Криптографические методы защиты информации

При шифрования высокоскоростных магистральных линий, как правило, используют системы потокового шифрования. Устройство SEC-17 обеспечивает скорость шифрования от 256 Кбит/с до 2304 Кбит/с, его ключ состоит из 72 шестнадцатиричных цифр; устройство SEC-15 позволяет иметь более 10 534 0 статистически независимых клю чей. Принципы потокового шифрования используются в устройствах fggfhfnehs ibahjdfybz MSDS MARCRYP. В устройстве потокового шиф рования CSD 807 в генераторе ключевой последовательности применен 31-разрядный регистр сдвига, в генераторе устройства потокового шифрования SDE 100 используются 2 регистра сдвига.

    - 9

2. 4 ГОСТ 28147-89 - отечественный стандарт шифрования данных.

В нашей стране установлен единый алгоритм криптографического преобразования данных для систем обработки информации в сетях ЭВМ, отделительных комплексах и ЭВМ, который определяется ГОСТ 28147-89.

Алгоритм криптографического преобразования данных предназна чен для аппаратной или программной реализации, удовлетворяет криптографическим требованиям и не накладывает ограничений на степень секретности защищаемой информации.

Чтобы получить подробные спецификации алгоритма криптографи ческого преобразования, следует обратиться к ГОСТ 28147-89. Бе зусловно, приведенный ниже материал не должен ни при каких усло виях использоваться для программной или аппаратной реализации ал горитма криптографического преобразования.

    При описании алгоритма используются следующие обозначения.

Если L и R - это последовательности бит, то LR будет обозна чать конкатенацию последовательностей L и R. Под конкатенацией последовательностей L и R понимается последовательность бит, раз мерность которой равна сумме размерностей L и R. В этой последо вательности биты последовательности R следуют за битами последо вательности L. Конкатенация битовых строк является ассоциативной, т. е. запись ABCDE обозначает, что за битами последовательности А следуют биты последовательности В, затем С и т. д.

Символом (+) будет обозначаться операция побитового сложения по модулю 2, символом [+] - операция сложения по модулю ( 2 в 32 степени) двух 32-разрядных чисел. Числа суммируются по следующему правилу:

    A [+] B = A + B , если A + B <>(2 в 32 степени),
    A [+] B = A + B -( 2 в 32 степени), если A + B =2 в 32
    Символом {+} обозначается операция сложения по модулю

((2 в  532 0) -1) двух 32 разрядных чисел. Правила суммирования чисел следующие:

    - 10
    A {+} B = A + B, если A+B<>((2 в 32)-1)
    A {+} B = A + B-((2 в 32)-1), если A + B = (2 в 32)-1

Алгоритм криптографического преобразования предусматривает несколько режимов работы. Но в любом случае для шифрования данных используется ключ, который имеет размерность 256 бит и представ ляется в виде восьми 32-разрядных чисел Х(i). Если обозначить ключ через W, то

    W =X(7)X(6)X(5)X(4)X(3)X(2)X(1)X(0)

Расшифрование выполняется по тому же ключу, что и зашифрова ние, но этот процесс является инверсией процесса зашифрования данных.

Первый и самый простой режим - замена. Открытые данные, под лежащие зашифрованию, разбивают на блоки по 64 бит в каждом, ко торые можно обозначить Т(j).

Очередная последовательность бит Т(j) разделяется на две последовательности В(О) (левые или старшие биты) и А(О) (правые или младшие биты), каждая из которых содержит 32 бита. Затем вы полняется итеративный процесс шифрования, который описывается следующими формулами:

    1. A(i)=f(A(i-1) [+] X(j) (+) B(i-1)),
    и B(i)=A(i-1),
    если i=1, 2, ...., 24, j=(i-1) mod 8;
    2. A(i)=f(A(i-1) [+] X(j) (+) B(i-1)),
    и B(i)=A(i-1),
    если i=25, 26, ...., 31, j=32-i;
    3. A(32)=A(31),
    и B(32)=f(A(31) [+] X(0)) (+) B(31),
    если i=32.

Здесь i обозначается номер итерации (i=1, 2, ...., 32). Функция f называется функцией шифрования. Ее аргументом является сумма по модулю 2 в  532 0 числа А(i), полученного на предыдущем шаге итерации,

    - 11

и числа Х(j) ключа (размерность каждого из этих чисел равна 32 знакам).

Функция шифрования включает две операции над полученной 32-разрядной суммой. Первая операция называется подстановкой К. Блок подстановки К состоит из восьми узлов замены К(1) .... К(8) с памятью 64 бит каждый. Поступающий на блок подстановки 32-разряд ный вектор разбивается на восемь последовательно идущих 4-разряд ный вектор соответствующим узлом замены, представляющим собой таблицу из шестнадцати целых чисел в диапазоне 0......15.

Входной вектор определяет адрес строки в таблице, число из которой является выходным вектором. Затем 4-разрядные выходные векторы последовательно объединяются в 32-разрядный вектор. Таб лицы блока подстановки К содержит ключевые элементы, общие для сети ЭВМ и редко изменяемые.

Вторая операция - циклический сдвиг влево 32-разрядного век тора, полученного в результате подстановки К. 64-разрядный блок зашифрованных данных Тш представляется в виде

    Тш = А(32) В(32)

Остальные блоки открытых данных в режиме простой замены за шифровываются аналогично.

Следует иметь в виду, что режим простой замены допустимо ис пользовать для шифрования данных только в ограниченных случаях. К этим случаям относится выработка ключа и зашифрование его с обес печением имитозащиты для передачи по каналам связи или хранения в памяти ЭВМ.

Следующий режим шифрования называется режимом гаммирования. Открытые данные, разбитые на 64-разрядные блоки Т(i) (i=1, 2, ...., m, где m определяется объемом шифруемых данных), за шифровываются в режиме гаммирования путем поразрядного сложения по модулю 2 с гаммой шифра Гш, которая вырабатывается блоками по 64 бит, т. е.

    - 12
    Гш = ( Г(1), Г(2), .... ,Г(i), .... ,Г(m) ).

Число двоичных разрядов в блоке Т(m) может быть меньше 64, при этом неиспользованная для шифрования часть гаммы шифра из блока Г(m) отбрасывается.

Уравнение зашифрования данных в режиме гаммирования может быть представлено в следующем виде:

    Ш(i)=A(Y(i-1) [+] C2),
    Z(i-1) {+ }C1 (+) T(i)=Г(i) (+) T(i).

В этом уравнении Ш(i) обозначает 64-разрядный блок зашифро ванного текста, А - функцию шифрования в режиме простой замены (аргументами этой функции являются два 32-разрядного числа), С1 и С2 - константы, заданные в ГОСТ 28147-89. Величины Y(i) и Z(i) определяются итерационно по мере формирования гаммы, следующим образом:

    (Y(0), Z(0))=A(S),

где S - 64-разрядная двоичная последовательность (синхропосылка);

    (Y(i), Z(i))=(Y(i-1) [+] C2, Z(i-1) {+} C1),
    для i=1, 2, .. ,m

Расшифрование данных возможно только при наличии синхропо сылки, которая не является секретным элементом шифра и может хра ниться в памяти ЭВМ или передаваться по каналам связи вместе с зашифрованными данными.

Режим гаммирования с обратной связью очень похож на режим гаммирования. Как и в режиме гаммирования, открытые данные, раз битые на 64-разрядные блоки Т(i) (i=1, 2, ..... ,m, где m определяет

ся объемом шифруемых данных), зашифровывается путем поразрядного сложения по модулю 2 с гаммой шифра Гш, которая вырабатывается блоками по 64 бит:

    - 13
    Гш=(Г(1), Г(2), ...., Г(i), ...., Г(m)).

Число двоичных разрядов в блоке Т(m) может быть меньше 64, при этом неиспользованная для шифрования часть гаммы шифра из блока Г(m) отбрасывается.

Уравнение зашифрования данных в режиме гаммирования с обрат ной связью может быть представлено в следующем виде:

    Ш(1) = A(S) (+) T(1) = Г(1) (+) T(1),
    Ш(i) = A(Ш(i-1)) (+) T(i) = Г(i) (+) T(i),
    для i=2, 3, ...., m

Здесь Ш(i) обозначает 64-разрядный блок зашифрованного текс та, А - функцию шифрования в режиме простой замены. Аргументом функции на первом шаге итеративного алгоритма является 64-разряд ный синхропосылка, а на всех последующих - предыдущий блок зашиф рованых данных Ш(i-1).

В ГОСТ 28147-89 определяется процесс выработки имитовставки, который единообразен для любого из режимов шифрования данных. Имитовставка - это блок из p бит ( имитовставка Иp), который вы рабатывается любо перед шифрованием всего сообщения, либо парал лельно с шифрованием по блокам. Первые блоки открытых данных, ко торые участвуют в выработке имитовставки, могут содержать служеб ную информацию (например, адресную часть, время, синхропосылку) и не зашифровываться. Значение параметра p (число двоичных разрядов в имитовставке) определяется криптографическими требованиями с учетом того, что вероятность навязывания ложных помех равна 1/2 5р Для получения имитовставки открытые данные представляются в виде 64-разрядных блоков Т(i) (i=1, 2, ...., m где m определяется объемом шифруемых данных). Первый блок открытых данных Т(1) под вергается преобразованию, соответствующему первым 16 циклам алго ритма зашифрования в режиме простой замены. Причем в качестве ключа для выработки имитовставки используется ключ, по которому шифруются данные.

    - 14

Полученное6 после 16 циклов работы 64-пазрядное число сумми руется по модулю 2 со вторым блоком открытых данных Т(2). Резуль тат суммирования снова подвергается преобразованию, соответствую щему первым 16 циклам алгоритма зашифрования в режиме простой за мены.

Полученное 64-разрядное число суммируется по модулю 2 с третьим блоком открытых данных Т(3) и т. д. Последний блок Т(m), при необходимости дополненный до полного 64-разрядного блока ну лями, суммируется по модулю 2 с результатом работы на шаге m-1, после чего зашифровывается в режиме простой замены по первым 16 циклам работы алгоритма. Из полученного 64-разрядного числа выби рается отрезок Ир длиной р бит.

Имитовставка Ир передается по каналу связи или в память ЭВМ после зашифрованных данных. Поступившие зашифрованные данные рас шифровываются и из полученных блоков открытых данных Т(i) выраба тывается имитовставка Ир, которая затем сравнивается с имитовс тавкой Ир, полученной из канала связи или из памяти ЭВМ. В случае несовпадения имитовставок все расшифрованные данные считаются ложными.

    III. Сравнение криптографических методов.
    Метод шифрования с использованием датчика псевдо-случайных

чисел наиболее часто используется в программной реализации системы криптографической защиты данных. Это объясняется тем, что, он достаточно прост для программирования и позволяет создавать алгоритмы с очень высокой криптостойкостью. Кроме того, эффек тивность данного метода шифрования достаточно высока. Системы, основанные на этом методе позволяют зашиифровать в секунду от нескольких десятков до сотен Кбайт данных.

    Основным преимуществом метода DES является то, что он

стандартный. Важной характеристикой этого алгоритма является его гибкость при реализации и использовании в различных прило

    - 15

жениях обработки данных. Каждый блок данных шифруется независимо от других, поэтому можно осуществлять независимую передачу бло ков данных и произвольный доступ к зашифрованным данным. Ни временная, ни позиционная синхронизация для операций шифрования не нужна.

    Алгоритм вырабатывает зашифрованные данные, в которых каж

дый бит является функцией от всех битов открытых данных и всех битов ключей. Различие лишь в одном бите данных даёт в резуль тате равные вероятности изменения для каждого бита зашифрован ных данных.

    DES может быть реаализован аппаратно и программно, но ба

зовый алгоритм всё же рассчитан на реализацию в электронных устройствах специального назначения.

    Это свойство DES выгодно отличает его от метода шифрова

ния с использованием датчика ПСЧ, поскольку большинство алго ритмов шифрования построенных на основе датчиков ПСЧ, не харак теризуются всеми преимуществами DES. Однако и DES обладает ря дом недостатков.

    Самым существенным недостатком DES считается малый размер

ключа. Стандарт в настоящее время не считается неуязвимым, хотя и очень труден для раскрытия (до сих пор не были зарегистриро ваны случаи несанкционированной дешифрации. Ещё один недостаток DES заключается в том, что одинаковые данные будут одинаково выглядеть в зашифрованном тексте.

    Алгоритм криптографического преобразования, являющийся

отечественным стандартом и определяемый ГОСТ 28147-89, свободен от недостатков стандартаа DES и в то же время облаадает всеми его преимуществами. Кроме того в него заложен метод, с помощью которого можно зафиксировать необнаруженную случайную или умышленную модификацию зашифрованной информации.

    Однако у алгоритма есть очень существенный недостаток, ко

торый заключается в том, что его программная реализация очень сложна и практически лишена всякого смысла.

    Теперь остановимся на методе RSA. Он является очень

перспективным, поскольку для зашифрования информации не требу

    - 16

ется передачи ключа другим пользователям. Но в настоящее время кэтому методу относятся с подозрительностью, поскольку не су щесствует строго доказательства, что не существует другого способа определения секретного ключа по известному, кроме как определения делителей целых чисел.

    В остальном метод RSA обладает только достоинствами. К

числу этих достоинств следует отнести очень высокую крип тостойкость, довольно простую программную и аппаратную реализа ции. Следует заметить, что использование этого метода для крип тографической защиты данных неразрывно связано с очень высоким уровнем развития вычислительной техники.

    Cписок литературы :

1. С. Мафтик, "Механизмы защиты в сетях ЭВМ", изд. Мир, 1993 г.

2. В. Ковалевский, "Криптографические методы", Компьютер Пресс 05. 93 г.

3. В. Водолазкий, "Стандарт шифрования ДЕС", Монитор 03-04 1992 г.

4. С. Воробьев, "Защита информации в персональных ЗВМ", изд. Мир, 1993 г.