Сертифицированные СКЗИ – что нужно знать, чтобы правильно их выбрать

Валерий Конявский
Научный руководитель ВНИИПВТИ,
научный консультант ОКБ САПР

Любая операция со случайным числом даст случайное число. Случайная последовательность, сложенная с открытым текстом, даст случайный криптотекст. Чем лучше качество гаммы, тем меньше шансов расшифровать криптотекст. Если гамма действительно случайная, то расшифровать криптотекст нельзя.

Шифр Вернама

Передавать гамму в виде громадных катушек перфолент было не очень удобно и довольно дорого. Поэтому иногда и возникали проблемы с ее повторным использованием и, следовательно, с утечками важной информации.

Чтобы не передавать по дорогим каналам катушки перфолент, придумали способы генерации длинной гаммы из случайного, но короткого ключа. В то время передать короткий случайный ключ было проще, чем длинный.

Сертифицированные СКЗИ

С появлением современных носителей информации ситуация разительно изменилась, и теперь нет проблемы изготовить и передать гигабайты гаммы – лишь бы ДСЧ был хорошим. Программные генераторы псевдослучайной последовательности (ПСП) здесь применять можно только от отчаяния, что хорошего физического генератора нет.

Криптографические стандарты определяют последовательности операций, позволяющих на основе хорошего ключа получать надежно зашифрованный открытый текст. При этом все же ключи должны изготавливаться на хороших датчиках.

Регулятор устанавливает правила, испытательные лаборатории проверяют, выполняются ли требования к операциям, ключам и отсутствию влияния на эти процессы других процессов – вот так и появляются сертифицированные СКЗИ.

Шифрование и электронная подпись

Шифрование необходимо для того, чтобы доступ к информации имели только те, кому можно. ЭП применяется для того, чтобы зафиксировать волеизъявление человека. И если СКЗИ должны правильно в проверенной среде выполнять криптографические преобразования, то для электронной подписи этого недостаточно. Нужно принять все меры, обеспечивающие фиксацию именно свободного волеизъявления человека. На это направлен ФЗ-63, именно поэтому одним из важнейших его требований является требование правильности визуализации того документа, который подписывает человек. Таким образом, в отличие от СКЗИ для квалифицированных СЭП добавляются проверки средств визуализации. Конечно, выполняются и все необходимые проверки криптографических алгоритмов.

Анализируя ту или иную схему ЭП, обычно ставят вопрос так: "Можно ли быстро подобрать два различных (осмысленных) сообщения, которые будут иметь одинаковые ЭП". Ответ здесь обычно отрицательный. Если используется хорошая хэш-функция, для которой не найден эффективный механизм поиска коллизий, такая атака практически всегда обречена на провал. Михаил Грунтович (см. стр. 48) поставил вопрос по-другому: "Можно ли, имея два сообщения, подобрать ключи подписи так, чтобы ЭП совпадали?". И оказалось, что сделать это чрезвычайно просто!

Атака Грунтовича

Конкретные условия реализации указанной атаки рассмотрим (в весьма упрощенном варианте) на примере подписи по схеме Эль-Гамаля. Вера в стойкость этой схемы основана на (гипотетической) сложности задачи дискретного логарифмирования, но здесь атаке подвергается вовсе не задача дискретной математики.

Введем следующие обозначения:

• H – криптографическая хэш-функция;
  Zn – множество чисел {0,1, …, n - 1}, n – натуральное число;
  a (mod p) – остаток от деления целого числа a на натуральное число p.

Для схемы формирования подписи Эль-Гамаля:

• фиксируется простое число p достаточной разрядности и g – примитивный элемент mod p;
• личным ключом подписи является любое число x из Zp.

Вычисление подписи сообщения m:

• вычисляется хэш-код h = H(m);
• выбирается случайное число k, взаимно простое с p - 1: 1 < k < p - 1;
• вычисляется r = g_^k(mod p);
• вычисляется s = k^-1(h - xr) (mod p - 1);
• подписью является пара c = (r, s).

Теперь рассмотрим, что нужно делать злоумышленнику для реализации атаки. Он должен сгенерировать хэш-коды:

• h₁ = H(m₁), h₂ = H(m₂)

и совпадающие подписи с одинаковым случайным числом k:

• s = k^-1(h₁ - x₁r)(mod p - 1) и
  s = k^-1(h₂ - x₂r)(mod p - 1).

А это значит, что:

h₁ - x₁r (mod p - 1) = h₂ - x₂r(mod p - 1).

Как видно, при выборе ключей x₁ и x₂, таких, что выполняется вышеприведенное условие, подписи совпадают, несмотря на то что подписываемые сообщения разные! Заметим, что для расчета x₂ по известному x₁ требуемые вычисления минимальны по сравнению с субэкспоненциальной задачей дискретного логарифмирования.

Тем не менее не все так страшно. Дело в том, что полученные результаты никак не дискредитируют собственно криптостойкость ЭП. Они показывают возможную уязвимость при неправильном применении механизмов ЭП.

Этот пример наглядно демонстрирует уязвимости, возникающие при неправильной реализации СКЗИ. Описанная атака возможна в том случае, если пользователь знает свой ключ подписи и может узнать случайное число.

Существует радикальный способ борьбы с атаками такого рода – для этого всего лишь необходимо иметь устройство, в котором:

• генерируется ключ подписи;
• вычисляется ключ проверки подписи;
• открытый ключ экспортируется, в том числе для сертификации в удостоверяющем центре;
• ключ подписи применяется для выработки ЭП только внутри устройства, его экспорт невозможен! В последнее время такие устройства называют устройствами с неизвлекаемым ключом;
• случайное число никогда не появляется в среде компьютера, оно генерируется и уничтожается после применения внутри устройства.

Вот отсюда понятно, что более надежным является вариант СЭП и СКЗИ, выполненных в виде аппаратуры. В этом случае может быть обеспечено достаточное качество ДСЧ и надежность хранения ключа подписи.

Шифрование

Вернемся теперь к шифрованию и поговорим о том, когда и зачем его нужно применять как физическим лицам, так и юридическим.

Выделим для начала основные типы шифрования, а это абонентское и канальное. Как следует из названий, в случае абонентского шифрования абонент сначала шифрует информацию (файл, документ), а потом уже в закрытом виде передает ее в канал. При канальном шифровании криптографическими методами защищается собственно канал, и абонент не должен заботиться о том, чтобы зашифровать информацию перед ее передачей по каналу. Если канал – это связь "точка-точка", то применяются канальные шифраторы. Если канал – это не провода, а активная структура типа Интернета, то шифровать нужно не все, а только данные. Адреса искажать нельзя, иначе пакеты просто не попадут к адресату. Здесь применяются механизмы виртуальных частных сетей (VPN). Наиболее известные протоколы – IPsec и SSL. Практически все имеющиеся на рынке средства VPN реализуют один из этих протоколов.

VPN

Для того чтобы осознанно выбрать то или иное средство, нужно понять, чем же они различаются и с какими трудностями придется столкнуться на этапе эксплуатации этих средств. Вот что как минимум нужно иметь в виду:

• криптографическую защиту каналов следует использовать в том случае, если есть угроза того, что передаваемые вами данные настолько интересны для нарушителя, что он присоединится к каналу и станет "слушать" весь ваш обмен. Конечно, начинать защищать каналы нужно после того, как будет надежно защищена внутренняя сеть, так как инсайдер обычно обходится дешевле, чем атака на канал; 1 оба протокола – эти протоколы предназначены для взаимодействия не клиентов, а сетей, поэтому они настраиваются с трудом. Таким образом, важнейшее значение имеют средства управления безопасностью сети – их и нужно выбирать в первую очередь;
• в стеке протоколов TCP/IP IPsec работает на уровне IP, а SSL – на уровне TCP. То есть если IPsec обеспечивает защиту скорее на системном уровне, то SSL – на прикладном. Так как IPsec функционирует значительно "ниже", то он тем самым "инкапсулирует" в область защиты значительно большее число протоколов, чем SSL, что, конечно, лучше;
• при эксплуатации VPN ваша основная задача – это управление ключами. Ключи нужно своевременно выдавать, менять – одним словом, ими нужно управлять. Каждая СКЗИ имеет свою систему генерации и управления ключами. Если у вас уже используется какая-нибудь ключевая система, продолжайте ее использовать. Не заводите "зоопарк" – сложным является сопровождение даже одной системы, а уж нескольких – практически неподъемная задача;
• если ваша задача связана с обеспечением деятельности многих распределенных в пространстве объектов информатизации, то применяйте VPN. Это относится лишь к тем объектам, между которыми осуществляется интенсивное информационное взаимодействие защищаемыми данными, которые могут быть интересны нарушителю настолько, что он готов "слушать" каналы. Если все не так запущено – попробуйте ограничиться абонентскими СКЗИ.

Абонентские СКЗИ

Они характеризуются не алгоритмами (определены стандартами), а утилитами, позволяющими эти СКЗИ применять, и условиями, которые необходимо выполнить. Желательно, чтобы применять эти средства было удобно.

И главное – помните о достаточности средств защиты. Нет необходимости применять дорогостоящие СКЗИ там, где можно обойтись без них.

И еще: СКЗИ и СЭП, которые удовлетворяют всем требованиям, которые мы обсуждали, – есть. Вплоть до класса КВ2. Не называю их только для того, чтобы статья не стала рекламной.

Литература

1. Конявский В.А. Компьютерная преступность. Т. II. – М., 2008.
2. Ященко В.В. Введение в криптографию. Новые математические дисциплины. – М., 2001.