Баричев С Криптография без секретов

Отавтора
Эта книга — краткоевведение вкриптографию.С одной стороны, здесь изложенматериал, которыйотвечает намногие вопросы, которые возникаюту тех кто делаетна ниве этойнауке первыешаг, с другойстороны здесьесть тот минимуминформации, который достаточендля того чтобысамостоятельнооценивать любыереальныекриптосистемыили даже создаватьсвои собственные.
Язык книгиделался повозможностидоступным, ноне освобождаетЧитателя отнеобходимостивладенияэлементарнымиосновами математики, в частностиалгебры и теориигрупп и полей.
Многие вопросык сожалениюостались заобложками этойкниги. В частностипосле долгихсомнений Авторрешил отказатьсяот рассмотренияDES, ввидуего крайнейнепрактичностии неуживчивостина российскойпочве1.
Массу полезнойинформацииможно найтина сервереftp.rsa.com.В faq5.doc Вы еслии не найдетеответ на любойвопрос покриптографии, то обнаружитебольшое количествоссылок на другиеисточники.
Автор будетпризнателенза любые замечанияи вопросы, которыепроще всегонаправить поадресу: bar@glasnet.ru
Баричев Сергей
Введение
Про­бле­маза­щи­ты ин­фор­ма­циипу­тем еепре­об­ра­зо­ва­ния, исключающегоее про­чте­ниепо­сто­рон­нимли­цом вол­но­ва­лаче­ло­ве­че­скийум с дав­нихвре­мен. Историякриптографии- ровесницаистории человеческогоязыка. Болеетого, первоначальнописьменностьсама по себебыла криптографическойсистемой, таккак в древнихобществах еювладели толькоизбранные.Священные книгиДрев­негоЕгип­та, Древ­нейИндии томупримеры.
С широкимраспространениемписьменностикриптографиястала формироватьсякак самостоятельнаянаука. Первыекриптосистемывстречаютсяуже в началенашей эры. Так, Цезарь в своейперепискеиспользовалуже более менеесистематическийшифр, получившийего имя.
Бурное раз­ви­тиекрип­то­гра­фи­че­скиесис­те­мыпо­лу­чи­лив го­ды пер­войи вто­рой ми­ро­выхвойн. Начинаяс послевоенноговремени и понынешний деньпоявлениевычислительныхсредств ускорилоразработкуи совершенствование криптографическихметодов.
По­че­му про­бле­маис­поль­зо­ва­ниякрип­то­гра­фи­че­скихме­то­дов винформационныхсистемах (ИС)ста­ла в на­стоя­щиймо­мент осо­боак­ту­аль­на?
С од­ной сто­ро­ны, рас­ши­ри­лосьис­поль­зо­ва­ниеком­пь­ю­тер­ныхсе­тей, в частностиглобальнойсети Интернет, по ко­то­рымпе­ре­да­ют­сяболь­шие объ­е­мыин­фор­ма­цииго­су­дар­ст­вен­но­го, во­ен­но­го, ком­мер­че­ско­гои ча­ст­но­гоха­рак­те­ра, не до­пус­каю­ще­говоз­мож­ностьдос­ту­па кней по­сто­рон­нихлиц.
С дру­гой сто­ро­ны, по­яв­ле­ниено­вых мощ­ныхком­пь­ю­те­ров, тех­но­ло­гийсе­те­вых иней­рон­ныхвы­чис­ле­нийсде­ла­ловоз­мож­нымдис­кре­ди­та­циюкриптографическихсис­тем ещене­дав­носчи­тав­ших­ся прак­ти­че­скине раскрываемыми.
Про­бле­мойзащиты информациипутем ее преобразованияза­ни­ма­ет­сякрип­то­ло­гия(kryptos — тай­ный,logos — нау­ка).Криптологияраз­де­ля­ет­сяна два на­прав­ле­ния- крип­то­гра­фиюи крип­тоа­на­лиз.Це­ли этихна­прав­ле­нийпрямо про­ти­во­по­лож­ны.
Крип­то­гра­фияза­ни­ма­ет­сяпо­ис­ком иис­сле­до­ва­ни­емма­те­ма­ти­че­скихме­то­довпре­об­ра­зо­ва­нияин­фор­ма­ции.
Сфе­ра ин­те­ре­совкриптоанализа — ис­сле­до­ва­ниевоз­мож­но­стирас­шиф­ро­вы­ва­нияин­фор­ма­циибез зна­нияклю­чей.
В этой книгеос­нов­ноевни­ма­ниебу­дет уде­ле­нокрип­то­гра­фи­че­скимме­то­дам.
Современнаякриптографиявключает в себячетыре крупныхраздела:
Симметричные криптосистемы.
Криптосистемы с открытым ключом.
Системы электронной подписи.
Управление ключами.
Основные направления использованиякриптографическихметодов — передачаконфиденциальнойинформациипо каналамсвязи (например, электроннаяпочта), установлениеподлинностипередаваемыхсообщений, хра­не­ниеин­фор­ма­ции(до­ку­мен­тов, баз данных) нано­си­те­ляхв за­шиф­ро­ван­номви­де.Тер­ми­но­ло­гия
Итак, криптографиядает возможностьпреобразоватьинформациютаким образом, что ее прочтение(восстановление)возможно толькопри знанииключа.
В качествеинформации, подлежащейшифрованиюи дешифрованию, будут рассматриватьсятексты, построенныена некоторомалфавите. Подэтими терминамипонимаетсяследующее.
Алфавит — конечноемножествоиспользуемыхдля кодированияинформациизнаков.
Текст — упорядоченныйнабор из элементовалфавита.
В качествепримеров алфавитов, используемыхв современныхИС можно привестиследующие:
алфавит Z33 — 32 буквы русского алфавита и пробел;
алфавит Z256 — символы, входящие в стандартные коды ASCII и КОИ-8;
бинарный алфавит — Z2 = {0,1};
восьмеричный алфавит или шестнадцатеричный алфавит;
Шиф­ро­ва­ние — пре­об­ра­зо­ва­тель­ныйпро­цесс: ис­ход­ныйтекст, ко­то­рыйно­сит так­жена­зва­ниеот­кры­то­готек­ста, за­ме­ня­ет­сяшиф­ро­ван­нымтек­стом.


Криптографическая система

/>/>

/>/>


/>


Дешифрование — обратный шифрованиюпроцесс. Наоснове ключашифрованныйтекст преобразуетсяв исходный.

/>


Ключ — ин­фор­ма­ция, не­об­хо­ди­маядля бес­пре­пят­ст­вен­но­гошиф­ро­ва­нияи де­шиф­ро­ва­ниятек­стов.
Крип­то­гра­фи­че­скаясис­те­мапред­став­ля­етсо­бой се­мей­ст­воT пре­об­ра­зо­ва­нийот­кры­то­готек­ста. Чле­ныэто­го се­мей­ст­ваин­дек­си­ру­ют­ся, или обо­зна­ча­ют­сясим­во­лом k; па­ра­метр kяв­ля­ет­сяклю­чом.Про­стран­ст­воклю­чей K — этона­бор воз­мож­ныхзна­че­нийклю­ча. Обыч­ноключ пред­став­ля­етсо­бой по­сле­до­ва­тель­ныйряд букв ал­фа­ви­та.
Криптосистемыразделяютсяна симметричныеи с открытымключом.
В симметричныхкриптосистемахи для шифрования, и для дешифрованияиспользуетсяодин и тот жеключ.
В системах соткрытым ключомиспользуютсядва ключа — открытыйи закрытый, которые математическисвязаны другс другом. Информацияшифруется спомощью открытогоключа, которыйдоступен всемжелающим, арасшифровываетсяс помощью закрытогоключа, известноготолько получателюсообщения.
Тер­ми­нырас­пре­де­ле­ниеклю­чей иуправ­ле­ниеклю­ча­миот­но­сят­сяк про­цес­самсис­те­мыоб­ра­бот­киин­фор­ма­ции, со­дер­жа­ни­емко­то­рыхяв­ля­ет­сясо­став­ле­ниеи рас­пре­де­ле­ниеклю­чей ме­ж­дуполь­зо­ва­те­ля­ми.
Электронной(цифровой) подписьюназываетсяприсоединяемоек тексту егокриптографическоепреобразование, которое позволяетпри получениитекста другимпользователемпроверитьавторство иподлинностьсообщения.
Крип­то­стой­ко­стьюна­зы­ва­ет­сяха­рак­те­ри­сти­кашиф­ра, оп­ре­де­ляю­щаяего стой­костьк де­шиф­ро­ва­ниюбез зна­нияклю­ча (т.е.крип­тоа­на­ли­зу).Имеется несколькопоказателейкриптостойкости, среди которых:
количество всех возможных ключей;
среднее время, необходимое для криптоанализа.
Пре­об­ра­зо­ва­ниеTk оп­ре­де­ля­ет­сясо­от­вет­ст­вую­щимал­го­рит­моми зна­че­ни­емпа­ра­мет­раk. Эф­фек­тив­ностьшиф­ро­ва­нияс це­лью за­щи­тыин­фор­ма­цииза­ви­сит отсо­хра­не­ниятай­ны клю­чаи криптостойкостишифра. Требованияк криптосистемам
Про­цесскрип­то­гра­фи­че­ско­гоза­кры­тияданных мо­жетосу­ще­ст­в­лять­сякак про­грамм­но, так и аппаратно.Ап­па­рат­наяреа­ли­за­цияот­ли­ча­ет­сясу­ще­ст­вен­ноболь­шей стои­мо­стью, од­на­ко ейпри­су­щи ипре­иму­ще­ст­ва: вы­со­каяпро­из­во­ди­тель­ность, про­сто­та, за­щи­щен­ностьи т.д. Про­грамм­наяреа­ли­за­циябо­лее прак­тич­на, до­пус­ка­етиз­вест­нуюгиб­кость вис­поль­зо­ва­нии.
Для со­вре­мен­ныхкрип­то­гра­фи­че­скихсис­тем за­щи­тыин­фор­ма­циисфор­му­ли­ро­ва­нысле­дую­щиеоб­ще­при­ня­тыетре­бо­ва­ния:
за­шиф­ро­ван­ное сообщение дол­жно под­да­вать­ся чте­нию толь­ко при на­ли­чии клю­ча;
чис­ло опе­ра­ций, не­об­хо­ди­мых для оп­ре­де­ле­ния ис­поль­зо­ван­но­го клю­ча шиф­ро­ва­ния по фраг­мен­ту шиф­ро­ван­но­го сообщения и со­от­вет­ст­вую­ще­го ему от­кры­то­го тек­ста, долж­но быть не мень­ше об­ще­го чис­ла воз­мож­ных клю­чей;
чис­ло опе­ра­ций, не­об­хо­ди­мых для рас­шиф­ро­вы­ва­ния ин­фор­ма­ции пу­тем пе­ре­бо­ра все­воз­мож­ных ключей долж­но иметь стро­гую ниж­нюю оцен­ку и вы­хо­дить за пре­де­лы воз­мож­но­стей со­вре­мен­ных ком­пь­ю­те­ров (с учетом возможности использования сетевых вычислений);
зна­ние ал­го­рит­ма шиф­ро­ва­ния не долж­но вли­ять на на­деж­ность за­щи­ты;
не­зна­чи­тель­ное из­ме­не­ние клю­ча долж­но при­во­дить к су­ще­ст­вен­но­му из­ме­не­нию ви­да за­шиф­ро­ван­но­го сообщения да­же при ис­поль­зо­ва­нии од­но­го и то­го же клю­ча;
струк­тур­ные эле­мен­ты ал­го­рит­ма шиф­ро­ва­ния долж­ны быть не­из­мен­ны­ми;
до­пол­ни­тель­ные би­ты, вво­ди­мые в сообщение в про­цес­се шиф­ро­ва­ния, должен быть пол­но­стью и на­деж­но скры­ты в шиф­ро­ван­ном тек­сте;
дли­на шиф­ро­ван­но­го тек­ста долж­на быть рав­ной дли­не ис­ход­но­го тек­ста;
не долж­но быть про­стых и лег­ко ус­та­нав­ли­вае­мых зависимостью ме­ж­ду клю­ча­ми, по­сле­до­ва­тель­но ис­поль­зуе­мы­ми в про­цес­се шиф­ро­ва­ния;
лю­бой ключ из мно­же­ст­ва возможных дол­жен обес­пе­чи­вать на­деж­ную за­щи­ту ин­фор­ма­ции;
ал­го­ритм должен до­пус­кать как про­грамм­ную, так и ап­па­рат­ную реа­ли­за­цию, при этом из­ме­не­ние длины к­лю­ча не долж­но вес­ти к ка­че­ст­вен­но­му ухуд­ше­нию ал­го­рит­ма шифрования.Симметричныекриптосистемы
Все мно­го­об­ра­зиесу­ще­ст­вую­щихкрип­то­гра­фи­че­скихме­то­дов мож­носве­сти к сле­дую­щимклас­сампре­об­ра­зо­ва­ний:
/>/>



Симметричные
криптосистемы


/>/>


Мо­но-и мно­го­ал­фа­вит­ныепод­ста­нов­ки.
Наи­бо­леепро­стой видпре­об­ра­зо­ва­ний, за­клю­чаю­щий­сяв за­ме­несим­во­ловис­ход­но­готек­ста на другие(того же алфавита)по бо­лее илиме­нее слож­но­мупра­ви­лу. Дляобес­пе­че­ниявы­со­койкрип­то­стой­ко­ститре­бу­ет­сяис­поль­зо­ва­ниеболь­ших клю­чей.
Пе­ре­ста­нов­ки.
Так­же не­слож­ныйме­тод крип­то­гра­фи­че­ско­гопре­об­ра­зо­ва­ния.Ис­поль­зу­ет­сякак пра­ви­лов со­че­та­ниис дру­ги­миме­то­да­ми.
Гам­ми­ро­ва­ние.
Этот ме­тодза­клю­ча­ет­сяв на­ло­же­ниина ис­ход­ныйтекст не­ко­то­ройпсев­до­слу­чай­нойпо­сле­до­ва­тель­но­сти, ге­не­ри­руе­мойна ос­но­веклю­ча.
Блочныешифры.
Пред­став­ля­ютсо­бой по­сле­до­ва­тель­ность(с воз­мож­нымпо­вто­ре­ни­еми че­ре­до­ва­ни­ем)ос­нов­ныхме­то­довпре­об­ра­зо­ва­ния, при­ме­няе­муюк блоку (части)шиф­руе­мого­тек­ста. Блочныешифры на прак­ти­кевстре­ча­ют­сяча­ще, чем “чис­тые”пре­об­ра­зо­ва­ниято­го или ино­гоклас­са в си­луих бо­лее вы­со­койкрип­то­стой­ко­сти.Рос­сий­скийи аме­ри­кан­скийстан­дар­тышиф­ро­ва­нияос­но­ва­ныимен­но на этомклассе шифров.Перестановки
Перестановкой наборацелых чисел(0,1,...,N-1) называетсяего переупорядочение.Для того чтобыпоказать, чтоцелое i пере­мещеноиз позиции i впозицию (i), где 0 (i) n, будемиспользоватьзапись
=((0),(1),...,(N-1)).
Число перестановокиз (0,1,...,N-1) равноn!=1*2*...*(N-1)*N. Введемобозначение длявзаимно-однозначногоотображения(гомо­морфизма)набора S={s0,s1,...,sN-1}, состоящегоизn элементов, на себя.
:S S
:sis(i),0 i n
Будем говорить, что в этомсмысле являетсяперестановкойэлементовS. И, наоборот, автоморфизмS соответствуетпере­становкецелых чисел(0,1,2,..,n-1).
КриптографическимпреобразованиемT для алфавитаZm называетсяпоследовательностьавтоморфизмов:T={T(n):1n
T(n):Zm,nZm,n,1n
Каждое T(n)является, таким образом, перестановкойn-грамм из Zm,n.
Поскольку T(i)и T(j) могутбыть определенынезависимо при ij, число криптографическихпреобразованийисходноготекста размерностиn равно (mn)!2.Оно возрастаетнепропорциональнопри увеличенииm иn: так, приm=33 иn=2 числоразличныхкриптографическихпреобразованийравно 1089!.. Отсюдаследует, чтопотенциальносуществуетбольшое числоотображенийисходноготекста в шифрованный.
Практическаяреализациякриптогра­фическихсистем требует, чтобы преобразо­вания{Tk: kK}были определеныалгоритмами, зависящимиот относительнонебольшогочисла параметров(ключей). Сис­те­мыпод­ста­но­вок
ОпределениеПодстановкой на алфавитеZm называетсяавтоморфизмZm, при которомбуквы исходноготекста t замещеныбуквами шифрованноготекста (t):
ZmZm;:t(t).
Набор всехподстановокназываетсясимметрическойгруппой Zmи будет вдальнейшемобозначатьсякак SYM(Zm).
УтверждениеSYM(Zm) cоперациейпроизведенияявляется группой, т.е. операцией, обладающейследующимисвойствами:
Замкнутость: произведение подстановок 12 является подста­новкой:
: t1(2(t)).
Ассоциативность: результат произведения 123 не зависит от порядка расстановки скобок:
(12)3=1(23)
Существование нейтрального элемента: постановка i, опре­деляемая как i(t)=t, 0tm) по операции умножения: i=i для SYM(Zm).
Существование обратного: для любой подстановки  существует единственная обратная подстановка -1, удовлетворя­ющая условию
 1= 1=i.
Число возможныхподстановокв симметрическойгруппе Zm называетсяпорядкомSYM(Zm) и равноm!.
Определение.Ключом подстановкиk для Zm называетсяпоследовательностьэлементовсимметрическойгруппы Zm:
k=(p0,p1,...,pn-1,...),pnSYM(Zm),0n
Подстановка, определяемаяключом k, являетсякрипто­гра­фи­ческимпреобразованиемTk, при помощикоторогоосуществляетсяпреоб­разованиеn-граммы исходноготекста (x0,x1,..,xn-1) вn-граммушифрованноготекста (y0,y1,...,yn-1):
yi=p(xi), 0i
гдеn – произвольное(n=1,2,..). Tk называетсямоноалфавитнойпод­ста­новкой, если p неизменнопри любом i,i=0,1,..., в противномслучае Tkназываетсямногоалфавитнойподстановкой.
Примечание.К наиболеесущественнымособенностямподста­новкиTk относятсяследующие:
1. Исходный текстшифруетсяпосимвольно.Шифрованияn-граммы (x0,x1,..,xn-1) и ее префикса(x0,x1 ,..,xs-1)связаны соотношениями
Tk(x0,x1,..,xn-1)=(y0,y1,...,yn-1)
Tk(x0,x1,..,xs-1)=(y0,y1,...,ys-1)
2. Буква шифрованноготекста yiявляется функциейтолько i-й компонентыключа piиi-й буквы исходноготекста xi.ПодстановкаЦезаря
ПодстановкаЦезаря являетсясамым простымвариантомподстановки.Она относитсяк группе моноалфавитныхподстановок.
Определение.ПодмножествоCm={Ck: 0km), содержащееm подстановок
Ck:j(j+k)(modm),0km,
называетсяподстановкойЦезаря.
Умножениекоммутативно,CkCj=CjCk=Cj+k,C0– идентичнаяподстановка, а обратной кCк являетсяCk-1=Cm-k, где 0k3.
Подстановкаопределяетсяпо таблицезамещения, содержащейпары соответствующихбукв “исходныйтекст – шифрованныйтекст”. Для C3подстановкиприведены вТабл. 1. Стрелка() означает, что буква исходноготекста (слева)шифруется припомощи C3 вбукву шифрованноготекста (справа).
Определение.Системой Цезаряназываетсямоноалфа­витнаяподстановка, преобразующаяn-грамму исходноготекста (x0,x1,..,xn-1) вn граммушифрованноготекста (y0,y1,...,yn-1) в соответствиис правилом
yi=Ck(xi),0i
Например, ВЫШЛИТЕ_НОВЫЕ_УКАЗАНИЯпосредствомподстановкиC3 преобразуетсяв еюыолхиврсеюивцнгкгрлб.
Таблица 1.
Аг
Йм
Тх
Ыю
Бд
Кн
Уц
Ья
Ве
Ло
Фч
Э_
Гж
Мп
Хш
Юа
Дз
Нр
Цщ
Яб
Еи
Ос
Чъ
_в
Жй
Пт
Шы

Зк
Ру
Щь

Ил
Сф
Ъэ


При своей несложностисистема легкоуязвима. Еслизлоумышленникимеет
1) шифрованныйи соответ­ствующийисходный текстили
2) шифрованныйтекст выбранногозлоумыш­ленникомисходноготекста,
то определениеключа и дешифрованиеисходноготекста тривиальны.
БолееэффективныобобщенияподстановкиЦезаря — шифрХиллаи шифрПлэйфера.Они основанына подстановкене отдельныхсимволов, а2-грамм (шифрПлэйфера) илиn-грамм3(шифр Хилла).При более высокойкриптостойкостиони значительносложнее дляреализациии требуют достаточнобольшого количестваключевой информации.Многоалфавитныесистемы. Системыодноразовогоиспользования.
Слабая криптостойкостьмоноалфавитныхподстановокпреодолеваетсяс применениемподстановокмногоалфавитных.
Многоалфавитнаяподстановкаопределяетсяключом =(1,
2, ...), содержащимне менее двухразличныхподстановок.В начале рассмотриммногоалфавитныесистемы подстановокс нулевым начальнымсмещением.
Пусть {Ki: 0im
Pкл{(K0, K1,..., Kn-1)=(k0, k1,..., kn-1)}=(1/m)n
Система одноразовогоиспользованияпреобразуетисходный текст
X=(X0,x1,...,xn-1)
в шифрованныйтекст
Y=(Y0,y1,...,yn-1)
при помощиподстановкиЦезаря
Yi=CKi(xi)=(Ki+Xi)(modm) i=0...n-1 (1)
Для такой системыподстановкииспользуюттакже термин“одноразоваялента” и “одноразовыйблокнот”.Пространствоключей К системыодноразовойподстановкиявляется векторомрангов (K0, K1,..., Kn-1) и содержитmn точек.
Рассмотримнебольшойпример шифрованияс бесконечнымключом. В качествеключа примемтекст
“БЕСКОНЕЧНЫЙ_КЛЮЧ....”.
Зашифруем сего помощьютекст “ШИФР_НЕРАСКРЫВАЕМ”.Шифрованиеоформим в таблицу:
--PAGE_BREAK--ШИФРУЕМЫЙ_ТЕКСТ 24 8 20 16 19 5 12 27 9 32 18 5 10 17 18 БЕСКОНЕЧНЫЙ_КЛЮЧ 1 5 17 10 14 13 5 23 13 27 9 32 10 11 30 ЩРДЪАТТССЦЪЫДФЬП 25 13 4 26 18 17 17 22 26 27 4 20 28 15

Исходныйтекст невозможновосстановитьбез ключа.
Наложениебелого шумав виде бесконечногоключа на исходныйтекст меняетстатистическиехарактеристикиязыка источника.Системы одноразовогоиспользованиятеоретическине расшифруемы4, так как не содержатдостаточнойинформациидля восстановлениятекста.
Почему же этисистемы неприменимыдля обеспечениясекретностипри обработкеинформации? Ответ простой- они непрактичны, так как требуютнезависимоговыбора значенияключа для каждойбуквы исходноготекста. Хотятакое требованиеможет быть ине слишкомтрудным припередаче попрямому кабелюМосква — Нью-Йорк, но для информационныхоно непосильно, поскольку тампридется шифроватьмногие миллионызнаков.
Посмотрим, чтополучится, еслиослабить требованиешифроватькаждую буквуисходноготекста отдельнымзначениемключа. СистемышифрованияВижинера
Начнем с конечнойпоследовательностиключа
k= (k0,k1,...,kn),
которая называетсяключом пользователя, и продлим еедо бесконечнойпоследовательности, повторяя цепочку.Таким образом, получим рабочийключ
k= (k0,k1,...,kn),kj= k(jmod r,0 j
Например, приr =  и ключепользователя15 8 2 10 11 4 18 рабочийключ будетпериодическойпоследовательностью:
15 8 2 10 11 4 18 15 8 2 10 11 4 18 15 8 2 10 11 4 18 ...

Определение.ПодстановкаВижинера VIGkопределяетсякак
VIGk: (x0,x1,...,xn-1)(y0,y1,...,yn-1)= (x0+k,x1+k,...,xn-1+k).
Таким образом:
1) исходный текстx делится наr фрагментов
xi= (xi,xi+r, ...,xi+r(n-1)),0 i r;
2) i-й фрагментисходноготекстаxiшифруется припомощи подстановкиЦезаря Ck :
(xi,xi+r, ...,xi+r(n-1))(yi,yi+r, ...,yi+r(n-1)),
Вариант системыподстановокВижинера приm=2 называетсясистемой Вернама(1917 г).
В то время ключk=(k0,k1 ,...,kк-1)записывалсяна бумажнойленте. Каждаябуква исходноготекста в алфавите, расширенномнекоторымидополнительнымизнаками, сначалапереводиласьс использованиемкода Бодо впятибитовыйсимвол. К исходномутексту Бододобавлялсяключ (по модулю2). Старинныйтелетайп фирмыAT&T со считывающимустройствомВернама иоборудованиемдля шифрования, использовалсякорпусом связиармии США.
Очень распространенаплохая с точкизрения секретностипрактикаиспользоватьслово или фразув качествеключа для того, чтобы k=(k0,k1 ,...,kк-1) былолегко запомнить.В ИС для обеспечениябезопасностиинформацииэто недопустимо.Для полученияключей должныиспользоватьсяпрограммныеили аппаратныесредства случайнойгенерацииключей.

Пример. Преобразованиетекста с помощьюподстановкиВижинера (r=4)
Исходный текст(ИТ1):
НЕ_СЛЕДУЕТ_ВЫБИРАТЬ_НЕСЛУЧАЙНЫЙ_КЛЮЧ
Ключ: КЛЮЧ
Разобьем исходныйтекст на блокипо 4 символа:
НЕ_С ЛЕДУЕТ_В ЫБИР АТЬ_НЕСЛ УЧАЙ НЫЙ_КЛЮЧ
и наложим наних ключ (используятаблицу Вижинера):
H+К=Ч, Е+Л=Р и т.д.
Получаемзашифрованный(ЗТ1) текст:
ЧРЭЗ ХРБЙ ПЭЭЩДМЕЖ КЭЩЦ ЧРОБЭБЮ_ ЧЕЖЦ ФЦЫН
Можно выдвинутьи обобщеннуюсистему Вижинера.ЕЕ можно сформулироватьне только припомощи подстановкиЦезаря.
Пустьx — подмножествосимметрическойгруппы SYM(Zm).
Определение.r-многоалфавитныйключ шифрованияесть r-набор = (0,1, ..., r-1)с элементамивx.
Обобщеннаясистема Вижинерапреобразуетисходный текст(x0,x1 ,...,xn-1) вшифрованныйтекст (y0,y1,...,yn-1) при помощиключа = (0, 1,..., r-1)по правилу
VIGk: (x0,x1,...,xn-1)(y0,y1,...,yn-1)= (0(х0),1(х1),..., n-1(xn-1)),
где используетсяусловие i= imodr .

Следует признать, что и многоалфавитныеподстановкив принципедоступныкриптоаналитическомуисследованию.Криптостойкостьмногоалфавитныхсистем резкоубывает с уменьшениемдлины ключа.
Тем не менеетакая системакак шифр Вижинерадопускаетнесложнуюаппаратнуюили программнуюреализациюи при достаточнобольшой длинеключа можетбыть использованв современныхИС. Гам­ми­ро­ва­ние
Гам­ми­ро­ва­ниеяв­ля­ет­сятак­же ши­ро­копри­ме­няе­мымкрип­то­гра­фи­че­скимпре­об­ра­зо­ва­ни­ем.На са­мом де­легра­ни­ца ме­ж­дугам­ми­ро­ва­ни­еми ис­поль­зо­ва­ни­ембес­ко­неч­ныхклю­чей и шиф­ровВи­жи­не­ра, о ко­то­рыхречь шла вы­ше, весь­ма ус­лов­ная.
Прин­цип шифрованиягам­ми­ро­ва­ни­емза­клю­ча­ет­сяв ге­не­ра­циигам­мы шиф­рас по­мо­щьюдат­чи­капсев­до­слу­чай­ныхчи­сел и на­ло­же­ниипо­лу­чен­нойгам­мы на от­кры­тыедан­ные об­ра­ти­мымоб­ра­зом(на­при­мер, ис­поль­зуясло­же­ние помо­ду­лю 2).
Про­цесс дешифрованиядан­ных сво­дит­сяк по­втор­нойге­не­ра­циигам­мы шиф­рапри из­вест­номклю­че и на­ло­же­ниита­кой гам­мына за­шиф­ро­ван­ныедан­ные.
По­лу­чен­ныйза­шиф­ро­ван­ныйтекст яв­ля­ет­сядос­та­точ­нотруд­ным длярас­кры­тияв том слу­чае, ес­ли гам­машиф­ра не со­дер­житпо­вто­ряю­щих­сяби­то­выхпо­сле­до­ва­тель­ностей.По су­ти де­лагам­ма шиф­радолж­на из­ме­нять­сяслу­чай­нымоб­ра­зом дляка­ж­до­гошиф­руе­мо­госло­ва. Фак­ти­че­скиже, ес­ли пе­ри­одгам­мы пре­вы­ша­етдли­ну все­гоза­шиф­ро­ван­но­готек­ста и не­из­вест­нани­ка­кая частьис­ход­но­готек­ста, то шифрмож­но рас­крытьтоль­ко пря­мымпе­ре­бо­ром(про­бой наключ). Криптостойкостьв этом слу­чаеоп­ре­де­ля­ет­сяраз­ме­ромклю­ча.
Ме­тод гам­ми­ро­ва­нияста­но­вит­сябес­силь­ным, ес­ли зло­умыш­лен­ни­куста­но­вит­сяиз­вес­тенфраг­ментис­ход­но­готек­ста исо­от­вет­ст­вую­щаяему шиф­ро­грам­ма.Про­стым вы­чи­та­ни­емпо мо­ду­люпо­лу­ча­ет­сяот­ре­зок ПСПи по не­мувос­ста­нав­ли­ва­ет­сявся по­сле­до­ва­тель­ность. Зло­умыш­лен­ни­кимо­жет сде­латьэто на ос­но­ведо­га­док осо­дер­жа­нииис­ход­но­готек­ста. Так, ес­ли боль­шин­ст­вопо­сы­лае­мыхсо­об­ще­нийна­чи­на­ет­сясо слов “СОВ.СЕК­РЕТ­НО”, то крип­тоа­на­лизвсе­го тек­стазна­чи­тель­нооб­лег­ча­ет­ся.Это сле­ду­етучи­ты­ватьпри соз­да­ниире­аль­ныхсис­тем ин­фор­ма­ци­он­нойбезо­пас­но­сти.
Ниже рассматриваютсянаиболеераспространенныеметоды генерациигамм, которыемогут бытьиспользованына практике.
ДатчикиПСЧ
Что­бы по­лу­читьли­ней­ныепо­сле­до­ва­тель­но­стиэле­мен­товгам­мы, дли­нако­то­рыхпре­вы­ша­етраз­мер шиф­руе­мыхдан­ных, ис­поль­зу­ют­сядат­чи­ки ПСЧ.На ос­но­ветео­рии группбы­ло раз­ра­бо­та­ноне­сколь­коти­пов та­кихдат­чи­ков.Конгруэнтныедатчики
В на­стоя­щеевре­мя наи­бо­леедос­туп­ны­мии эф­фек­тив­ны­мияв­ля­ют­сякон­гру­энт­ныеге­не­ра­то­рыПСП. Для это­гоклас­са ге­не­ра­то­ровмож­но сде­латьма­те­ма­ти­че­скистро­гое за­клю­че­ниео том, ка­ки­мисвой­ст­ва­миоб­ла­да­ютвы­ход­ныесиг­на­лы этихге­не­ра­то­ровс точ­ки зре­нияпе­рио­дич­но­стии слу­чай­но­сти.
Од­ним из хо­ро­шихкон­гру­энт­ныхге­не­ра­то­ровяв­ля­ет­сяли­ней­ныйкон­гру­энт­ныйдат­чик ПСЧ.Он вы­ра­ба­ты­ва­етпо­сле­до­ва­тель­но­стипсев­до­слу­чай­ныхчи­сел T(i), опи­сы­вае­мыесо­от­но­ше­ни­ем
T(i+1)= (A*T(i)+C)modm,
где А и С — кон­стан­ты, Т(0) — ис­ход­наяве­ли­чи­на, вы­бран­наяв ка­че­ст­вепо­ро­ж­даю­ще­гочис­ла. Оче­вид­но, что эти триве­ли­чи­ныи об­ра­зу­ютключ.
Та­кой дат­чикПСЧ ге­не­ри­ру­етпсев­до­слу­чай­ныечис­ла с оп­ре­де­лен­нымпе­рио­домпо­вто­ре­ния, за­ви­ся­щимот вы­бран­ныхзна­че­ний Аи С. Зна­че­ниеm обыч­ноус­та­нав­ли­ва­ет­сярав­ным 2n, гдеn — дли­на машинногосло­ва в би­тах.Дат­чик име­етмак­си­маль­ныйпе­ри­од М дото­го, какге­не­ри­руе­маяпо­сле­до­ва­тель­ностьнач­нет по­вто­рять­ся.По при­чи­не, от­ме­чен­нойра­нее, не­об­хо­ди­мовы­би­ратьчис­ла А и Ста­кие, что­быпе­ри­од М былмак­си­маль­ным.Как по­ка­за­ноД. Кну­том, ли­ней­ныйкон­гру­энт­ныйдат­чик ПСЧиме­ет мак­си­маль­нуюдли­ну М то­гдаи толь­ко то­гда, ко­гда С — не­чет­ное, и Аmod 4 = 1.
Для шиф­ро­ва­ниядан­ных с по­мо­щьюдат­чи­ка ПСЧмо­жет бытьвы­бран ключлю­бо­го раз­ме­ра.На­при­мер, пусть ключсо­сто­ит изна­бо­ра чи­селx(j) раз­мер­но­стьюb, где j=1, 2, ...,n. То­гдасоз­да­вае­муюгам­му шиф­раG мож­но пред­ста­витькак объ­е­ди­не­ниене­пе­ре­се­каю­щих­сямно­жеств H(j).ДатчикиМ-последовательностей5
М-последовательноститакже популярны, благодаряотносительнойлегкости ихреализации.
М-последовательностипредставляютсобой линейныерекуррентныепоследовательностимаксимальногопериода, формируемыеk-разряднымигенераторамина основе регистровсдвига. На каждомтакте поступившийбит сдвигаетk предыдущихи к нему добавляетсяих сумма помодулю 2. Вытесняемыйбит добавляетсяк гамме.
Строго этоможно представитьв виде следующихотношений:
r1:=r0 r2:=r1 … rk-1:=rk-2
r0:=a0r1 a1 r2… ak-2rk-1
Гi:=rk-
Здесь r0r1 … rk-1 — kоднобитныхрегистров, a0a1 … ak-1 — коэффициентынеприводимогодвоичногополинома степениk-1. Гi — i-е значениевыходной гаммы.
ПериодМ-последовательностиисходя из еесвойств равен2k-1.
Другим важнымсвойствомМ-последовательностиявляется объемансамбля, т.е.количестворазличныхМ-последовательностейдля заданногоk. Этахарактеристикаприведена втаблице:

k Объем ансамбля 5 6 6 8 7 18 8 16 9 48 10 60 16 2048

Очевидно, чтотакие объемыансамблейпоследовательностинеприемлемы.
Поэтому напрактике частоиспользуютпоследовательностиГолда, образующиесясуммированиемнесколькихМ-последовательно­стей.Объем ансамблейэтих последовательностейна несколькопорядков превосходятобъемы ансамблейпорождающихМ-последовательностей.Так при k=10ансамбльувеличиваетсяот 1023 (М-последовательности)до 388000.
Такжеперспективнымипредставляютсянелинейныедатчики ПСП(например сдвиговыерегистры сэлементом Ив цепи обратнойсвязи), однакоих свойстваеще недостаточноизучены.
Воз­мож­ны идру­гие, бо­лееслож­ные ва­ри­ан­тывы­бо­ра по­ро­ж­даю­щихчи­сел для гам­мышиф­ра.

Шиф­ро­ва­ниес по­мо­щьюдат­чи­ка ПСЧяв­ля­ет­сядо­воль­норас­про­стра­нен­нымкрип­то­гра­фи­че­скимме­то­дом. Вомно­гом ка­че­ст­вошиф­ра, по­стро­ен­но­гона ос­но­ведат­чи­ка ПСЧ, оп­ре­де­ля­ет­сяне толь­ко ине столь­коха­рак­те­ри­сти­ка­мидат­чи­ка, сколь­коал­го­рит­момпо­лу­че­ниягам­мы. Одиниз фун­да­мен­таль­ныхприн­ци­повкрип­то­ло­ги­че­скойпрак­ти­кигла­сит, да­жеслож­ные шиф­рымо­гут бытьочень чув­ст­ви­тель­нык про­стымвоз­дей­ст­ви­ям.Стан­дартшиф­ро­ва­ниядан­ных ГОСТ28147-896
Важ­ной за­да­чейв обес­пе­че­ниига­ран­ти­ро­ван­нойбезо­пас­но­стиин­фор­ма­циив ИС яв­ля­ет­сяраз­ра­бот­каи ис­поль­зо­ва­ниястан­дарт­ныхал­го­рит­мовшиф­ро­ва­ниядан­ных. Пер­вымсре­ди по­доб­ныхстан­дар­товстал аме­ри­кан­скийDES, пред­став­ляю­щийсо­бой по­сле­до­ва­тель­ноеис­поль­зо­ва­ниеза­мен и пе­ре­ста­но­вок.В на­стоя­щеевре­мя все ча­щего­во­рят оне­оп­рав­дан­нойслож­но­стии не­вы­со­койкрип­то­стой­ко­сти.На прак­ти­кепри­хо­дит­сяис­поль­зо­ватьего мо­ди­фи­ка­ции.
Бо­лее эф­фек­тив­нымяв­ля­ет­сяоте­че­ст­вен­ныйстан­дартшиф­ро­ва­ниядан­ных.
Он ре­ко­мен­до­ванк ис­поль­зо­ва­ниюдля за­щи­тылю­бых дан­ных, пред­став­лен­ныхв ви­де дво­ич­но­гоко­да, хо­тяне ис­клю­ча­ют­сяи дру­гие ме­то­дышиф­ро­ва­ния.Дан­ный стан­дартфор­ми­ро­вал­сяс уче­том ми­ро­во­гоопы­та, и вча­ст­но­сти, бы­ли при­ня­тыво вни­ма­ниене­дос­тат­кии не­реа­ли­зо­ван­ныевоз­мож­но­стиал­го­рит­маDES, по­это­муис­поль­зо­ва­ниестан­дар­таГОСТ пред­поч­ти­тель­нее.Ал­го­ритмдос­та­точ­носло­жен и ни­жебу­дет опи­са­нав ос­нов­номего кон­цеп­ция.
Вве­дем ас­со­циа­тив­нуюопе­ра­циюкон­ка­те­на­ции, ис­поль­зуядля нее муль­ти­п­ли­ка­тив­нуюза­пись. Кро­мето­го бу­демис­поль­зо­ватьсле­дую­щиеопе­ра­циисло­же­ния:
AB — побитовое сложение по модулю 2;
A[+]B — сложение по модулю 232;
A{+}B — сложение по модулю 232-1;.
Алгоритмкриптографическогопреобразованияпредусматриваетнесколькорежимов работы.Во всех режимахиспользуетсяключ W длиной256 бит, представляемыйв виде восьми32-разрядныхчиселx(i).
W=X(7)X(6)X(5)X(4)X(3)X(2)X(1)X(0)
Для дешифрованияиспользуетсятот же ключ, нопроцесс дешифрованияявляется инверснымпо отношениюк исходному.
Самыйпростой извозможныхрежимов — замена.
Пустьоткрытые блокиразбиты наблоки по 64 битв каждом, которыеобозначим какT(j).
Очереднаяпоследовательностьбит T(j) разделяетсяна две последовательностиB(0) и A(0) по 32 бита(правый и левыйблоки). Далеевыполняетсяитеративныйпроцесс шифрованияописываемыйследующимиформулами, видкоторый зависитот :i:
Для i=1, 2, ..., 24, j=(i-1)mod 8;
A(i) = f(A(i-1) [+]x(j)) B(i-1)
B(i) = A(i-1)
Для i=25, 26, ..., 31, j=32-i;
A(i) = f(A(i-1) [+]x(j)) B(i-1)
B(i) = A(i-1)
Для i=32
A(32) = A(31)
B(32) = f(A(31) [+]x(0)) B(31).
Здесьi обозначаетномер итерации.Функция f– функция шифрования.
Функцияшифрованиявключает двеоперации над32-разряднымаргументом.
Перваяоперация являетсяподстановкойK.Блок подстановкиК состоит из8 узлов заменыК(1)… К(8) с памятью64 бита каждый.Поступающийна блок подстановки32-разрядныйвектор разбиваетсяна 8 последовательноидущих 4-разрядныхвектора, каждыйиз которыйпреобразуетсяв 4-разрядныйвектор соответствующимузлом замены, представляющимиз себя таблицуиз 16 целых чиселв диапазоне0...15. Входной векторопределяетадрес строкив таблице, числоиз которойявляется выходнымвектором. Затем4-разрядныевекторы последовательнообъединяютсяв 32-разрядныйвыходной.
Втораяоперация — циклическийсдвиг влево32-разрядноговектора, полученногов результатеподстановкиК. 64-разрядныйблок зашифрованныхданных Т представляетсяв виде
Т=А(32)В(32).
Остальныеблоки открытыхданных в режимепростой заменызашифровываютсяаналогично.
Следуетучитывать, чтоданный режимшифрованияобладает ограниченнойкриптостойкостью.
Другой режимшифрованияназываетсярежимом гаммирования.
Открытыеданные, разбитыена 64-разрядныеблоки T(i) (i=1,2,...,m)(mопределяетсяобъемом шифруемыхданных), зашифровываютсяв режиме гаммированияпутем поразрядногосложения помодулю 2 с гаммойшифра Гш, которая вырабатываетсяблоками по 64бит, т.е.
Гш=(Г(1), Г(2),...., Г(m)).
Уравнениешифрованияданных в режимегаммированияможет бытьпредставленов следующемвиде:
Ш(i)=A(Y(i-1)C2, Z(i-1)) {+} C(1) T(i)=Г(i) T(i)
Вэтом уравненииШ(i) обозначает64-разрядныйблок зашифрованноготекста, А — функциюшифрованияв режиме простойзамены (аргументамиэтой функцииявляются два32-разрядныхчисла). С1 и С2 — константы, заданные в ГОСТ28147-89. Величиныy(i) и Z(i)определяютсяитерационнопо мере формированиягаммы следующимобразом:
(Y(0),Z(0))=A(S),S — 64-разряднаядвоичнаяпоследовательность
(Y(i),Z(i))=(Y(i-1)[+] C2, Z(i-1) {+} C(1)), i=1, 2, ...,m.
64-разряднаяпоследовательность, называемаясинхропосылкой, не являетсясекретнымэлементомшифра, но ееналичие необходимокак на передающейстороне, таки на приемной.
Режим гаммированияс обратнойсвязью оченьпохож на режимгаммирования.Как и в режимегаммированияоткрытые данные, разбитые на64-разрядныеблоки T(i), зашифровываютсяпутем поразрядногосложения помодулю 2 с гаммойшифра Гш, которая вырабатываетсяблоками по 64бит:
Гш=(Г(1), Г(2), ..., Г(m)).
Уравнениешифрованияданных в режимегаммированияс обратнойсвязью выглядятследующимобразом:
Ш(1)=A(S)T(1)=Г(1)T(1),
Ш(i)=A(Ш(i-1)T(i)=Г(i)T(i), i=2, 3, ...,m.
ВГОСТ 28147-89 определяетсяпроцесс выработкиимито­вставки, который единообразендля всех режимовшифрования.Имитовставка- это блок из рбит (имитовставкаИр), который вырабатываетсялибо передшифрованиемвсего сообщения.либо параллельнос шифрованиемпо блокам. Параметррвыбираетсяв соответствиис необходимымуровнем имитозащищенности.
Дляпо­лу­че­нияими­тов­став­киот­кры­тыедан­ные пред­став­ля­ют­сятак­же в ви­дебло­ков по 64бит. Пер­выйблок от­кры­тыхдан­ных Т(1)под­вер­га­ет­сяпре­об­ра­зо­ва­нию, со­от­вет­ст­вую­ще­мупер­вым 16 цик­ламал­го­рит­маре­жи­ма про­стойза­ме­ны. При­чемв ка­че­ст­веклю­ча ис­поль­зу­ет­сятот же ключ, что и для шиф­ро­ва­ниядан­ных. По­лу­чен­ное64-раз­ряд­ночис­ло сум­ми­ру­ет­сяс от­кры­тымбло­ком Т(2) исум­ма вновьпод­вер­га­ет­ся16 цик­лам шиф­ро­ва­ниядля ре­жи­мапро­стой за­ме­ны.Дан­ная про­це­ду­рапо­вто­рят­сядля всехm бло­ковсо­об­ще­ния.Из по­лу­чен­но­го64-раз­ряд­но­гочис­ла вы­би­ра­ет­сяот­ре­зок Ирдли­ной рбит.
Ими­тов­став­капе­ре­да­ет­сяпо ка­на­лусвя­зи по­слеза­шиф­ро­ван­ныхдан­ных. Напри­ем­нойсто­ро­неана­ло­гич­нымоб­ра­зом изпри­ня­то­госо­об­ще­ниявыделяется? ими­тов­став­каи срав­ни­ва­ет­сяс по­лу­чен­нойоткуда?.. В слу­чаене­сов­па­де­нияими­тов­ста­воксо­об­ще­ниесчи­та­ет­сялож­ным.Сис­те­мыс от­кры­тымклю­чом
Как бы ни бы­лислож­ны и на­деж­ныкрип­то­гра­фи­че­скиесис­те­мы — ихсла­бое ме­стпри прак­ти­че­скойреа­ли­за­ции- про­блемарас­пре­де­ле­нияклю­чей. Длято­го, что­быбыл воз­мо­женоб­мен кон­фи­ден­ци­аль­нойин­фор­ма­ци­ейме­ж­ду дву­мясубъ­ек­та­миИС, ключ дол­женбыть сге­не­ри­ро­ванод­ним из них, а за­тем ка­ким-тооб­ра­зом опятьже в кон­фи­ден­ци­аль­номпо­ряд­ке пе­ре­дандру­го­му. Т.е.в об­щем слу­чаедля пе­ре­да­чиклю­ча опятьже тре­бу­ет­сяис­поль­зо­ва­ниека­кой-токрип­то­си­сте­мы.
Для ре­ше­нияэтой про­бле­мына ос­но­вере­зуль­та­тов, по­лу­чен­ныхклассическойи со­вре­мен­нойал­геб­рой, бы­ли пред­ло­же­нысис­те­мы сот­кры­тымклю­чом.
Суть их со­сто­итв том, что ка­ж­дымад­ре­са­томИС ге­не­ри­ру­ют­сядва клю­ча, свя­зан­ныеме­ж­ду со­бойпо оп­ре­де­лен­но­мупра­ви­лу. Одинключ объ­яв­ля­ет­сяот­кры­тым, а дру­гой за­кры­тым.От­кры­тыйключ пуб­ли­ку­ет­сяи дос­ту­пенлю­бо­му, ктоже­ла­ет по­слатьсо­об­ще­ниеад­ре­са­ту.Секретный ключсохраняетсяв тайне.
Ис­ход­ныйтекст шиф­ру­ет­сяот­кры­тымклю­чом адресатаи пе­ре­да­ет­сяему. За­шиф­ро­ван­ныйтекст в прин­ци­пене мо­жет бытьрас­шиф­ро­вантем же от­кры­тымклю­чом. Де­шиф­ро­ва­ниесо­об­ще­ниевоз­мож­нотоль­ко сис­поль­зо­ва­ни­емза­кры­то­гоклю­ча, ко­то­рыйиз­вес­тентоль­ко са­мо­муад­ре­са­ту.
/>/>

/>

/>
Система
с открытым ключом/>
Система
с открытым ключом/>

    продолжение
--PAGE_BREAK--
/>/>

/>/>


Крип­то­гра­фи­че­скиесис­те­мы сот­кры­тымклю­чом ис­поль­зу­юттак называемыене­об­ра­ти­мые или од­но­сто­рон­ниефунк­ции, ко­то­рыеоб­ла­да­ютсле­дую­щимсвой­ст­вом: при за­дан­номзна­че­нииx от­но­си­тель­нопро­сто вы­чис­литьзна­че­ниеf(x), од­на­коес­лиy=f(x), тонет про­сто­гопу­ти для вы­чис­ле­ниязна­че­нияx.
Мно­же­ст­воклас­совне­об­ра­ти­мыхфунк­ций ипо­ро­ж­да­етвсе раз­но­об­ра­зиесис­тем с от­кры­тымклю­чом. Од­на­коне вся­каяне­об­ра­ти­маяфунк­ция го­дит­сядля ис­поль­зо­ва­нияв ре­аль­ныхИС.
В са­мом оп­ре­де­ле­ниине­об­ра­ти­мо­стипри­сут­ст­ву­етне­оп­ре­де­лен­ность.Под необратимостьюпонимаетсяне теоретическаянеобратимость, а практическаяневозможностьвычислитьобратное значениеиспользуясовременныевычислительныесредства заобозримыйинтервал времени.
По­это­му что­быга­ран­ти­ро­ватьна­деж­нуюза­щи­ту ин­фор­ма­ции, к сис­те­мамс от­кры­тымклю­чом (СОК)предъ­яв­ля­ют­сядва важ­ныхи оче­вид­ныхтре­бо­ва­ния:
1. Пре­об­ра­зо­ва­ниеис­ход­но­готек­ста долж­нобыть не­об­ра­ти­мыми ис­клю­чатьего вос­ста­нов­ле­ниена ос­но­веот­кры­то­гоклю­ча.
2. Оп­ре­де­ле­ниеза­кры­то­гоклю­ча на ос­но­веот­кры­то­готак­же долж­нобыть не­воз­мож­нымна со­вре­мен­номтех­но­ло­ги­че­скомуров­не. Приэтом же­ла­тель­наточ­ная ниж­няяоцен­ка сложности(ко­ли­че­ст­ваопе­ра­ций)рас­кры­тияшиф­ра.
Ал­го­рит­мышиф­ро­ва­нияс от­кры­тымклю­чом по­лу­чи­лиши­ро­коерас­про­стра­не­ниев со­вре­мен­ныхин­фор­ма­ци­он­ныхсис­те­мах.Так, ал­го­ритмRSA стал ми­ро­вымстан­дар­томде-фак­то дляот­кры­тыхсис­тем ире­ко­мен­до­ванМККТТ.
Вообще же всепредлагаемыесегодня криптосистемыс открытымключом опираютсяна один из следующихтипов необратимыхпреобразований:
Разложение больших чисел ан простые множители.
Вычисление логарифма в конечном поле.
Вычисление корней алгебраических уравнений.
Здесь же сле­ду­етот­ме­тить, что ал­го­рит­мыкриптосистемыс открытымключом (СОК)мож­но ис­поль­зо­ватьв трех на­зна­че­ни­ях.
1. Как са­мо­стоя­тель­ныесред­ст­ваза­щи­ты пе­ре­да­вае­мыхи хра­ни­мыхдан­ных.
2. Как сред­ст­вадля рас­пре­де­ле­нияклю­чей. Ал­го­рит­мыСОК бо­леетру­до­ем­ки, чем тра­ди­ци­он­ныекрип­то­си­сте­мы.По­это­му час­тона прак­ти­кера­цио­наль­нос по­мо­щьюСОК рас­пре­де­лятьклю­чи, объ­емко­то­рых какин­фор­ма­циине­зна­чи­те­лен.А по­том с по­мо­щьюобыч­ных ал­го­рит­мовосу­ще­ст­в­лятьоб­мен боль­ши­миин­фор­ма­ци­он­ны­мипо­то­ка­ми.
Сред­ст­ва ау­тен­ти­фи­ка­ции поль­зо­ва­те­лей. Об этом бу­дет рас­ска­за­но в главе «Электронная подпись».
Ниже рассматриваютсянаиболеераспространенныесистемы с открытымключом.Ал­го­ритмRSA
Не­смот­ря надо­воль­ноболь­шое чис­лораз­лич­ныхСОК, наиболеепопулярна — криптосистемаRSA, разработаннаяв 1977 году и по­лу­чив­шаяна­зва­ние вчесть ее соз­да­те­лей: Рона Ри­ве­ста7, Ади Ша­ми­раи ЛеонардаЭй­дель­ма­на.
Они вос­поль­зо­ва­лисьтем фак­том, что на­хо­ж­де­ниеболь­ших про­стыхчи­сел в вы­чис­ли­тель­номот­но­ше­нииосу­ще­ст­в­ля­ет­сялег­ко, нораз­ло­же­ниена мно­жи­те­липро­из­ве­де­ниядвух та­кихчи­сел прак­ти­че­скине­вы­пол­ни­мо.До­ка­за­но(тео­ре­маРа­би­на), чторас­кры­тиешиф­ра RSA эк­ви­ва­лент­нота­ко­му раз­ло­же­нию.По­это­му длялю­бой дли­ныклю­ча мож­нодать ниж­нююоцен­ку чис­лаопе­ра­цийдля рас­кры­тияшиф­ра, а с уче­томпро­из­во­ди­тель­но­стисо­вре­мен­ныхком­пь­ю­те­ровоце­нить ине­об­хо­ди­моена это вре­мя.
Воз­мож­ностьга­ран­ти­ро­ван­нооце­нитьза­щи­щен­ностьал­го­рит­маRSA ста­ла од­нойиз при­чинпо­пу­ляр­но­стиэтой СОК нафо­не де­сят­ковдру­гих схем.По­это­муал­го­ритмRSA ис­поль­зу­ет­сяв бан­ков­скихком­пь­ю­тер­ныхсе­тях, осо­бен­нодля ра­бо­тыс уда­лен­ны­микли­ен­та­ми(об­слу­жи­ва­ниекре­дит­ныхкар­то­чек).
В настоящеевремя алгоритмRSA используетсяво многих стандартах, среди которыхSSL, S-HHTP,S-MIME, S/WAN, STT и PCT.
Рас­смот­римма­те­ма­ти­че­скиере­зуль­та­ты, по­ло­жен­ныев ос­но­ву это­гоал­го­рит­ма.
Теорема1. (Малая теоремаФерма.)
Если р- простое число, то
xp-1= 1 (mod p) (1)
длялюбого х, простого относительнор, и
xp= х(mod p) (2)
длялюбогох.
Доказательство.Достаточнодоказатьсправедливостьуравнений (1) и(2) для хZp.Проведемдоказательствометодом индукции.
Очевидно, чтоуравнение(8.2.2) выполняется при х=0 и 1. Далее
xp=(x-1+1)p=C(p,j)(x-1)j=(x-1)p+1(mod p),
0jp
так как C(p,j)=0(mod p)при 0p. С учетомэтого неравенстваи предложенийметода доказательствапо индукциитеорема доказана.
Определение.Функцией Эйлера(n)называетсячисло положительныхцелых, меньшихn и простыхотносительноn. n 2 3 4 5 6 7 8 9 10 11 12 (n) 1 2 2 3 2 6 4 6 4 10 4

Теорема2.Еслиn=pq,(pи q — отличные другот друга простыечисла), то
(n)=(p-1)(q-1).
Теорема3.Еслиn=pq,(pи q — отличные другот друга простыечисла) и х — простоеотносительно р и q, то
x(n)= 1 (modn).
Следствие.Еслиn=pq,(pи q — отличные другот друга простыечисла) и е простоеотносительно(n), то отображение
Еe,n:xxe(modn)
являетсявзаимно однозначнымна Zn.
Очевиден и тотфакт, что еслие — простоеотносительно(n), тосуществуетцелое d, такое, что
ed= 1 (mod (n)) (3)
На этих математическихфактах и основанпопулярныйалгоритм RSA.
Пустьn=pq, гдеp и q — различныепростые числа.Если e и d удовлетворяютуравнению(8.2.3), то отображенияЕe,n и Еd,n являютсяинверсиямина Zn. Как Еe,n, так и Еd,n легкорассчитываются, когда известныe, d, p, q. Если известныe иn, но p и qнеизвестны, то Еe,n представляетсобой одностороннююфункцию; нахождениеЕd,n по заданномуn равносильноразложениюn. Если p и q — достаточнобольшие простые, то разложениеn практическине осуществимо.Это и заложенов основу системышифрованияRSA.
Пользовательi выбирает паруразличныхпростых piи qi и рассчитываетпару целых (ei,di), которыеявляются простымиотносительно(ni), гдеni=pi qi.Справочнаятаблица содержитпубличные ключи{(ei ,ni)}.
Предположим, что исходныйтекст
x=(x0,x1,...,xn-1),xZn, 0 i n,
сначала представленпо основаниюni:
N= c0+cini+…
Пользовательi зашифровываеттекст при передачеего пользователюj, применяя кn отображениеEdi,ni:
NEdi,nin =n’.
Пользовательj производитдешифрованиеn’, применяяEei,ni:
N’Eei,nin’= Eei,niEdi,nin =n .
Очевидно, длятого чтобынайти инверсиюEdi,niпо отношениюк Eei,ni, требуетсязнание множителейn=pi qi. Времявыполнениянаилучших изизвестныхалгоритмовразложенияприn=10100 насегодняшнийдень выходитза пределысовременныхтехнологическихвозможностей.
Рассмотримнебольшойпример, иллюстрирующийприменениеалгоритма RSA.
ПримерЗашифруемсообщение“САВ”. Для простотыбудем использоватьмаленькие числа(на практикеприменяютсягораздо большие).
Выберем p=3 и q=11.
Определимn=3*11=33.
Найдем (p-1)(q-1)=20. Следовательно, в качестве d, взаимно простое с 20, например, d=3.
Выберем число е. В качестве такого числа может быть взято любое число, для которого удовлетворяется соотношение (е*3) (mod 20) = 1, например 7.
Представим шифруемое сообщение как последовательность целых чисел с помощью отображения: А1, В2, С3. Тогда сообщение принимает вид (3,1,2). Зашифруем сообщение с помощью ключа {7,33}.
ШТ1= (37) (mod 33) = 2187 (mod 33) = 9,
ШТ2 = (17) (mod 33) = 1 (mod 33) = 1,
ШТ3= (27) (mod 33) = 128 (mod 33) = 29.
Расшифруем полученное зашифрованное сообщение (9,1,29) на основе закрытого ключа {3,33}:
ИТ1 = (93) (mod 33) = 729 (mod 33) = 3,
ИТ2= (13) (mod 33) = 1 (mod 33) = 1,
ИТ3= (293) (mod 33) = 24389 (mod 33) = 2.
Итак, в реальныхсистемах алгоритмRSA реализуетсяследующимобразом: каждыйпользовательвыбирает двабольших простыхчисла, и в соответствиис описаннымвыше алгоритмомвыбирает двапростых числаe и d. Как результатумноженияпервых двухчисел (p и q)устанавливаетсяn.
{e,n} образуетоткрытый ключ, а {d,n} — закрытый(хотя можновзять и наоборот).
От­кры­тыйключ пуб­ли­ку­ет­сяи дос­ту­пенка­ж­до­му, ктоже­ла­ет по­слатьвла­дель­цуклю­ча со­об­ще­ние, ко­то­роеза­шиф­ро­вы­ва­ет­сяука­зан­нымал­го­рит­мом.По­сле шифрования, со­об­ще­ниене­воз­мож­норас­крыть спо­мо­щьюот­кры­то­гоклю­ча. Вла­де­лецже за­кры­то­гоклю­ча без тру­дамо­жет рас­шиф­ро­ватьпри­ня­тоесо­об­ще­ние.ПрактическаяреализацияRSA
В настоящеевремя алгоритмRSA активнореализуетсякак в видесамостоятельныхкриптографическихпродуктов8, так и в качествевстроенныхсредств в популярныхприложениях9.
Важная проблемапрактическойреализации- генерациябольших простыхчисел. Решениезадачи «в лоб»- генерацияслучайногобольшого числаn(нечетного)и проверка егоделимости намножители от3 вплоть до n0.5.В случае неуспехаследует взятьn+2 и так далее.10
Впринципе вкачестве pи q можноиспользовать«почти» простыечисла, то естьчисла для которыхвероятностьтого, что онипростые, стремитсяк 1. Но в случае, если использованосоставноечисло, а не простое, криптостойкостьRSA падает.Имеются неплохиеалгоритмы, которые позволяютгенерировать«почти» простыечисла с уровнемдоверия 2-100.
Другая проблема- ключи какойдлины следуетиспользовать?
Дляпрак­ти­че­скойреа­ли­за­цииал­го­рит­мовRSA по­лез­но знатьоцен­ки тру­до­ем­ко­стираз­ло­же­нияпро­стых чи­селраз­лич­нойдли­ны, сде­лан­ныеШроппелем.
log10n Число операций Примечания 50
1.4*1010 Раскрываем на суперкомпьютерах 100
2.3*1015 На пределе современных технологий 200
1.2*1023 За пре­де­ла­ми со­вре­мен­ных тех­но­ло­гий 400
2.7*1034 Тре­бу­ет су­ще­ст­вен­ных из­ме­не­ний в тех­но­ло­гии 800
1.3*1051 Не раскрываем

В кон­це 1995 го­дауда­лось прак­ти­че­скиреа­ли­зо­ватьрас­кры­тиешиф­ра RSA для500-знач­но­гоклю­ча. Дляэто­го с по­мо­щьюсе­ти Ин­тер­нетбы­ло за­дей­ст­во­ва­но1600 ком­пь­ю­те­ров.
Сами авторыRSA рекомендуютиспользоватьследующиеразмеры модуля n:
768 бит — для частных лиц;
1024 бит — для коммерческой информации;
2048 бит — для особо секретной информации.11
Третий немаловажныйаспект реализацииRSA — вычислительный.Ведь приходитсяиспользоватьаппарат длиннойарифметики.Если используетсяключ длинойk бит, тодля операцийпо открытомуключу требуетсяО(k2)операций, позакрытому ключу- О(k3)операций, адля генерацииновых ключейтребуется О(k4)операций.
Криптографическийпакет BSAFE 3.0 (RSA D.S.) на компьютереPentium-90 осуществляетшифрованиесо скоростью21.6 Кбит/c для512-битного ключаи со скоростью7.4 Кбит/c для1024 битного. Самая«быстрая»аппаратнаяреализацияобеспечиваетскорости в 60раз больше.
По сравнениюс тем же алгоритмомDES, RSA требуетв тысячи и десяткитысяч раз большеевремя.КриптосистемаЭль-Гамаля
Данная системаявляетсяальтернативойRSA и при равномзначении ключаобеспечиваетту же криптостойкость12.
В отличие отRSA методЭль-Гамаляоснован напроблеме дискретногологарифма. Этимон похож наалгоритмДиффи-Хелмана.Если возводитьчисло в степеньв конечном поледостаточнолегко, то восстановитьаргумент позначению (тоесть найтилогарифм) довольнотрудно.
Основу системысоставляютпараметры pи g — числа, первоеиз которых — простое, а второе- целое.
Александргенерируетсекретный ключа и вычисляетоткрытый ключy = gаmodp.Если Борисхочет послатьАлександрусообщение m, то он выбираетслучайное числоk, меньшееp и вычисляет
y1= gkmodp и
y2= myk,
где означает побитовоесложение помодулю 2. ЗатемБорис посылает(y1,y2)Александру.
Александр, получив зашифрованноесообщение, восстанавливаетего:
m =(y1amodp) y2.
Алгоритм цифровойподписи DSA, разработанныйNIST (National Institute of Standardand Technology) и являющийсячастью стандартаDSS частичноопирается нарассмотренныйметод.Криптосистемына основеэллиптическихуравнений
Эллиптическиекривые — математическийобъект, которыйможет определеннад любым полем(конечным, действительным, рациональнымили комплексным).В криптографииобычно используютсяконечные поля.Эллиптическаякривая естьмножество точек(x,y), удовлетворяющееследующемууравнению:
y2= x3 +ax + b,
атакже бесконечноудаленнаяточка. Для точекна кривой довольнолегко вводитсяоперация сложения, которая играетту же роль, чтои операцияумножения вкриптосистемахRSA и Эль-Гамаля.
В реальныхкриптосистемахна базе эллиптическихуравненийиспользуетсяуравнение
y2= x3 +ax + bmodp,
гдер — простое.
Проблема дискретногологарифма наэллиптическойкривой состоитв следующем: дана точка Gна эллиптическойкривой порядкаr (количествоточек на кривой)и другая точкаY на этойже кривой. Нужнонайти единственнуюточку xтакую, что Y= xG, то есть Y естьх-я степеньG.
Электроннаяподпись
В чем со­сто­итпро­бле­маау­тен­ти­фи­ка­циидан­ных?
В кон­це обыч­но­гопись­ма илидо­ку­мен­таис­пол­ни­тельили от­вет­ст­вен­ноели­цо обыч­носта­вит своюпод­пись. По­доб­ноедей­ст­виеобыч­но пре­сле­ду­етдве це­ли. Во-пер­вых, по­лу­ча­тельиме­ет воз­мож­ностьубе­дить­сяв ис­тин­но­стипись­ма, сли­чивпод­пись симею­щим­сяу не­го об­раз­цом.Во-вто­рых, лич­ная под­письяв­ля­ет­сяюри­ди­че­скимга­ран­томав­тор­ст­вадо­ку­мен­та.По­след­нийас­пект осо­бен­нова­жен приза­клю­че­ниираз­но­го ро­датор­го­выхсде­лок, со­став­ле­ниидо­ве­рен­но­стей, обя­за­тельстви т.д.
Ес­ли под­де­латьпод­пись че­ло­ве­кана бу­ма­гевесь­ма не­про­сто, а ус­та­но­витьав­тор­ст­вопод­пи­сисо­вре­мен­ны­микри­ми­на­ли­сти­че­ски­миме­то­да­ми- тех­ни­че­скаяде­таль, то спод­пи­сьюэлек­трон­нойде­ло об­сто­итина­че. Под­де­латьце­поч­ку би­тов, про­сто ееско­пи­ро­вав, или не­за­мет­новне­сти не­ле­галь­ныеис­прав­ле­нияв до­ку­ментсмо­жет лю­бойполь­зо­ва­тель.
С ши­ро­кимрас­про­стра­не­ни­емв со­вре­мен­номми­ре элек­трон­ныхформ до­ку­мен­тов(в том чис­леи кон­фи­ден­ци­аль­ных)и средств ихоб­ра­бот­киосо­бо ак­ту­аль­нойста­ла про­бле­маус­та­нов­ле­нияпод­лин­но­стии ав­тор­ст­вабез­бу­маж­нойдо­ку­мен­та­ции.
В раз­де­лекрип­то­гра­фи­че­скихсис­тем с от­кры­тымклю­чом бы­лопо­ка­за­но, что при всехпре­иму­ще­ст­вахсо­вре­мен­ныхсис­тем шиф­ро­ва­нияони не по­зво­ля­ютобес­пе­читьау­тен­ти­фи­ка­циюдан­ных. По­это­мусред­ст­ваау­тен­ти­фи­ка­циидолж­ны ис­поль­зо­вать­сяв ком­плек­сеи крип­то­гра­фи­че­ски­миал­го­рит­ма­ми.
Итак, пусть име­ют­сядва поль­зо­ва­те­ляАлександр иБорис. От ка­кихна­ру­ше­нийи дей­ст­вийзло­умыш­лен­ни­кадолж­на за­щи­щатьсис­те­маау­тен­ти­фи­ка­ции.
От­каз(ре­не­гат­ст­во).
Александрза­яв­ля­ет, что он не по­сы­лалсо­об­ще­ниеБорису, хо­тяна са­мом де­леон все-та­кипо­сы­лал.
Для ис­клю­че­нияэто­го на­ру­ше­нияис­поль­зу­ет­сяэлек­трон­ная(или циф­ро­вая)под­пись.
Мо­ди­фи­ка­ция(пе­ре­дел­ка).
Борис из­ме­ня­етсо­об­ще­ниеи ут­вер­жда­ет, что дан­ное (из­ме­нен­ное)со­об­ще­ниепо­слал емуАлександр.
Под­дел­ка.
Борис фор­ми­ру­етсо­об­ще­ниеи ут­вер­жда­ет, что дан­ное (из­ме­нен­ное)со­об­ще­ниепо­слал емуАлександр.
Ак­тив­ныйпе­ре­хват.
Владимирпе­ре­хва­ты­ва­етсо­об­ще­нияме­ж­ду Александроми Борисом сце­лью их скры­тоймо­ди­фи­ка­ции.
Для за­щи­тыот мо­ди­фи­ка­ции, под­дел­ки имас­ки­ров­киис­поль­зу­ют­сяциф­ро­выесиг­на­ту­ры.
Мас­ки­ров­ка(ими­та­ция).
Владимир по­сы­ла­етБорису со­об­ще­ниеот име­ни Александра.
В этом случаедля за­щи­тытак­же ис­поль­зу­ет­сяэлек­трон­наяпод­пись.
По­втор.
Владимир по­вто­ря­етра­нее пе­ре­дан­ноесо­об­ще­ние, ко­то­роеАлександрапо­сы­лал ра­нееБорису. Не­смот­ряна то, что при­ни­ма­ют­сявсе­воз­мож­ныеме­ры за­щи­тыот по­вто­ров, имен­но на этотме­тод при­хо­дит­сяболь­шин­ст­вослу­ча­евне­за­кон­но­госня­тия и тра­тыде­нег в сис­те­махэлек­трон­ныхпла­те­жей.
Наи­бо­леедей­ст­вен­нымме­то­дом за­щи­тыот по­вто­раяв­ля­ют­ся
ис­поль­зо­ва­ние ими­тов­ста­вок,
учет вхо­дя­щих со­об­ще­ний.
    продолжение
--PAGE_BREAK--
/>/>/>


/>


/>

/>/>/>


Возможныенарушениязащиты сообщений,.посылаемыхпользователемА пользователюВ.Электроннаяподпись наоснове алгоритмаRSA
Наи­бо­леепро­стым ирас­про­стра­нен­нымин­ст­ру­мен­томэлек­трон­нойпод­пи­сияв­ля­ет­сяуже зна­ко­мыйал­го­ритмRSA. Ни­же оно бу­детрас­смот­ре­нав ка­че­ст­вепри­ме­ра. Кро­меэто­го су­ще­ст­ву­ютеще десяткидругих схемцифровой подписи.
Предположим, что
d,p,q — секретные, ае,n=pq — открытые.
Замечания.
1. Разложениепоn дает:(n)=(p-1)(q-1); зная (n)и e, можно найтиd.
2. Из e и d можнонайти кратность(n);кратность (n)позволяетопределитьделителиn.
ПустьDATA — передаваемоеАлександромБорису сообщение.
АлександрподписываетDATA для Борисапри передаче:
EeB,nB{EdA,nA{DATA}}.
При этом ониспользует:
закрытый ключ EdA,nA Александра,
открытый ключ EeB,nB Бориса.
Борис можетчитать этоподписанноесообщениесначала припомощи закрытогоключа EdВ,nВБориса с цельюполучения
EdA,nA{DATA} = EdB,nB{EeB,nB {EdA,nA{DATA}}}
и затем — открытогоключа EeA,nAАлександрадля получения
DATA= EeA,nA{ EdA,nA{DATA}}.
Таким образом, у Бориса появляетсясообщение DATA, посланное емуАлександром.
Очевидно, чтоданная схемапозволяетзащититьсяот несколькихвидов нарушений.
Александр неможет отказатьсяот своего сообщения, если он признает, что секретныйключ известентолько ему.
Нарушительбез знаниясекретногоключа не можетни сформировать, ни сделатьосмысленноеизменениесообщения, передаваемогопо линии связи.
Данная схемапозволяет прирешении многихконфликтныхситуаций обходитьсябез посредников.
Иногда нетнеобходимостизашифровыватьпередаваемоесообщение, нонужно его скрепитьэлектроннойподписью. Вэтом случаетекст шифруетсязакрытым ключомотправителяи полученнаяцепочка символовприкрепляетсяк документу.Получательс помощью открытогоключа отправителярасшифровываетподпись и сверяетее с текстом.
/>/>/>

Исходный текст
Исходный текст
Исходный текст

Подпись
Исходный текст ’/>/>/>/>/>


/>

/>/>


В 1991 г. Национальныйинститут стандартови технологии(NIST)предложилдля появившегосятогда алгоритмацифровой подписиDSA (Digital Signature Algorithm)стандарт DSS(Digital Signature Standard), воснову которогоположены алгоритмыЭль-Гамаля иRSA.13Цифроваясигнатура
Часто возникаютситуации, когдаполучательдолжен уметьдоказать подлинностьсообщениявнешнему лицу.Чтобы иметьтакую возможность, к передаваемымсообщениямдолжны бытьприписаны такназываемыецифровые сигнатуры.
Цифровая сигнатура — это строкасимволов, зависящаякак от идентификатораотправителя, так и содержаниясообщения.

/>
сообщение
сигнатура

/>/>/>

/>/>/>/>


/>


Цифровая сигнатура
Ни­ктопри этом кро­меполь­зо­ва­те­ляА не мо­жетвы­чис­литьциф­ро­вуюсиг­на­ту­руА для кон­крет­но­госо­об­ще­ния.Ни­кто, да­жесам поль­зо­ва­тельне мо­жет из­ме­нитьпо­слан­но­госо­об­ще­ниятак, что­бысиг­на­ту­раос­та­ласьне­из­мен­ной.Хо­тя по­лу­ча­тельдол­жен иметьвоз­мож­ностьпро­ве­ритьяв­ля­ет­сяли циф­ро­ваясиг­на­ту­расо­об­ще­нияпод­лин­ной.Что­бы про­ве­ритьциф­ро­вуюсиг­на­ту­ру, поль­зо­ва­тельВ дол­жен пред­ста­витьпо­сред­ни­куС ин­фор­ма­цию, ко­то­рую онсам ис­поль­зо­валдля ве­ри­фи­ка­циисиг­на­ту­ры.
Ес­ли по­ме­чен­ноесиг­на­ту­ройсо­об­ще­ниепе­ре­да­ет­сяне­по­сред­ст­вен­ноот от­пра­ви­те­ляк по­лу­ча­те­лю, ми­нуя про­ме­жу­точ­ноезве­но, то в этомслу­чае идетречь об ис­тин­нойциф­ро­войсиг­на­ту­ре.
Рас­смот­римти­пич­нуюсхе­му циф­ро­войсиг­на­ту­ры.
Пусть Е — функциясимметричногошифрованияиf — функцияотображениянекоторогомножествасообщений наподмножествомощностириз последовательности{1, ...,n}.
Например р=3 иn=9. Еслиm — сообщение, то в качествеf можно взятьфункцию f(m)= {2, 5, 7}.
Для каждогосообщенияпользовательА выбираетнекотороемножествоключей K=[K1,..., Kn} и параметровV={v1, ...,vn} дляиспользованияв качествепометок сообщения, которое будетпослано В. МножестваV и V’={E(v1,K1) ...,E(vn,Kn)} посылаютсяпользователюВ и заранеевыбранномупосредникуС.
Пустьm — сообщениеи idm — объединениеидентификационныхномеров отправителя, получателяи номера сообщения.Если f({idm, m}), тоцифровая сигнатураm есть множествоK’=[Ki, ..., Kj}.Сообщениеm, идентификационныйномер idm и цифроваясигнатура К’посылаютсяВ.
V, V'

/>/>/>
сообщение, K'

/>


/>
V, V'

/>


ПолучательВ проверяетсигнатуруследующимобразом. Онвычисляетфункцию f({idm, m})и проверяетее равенствоК’. Затем онпроверяет, чтоподмножество{vi, ...,vj} правильнозашифрованов виде подмножества {E(vi,Ki) ..., E(vj,Kj)}множества V’.
В кон­фликт­нойси­туа­ции Впо­сы­ла­етС сообщениеm, иден­ти­фи­ка­ци­он­ныйно­мер idm и мно­же­ст­воклю­чей K’, ко­то­рое Вобъ­яв­ля­етсиг­на­ту­ройm. То­гда по­сред­никС так же, как иВ, бу­дет спо­со­бенпро­ве­ритьсиг­на­ту­ру.Ве­ро­ят­ностьрас­кры­тиядвух со­об­ще­нийс од­ним и темже зна­че­ни­емфунк­ции f долж­набыть оченьма­ла. Что­быга­ран­ти­ро­ватьэто, чис­ло nдолж­но бытьдос­та­точ­ноболь­шим, ачис­ло р долж­нобыть боль­ше1, но мень­шеn.
Рядне­дос­тат­ковэтой мо­де­лиоче­ви­ден:
долж­но быть третье ли­цо — по­сред­ник, ко­то­ро­му до­ве­ря­ют как по­лу­ча­тель, так и от­пра­ви­тель;
по­лу­ча­тель, от­пра­ви­тель и по­сред­ник долж­ны об­ме­нять­ся су­ще­ст­вен­ным объ­е­мом ин­фор­ма­ции, пре­ж­де чем бу­дет пе­ре­да­но ре­аль­ное со­об­ще­ние;
пе­ре­да­ча этой ин­фор­ма­ции долж­на осу­ще­ст­в­лять­ся в за­кры­том ви­де;
эта ин­фор­ма­ция ис­поль­зу­ет­ся край­не не­эф­фек­тив­но, по­сколь­ку мно­же­ст­ва K, V, V’ ис­поль­зу­ют­ся толь­ко один раз.
Тем не ме­нееда­же та­каясхе­ма циф­ро­войсиг­на­ту­рымо­жет ис­поль­зо­вать­сяв ин­фор­ма­ци­он­ныхсис­те­мах, вко­то­рыхне­об­хо­ди­мообес­пе­читьау­тен­ти­фи­ка­циюи за­щи­тупе­ре­да­вае­мыхсо­об­ще­ний.Хэш-функции
Использованиецифровой сигнатурыпредполагаетиспользованиенекоторыхфункций шифрования:
S = H(k, T),
где S — сигнатура,k — ключ, T — исходныйтекст.
Функция H(k,T) — являетсяхэш-функцией, если она удовлетворяетследующимусловиям:
исходный текст может быть произвольной длины;
само значение H(k, T) имеет фиксированную длину;
значение функции H(k, T) легко вычисляется для любого аргумента;
восстановить аргумент по значению с вычислительной точки зрения — практически невозможно;
функция H(k, T)— однозначна14.
Из определенияследует, чтодля любой хэш-функцииесть тексты-близнецы- имеющие одинаковоезначение хэш-функции, так как мощностьмножествааргументовнеограниченнобольше мощностимножествазначений. Такойфакт получилназвание «эффектдня рождения».15
Наиболее известныеиз хэш-функций- MD2, MD4, MD5 и SHA.
Три алгоритмасерии MD разработаныРивестом в1989-м, 90-м и 91-м годусоответственно.Все они преобразуюттекст произвольнойдлины в 128-битнуюсигнатуру.
Алгоритм MD2предполагает:
дополнение текста до длины, кратной 128 битам;
вычисление 16-битной контрольной суммы (старшие разряды отбрасываются);
добавление контрольной суммы к тексту;
повторное вычисление контрольной суммы.
Алгоритм MD4предусматривает:
дополнение текста до длины, равной 448 бит по модулю 512;
добавляется длина текста в 64-битном представлении;
512-битные блоки подвергаются процедуре Damgard-Merkle16, причем каждый блок участвует в трех разных циклах.
В алгоритмеMD4 довольнобыстро былинайдены «дыры», поэтому он былзаменен алгоритмомMD5, в которомкаждый блокучаствует нев трех, а в четырехразличныхциклах.
Алгоритм SHA(Secure Hash Algorithm) разработанNIST (National Institute ofStandard and Technology) и повторяетидеи серии MD.В SHA используютсятексты более264 бит, которыезакрываютсясигнатуройдлиной 160 бит.Данный алгоритмпредполагаетсяиспользоватьв программеCapstone17.
Управ­ле­ниеклю­ча­ми
Кро­ме вы­бо­рапод­хо­дя­щейдля кон­крет­нойИС крип­то­гра­фи­че­скойсис­те­мы, важ­наяпро­бле­ма — управ­ле­ниеклю­ча­ми. Какбы ни бы­ласлож­на и на­деж­наса­ма крип­то­си­сте­ма, она ос­но­ва­нана ис­поль­зо­ва­нииклю­чей. Ес­лидля обес­пе­че­ниякон­фи­ден­ци­аль­но­гооб­ме­на ин­фор­ма­ци­ейме­ж­ду дву­мяполь­зо­ва­те­ля­мипро­цесс об­ме­наклю­ча­митри­виа­лен, то в ИС, гдеко­ли­че­ст­вополь­зо­ва­те­лейсо­став­ля­етде­сят­ки исот­ни управ­ле­ниеклю­ча­ми — серь­ез­наяпро­бле­ма.
Под клю­че­войин­фор­ма­ци­ейпо­ни­ма­ет­сясо­во­куп­ностьвсех дей­ст­вую­щих в ИС клю­чей.Ес­ли не обес­пе­че­нодос­та­точ­нона­деж­ноеуправ­ле­ниеклю­че­войин­фор­ма­ци­ей, то за­вла­девею, зло­умыш­лен­никпо­лу­ча­етне­ог­ра­ни­чен­ныйдос­туп ко всейин­фор­ма­ции.
Управ­ле­ниеклю­ча­ми — ин­фор­ма­ци­он­ныйпро­цесс, вклю­чаю­щийв се­бя триэле­мен­та:
ге­не­ра­цию клю­чей;
на­ко­п­ле­ние клю­чей;
рас­пре­де­ле­ние клю­чей.
Рас­смот­рим, как они долж­ныбыть реа­ли­зо­ва­ныдля то­го, что­быобес­пе­читьбезо­пас­ностьклю­че­войин­фор­ма­циив ИС.Ге­не­ра­цияклю­чей
В са­мом на­ча­лераз­го­во­рао крип­то­гра­фи­че­скихме­то­дах бы­лоска­за­но, чтоне сто­итис­поль­зо­ватьне­слу­чай­ныеклю­чи с це­льюлег­ко­сти ихза­по­ми­на­ния.В серь­ез­ныхИС ис­поль­зу­ют­сяспе­ци­аль­ныеап­па­рат­ныеи про­грамм­ныеме­то­ды ге­не­ра­циислу­чай­ныхклю­чей. Какпра­ви­лоис­поль­зу­ютдат­чи­ки ПСЧ.Од­на­ко сте­пеньслу­чай­но­стиих ге­не­ра­циидолж­на бытьдос­та­точ­новы­со­ким.Иде­аль­нымге­не­ра­то­ра­мияв­ля­ют­сяуст­рой­ст­вана ос­но­ве“на­ту­раль­ных”слу­чай­ныхпро­цес­сов.На­при­мер, поя­ви­лисьсе­рий­ныеоб­раз­цыге­не­ра­цииклю­чей наос­но­ве бе­ло­гора­дио­шу­ма.Дру­гим слу­чай­нымма­те­ма­ти­че­скимобъ­ек­томяв­ля­ют­сяде­ся­тич­ныезна­ки иррациональныхчисел, например или е, которые вычисляютсяс помощью стандартныхматематическихметодов.
В ИС со среднимитребованиямизащищенностивполне приемлемыпрограммныегенераторыключей, которыевычисляют ПСЧкак сложнуюфункцию оттекущего времении (или) числа, введенногопользователем.Накоплениеключей
Под на­ко­п­ле­ни­емклю­чей по­ни­ма­ет­сяор­га­ни­за­цияих хра­не­ния, уче­та и уда­ле­ния.
По­сколь­куключ яв­ля­ет­сяса­мым при­вле­ка­тель­нымдля зло­умыш­лен­ни­каобъ­ек­том, от­кры­ваю­щимему путь ккон­фи­ден­ци­аль­нойин­фор­ма­ции, то во­про­самна­ко­п­ле­нияклю­чей сле­ду­етуде­лять осо­боевни­ма­ние.
Сек­рет­ныеклю­чи ни­ко­гдане долж­ныза­пи­сы­вать­сяв яв­ном ви­дена но­си­те­ле, ко­то­рый мо­жетбыть счи­танили ско­пи­ро­ван.
В дос­та­точ­нослож­ной ИСодин поль­зо­ва­тельмо­жет ра­бо­татьс боль­шимобъ­е­момклю­че­войин­фор­ма­ции, и ино­гда да­жевоз­ни­ка­етне­об­хо­ди­мостьор­га­ни­за­циими­ни-баз дан­ныхпо клю­че­войин­фор­ма­ции.Та­кие ба­зыдан­ных от­ве­ча­ютза при­ня­тие, хра­не­ние, учет и уда­ле­ниеис­поль­зуе­мыхклю­чей.
Итак, ка­ж­даяин­фор­ма­цияоб ис­поль­зуе­мыхклю­чах долж­нахра­нить­сяв за­шиф­ро­ван­номви­де. Клю­чи, за­шиф­ро­вы­ваю­щиеклю­че­вуюин­фор­ма­циюна­зы­ва­ют­сямас­тер-клю­ча­ми.Же­ла­тель­но, что­бы мас­тер-клю­чика­ж­дый поль­зо­ва­тельзнал наи­зусть, и не хра­нилих во­об­щена ка­ких-ли­бома­те­ри­аль­ныхно­си­те­лях.
Оченьваж­ным ус­ло­ви­ембезо­пас­но­стиин­фор­ма­циияв­ля­ет­сяпе­рио­ди­че­скоеоб­нов­ле­ниеклю­че­войин­фор­ма­циив ИС. При этомпе­ре­на­зна­чать­сядолж­ны какобыч­ные клю­чи, так и мас­тер-клю­чи.В осо­бо от­вет­ст­вен­ныхИС об­нов­ле­ниеклю­че­войин­фор­ма­цииже­ла­тель­ноде­лать еже­днев­но.
Во­прос об­нов­ле­нияклю­че­войин­фор­ма­циисвя­зан и стреть­им эле­мен­томуправ­ле­нияклю­ча­ми — рас­пре­де­ле­ни­емклю­чей.Рас­пре­де­ле­ниеклю­чей
Рас­пре­де­ле­ниеклю­чей — са­мыйот­вет­ст­вен­ныйпро­цесс вуправ­ле­нииклю­ча­ми. Кне­му предъ­яв­ля­ют­сядва тре­бо­ва­ния:
Опе­ра­тив­ность и точ­ность рас­пре­де­ле­ния
Скрыт­ность рас­пре­де­ляе­мых клю­чей.
В по­след­неевре­мя за­ме­тенсдвиг в сто­ро­нуис­поль­зо­ва­ниякрип­то­си­стемс от­кры­тымклю­чом, в ко­то­рыхпро­бле­марас­пре­де­ле­нияклю­чей от­па­да­ет.Тем не ме­неерас­пре­де­ле­ниеклю­че­войин­фор­ма­циив ИС тре­бу­етно­вых эф­фек­тив­ныхре­ше­ний.
Рас­пре­де­ле­ниеклю­чей ме­ж­дуполь­зо­ва­те­ля­миреа­ли­зу­ют­сядву­мя раз­ны­мипод­хо­да­ми:
1. Пу­тем соз­да­нияод­но­го лине­сколь­кихцен­троврас­пре­де­ле­нияклю­чей. Не­дос­та­токта­ко­го под­хо­дасо­сто­ит втом, что в цен­трерас­пре­де­ле­нияиз­вест­но, ко­му и ка­киеклю­чи на­зна­че­ны и это по­зво­ля­етчи­тать всесо­об­ще­ния, цир­ку­ли­рую­щиев ИС. Воз­мож­ныезло­упот­реб­ле­ниясу­ще­ст­вен­новлия­ют наза­щи­ту.
2. Пря­мой об­менклю­ча­ми ме­ж­дуполь­зо­ва­те­ля­миин­фор­ма­ци­он­нойсис­те­мы. Вэтом слу­чаепро­бле­масо­сто­ит втом, что­бына­деж­ноудо­сто­ве­ритьпод­лин­ностьсубъ­ек­тов.
В обо­ихслу­ча­ях долж­набыть га­ран­ти­ро­ва­напод­лин­ностьсе­ан­са свя­зи.Это мож­нообес­пе­читьдву­мя спо­со­ба­ми:
1. Ме­ха­низмза­про­са-от­ве­та, ко­то­рый со­сто­итв сле­дую­щем.Ес­ли поль­зо­ва­тельА же­ла­ет бытьуве­рен­ным, что со­об­ще­нияко­то­рый онпо­лу­ча­етот В, не яв­ля­ют­сялож­ны­ми, онвклю­ча­ет впо­сы­лае­моедля В со­об­ще­ниене­пред­ска­зуе­мыйэле­мент (за­прос).При от­ве­теполь­зо­ва­тельВ дол­жен вы­пол­нитьне­ко­то­руюопе­ра­циюнад этим эле­мен­том(на­при­мер, до­ба­вить1). Это не­воз­мож­ноосу­ще­ст­витьза­ра­нее, таккак не из­вест­но, ка­кое слу­чай­ноечис­ло при­детв за­про­се.По­сле по­лу­че­нияот­ве­та сре­зуль­та­та­мидей­ст­вийполь­зо­ва­тельА мо­жет бытьуве­рен, чтосе­анс яв­ля­ет­сяпод­лин­ным.Не­дос­тат­комэто­го ме­то­даяв­ля­ет­сявоз­мож­ностьус­та­нов­ле­нияхо­тя и слож­нойза­ко­но­мер­но­стиме­ж­ду за­про­соми от­ве­том.
2. Ме­ха­низмот­мет­ки вре­ме­ни(“вре­мен­нойштем­пель”).Он под­ра­зу­ме­ва­етфик­са­циювре­ме­ни дляка­ж­до­госо­об­ще­ния.В этом слу­чаека­ж­дый поль­зо­ва­тельИС мо­жет знать, на­сколь­ко“ста­рым”яв­ля­ет­сяпри­шед­шеесо­об­ще­ние.
В обо­ихслу­ча­ях сле­ду­етис­поль­зо­ватьшиф­ро­ва­ние, что­бы бытьуве­рен­ным, что от­ветпо­слан незло­умыш­лен­ни­коми штем­пельот­мет­ки вре­ме­нине из­ме­нен.
При ис­поль­зо­ва­нииот­ме­ток вре­ме­нивста­ет про­бле­мадо­пус­ти­мо­говре­мен­но­гоин­тер­ва­лаза­держ­кидля под­твер­жде­нияпод­лин­но­стисе­ан­са. Ведьсо­об­ще­ниес “вре­мен­нымштем­пе­лем”в прин­ци­пене мо­жет бытьпе­ре­да­номгно­вен­но.Кро­ме это­гоком­пь­ю­тер­ныеча­сы по­лу­ча­те­ляи от­пра­ви­те­ляне мо­гут бытьаб­со­лют­носин­хро­ни­зи­ро­ва­ны.Ка­кое за­паз­ды­ва­ние“штем­пе­ля”счи­татьпо­доз­ри­тель­ным.
По­этому вре­аль­ныхИС, на­при­мерв сис­те­махоп­ла­ты кре­дит­ныхкар­то­чекис­поль­зу­ет­сяимен­но вто­ройме­ха­низмус­та­нов­ле­нияпод­лин­но­стии за­щи­ты отпод­де­лок.Ис­поль­зуе­мыйин­тер­валсо­став­ля­етот од­ной доне­сколь­кихми­нут. Боль­шоечис­ло из­вест­ныхспо­со­бовкра­жи элек­трон­ныхде­нег, ос­но­ва­нона “вкли­ни­ва­нии”в этот про­ме­жу­токс под­лож­ны­миза­про­са­мина сня­тииде­нег.
Для обменаключами можноиспользоватькриптосистемыс открытымключом, используятот же алгоритмRSA.
Но весьма эффективнымоказался алгоритмДиффи-Хелмана, позволяющийдвум пользователямбез посредниковобменятьсяключом, которыйможет бытьиспользованзатем длясимметричногошифрования.АлгоритмДиф­фи-Хелл­ма­на
Диффи и Хелманпред­ло­жи­лидля соз­да­ниякрип­то­гра­фи­че­скихсис­тем с от­кры­тымклю­чом функ­циюдис­крет­но­говоз­ве­де­нияв сте­пень.
Не­об­ра­ти­мостьпре­об­ра­зо­ва­нияв этом слу­чаеобес­пе­чи­ва­ет­сятем, что дос­та­точ­нолег­ко вы­чис­литьпо­ка­за­тель­нуюфунк­цию вко­неч­номпо­ле Га­луасо­стоя­щимиз p эле­мен­тов.(p — ли­бо про­стоечисло, либопростое в любойстепени). Вычислениеже логарифмовв таких полях- значительноболее трудоемкаяоперация.
Еслиy=x,,1xp-1, где — фиксированныйэлемент поляGF(p), тоx=logy над GF(p). Имеяx, легко вычислитьy. Для этогопотребуется2 ln(x+y) операцийумножения.
Обратная задачавычисленияx изy будетдостаточносложной. Еслиp выбрано достаточноправильно, тоизвлечениелогарифмапотребуетвычислений, пропорциональных
L(p)= exp{ (ln p lnln p)0.5}
Для обменаинформациейпервый пользовательвыбирает случайноечислоx1, равновероятноеиз целых 1...p-1.Это число ондержит в секрете, а другомупользователюпосылает число
y1= xmod p
Аналогичнопоступает ивторой пользователь, генерируяx2и вычисливy2, отправляяего первомупользователю.В результатеэтого они могутвычислять k12= x1x2mod p.
Для того, чтобывычислить k12, первый пользовательвозводитy2в степеньx1.То же делаети второй пользователь.Таким образом, у обоих пользователейоказываетсяобщий ключ k12, который можноиспользоватьдля шифрованияинформацииобычными алгоритмами.В отличие оталгоритма RSA, данный алгоритмне позволяетшифроватьсобственноинформацию.
Не знаяx1 иx2, злоумышленникможет попытатьсявычислить k12, зная толькоперехваченныеy1 иy2. Эквивалентностьэтой проблемыпроблеме вычислениядискретногологарифма естьглавный и открытыйвопрос в системахс открытымключом. Простогорешения донастоящеговремени ненайдено. Так, если для прямогопреобразования1000-битных простыхчисел требуется2000 операций, тодля обратногопреобразования(вычислениялогарифма вполе Галуа) — потребуетсяоколо 1030 операций.
Как видно, привсей простотеалгоритмаДиффи-Хелмана, вторым егонедостаткомпо сравнениюс системой RSAявляется отсутствиегарантированнойнижней оценкитрудоемкостираскрытияключа.
Кроме того, хотя описанныйалгоритм позволяетобойти проблемускрытой передачиключа, необходимостьаутентификацииостается. Бездополнительныхсредств, одиниз пользователейне может бытьуверен, что онобменялсяключами именнос тем пользователем, который емунужен. Опасностьимитации в этомслучае остается.
    продолжение
--PAGE_BREAK--
В ка­че­ст­веобоб­ще­нияска­зан­но­гоо рас­пре­де­ле­нииклю­чей сле­ду­етска­зать сле­дую­щее.За­да­ча управ­ле­нияклю­ча­мисво­дит­ся кпо­ис­ку та­ко­гопро­то­ко­ларас­пре­де­ле­нияклю­чей, ко­то­рыйобес­пе­чи­валбы:
воз­мож­ность от­ка­за от цен­тра рас­пре­де­ле­ния клю­чей;
вза­им­ное под­твер­жде­ние под­лин­но­сти уча­ст­ни­ков се­ан­са;
под­твер­жде­ние дос­то­вер­но­сти се­ан­са ме­ха­низ­мом за­про­са-от­ве­та, ис­поль­зо­ва­ние для это­го про­грамм­ных или ап­па­рат­ных средств;
ис­поль­зо­ва­ние при об­ме­не клю­ча­ми ми­ни­маль­но­го чис­ла со­об­ще­ний.
Про­бле­мыи пер­спек­ти­выкрип­то­гра­фи­че­скихсис­темШиф­ро­ва­ниеболь­ших со­об­ще­нийи по­то­ковдан­ных
Эта про­бле­мапоя­ви­ласьсрав­ни­тель­ноне­дав­но спо­яв­ле­ни­емсредств муль­ти­ме­диаи се­тей свы­со­койпро­пу­ск­нойспо­соб­но­стью, обес­пе­чи­ваю­щихпе­ре­да­чумуль­ти­ме­дий­ныхдан­ных.
До сих порго­во­ри­лосьо за­щи­тесо­об­ще­ний.При этом подни­ми под­ра­зу­ме­ва­ласьско­рее некотораятек­сто­ваяили сим­во­ли­че­скаяин­фор­ма­ция.Од­на­ко всо­вре­мен­ныхИС и ин­фор­ма­ци­он­ныхсис­те­махна­чи­на­ютпри­ме­нять­сятех­но­ло­гии, ко­то­рые тре­бу­ютпе­ре­да­чису­ще­ст­вен­ноболь­ших объ­е­мовдан­ных. Сре­дита­ких тех­но­ло­гий:
фак­си­миль­ная, ви­део и ре­че­вая связь;
го­ло­со­вая поч­та;
сис­те­мы ви­део­кон­фе­рен­ций.
Объ­ем пе­ре­да­вае­мойин­фор­ма­циираз­ных ти­повмож­но пред­ста­витьна ус­лов­нойдиа­грам­ме.

/>Объем
информации









/>




















/>/>






























Так какпе­ре­да­чаоциф­ро­ван­нойзву­ко­вой, гра­фи­че­скойи ви­деоин­фор­ма­цииво мно­гихслу­ча­ях тре­бу­еткон­фи­ден­ци­аль­но­сти, то воз­ни­ка­етпро­бле­машиф­ро­ва­нияог­ром­ныхин­фор­ма­ци­он­ныхмас­си­вов.Для ин­те­рак­тив­ныхсис­тем ти­пате­ле­кон­фе­рен­ций, ве­де­ния ау­диоили ви­деосвя­зи, та­кое шиф­ро­ва­ниедолж­но осу­ще­ст­в­лять­сяв ре­аль­номмас­шта­бевре­ме­ни ипо воз­мож­но­стибыть “про­зрач­ным”для поль­зо­ва­те­лей.
Это немыс­ли­мобез ис­поль­зо­ва­ниясо­вре­мен­ныхтех­но­ло­гийшиф­ро­ва­ния.

Наи­бо­леерас­про­стра­нен­нымяв­ля­ет­сяпо­то­ко­воешиф­ро­ва­ниедан­ных. Ес­лив опи­сан­ныхра­нее крип­то­си­сте­махпред­по­ла­га­лось, что на вхо­деиме­ет­сяне­ко­то­роеко­неч­ноесо­об­ще­ние, к ко­то­ро­муи при­ме­ня­ет­сякрип­то­гра­фи­че­скийал­го­ритм, то в сис­те­махс по­то­ко­вымшиф­ро­ва­ни­емприн­цип дру­гой.
Сис­те­маза­щи­ты неждет, ко­гдаза­кон­чит­сяпе­ре­да­вае­моесо­об­ще­ние, а сра­зу жеосу­ще­ст­в­ля­етего шиф­ро­ва­ниеи пе­ре­да­чу.

/>


Потоковоешифрованиеданных
Наи­бо­лееоче­вид­нымяв­ля­ет­сяпо­би­то­воесло­же­ниевхо­дя­щейпо­сле­до­ва­тель­но­сти(со­об­ще­ния)с не­ко­то­рымбес­ко­неч­нымили пе­рио­ди­че­скимклю­чом, по­лу­чае­мымна­при­мер отге­не­ра­то­раПСП18.Примером стандартапотоковогошифрованияявляется RC4, разработанныйРивестом. Однако, техническиеподробностиэтого алгоритмадержатся всекрете19.
Дру­гим, ино­гдабо­лее эф­фек­тив­нымме­то­домпо­то­ко­во­гошиф­ро­ва­нияяв­ля­ет­сяшиф­ро­ва­ниебло­ка­ми. Т.е.на­ка­п­ли­ва­ет­сяфик­си­ро­ван­ныйобъ­ем ин­фор­ма­ции(блок), а за­темпре­об­ра­зо­ван­ныйне­ко­то­рымкрип­то­гра­фи­че­скимме­то­домпе­ре­да­ет­сяв ка­нал свя­зи.Ис­поль­зо­ва­ние“блу­ж­даю­щихклю­чей”
Как бы­лоне­од­но­крат­ноот­ме­че­но, про­бле­марас­пре­де­ле­нияклю­чей яв­ля­ет­сянаи­бо­лееост­рой в круп­ныхин­фор­ма­ци­он­ныхсис­те­мах.От­час­ти этапро­бле­маре­ша­ет­ся(а точ­неесни­ма­ет­ся)за счет ис­поль­зо­ва­нияот­кры­тыхклю­чей. Нонаи­бо­леена­деж­ныекрип­то­си­сте­мыс от­кры­тымклю­чом ти­паRSA дос­та­точ­нотру­до­ем­ки, а для шиф­ро­ва­ниямуль­ти­ме­дий­ныхдан­ных и во­всене при­год­ны.
Ори­ги­наль­ныере­ше­нияпро­бле­мы “блу­ж­даю­щихклю­чей” ак­тив­нораз­ра­ба­ты­ва­ют­сяспе­циа­ли­ста­ми.Эти сис­те­мыяв­ля­ют­сяне­ко­то­рымком­про­мис­сомме­ж­ду сис­те­ма­мис от­кры­ты­миклю­ча­ми иобыч­ны­миал­го­рит­ма­ми, для ко­то­рыхтре­бу­ет­сяна­ли­чие од­но­гои то­го же клю­чау от­пра­ви­те­ляи по­лу­ча­те­ля.
Идеяме­то­да дос­та­точ­нопро­ста.
По­сле то­го, как ключ ис­поль­зо­ванв од­ном се­ан­сепо не­ко­то­ро­мупра­ви­лу онсме­ня­ет­сядру­гим. Этопра­ви­ло долж­нобыть из­вест­нои от­пра­ви­те­лю, и по­лу­ча­те­лю.Зная пра­ви­ло, по­сле по­лу­че­нияоче­ред­но­госо­об­ще­нияпо­лу­ча­тельто­же ме­ня­етключ. Ес­липра­ви­ло сме­ныклю­чей ак­ку­рат­носо­блю­да­ет­сяи от­пра­ви­те­леми по­лу­ча­те­лем, то в ка­ж­дыймо­мент вре­ме­ниони име­ютоди­на­ко­выйключ. По­сто­ян­наясме­на клю­чаза­труд­ня­етрас­кры­тиеин­фор­ма­циизло­умыш­лен­ни­ком.
Ос­нов­наяза­да­ча вреа­ли­за­цииэто­го ме­то­да- вы­бор эф­фек­тив­но­гопра­ви­ла сме­ныклю­чей. Наи­бо­леепро­стой путь- ге­не­ра­цияслу­чай­но­госпи­ска клю­чей.Сме­на клю­чейосу­ще­ст­в­ля­ет­сяв по­ряд­кеспи­ска. Од­на­ко, оче­вид­носпи­сок при­дет­сяка­ким-то об­ра­зомпе­ре­да­вать.
Дру­гой ва­ри­ант- ис­поль­зо­ва­ниема­те­ма­ти­че­скихал­го­рит­мов, ос­но­ван­ныхна так на­зы­вае­мыхпе­ре­би­раю­щихпо­сле­до­ва­тель­но­стях.На мно­же­ст­веклю­чей пу­темод­ной и тойже опе­ра­циинад эле­мен­томпо­лу­ча­ет­сядру­гой эле­мент.По­сле­до­ва­тель­ностьэтих опе­ра­цийпо­зво­ля­етпе­ре­хо­дитьот од­но­гоэле­мен­та кдру­го­му, по­кане бу­дет пе­ре­бра­новсе мно­же­ст­во.
Наи­бо­леедос­туп­нымяв­ля­ет­сяис­поль­зо­ва­ниепо­лей Га­луа.За счет воз­ве­де­нияв сте­пеньпо­ро­ж­даю­ще­гоэле­мен­тамож­но по­сле­до­ва­тель­нопе­ре­хо­дитьот од­но­гочис­ла к дру­го­му.Эти чис­лапри­ни­ма­ют­сяв ка­че­ст­веклю­чей.
Клю­че­войин­фор­ма­ци­ейв дан­ном слу­чаеяв­ля­ет­сяис­ход­ныйэле­мент, ко­то­рыйпе­ред на­ча­ломсвя­зи дол­женбыть из­вес­тени от­пра­ви­те­люи по­лу­ча­те­лю.
На­деж­ностьта­ких ме­то­довдолж­на бытьобес­пе­че­нас уче­томиз­вест­нос­тизло­умыш­лен­ни­куис­поль­зуе­мо­гопра­ви­ла сме­ныклю­чей.
Ин­те­рес­нойи пер­спек­тив­нойза­да­чейяв­ля­ет­сяреа­ли­за­цияме­то­да “блу­ж­даю­щихклю­чей” недля двух або­нен­тов, а для дос­та­точ­ноболь­шой се­ти, ко­гда со­об­ще­нияпересылаютсяме­ж­ду все­миуча­ст­ни­ка­ми.Шиф­ро­ва­ние, ко­ди­ро­ва­ниеи сжа­тие ин­фор­ма­ции
Этитри ви­дапре­об­ра­зо­ва­нияин­фор­ма­цииис­поль­зу­ют­сяв раз­ных це­лях, что мож­нопред­ста­витьв таб­ли­це.
Вид преобразования
Цель
Изменение объема информации после преобразования.
Шифрование
пе­ре­да­ча кон­фи­ден­ци­аль­ной ин­фор­ма­ции;
обес­пе­че­ние ау­тен­ти­фи­ка­ции и за­щи­ты от пред­на­ме­рен­ных из­ме­не­ний; обыч­но не из­ме­ня­ет­ся, уве­ли­чи­ва­ет­ся лишь в циф­ро­вых сиг­на­ту­рах и под­пи­сях
По­ме­хо­устой­чи­вое ко­ди­ро­ва­ние
за­щи­та от ис­ка­же­ния по­ме­ха­ми в ка­на­лах свя­зи уве­ли­чи­ва­ет­ся
Сжа­тие (ком­прес­сия)
со­кра­ще­ние объ­е­ма передаваемых или хра­ни­мых дан­ных умень­ша­ет­ся
Как видноэти три видапреобразованияинформацииотчасти дополняютдруг друга иих комплексноеиспользованиепоможет эф­фек­тив­ноис­поль­зо­ватька­на­лы свя­зидля на­деж­нойза­щи­ты пре­да­вае­мойин­фор­ма­ции.
Осо­бен­ноин­те­рес­нымпред­став­ля­ет­сявоз­мож­ностьобъ­е­ди­не­нияме­то­довко­ди­ро­ва­нияи шиф­ро­ва­ния.Мож­но ут­вер­ждать, что по су­тико­ди­ро­ва­ние- это эле­мен­тар­ноешиф­ро­ва­ние, а шиф­ро­ва­ние- это эле­мен­тар­ноепо­ме­хо­устой­чи­воеко­ди­ро­ва­ние.
Другая возможность- комбинированиеалгоритмовшифрованияи сжатия информации.Задача сжатиясостоит в том, чтобы преобразоватьсообщение впределах одногои того же алфавитатаким образом, чтобы его длина(количествобукв алфавита)стала меньше, но при этомсообщение можнобыло восстановитьбез использованиякакой-то дополнительнойинформации.Наиболее популярныеалгоритмысжатия — RLE, коды Хаффмана, алгоритмЛемпеля-Зива.Для сжатияграфическойи видеоинформациииспользуютсяалгоритмы JPEGи MPEG.
Главное достоинствоалгоритмовсжатия с точкизрения криптографиисостоит в том, что они изменяютстатистикувходного текстав сторону еевыравнивания20.Так, в обычномтексте, сжатомс помощьюэффективногоалгоритма всесимволы имеютодинаковыечастотныехарактеристикии даже использованиепростых системышифрованиясделают текстнедоступнымдля криптоанализа.

Раз­ра­бот­каи реа­ли­за­цията­ких уни­вер­саль­ныхме­то­дов — пер­спек­ти­васо­вре­мен­ныхинформационныхсис­тем21.Реализациякриптографическихметодов
Про­бле­мареа­ли­за­цииме­то­дов за­щи­тыин­фор­ма­циииме­ет дваас­пек­та:
раз­ра­бот­ку средств, реа­ли­зую­щих крип­то­гра­фи­че­ские ал­го­рит­мы,
ме­то­ди­ку использования этих средств.
Ка­ж­дый израс­смот­рен­ныхкрип­то­гра­фи­че­скихме­то­дов могутбыть реализованыли­бо про­грамм­ным, ли­бо ап­па­рат­нымспо­со­бом.
Воз­мож­ностьпро­грамм­нойреа­ли­за­цииобу­слав­ли­ва­ет­сятем, что всеме­то­дыкрип­то­гра­фи­че­ско­гопреобразованияфор­маль­ныи мо­гут бытьпред­став­ле­ныв виде ко­неч­нойалгоритмическойпро­це­ду­ры.
При ап­па­рат­нойреа­ли­за­циивсе про­це­ду­рышиф­ро­ва­нияи де­шиф­ро­ва­ниявы­пол­ня­ют­сяспе­ци­аль­ны­миэлек­трон­ны­мисхе­ма­ми.Наи­боль­шеераспространениепо­лу­чи­лимо­ду­ли, реа­ли­зую­щиеком­би­ни­ро­ван­ныеме­то­ды.
При этом не­пре­мен­нымком­по­нен­товвсех ап­па­рат­нореализуемыхме­то­довяв­ля­ет­сягам­ми­ро­ва­ние.Это объ­яс­ня­ет­сятем, что ме­тодгам­ми­ро­ва­нияудач­но со­че­та­етв се­бе вы­со­куюкриптостойкостьи про­сто­туреа­ли­за­ции.
Наи­бо­леечас­то в ка­че­ст­веге­не­ра­то­раис­поль­зу­ет­ся ши­ро­ко известныйре­гистр сдви­гас об­рат­ны­мисвя­зя­ми(ли­ней­ны­миили не­ли­ней­ны­ми).Ми­ни­маль­ныйпе­ри­од по­ро­ж­дае­мойпо­сле­до­ва­тель­но­стира­вен 2N-1 бит.Для по­вы­ше­нияка­че­ст­ваге­не­ри­руе­мойпо­сле­до­ва­тель­но­стимож­но пре­ду­смот­ретьспе­ци­аль­ныйблок управ­ле­нияра­бо­тойре­ги­ст­расдви­га. Та­коеуправ­ле­ниемо­жет за­клю­чать­ся, на­при­мер, втом, что по­слешифрованияоп­ре­де­лен­но­гообъ­е­ма ин­фор­ма­циисо­дер­жи­моере­ги­ст­расдви­га цик­ли­че­скииз­ме­ня­ет­ся.
Другая воз­мож­ностьулуч­ше­нияка­че­ст­вагам­ми­ро­ва­нияза­клю­ча­ет­сяв использованиине­ли­ней­ныхоб­рат­ныхсвя­зей. Приэтом улуч­ше­ниедос­ти­га­ет­сяне за счетуве­ли­че­ниядли­ны гам­мы, а за счет ус­лож­не­ниязакона еефор­ми­ро­ва­ния, что су­ще­ст­вен­ноус­лож­ня­еткрип­тоа­на­лиз.
Боль­шин­ст­воза­ру­беж­ныхсе­рий­ныхсредств шиф­ро­ва­нияос­но­ва­нона аме­ри­кан­скомстан­дар­теDES. Оте­че­ст­вен­ныеже раз­ра­бот­ки, та­кие как, на­при­мер, уст­рой­ст­воКРИП­ТОН, ис­поль­зу­етоте­че­ст­вен­ныйстан­дартшиф­ро­ва­ния.
Ос­нов­нымдос­то­ин­ст­вомпро­грамм­ныхме­то­довреа­ли­за­цииза­щи­ты яв­ля­ет­сяих гиб­кость, т.е. воз­мож­ностьбы­ст­ро­гоиз­ме­не­нияал­го­рит­мовшиф­ро­ва­ния.
Ос­нов­ным жене­дос­тат­компро­грамм­нойреа­ли­за­циияв­ля­ет­сясу­ще­ст­вен­номень­шеебы­ст­ро­дей­ст­виепо срав­не­ниюс ап­па­рат­ны­мисред­ст­ва­ми(при­мер­но в10 раз).
Впо­след­неевре­мя ста­липо­яв­лять­сяком­би­ни­ро­ван­ныесред­ст­вашифрования, так на­зы­вае­мыепро­грамм­но-ап­па­рат­ныесред­ст­ва. Вэтом слу­чаев ком­пь­ю­те­реис­поль­зу­ет­сясвое­об­раз­ный“крип­то­гра­фи­че­скийсо­про­цес­сор”22 — вы­чис­ли­тель­ноеуст­рой­ст­во, ори­ен­ти­ро­ван­ноена вы­пол­не­ниекрип­то­гра­фи­че­скихопе­ра­ций(сло­же­ниепо мо­ду­лю, сдвиг и т.д.). Ме­няяпро­грамм­ноеобес­пе­че­ниядля та­ко­гоуст­рой­ст­ва, мож­но вы­би­ратьтот или инойме­тод шиф­ро­ва­ния.Та­кой ме­тодобъ­е­ди­ня­етв се­бе дос­то­ин­ст­вапро­грамм­ныхи ап­па­рат­ныхме­то­дов.
Та­кимоб­ра­зом, вы­борти­па реа­ли­за­циикрип­то­за­щи­тыдля кон­крет­нойИС в су­ще­ст­вен­нойме­ре за­ви­ситот ее осо­бен­но­стейи дол­жен опи­рать­сяна все­сто­рон­нийана­лиз тре­бо­ва­ний, предъ­яв­ляе­мыхк сис­те­меза­щи­ты ин­фор­ма­ции.За­клю­че­ние
В книге сде­ланоб­зор наи­бо­леерас­про­стра­нен­ныхв на­стоя­щеевре­мя ме­то­довкрип­то­гра­фи­че­скойза­щи­ты ин­фор­ма­ции.
Выбор длякон­крет­ныхИС дол­жен бытьос­но­ван наглу­бо­комана­ли­зе сла­быхи силь­ныхсто­рон техили иных ме­то­довза­щи­ты. Обос­но­ван­ныйвы­бор той илииной сис­те­мыза­щи­ты воб­щем-то дол­женопи­рать­сяна ка­кие-токри­те­рииэф­фек­тив­но­сти.К со­жа­ле­нию, до сих пор нераз­ра­бо­та­ныпод­хо­дя­щиеме­то­ди­киоцен­ки эф­фек­тив­но­стикрип­то­гра­фи­че­скихсис­тем.
Наи­бо­леепро­стой кри­те­рийта­кой эф­фек­тив­но­сти— ве­ро­ят­ностьрас­кры­тияклю­ча илимощ­ностьмно­же­ст­ваклю­чей (М). Посути это то жесамое, что икриптостойкость.Для ее численнойоценки можноиспользоватьтакже и сложностьраскрытия шифрапутем переборавсех ключей.
Од­на­ко, этоткри­те­рий неучи­ты­ва­етдругих важныхтребованийк криптосистемам:
невоз­мож­ность рас­кры­тия или ос­мыс­лен­ной мо­ди­фи­ка­ции ин­фор­ма­ции на ос­но­ве ана­ли­за ее струк­ту­ры,
со­вер­шен­ст­во ис­поль­зуе­мых про­то­ко­лов за­щи­ты,
минимальный объ­ем ис­поль­зуе­мой клю­че­вой ин­фор­ма­ции,
минимальная слож­ность реа­ли­за­ции (в ко­ли­че­ст­ве ма­шин­ных опе­ра­ций), ее стои­мость,
высокая опе­ра­тив­ность.
Же­ла­тель­ноко­неч­ноис­поль­зо­ва­ниене­ко­то­рыхин­те­граль­ныхпо­ка­за­те­лей, учи­ты­ваю­щихука­зан­ныефак­то­ры.
Для уче­тастои­мо­сти, тру­до­ем­ко­стии объ­е­маклю­че­войин­фор­ма­циимож­но ис­поль­зо­ватьудель­ныепо­ка­за­те­ли- от­но­ше­ниеука­зан­ныхпа­ра­мет­ровк мощ­но­стимно­же­ст­ваклю­чей шиф­ра.
Час­тобо­лее эф­фек­тив­нымпри вы­бо­реи оцен­кекрип­то­гра­фи­че­скойсис­те­мыяв­ля­ет­сяис­поль­зо­ва­ниеэкс­перт­ныхоце­нок иими­та­ци­он­ноемо­де­ли­ро­ва­ние.
В лю­бомслу­чае вы­бран­ныйком­плекскрип­то­гра­фи­че­скихме­то­дов дол­женсо­че­татькак удоб­ст­во, гиб­кость иопе­ра­тив­ностьис­поль­зо­ва­ния, так и на­деж­нуюза­щи­ту отзло­умыш­лен­ни­ковцир­ку­ли­рую­щейв ИС ин­фор­ма­ции.

Содержание