А.В. Петраков - Основы практической защиты информации (1022811), страница 58
Текст из файла (страница 58)
Пользовательские критерии ЭЦППользователей интересуют не математические тонкости различныхсхем, а потребительские качества, которыми должны обладать программные (или аппаратные) комплексы, осуществляющие функцииЭЦП. Главными здесь являются криптостойкость и скорость работы.Менее важными можно считать функциональные возможности и удобство пользователя.Криптостойкость цифровой подписи должна обеспечивать значительную трудоемкость ее подделки любым лицом, не имеющим доступа"260·.■к секретному ключу подписывающего. При этом трудоемкость подделкидолжна быть велика как для постороннего, так и для участника даннойсети, Трудоемкость не должна зависеть от числа подписанных документов, перехваченных злоумышленником, и на нее не должна оказыватьвлияния возможность злоумышленника готовить документы «на подпись» отправителю.
Кроме того, комплекс должен обеспечивать ещеи защиту от несанкционированного доступа к хранящемуся секретному «образцу подписи».Под скоростью работы понимают, во-первых, скорость операции«постановка подписи», во-вторых, скорость операции «проверка подписи», в-третьих, скорость операции «генерация ключа подписи».Криптостойкость определяется прежде всего используемым для создания цифровой подписи криптоалгоритмом с открытым ключом. Кроме того, принципиально важным является правильный выбор хеш-функции и системы защиты программного комплекса от несанкционированного доступа. Скорость работы зависит прежде всего от скоростныхкачеств криптоалгоритма, реализующего цифровую подпись.
Как правило, чем выше криптостойкость используемой схемы цифровой подписи, тем ниже ее скоростные характеристики. Очень важным являетсявыбор алгоритмов многоразрядной арифметики, используемых для вычислений по выбранному криптоалгоритму цифровой подписи, скоростьхеш-функции, а также тип используемого компьютера. Для компьютерных сетей существенным параметром может оказаться длида__дод4Ш€итВ тех случаях, когда передаваемый файл ^например команда) мал, а число таких файлов относительно велико, длина подите и· -может-повлиятьна скорость обмена информацией.Нападения на ЭЦП можно классифицировать [43]:по видам на простейшие (подделка, переделка, повтор) и более тонкие (подбор сообщения, подаваемого на «подпись» отправителю, нападения на открытый каталог проверяющего);по последствиям, (например либо на одно сообщение, либо на всесообщения данного абонента, либо на все сообщения всех абонентовв сети);по возможностям нарушителя (возможность иметь доступ к каналусвязи отправитель — получатель, к компьютеру получателя, к компьютеру отправителя или участвовать в разработке системы подписи);по ресурсам, необходимым нарушителю (по временным ресурсам— подписанная информация передается в режиме реального времении устаревает мгновенно, либо она хранится долгие годы и практически не устаревает; по ресурсам ЭВМ — нарушитель располагает ПЭВМлибо ЭВМ типа CRAY).Рассмотренная выше модель аутентификации является достаточноабстрактной.
Поскольку жизнь всегда разнообразнее в своих проявлениях, существуют некоторые весьма «хитрые» виды нападений, которые трудно предусмотреть теоретически. Остановимся на трех их разновидностях.261«Лобовые» нападения. Так можно назвать наиболее примитивные нападения, от которых все в основном и защищаются. Считается,что злоумышленник знает алгоритм постановки подписи и вычисленияхеш-функции и располагает мощными вычислительными ресурсами.Общепринято, что стойкость системы подписи RSA основана на трудоемкости задачи факторизации (разложение больших чисел на множители), а стойкость системы подписи Эль-Гамаля основана на трудоемкости задачи дискретного логарифмирования. Эти две математическиезадачи известны достаточно давно, и до сих пор для них не найденоэффективных алгоритмов.
Однако это вовсе не означает, что таких алгоритмов не существует. В последние годы (именно в связи с криптографической проблематикой) эти задачи активно изучаются математикамивсего мира. Если для них будут найдены эффективные алгоритмы, этобудет означать крах соответствующих криптосистем. Так семь... восемьлет назад решение указанных задач считалось нереальным для чиселпорядка 10100. С тех пор развитие вычислительных алгоритмов и самойвычислительной техники продвинулось настолько, что даже модули порядка 10200 рядом криптографов признаются недостаточно большими.Следует иметь в виду, что описываемое нападение даже для модуля порядка 1О100 требует колоссальных вычислительных затрат.
Описанная в литературе факторизация чисел порядка 10105 осуществлена врезультате месячной работы сети компьютеров VAX. А сколько времени потребовалось алгоритмистам и программистам для написания программы факторизации?Н а п а д е н и я , в к о т о р ы х уч а с т в уе т в а ш а с е к р е т а р ш а . П р ед положим, что документы вам на подпись готовит секретарша, которая(сознательно или нет) работает в интересах ваших противников. Ваши противники сформировали документ, о котором вы не подозреваете,и который не имеете желания подписывать (например какую-нибудь дарственную бумагу от вашего имени).
Теперь им необходимо, чтобы подданным документом стояла ваша подпись. Как это сделать? Можнопредложить способ подбора документа с нужной хеш-функцией. Допустим, вы дали указание секретарше сформировать какой-то очереднойнужный документ. Она относит его вашим противникам, и те пытаютсявидоизменить его так, чтобы документ, с одной стороны, сохранил нужный смысл, а с другой стороны, значение хеш-функции для него совпалобы со значением хеш-функции для документа, сформированного вашимипротивниками (дарственной). Далее вы подписываете видоизмененныйдокумент, а злоумышленники используют вашу подпись под ним. Вашуподпись можно «отрезать» и «приклеить» к другому документу, и если,у нового документа значение хеш-функции совпадет со значением хешфункции старого документа, то при проверке подписи новый документ(дарственную) признают подлинной [43].Это видоизменение может быть сделано так, что вы ни о чем недогадаетесь, поскольку, например добавление лишнего пробела никак262-не отразится на смысле документа, но может разительным образом изменить его хеш-функцию .
Работа злоумышленников для осуществления такого нападения может продолжаться длительное время (многиемесяцы). При этом они будут пытаться видоизменить очередной готовящийся вам на подпись документ. Если этот промежуток времениумножить на быстродействие компьютеров, которые имеются в распоряжении злоумышленников, то получится весьма значительное число.Кроме того, для решения задач такого типа существует своеобразныйчисто алгоритмический прием, который в англоязычной литературе называют «методом встречи посередине». Суть этого приема состоит втом, что под одно значение хеш-функции можно «подгонять» одновременно два документа, тот, который вы подпишете, и тот, в котором вашуподпись потом «приклеят».Описанное нападение с криптографической точки зрения является нападением на хеш-функцию, хотя собственно алгоритм с открытым ключом, реализующий схему подписи, может быть сколько угодностойким.
Факт существования пары документов с одинаковым значением хеш-функции в англоязычной литературе принято называть «коллизией».Чтобы противостоять описанным нападениям, которые можноназвать нападениями, основанными на подборе подписываемых документов, хеш-функция выбранной схемы подписи должна удовлетворятьжестким криптографическим требованиям.С точки зрения возможных последствий описанное нападение является самым «безобидным» из всех возможных, поскольку в распоряжении злоумышленника оказывается лишь один-единственный поддельный документ. Для подделки других подписанных вами документов емуснова потребуется значительная вычислительная работа.Далее, знакомство с секретаршей может оказаться на руку вашимпротивникам, если для подделки вашей подписи им потребуются какиелибо дополнительные данные.
Каждый документ, который вы подписываете, может быть подготовлен злоумышленниками специальным образом, например так, чтобы получить нужные математические уравненияотносительно неизвестных бит секретного ключа вашей подписи.Нападения на проверяющего. Предыдущий пример показывает, что для получения фальшивого документа злоумышленнику необязательно вскрывать секретный ключ подписи. Оказывается, для достижения своих целей злоумышленник может вообще не вступать в контакт с лицом, подпись которого он хочет подделать, и не проводитьникаких действий по вскрытию. Существуют нападения на проверяющую сторону.Предположим, что в сети нет центра, и каждый абонент хранит насвоем компьютере каталог открытых ключей всех тех, от кого он может получать сообщения.
Эта ситуация является вполне реальной итогда, когда в сети есть центр и каждое подписанное сообщение сопровождается сертификатом, т.е. еще одним сообщением, подписанным263центром, в котором содержится имя и открытый ключ отправителя.В последнем случае из соображений временных затрат является болееудобным не проверять каждый раз подпись центра на сертификате, аделать это лишь первый раз, при появлении нового абонента.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
