Практичні вимоги до симетричних шифрів

В цьому розділі розглядаються питання формування вимог до математичних та фізичних методів, які повинні забезпечити безпеку криптографічного захисту інформації.

Історія криптографії знає багато досліджень у цьому напряму. Зокрема, шість базових принципів побудови шифрів (фактично ‑ симетричних криптографічних систем) сформулював голландський математик Огюст Керкхоффс в своїй книзі «Воєнна криптографія» (Auguste Kerckhoffs, «La Cryptographie Militaire», 1883). На його думку:

1. Шифр повинен бути, якщо не математично, то практично (фізично) нерозкриваємий;

2. Вимога щодо збереження в таємниці принципів побудови шифру не тільки не висувається, а й захоплення шифрувальної системи зловмисником не повинно створювати проблеми з її безпекою;

3. Збереження та передача ключу повинні здійснюватися без застосування паперових нотаток. Кореспонденти повинні мати можливість змінювати ключі на власний розсуд;

4. Шифр має бути придатним для передачі повідомлень за допомогою телеграфу;

5. Шифрувальна система повинна бути мобільною, робота з нею не вимагатиме залучення декількох осіб одночасно;

6. Використання шифрувальної системи повинно бути простим та зручним, не може вимагати виконання великої кількості правил.

З перелічених вимог можливо зробити наступний висновок (правило Керкхоффса): стійкість шифру по не може залежати від знання або незнання зловмисником особливостей його побудови повинна визначатися секретністю ключа, інакше ‑ знання алгоритму шифрування не повинно впливати на надійність захисту.

Під час оцінки безпеки шифрувальних систем досліджується можливість атакуючої сторони отримати повну або часткову інформацію про вихідне повідомлення та/або ключ шифрування. В цих умовах, згідно з правилом Керкхоффса вважається, що у рівнянні шифрування у C=E(M,K) порушнику завжди відомі функція математичного перетворення E та зашифроване повідомлення C. Стосовно відкритого тексту M він може мати певні здогадки, лише ключ шифрування K йому невідомий.

Згодом, в одній з своїх фундаментальних робіт «Теорія зв’язку в секретних системах» (1945/48 рік) американський математик Клод Шеннон обґрунтував ряд важливих критеріїв якості шифрувальних систем (принципів їх побудови), а також запропонував модель системи секретного зв’язку (рис. 1).

M

M

Перехоплення (маніпуляція)

Відправник

Зашифрування Е(k)

Розшифрування Е-1(k)

Отримувач

С

Джерело ключів

Ключ k

Рис. 1 Модель секретного зв’язку.

В состав гипотетической системы связи входит шифраторы відправника та отримувача, джерело ключів, мережа або канал звязку. Доставка ключевой информации осуществляется по защищенным каналам связи (в том числе, помощью специальной почтовой службы).

Анализ условий функционирования модели системы защищенной связи позволяет выявить основные угрозы ее безопасности, имеющие особое значение для выбора практических вариантов построения системы, определения перечня организационных и технических мероприятий по защите информации, оценки достаточности мер противодействия выявленным угрозам. К их числу следует отнести возможность реализации рисков:

- перехват шифрованных сообщений и проведение криптоанализа с целью восстановления их содержания или вскрытия ключей;

- перехват критической информации о работе шифраторов за счет технических каналов утечки (побочные электромагнитные излучения, наводки, акустика) с целью упрощения задач дешифрования;

- кража ключевой и другой критичной информации вследствие недобросовестных действий со стороны обслуживающего персонала или пользователей;

- подслушивание, перехват и манипуляции (подделка) с данными в канале связи;

- нарушение доступности и целостности информации в результате злоумышленного электромагнитного воздействия (электромагнитный терроризм), нарушений электропитания и других технических факторов.

Зараз, розглянемо серед найбільш важливих критеріїв Шеннона наступні:

Обсяг секретності. Деякі шифрувальні системи можуть залишати в шифрованому повідомленні відбиток статистичних властивостей відкритих повідомлень, що дозволяє в деяких випадках однозначно розв’язати задачу дешифрування. Інколи, залежно від обсягу перехопленої криптограми, існують декілька найбільш імовірних варіантів відкритого повідомлення або ключу. Тобто, цей фактор полегшує задачу атакуючої сторони. В ідеальному випадку – в разі досконалого шифру по Шеннону ‑ після перехоплення криптограми зловмисник не отримує аніякої додаткової інформації стосовно вихідного повідомлення.

Обсяг ключу. Шеннон звернув увагу, що в певних умовах необхідно запам’ятати ключ для того, щоб його передати іншому кореспонденту. В сучасних умовах надшвидкої обробки та передавання інформації великий обсяг ключів може утворювати труднощі з їх збереженням на носіях.

Складність операцій зашифрування і розшифрування. В випадку, коли шифрування здійснюється за допомогою не надто швидкодіючим пристроєм або вручну, загальний час виконання складної процедури може бути неприпустимо довгим.

Зауважимо, що дедалі сучасні вимоги щодо швидкості оброблення інформації все більше обумовлюють необхідність забезпечення простоти технічної реалізації криптографічних перетворень у програмному або апаратному вигляді. При цьому відмітимо, що у випадку апаратної реалізації шифрів досягається не тільки висока швидкодія, а й більш надійний захист від несанкціонованого доступу до інформації з обмеженим доступом. У той же час, ця реалізація за звичай більш коштовна. Програмні засоби КЗІ переважно більш дешеві та характеризуються певною гнучкістю застосування, але вони більш вразливі щодо різного роду хакерських атак.

Розповсюдження кількості помилок. На практиці переважна більшість реальних каналів зв’язку в тій чи інший мірі підвержены впливу шумів, висувається вимога, що б викривлення шифрованого повідомлення шляхом заміни будь якого символу не повинно призводити до суттєвого поширення помилок під час розшифрування.

Якщо в наслідок викривлення одного символу в зашифрованому повідомленні може бути викривлений тільки один символ у розшифрованому тексті, то відповідний шифр називається таким, що не розповсюджує викривлень.

Збільшення довжини повідомлення. З міркувань економного використання пропускної спроможності каналу зв’язку шифрування не повинно суттєво збільшувати довжину початкового повідомлення.

Найбільш важливою властивістю будь-якої шифрувальної системи є її криптографічна стійкість, що характеризує її здатність протистояти криптоаналітичним атакам та виключає в деяких припустимих межах можливість розкриття зашифрованих повідомлень без знання ключу або підробки повідомлень.

Залежно від вихідних даних у задачах криптоаналізу розрізняють декілька підходів щодо оцінки криптографічної стійкості шифрів. Зокрема, у якості характеристики криптографічної стійкості можуть розглядати наступні:

· середній час пошуку використаного ключа та/або істинного відкритого повідомлення шляхом повного перебору всіх можливих варіантів ключів (тотальний перебір або атака «грубої сили»). Слід зазначити, що розв’язок такої задачі може бути неоднозначним, оскільки у випадку розшифрування конкретного зашифрованого повідомлення різними ключами, можуть бути отримані різні за змістом відкриті тексти;

· складність найкращого алгоритму розв’язку задачі пошуку ключа за наявності зашифрованого та відповідного йому відкритого повідомлення (тексту), або спеціально підібраних пар зашифрованих та відповідних їм відкритих текстів тощо. За звичай, відповідна складність обчислюється у загальної кількості елементарних комп’ютерних операцій за допомогою яких реалізується зазначений алгоритм дешифрування.

Необходимость обеспечения высокой пропускной способности системы связи и требование экономного использования ресурса памяти в вычислительных системах выдвигают следующее условие: шифрование не должно существенно увеличивать длину исходного текста, а дополнительные биты, вводимые в сообщение в процессе шифрования, должны быть полностью и надежно скрыты в шифрованном тексте

К современным криптографическим алгоритмам предъявляются и другие требования:

· зашифрованное сообщение должно поддаваться прочтению только при наличии ключа;

· любой ключ из допустимого множества должен обеспечивать надежную защиту информации;

· незначительное изменение ключа должно приводить к существенному изменению вида зашифрованного сообщения;

· число операций, необходимых для расшифрования информации путем перебора всевозможных ключей, должно превышать прогнозные вычислительные возможности компьютеров с учетом методов использования сетевых вычислений;

· не должно быть простых и легко устанавливаемых зависимостей между ключами, используемыми в процессе шифрования;

· число операций, необходимых для определения ключа с использованием шифрованного сообщения и соответствующего ему открытого текста, должно быть не меньше общего числа возможных ключей;

· структурные элементы алгоритма шифрования должны быть неизменными.

В сучасних умовах безпека криптографічного захисту інформації забезпечується шляхом:

- застосування нормативно-правових методів регулювання діяльності в цій сфері;

- впровадження системи відповідних організаційних заходів, зокрема, в частині охорони засобів криптографічних захисту інформації та ключів;

- використання безпечних (стійких до атак) математичних методів перетворення інформації ‑ криптоалгоритмів та криптопротоколів, механізмів генерації та тестування ключової інформації;

- реалізації обраних математичних методів у вигляді надійних програмних та апаратних засобів (забезпечення так званих інженерно-криптографічних властивостей);

- а також завдяки захисту криптографічних засобів від несанкціонованого доступу до критичної та блокування/ нейтралізації каналів її витоку за рахунок фізичних полів, акустичних перетворень тощо.