Обзор основ криптографии

Шифрование используется для аутентификации и сохранения тайны Современные криптографические алгоритмы в совокупности с мощными компьютерами дают возможность повседневно эффективно использовать самые сложные методы аутентификации и шифрования. Когда Вы слышите о шифровании, то, вероятно, сразу же представляете себе перевод данных в нечитаемую форму для сохранения тайны. Но криптография помогает решать и другие задачи, включая аутентификацию работающих в сети компьютеров и отдельных лиц, например, при осуществлении транзакций в Web. Кроме того, криптография включает специальные методы цифровой идентификации личности, которые могут быть использованы в сети при передаче сообщений или файлов, например, для аутентификации посланий и программного обеспечения.

Криптографические технологии обеспечивают три основных типа услуг для электронной коммерции: аутентификацию (которая включает идентификацию), невозможность отказа от совершенного (non-repudiation) и сохранение тайны. Идентификация (подвид аутентификации) проверяет, является ли отправитель послания тем, за кого себя выдает. Аутентификация идет еще дальше — проверяет не только личность отправителя, но и отсутствие изменений в послании. Реализация требования невозможности отказа не позволяет кому бы то ни было отрицать, что он отправил или получил определенный файл или данные (это схоже с отправкой заказного письма по почте). И, наконец, сохранение тайны — это защита посланий от несанкционированного просмотра.

Шифрование или кодирование информации с целью ее защиты от несанкционированного прочтения — главная задача криптографии с самых давних времен. Еще Юлий Цезарь использовал буквенный код, отправляя послания своим полевым командирам. Чтобы шифрование дало желаемый результат, необходимо, чтобы и отправитель, и получатель знали, какой набор правил (иначе говоря, шифр) был использован для преобразования первоначальной информации в закодированную форму (зашифрованный текст). Шифр задает правила кодирования данных. В самом простом случае шифрование может заменять каждую букву сообщения другой, отстоящей от нее на фиксированное число позиций в алфавите, например на 13. Если получатель знает, что отправитель сделал с посланием, то он может повторить процесс в обратной последовательности (например, заменить каждую букву отстоящей от нее на 13 в противоположном направлении) и получить первоначальный текст. Это называется "шифром Цезаря" Вот пример: если я применю 13-буквенный шифр Цезаря к своему имени то вместо David Kosiui получится "Univq Xbfvhe" (подсказка: когда отсчитывая буквы Вы дойдете до "Z", возвращайтесь к началу алфавита).

В основе шифрования — два понятия: алгоритм и ключ. Криптографический алгоритм — это математическая функция, которая комбинирует открытый текст или другую понятную информацию с цепочкой чисел, называемых ключом, для того чтобы в результате получился бессвязный шифрованный текст Алгоритм и ключ — основа процесса шифрования. Новый алгоритм трудно придумать, но один алгоритм можно использоватъ с многими ключами. Хотя и существуют некоторые специальные криптографические алгоритмы, не использующие ключ (см. описание хеш-функций в следующем разделе) , алгоритмы с ключом имеют особое значение. У шифрования с ключом два важных преимущества. Во-первых, новый алгоритм шифрования изобрести достаточно трудно и вряд ли Вы захотите делать это всякий раз, когда необходимо отправить тайное послание новому корреспонденту. Используя ключ, Вы можете применять один и тот же алгоритм для отправки сообщений разным людям. Все, что придется сделать, — закрепить отдельный ключ за каждым корреспондентом.
Во-вторых, если кто-то "взломает" Ваше зашифрованное послание, чтобы продолжить шифрование информации, Вам будет достаточно лишь поменять ключ. Переходить на новый алгоритм не придется (если, конечно, "взломан" ключ, а не сам алгоритм — такое хотя и маловероятно, но возможно). Количество бит в ключе определяет число возможных комбинаций, чем их больше, тем труднее подобрать ключ и вскрыть зашифрованное сообщение. Количество возможных ключей в данном алгоритме зависит от числа бит в ключе. Например, 8-битный ключ допускает лишь 256 (28) возможных числовых комбинаций, каждая из которых также называется ключом. Чем больше возможных ключей, тем труднее "вскрыть" зашифрованное послание. Таким образом, степень надежности алгоритма зависит от длины ключа. Компьютеру не потребуется много времени, чтобы последовательно перебрать каждый из 256 возможных ключей (на это уйдет меньше доли секунды) и, расшифровав послание, проверить, имеет ли оно смысл. Но если использовать 100-битный ключ (что эквивалентно перебору 2100 ключей), то компьютеру, опробующему миллион ключей в секунду, все равно может потребоваться несколько веков, чтобы отыскать правильный.

Надежность алгоритма шифрования зависит от длины ключа. Почему? Если знать, сколько бит в ключе, то можно оценить, сколько времени придется потратить, чтобы "взломать" шифр. Надеяться только на секретность алгоритма или зашифрованного текста неразумно — ведь посторонние могут получить эту информацию из конфиденциальных источников, а также путем сравнительного анализа посланий или каким-либо еще способом (например, отслеживая трафик) Тогда злоумышленник сможет расшифровать корреспонденцию.

Самая старая форма шифрования с использованием ключа — симметричное шифрование, или шифрование с секретным ключом. При шифровании по такой схеме отправитель и получатель владеют одним и тем же ключом, с помощью которого и тот, и другой могут зашифровывать и расшифровывать информацию .

Симметричное шифрование имеет некоторые недостатки например, обе стороны должны предварительно договориться о секретном ключе Если у Вас 100 корреспондентов, то Вам придется хранить 100 секретных ключей, по одному для каждого. Но использовать один ключ для нескольких корреспондентов нельзя — тогда они смогут читать почту друг друга. Схемам симметричного шифрования также присущи проблемы с аутентичностью, поскольку личность отправителя или получателя послания гарантировать невозможно. Если двое владеют одним и тем же ключом, каждый из них может написать и зашифровать послание, а затем заявить что это сделал другой. Такая неопределенность не позволяет реализовать принцип невозможности отказа.

Проблему отречения от авторства позволяет решить криптография с открытым ключом, использующая асимметричные алгоритмы шифрования. В симметричном шифровании используется один и тот же секретный ключ для шифрования и расшифровки посланий. Криптография с открытым ключом основана на концепции ключевой пары. Каждая половина пары (один ключ) шифрует информацию таким образом, что ее может расшифровать только другая половина (второй ключ) Одна часть ключевой пары — личный ключ известна только ее владельцу. Другая половина — открытый ключ распространяется среди всех его корреспондентов, но связана только с этим владельцем. Ключевые пары обладают уникальной особенностью. Данные, зашифрованные любым из ключей пары, могут быть расшифрованы только другим ключом из этой пары. Другими словами, нет никакой разницы, личный или открытый ключ используется для шифрования послания, получатель сможет применить для расшифровки вторую половину пары. Ключи можно использовать и для обеспечения конфиденциальности послания, и для аутентификации его автора. В первом случае для шифрования послания отправитель использует открытый ключ получателя, и таким образом оно останется зашифрованным, пока получатель не расшифрует его личным ключом. Во втором случае, отправитель шифрует послание личным ключом, к которому только он сам имеет доступ.

Например, чтобы отправить конфиденциальное послание, Вася сначала должен узнать открытый ключ Маши. Затем он использует этот ее открытый ключ для шифрования послания и отправляет Маше послание. Поскольку оно было зашифровано открытым ключом Маши, только тот, кто знает этот личный ключ (предположительно, только сама Маша), сможет его расшифровать. Размещение открытого ключа в сети делает его легко доступным для корреспондентов, и в то же время ни коим образом не угрожает защищенности Вашего личного ключа. Шифрование посланий открытым ключом принципиально не слишком отличается от симметричного шифрования с использованием секретного ключа, но все же имеет ряд преимуществ. Например, открытая часть ключевой пары может свободно распространяться без опасений, что это помешает использовать личный ключ. Не нужно рассылать копию своего открытого ключа всем корреспондентам; Они смогут получить его на сервере вашей компании или у Вашего провайдера. Учтите, каждый, кто имеет копию Вашего открытого ключа, способен прочитать послание, зашифрованное Вашим личным ключом. В коммерческих транзакциях принята стандартная процедура: покупатель шифрует послания своим личным ключом, а подтверждения продавца, в свою очередь, шифруются его личным ключом. Это означает, что всякий, кто знает открытый ключ продавца сможет это подтверждение прочитать. Для сохранения в тайне информации, посланной продавцом, необходимы дополнительные шаги.

Другое преимущество криптографии с открытым ключом в том, что она позволяет аутентифицировать отправителя послания. Поскольку Вы — единственный, кто имеет возможность зашифровать какую-либо информацию Вашим личным ключом, всякий, кто использует Ваш открытый ключ для расшифровки послания, может быть уверен, что оно от Вас. Таким образом, шифрование электронного документа Вашим личным ключом схоже с подписью на бумажном документе. Но не забывайте: нет никаких гарантий, что помимо получателя Ваше послание не прочтет кто-то еще. Использование криптографических алгоритмов с открытым ключом для шифрования посланий — это достаточно медленный вычислительный процесс, поэтому специалисты по криптографии придумали способ быстро генерировать короткое, уникальное представление Вашего послания, называемое дайджестом послания. Дайджест можно зашифровать, а затем использовать Вашу цифровую подпись. (Несмотря на название, дайджест послания не является его кратким изложением). Существуют популярные, быстрые криптографические алгоритмы для генерации дайджестов послания — односторонние хеш-функции. Односторонняя хеш-функция не использует ключ. Это обычная формула для преобразования послания любой длины в одну строку символов (дайджест послания). При использовании 16-байтной хеш-функции обработанный ей текст будет иметь на выходе длину 16 байт — например, послание может быть представлено цепочкой символов CBBV235ndsAG3D67. Каждое послание образует свой случайный дайджест. Зашифруйте этот дайджест своим личным ключом, и Вы получите цифровую подпись. В качестве примера, предположим, что продавец Вася преобразовал свое послание в дайджест, зашифровал его своим личным ключом, и отправил Маше эту цифровую подпись вместе с открытым текстом послания. После того как Маша использует открытый ключ Васи для расшифровки цифровой подписи, у нее будет копия дайджеста послания Васи. Поскольку она сумела расшифровать цифровую подпись открытым ключом Васи, то значит, Вася является ее автором. Затем Маша использует ту же самую хеш-функцию (о которой оба договорились заранее) для подсчета собственного дайджеста для открытого текста послания Васи. Если полученная ей строка совпадает с той, что прислал Вася, то она может быть уверена в аутентичности цифровой подписи. А это означает не только то, что отправитель послания Вася, но также и то, что послание не было изменено. При таком подходе единственная проблема в том, что само послание отправляется открытым текстом, и, следовательно, его конфиденциальность не сохраняется. Для шифрования открытого текста послания Вы можете дополнительно использовать симметричный алгоритм с секретным ключом. Но учтите, это приведет к дальнейшему усложнению процесса.

Сравнение методов шифрования

Нет системы шифрования, идеально подходящей для всех ситуаций. В таблице, приведенной ниже, проиллюстрированы преимущества и недостатки каждого типа шифрования.

Примите во внимание также различия в длине ключей и в структуре алгоритмов. Тогда можно понять, почему порой трудно выбрать подходящий алгоритм. Здесь нужно руководствоваться следующим правилом: определитесь, насколько секретна Ваша информация и сколько времени она будет оставаться таковой и нуждаться в защите. После этого выберите алгоритм шифрования и длину ключа, на "взлом" которых потребуется больше времени, чем то, на протяжении которого данные должны оставаться секретными. Вычислительная мощь компьютеров постоянно возрастает, а их стоимость падает, так что в будущем "взлом" длинных ключей становится увы, проще и дешевле.

Обзор систем защиты информации в Интернет
Как уже упоминалось, существует несколько видов угроз безопасности электронной коммерции. Для противодействия этим угрозам разрабатывается целый ряд протоколов и приложений, использующих криптографические методики. Интернет уже давно славится своей приверженностью к открытым стандартам. Такая поддержка в совокупности с открытостью обмена информацией может навести на мысль, что Интернет и безопасность — понятия взаимоисключающие. Это далеко не так. Хотя в прошлом информация в Интернет была менее защищена, чем в частных VAN- или корпоративных сетях, в настоящее время прилагаются большие усилия для внедрения механизмов защиты трафика в Интернет. Распространенные алгоритмы шифрования

• DES (Data Encryption Standard) — блочный шифр, созданный IBM и утвержденный правительством США в 1977 году. Использует 56-битный ключ и оперирует блоками по 64 бит. Относительно быстр; применяется при единовременном шифровании большого количества данных.
  
• Тройной DES основан на DES. Шифрует блок данных три раза тремя различными ключами. Предложен в качестве альтернативы DES, поскольку угроза быстрого и легкого "взлома" последнего возрастает с каждым днем.
  
• RC2 и RC4 — шифры с переменной длинной ключа для очень быстрого шифрования больших объемов информации, разработаны Роном Райвестом. Эти два алгоритма действуют немного быстрее DES и способны повышать степень защиты за счет выбора более длинного ключа. RC2 — блочный шифр, и его можно применять как альтернативу DES. RC4 представляет собой потоковый шифр и работает почти в десять раз быстрее DES.
• IDEA (International Data Encryption Algorithm) создан в 1991 году и предназначен для быстрой работы в программной реализации. Очень стойкий шифр, использующий 128-битный ключ.
• RSA назван в честь его разработчиков (Rivest, Shaimr и Adelman). Алгоритм с открытым ключом поддерживает переменную длину ключа, а также переменный размер блока шифруемого текста. Размер блока открытого текста должен быть меньше длины ключа, обычно составляющей 512 бит.
• Схема Диффи-Хеллмана (Diffie-Hellman) — самая старая из используемых сегодня криптосистем с открытым ключом. Не поддерживает ни шифрование, ни цифровые подписи. Предназначена для того, чтобы два человека могли договориться об общем ключе, даже если обмениваются сообщениями по открытым линиям.
• DSA (Digital Signature Algorithm) разработан NIST и основан на принципе, называемом алгоритмом Эль Гамаля. Схема подписи использует тот же тип ключей, что и алгоритм Диффи-Хеллмана, и может создавать подписи быстрее RSA, Продвигается NIST в качестве стандарта цифровой подписи (Digital Signature Standard, DSS), но пока еще далек от всеобщего признания.

  Использование специальных стандартов и протоколов позволяет надежно защитить предаваемую по Интернет информацию. В последнее время, после появления целого набора стандартов, охватывающих защиту всех уровней сети — от пакета до приложения, складывается впечатление, что вопросу защиты информации в Интернет уделяется даже чрезмерное внимание. Вопреки мнению об Интернет как о ненадежном носителе информации (вследствие его децентрализованности), транзакции могут быть хорошо защищены. Стандарты обеспечивают защиту соединений и приложений. Рассматриваемые стандарты можно классифицировать в соответствии с тем, что они защищают: соединения или приложения. Такие стандарты, как SSL (Secure Sockets Layer) и Secure WAN или S/WAN (Secure Wide-Area Networks) предназначены для защиты коммуникаций в Интернет, хотя SSL используется в основном с Web-приложениями. С другой стороны, S-HTTP (Secure HTTP) и S/MIME (Secure MIMЕ) нацелены на обеспечение аутентификации и конфиденциальности (S-HTTP—для Web-приложений, а S/MIME — для электронной почты). SET обеспечивает защиту только для транзакций электронной коммерции.

  Программное и аппаратное обеспечение для защиты соединений и приложений в Интернет разрабатывается уже давно, хотя внедряются новые технологии несколько неравномерно. Одна из причин такого положения — производители еще не достигли согласия по вопросу, где в сети следует использовать криптографические протоколы. Различные сетевые компоненты – рабочие станции, Web-серверы, Web – браузеры и прочие приложения, а также коммуникационные протоколы, порождают свои собственные варианты, многие из которых охватывают только часть рынка. Решающее влияние на выбор (или, по крайней мере, доминирование) каких-то определенных стандартов окажет рынок, а не усилия органов стандартизации, таких как IEFT. Принятие разработчиками сложившихся стандартов (например, ранних версий SSL) и образование союзов между разработчиками покажут, какие протоколы, скорее всего, станут популярными.

  Защита Web-приложений: S-HTTP и SSL
  S-HTTP защищает данные, а SSL —коммуникационный канал. Web-приложения защищены двумя протоколами — Secure HTTP и Secure Sockets Layer, которые обеспечивают аутентификацию для серверов и браузеров, а также конфиденциальность и целостность данных для соединений между Web-сервером и браузером. S-HTTP, предназначенный, в первую очередь, для поддержки протокола передачи гипертекста (HTTP), обеспечивает авторизацию и защиту документов. SSL предлагает схожие методы защиты, но для коммуникационного канала. Он действует в нижней части стека протоколов между прикладным уровнем и транспортным и сетевыми уровнями TCP/IP. SSL можно использовать не только для транзакций, которые проходят в Web, но этот протокол не предназначен для обеспечения безопасности на основе аутентификации, происходящей на уровне приложения или документа. Для управления доступом к файлам и документам нужно использовать другие методы.

  Защита электронной почты: РЕМ, S/MIME и PGP
  Для защиты электронной почты в Интернет есть множество различных протоколов, но лишь один или два из них используются достаточно широко. Протокол РЕМ применяется все реже. S/MIME использует цифровые сертификаты и поддерживает электронные послания, состоящие из нескольких частей. РЕМ (Privacy Enhanced Mail) — это стандарт Интернет для защиты электронной почты с использованием открытых или симметричных ключей. Он применяется все реже, поскольку не предназначен для обработки нового, поддерживаемого MIME, формата электронных посланий и, кроме того, требует жесткой иерархии сертификационных центров для выдачи ключей. S/MIME — новый стандарт. Он задействует многие криптографические алгоритмы, запатентованные и лицензированные компанией RSA Data Security Inc. S/MIME использует цифровые сертификаты, и, следовательно, при обеспечении аутентификации полагается на сертификационный центр (кооперативный или глобальный).
  PGP (Pretty Good Privacy) – это общепринятый способ защиты электронной почты в Интернет. Вероятно, это самое распространенное приложение защиты электронной почты в Интернет, использующее различные стандарты шифрования. Приложения шифрования – расшифровки PGP выпускаются для всех основных операционных систем, и послания можно шифровать до использования программы отправки электронной почты. Некоторые почтовые программы, такие как Eudora Pro фирмы Quaicomm и OnNet от FTP Software, позволяют подключать специальные PGP-модули для обработки зашифрованной почты. PGP построена на принципе паутины доверия (web of trust) и позволяет пользователям распространять свои ключи без посредничества сертификационных центров.

  Защита сетей: брандмауэры
  Когда Вы соединяете ресурсы своей корпоративной сети с открытой сетью, такой, как Интернет, Вы подвергаете риску как содержащиеся в ней данные, так и сами компьютерные системы. Без брандмауэра данные будут мишенью для внешней атаки. Как и их аналоги в обыденной жизни, в электронном мире брандмауэры предназначены для защиты oт повреждений, в данном случае, защиты данных и компьютерных систем. Брандмауэры способны обеспечить защиту отдельных протоколов и приложений, и весьма эффективны против маскарада. Брандмауэры осуществляют контроль доступа на основе содержимого пакетов данных, передаваемыми между двумя сторонами или устройствами по сети.

  Одно из преимуществ брандмауэра в том, что он позволяет обеспечить единственную точку контроля за безопасностью в сети. Но это преимущество может обернуться против Вас: если брандмауэр окажется единственным слабым местом в системе защиты, то вероятно, он и привлечет к себе повышенное внимание хакеров. Помните, что брандмауэры не являются универсальным решением всех проблем безопасности в Интернет. Например, они не осуществляют проверку на вирусы и не способны обеспечить целостность данных. Кроме того, брандмауэры не аутентифицируют источник данных и очень часто не гарантируют конфиденциальности. Однако в настоящее время разрабатываются новые протоколы для обеспечения аутентификации и конфиденциальности пакетов данных в Интернет. Корпоративные сети часто связывают офисы, разбросанные по городу, региону, стране или всему миру. В настоящее время ведутся работы по защите на сетевом уровне IP-сетей (именно такие сети формируют Интернет), что позволит компаниям создавать свои собственные виртуальные частые сети (virtual private networks, VPN) и использовать Интернет как альтернативу дорогим арендованным линиям. Ведущие поставщики брандмауэров и маршрутизаторов выступили с инициативой: предложили технологию S/WAN (Secure Wide Area Networks) . Они взяли на себя внедрение и тестирование протоколов, предлагаемых Рабочей группой инженеров Интернет (Internet Engineering Task Force, IETF) для защиты IР-пакетов. Эти протоколы обеспечивают аутентификацию и шифрование пакетов, а также методы обмена и управления ключами для шифрования и аутентификации. Протоколы S/WAN помогут достичь совместимости между маршрутизаторами и брандмауэрами различных производителей, что позволит географически разобщенным офисам одной корпорации, а также партнерам, образующим виртуальное предприятие, безопасно обмениваться данными по Интернет.

  CryptoAPI u CDSA
  В настоящее время есть два основных набора инструментов, призванных упростить для разработчиков задачу внедрения криптографических методов защиты в приложения для персональных компьютеров — это CryptoAPI от Microsoft и CDSA (Common Data Security Architecture) от Intel. Microsoft разрабатывает интегрированную систему безопасности Интернет — Internet Security Framework — совместимую с Microsoft Windows 95 и Microsoft Windows NT. Важный компонент этой интегрированной системы — CryptoAPI. Этот интерфейс прикладного программирования (API) действует на уровне операционной системы и предоставляет разработчикам в среде Windows средства вызова криптографических функций (таких как алгоритмы шифрования) через стандартизированный интерфейс. Поскольку CryptoAPI имеет модульную структуру, он позволяет разработчикам в зависимости от их потребностей заменять один криптографический алгоритм другим. CryptoAPI также обладает средствами для обработки цифровых сертификатов. CDSA от Intel предлагает практически те же самые функциональные возможности, что и CryptoAPI, но этот набор инструментов с самого начала предназначался для многоплатформенного использования, а не только для Windows. Некоторые компании (в том числе Netscape, Datakey, VASCO Data Security и Verisign) уже включили поддержку CDSA в свои продукты.