распознаваемого только специальным программным обеспечением.

Методы компьютерной стеганографии

• методы, использующие специальные свойства форматов электронных документов;

• методы, использующие естественную избыточность оцифрованных графических изображений, звука и видеоинформации.

24. Вредоносные программы и их классификация.

• К вредоносным программам (иначе называемым разрушающими программными воздействиями) относятся компьютерные вирусы и программные закладки.

• Впервые термин компьютерный вирус ввел в употребление специалист из США Ф.Коэн в 1984 г.

Компьютерный вирус

Автономно функционирующая программа, обладающая одновременно тремя свойствами:

• способностью к включению своего кода в тела других файлов и системных областей памяти компьютера;

• последующему самостоятельному выполнению;

• самостоятельному распространению в компьютерных системах.

Программная закладка

Внешняя или внутренняя по отношению к атакуемой компьютерной системе программа, обладающая определенными разрушительными функциями по отношению к этой системе.

Классификация компьютерных вирусов

1. По способу распространения в компьютерной системе:

• файловые вирусы, заражающие файлы одного или нескольких типов;

• загрузочные вирусы, заражающие загрузочные сектора жестких дисков и дискет;

• комбинированные вирусы, способные заражать и файлы, и загрузочные сектора дисков.

2. По способу заражения других объектов компьютерной системы:

• резидентные вирусы, часть кода которых постоянно находится в оперативной памяти компьютера и заражает другие объекты;

• нерезидентные вирусы, которые заражают другие объекты в момент открытия уже зараженных ими объектов.

3. По деструктивным возможностям:

• безвредные вирусы, созданные в целях «обучения», однако снижающие эффективность работы компьютерной системы за счет потребления ее ресурсов;

• неопасные вирусы, создающие различные звуковые и видеоэффекты;

• опасные и очень опасные вирусы, вызывающие сбои в работе программного и (или) аппаратного обеспечения компьютера, потерю программ и данных, а потенциально – вывод из строя аппаратуры КС и нанесение вреда здоровью пользователей.

4. По особенностям реализуемого алгоритма:

• вирусы-спутники, создающие для заражаемых файлов одноименные файлы с кодом вируса и переименовывающие исходные файлы (при открытии зараженного файла фактически открывается файл с кодом вируса, в котором после выполнения предусмотренных автором действий открывается исходный файл);

• паразитические вирусы, которые обязательно изменяют содержимое заражаемых объектов;

• вирусы-невидимки («стелс»-вирусы), в которых путем перехвата обращений операционной системы к зараженным объектам скрывается факт присутствия вируса в компьютерной системе (при собственном обращении к дисковой памяти вирусы-невидимки также используют нестандартные средства для обхода средств антивирусной защиты);

• вирусы-призраки (полиморфные вирусы), каждая следующая копия которых в зараженных объектах отличается от предыдущих (не содержит одинаковых цепочек команд за счет применения шифрования на различных ключах базового кода вируса).

24. Методы обнаружения и удаления компьютерных вирусов.

• физическое или логическое (для отдельных учетных записей) отключение накопителей для съемных дисков;

• разграничение прав отдельных пользователей и групп на доступ к папкам и файлам операционной системы и других пользователей;

• ограничение времени работы в компьютерной системе привилегированных пользователей;

• использование, как правило, только лицензионного программного обеспечения, приобретенного у официальных представителей фирм-правообладателей;

• выделение не подсоединенного к локальной сети компьютера для тестирования полученного из ненадежных источников программного обеспечения;

• использование встроенной в Microsoft Office защиты от потенциально опасных макросов, разрешающей в зависимости от установленного уровня выполнение макросов, содержащихся в документах из надежных расположений, подписанных доверенными издателями или разрешенных пользователем после получения соответствующего предупреждения.

Методы обнаружения

1. Просмотр (сканирование) проверяемых объектов (системных областей дисковой и оперативной памяти, а также файлов заданных типов) в поиске сигнатур (уникальных последовательностей байтов) известных вирусов. Недостатки: необходимость постоянного обновления баз данных сигнатур известных вирусов, неспособность обнаружить новые компьютерные вирусы.

2. Инспекция (обнаружение изменений в объектах компьютерной системы) путем сравнения их вычисленных при проверке хеш-значений с эталонными (или проверки ЭЦП для этих объектов). Недостатки: не все изменения проверяемых объектов вызываются вирусным заражением, не может помочь при записи на жесткий диск компьютера пользователя уже зараженного файла.

3. Эвристический анализ – проверка системных областей памяти и файлов с целью обнаружения фрагментов исполнимого кода, характерного для компьютерных вирусов. Недостатки: длительность процедуры проверки, возможность ложных сообщений о найденных вирусах.

4. Мониторинг − постоянное присутствие в оперативной памяти компьютера с целью сканирования всех открываемых или получаемых извне файлов и контроля всех «подозрительных» действий других программ. Недостатки: снижение эффективности работы системы, возможность выполнения контролируемых действий незараженными программами.

5. Вакцинирование – присоединение к защищаемому файлу специального модуля контроля, следящего за целостностью данного файла с помощью вычисления его хеш-значения и сравнения с эталоном. Недостатки: возможность обхода вирусами-невидимками , неприменимость для защиты файлов документов.

6. Блокирование потенциально опасных действий пользователя:

• Установка параметров безопасности и конфиденциальности в обозревателе Интернета.

• Установка защиты от записи в загрузочные сектора с помощью программы BIOS Setup.

• Определение недоступных для изменения областей дисковой памяти с помощью драйвера PCI-контроллера

Удаление

1. Автоматическое − с помощью заранее разработанного алгоритма «лечения» зараженных известным вирусом объектов.

2. Автоматическое или «ручное» удаление зараженного объекта (с его последующим восстановлением по сохраненной незараженной резервной копии). Иногда возможно автоматическое восстановление объекта соответствующей программой (например, файла normal.dot программой Microsoft Office Word).

3. Полная переустановка системы, включая форматирование дисковой памяти, восстановление главного загрузочного сектора, установку операционной системы и прикладного программного обеспечения, восстановление файлов данных с резервных носителей информации.