Криптографическая защита информации
ТЕМА 6
Криптографическая защита информации
1. Шифрование с помощью ключа.
2. Цифровые подписи и сертификаты.
1. Шифрование с помощью ключа.
Криптография (в переводе с греч. - тайный) – наука и технология шифрования важной информации для защиты ее от изменений и неавторизованного доступа. Криптография является основой безопасных коммуникаций и решает следующие проблемы:
1. Сохранение тайны – конфиденциальность (позволяет предотвратить доступ к тайному документу для неавторизованных получателей).
2. Идентификация (позволяет доказать, что данные действительно получены от конкретного лица).
Рекомендуемые материалы
3. Аутентификация (предотвращает возможность отказа от совершаемых действий).
4. Целостность сообщения;
5. Управление доступом.
В компьютерных системах сосредоточивается информация, право на пользование которой принадлежит определенным лицам или группам лиц, действующим в порядке личной инициативы или в соответствии с должностными обязанностями. Чтобы обеспечить безопасность информационных ресурсов, устранить возможность несанкционированного доступа, усилить контроль санкционированного доступа к конфиденциальной либо к подлежащей засекречиванию информации, внедряются различные системы опознавания, установления подлинности объекта (субъекта) и разграничения доступа. В основу построения таких систем закладывается принцип допуска и выполнения только таких обращений к информации, в которых присутствуют соответствующие признаки разрешенных полномочий.
Ключевыми понятиями в этой системе являются "идентификация" и "аутентификация". Идентификация - это присвоение какому-либо объекту или субъекту уникального имени или образа. Аутентификация - это установление подлинности, т.е. проверка, является ли объект (субъект) действительно тем, за кого он себя выдает.
Конечная цель процедур идентификации и аутентификации объекта (субъекта) - допуск его к информации ограниченного пользования в случае положительной проверки либо отказ в допуске в случае отрицательного исхода проверки.
Объектами идентификации и аутентификации могут быть: люди (пользователи, операторы и др.); технические средства (мониторы, рабочие станции, абонентские пункты); документы (ручные, распечатки и др.); магнитные носители информации; информация на экране монитора, табло и др.
Один из наиболее распространенных методов аутентификации - присвоение лицу или другому имени пароля и хранение его значения в вычислительной системе. Пароль - это совокупность символов, определяющая объект (субъект). При выборе пароля возникают вопросы о его размере, стойкости к несанкционированному подбору, способам его применения. Естественно, чем больше длина пароля, тем большую безопасность будет обеспечивать система, ибо потребуются большие усилия для его отгадывания. При этом выбор длины пароля в значительной степени определяется развитием технических средств, их элементной базой и быстродействием.
Наиболее высокий уровень безопасности достигается в случае деления пароля на две части: одну 3 - 6-значную, легко запоминаемую человеком, и вторую, содержащую количество знаков, определяемое требованиями к защите и возможностями технической реализации системы. Эта часть помещается на специальный физический носитель - карточку, устанавливаемую пользователем в специальное считывающее устройство.
Учитывая важность пароля как средства повышения безопасности информации от несанкционированного использования, следует соблюдать некоторые меры предосторожности, в том числе:
не хранить пароли в вычислительной системе в незашифрованном виде;
не печатать и не отображать пароли в явном виде на терминале пользователя;
не использовать в качестве пароля свое имя или имена родственников, а также личную информацию (дата рождения, номер домашнего или служебного телефона, название улицы и др.);
не использовать реальные слова из энциклопедии или толкового словаря;
выбирать длинные пароли;
использовать смесь символов верхнего и нижнего регистров клавиатуры;
использовать комбинации из двух простых слов, соединенных специальными символами (например, +, = и др.);
придумывать новые слова (абсурдные или даже бредового содержания);
чаще менять пароль.
Для идентификации пользователей могут применяться сложные в плане технической реализации системы, обеспечивающие установление подлинности пользователя на основе анализа его индивидуальных параметров: отпечатков пальцев, рисунка линий руки, радужной оболочки глаз, тембра голоса и др. Но пока эти приемы носят скорее рекламный, чем практический характер.
Методы шифрования
Процесс шифрования с помощью ключа заключается в том, что открытый текст комбинируется цепочкой чисел по правилам криптографического алгоритма с целью получения зашифрованного текста.
Данные + Ключ + Алгоритм = Зашифрованные данные
Рассмотрим следующий пример: Я иду на занятия.
Я и д у н а з а н я т и я
31 10 5 21 15 1 9 1 15 32 20 10 32 Данные
С е т ь С е т ь С е т ь С
19 6 20 29 19 6 29 19 6 29 19 6 29 Ключ
51 16 25 50 34 7 29 30 34 38 40 39 51
Шифрование с помощью публичного ключа основано на использовании 2х ключей: один из них закрытый (частный), а другой – открытый (публичный). Послание можно зашифровать и частным, и публичным ключом, а расшифровать только вторым из пары. Частный ключ принадлежит только владельцу, а публичный распространяется всем корреспондентам.
Симметричные ключи (системы с общим секретным ключом).
2. Асимметричные ключи (использование пары ключей – открытого и закрытого).
Пример: технология RAS (Rivest, Shamir, Aldeman), США, Массачусетский Технологический институт, принят в 1977 г.
2. Цифровые подписи и сертификаты.
14 - Физиология сердца - лекция, которая пользуется популярностью у тех, кто читал эту лекцию.
Одно из интенсивно разрабатываемых направлений по обеспечению безопасности информации - идентификация и установление подлинности документов на основе электронной цифровой подписи - ныне простирается от проведения финансовых и банковских операций до контроля за выполнением различных договоров. Естественно, при передаче документов по каналам связи применяется факсимильная аппаратура, но в этом случае к получателю приходит не подлинник, а лишь копия документа с копией подписи, которая в процессе передачи может быть подвергнута повторному копированию для использования ложного документа.
Электронная цифровая подпись представляет собой способ шифрования с помощью криптографического преобразования и является паролем, зависящим от отправителя, получателя и содержания передаваемого сообщения. Для предупреждения повторного использования подпись должна меняться от сообщения к сообщению.
Для решения проблем аутентификации в криптографии применяется односторонняя хеш-функция, которая преобразует исходное послание любой длины в строку символов ограниченной длины. Такое послание называется дайджест посланием. Хеширование – одностороннее преобразование, т.к. по дайджесту послания его нельзя восстановить в исходное сообщение, но можно однозначно идентифицировать.
Пример: пусть корреспондент А, применяя хеш-функцию, получает дайджест в виде кода 1. Затем, применяя свой личный ключ, корреспондент А зашифровывает дайджест, который и становится аналогом подписи данного документа. Далее корреспондент А отправляет открытый текст послания и цифровую подпись корреспонденту Б. Абонент Б расшифровывает подпись публичным ключом, который он получил от корреспондента А и убеждается, что письмо действительно от него. В результате расшифровки корреспондент Б получает дайджест послания с кодом 1. Затем корреспондент Б, используя ту же хеш-функцию, что и корреспондент А, хеширует послание и получает дайджест в виде кода 2. Если код 1 и код 2 совпадают, значит послание доставлено (функция идентификации).
Цифровая подпись – метод аутентификации, подтверждающий, что содержание документа не было изменено.
Сертификаты – цифровые данные, подписанные цифровой подписью поручителя, подтверждающие соответствие открытого ключа и информации, идентифицирующего его владельца. Сертификат содержит публичный ключ, информацию о владельце ключа, название сертификационного центра и время действия сертификата. Бывают личные и общественные сертификаты. При выдаче сертификата высшего уровня (общественные) проверяются не только личные данные владельца, но и его кредитоспособность. Для получения личного сертификата пользователь обязан внести плату, которая тем больше, чем выше класс сертификата.