Стойкость к компрометациям и архитектура ключевых систем

Любой ключ к е К потенциально может быть использован криптосистемой. Вместе с тем в течение заданного временного периода (сутки, месяц и т. п.) система использует ограниченный набор ключей, который сгенерирован и распределен заранее. Выборку () из ключевого множества К, обеспечивающую функционирование криптосистемы в полном объеме в заданный период времени, назовем системой активных ключей криптосистемы для данного периода времени. Размер выборки () назовем порядком активной ключевой подсистемы, для всех равных периодов времени порядок активной ключевой подсистемы одинаков.

Важнейшей характеристикой ключевой системы является поддержание работоспособности криптосистемы при компрометации части активных ключей (подмножества в О). Ключевая система называется стойкой к г компрометациям, если компрометация любого подмножества порядка г в /г-множестве активных ключей не упрощает задачу криптоаналитика определения остальных п — г активных ключей, где г < п.

Всякая ключевая система должна отвечать требованиям, вытекающим из назначения и свойств телекоммуникационной сети. Рассмотрим типовые архитектуры ключевых систем.

В сети связи, используемой для передачи от руководителя А подчиненным пользователям В, С, … циркуляров (общих приказов, распоряжений, указаний и т. п.) целесообразно использовать ключевую активную систему порядка 1. Иными словами, А зашифровывает сообщение х на ключе &, общем для всей сети, и отправляет каждому подчиненному по одному экземпляру шифрованного сообщения Е_к(х). Криптоаналитик, контролируя сеть и перехватывая криптограммы, получает для анализа столько же материала, сколько он имел бы, контролируя только линию связи Л с В, так как все криптограммы в сети идентичны. Если А использует для связи различные ключи (ключевую систему порядка п > 1), то материал, перехваченный на всех линиях, содержит больше ценной для дешифрования информации, чем при едином ключе. В такой сети связи ключевая система любого порядка не стойка к единственной компрометации.

Ключевая система порядка 1 в сети связи п пользователей, общающихся по принципу «каждый с каждым», — наиболее дешевая и простая с точки зрения изготовления, распределения и смены ключей. Однако она самая слабая в смысле стойкости к компрометациям: компрометация ключа одного пользователя приводит к компрометации всей сети. В сети из п пользователей, общающихся по принципу «каждый с каждым», часто используется ключевая система порядка СЦ, для связи различных пар пользователей используются независимые ключи. В этом случае множество активных ключей образует симметричную матрицу (2 = (Цу), где = ц_}1 — ключ для связи /‘-го и 7-го пользователей, 1 < г < ] < п, элементы главной диагонали суть пустые символы. Такая ключевая система наиболее стойкая к компрометациям, она допускает компрометацию ключей любых п — 2 пользователей сети. Сеть из п пользователей, использующая схему распределения ключей Блома, выдерживает компрометацию ключей любых т пользователей.

В соответствии с иерархией пользователей сети можно минимизировать порядок ключевой системы. Пусть п пользователей сети разделены на т зон (примерно поровну), в каждой зоне один пользователь выделен как руководитель. Внутри зоны связь пользователей организована, но принципу «каждый с каждым», такой же сетью связаны руководители зон. Пользователи разных зон связаны друг с другом через своих руководителей, выполняющих в таких случаях функции ЦРК, что несколько усложняет протокол связи. Каждый «рядовой» пользователь хранит ключи только для связи с пользователями своей зоны, т. е. примерно п / т ключей, а руководитель зоны хранит еще и ключи для связи с руководителями других зон, т. е. примерно т + п / т ключей. Такая сеть связи является компромиссом между сетью, где каждый с каждым связан напрямую, и сетью, где каждый с каждым связан через ЦРК.

В современных телекоммуникациях часто используются дешевые и доступные каналы глобальной сети Интернет и каналы корпоративных компьютерных сетей, в которых передача данных осуществляется в соответствии со стандартной моделью взаимодействия открытых систем 150/ ОБИ. Модель ОЭ1 определяет семь различных уровней взаимодействия систем^[1][2] и указывает, какие функции выполняет каждый из семи уровней: прикладной, представительный, сеансовый, транспортный, сетевой, канальный и физический. Обмен данными, создаваемыми пользователями на прикладном уровне, происходит путем перемещения их сверху па нижний (физический) уровень, обеспечивающий обмен сигналами между устройствами, транспортировки данных по линиям связи и перемещения их с нижнего уровня на верхний для воспроизведения в компьютере принимающего пользователя. В зависимости от уровня различают два вида шифрования: на канальном или физическом уровне — это канальное шифрование, на верхних уровнях (вплоть до транспортного) — это абонентское (или оконечное) шифрование.

При канальном шифровании часто используются аппаратные шифраторы, обеспечивающие шифрование с высокой производительностью всех данных, передаваемых по каналу, в том числе информацию, определяющую маршрут передачи данных в сети, и протокольную информацию. Канальное шифрование обеспечивает безопасность трафика, нарушителю очень сложно отслеживать характеристики передаваемых сообщений (длину, маршрут и др.). Ключевая система имеет столько ключей, сколько в сети имеется каналов, соединяющих непосредственно пару узлов сети: для защиты трафика в одном канале требуется один ключ. Маршрут между пользователями может содержать несколько программно управляемых коммутаторов или узлов хранения информации. На каждом узле информация обрабатывается, что требует расшифрования сообщения, т. е. данные на промежуточных узлах не защищены.

При абонентском шифровании к зашифрованным данным транспортного уровня присоединяется незашифрованная маршрутная информация, затем сообщение перемещается на нижние уровни для передачи. Иными словами, данные защищены на всем маршруте вплоть до расшифрования пользователем, которому они направлены. В то же время маршрутная информация не зашифровывается, что позволяет нарушителю анализировать трафик, усложняется распределение ключей, так как ключ требуется для каждой пары пользователей. При абонентском шифровании используются в основном программные реализации алгоритмов шифрования.

Самый эффективный (и самый дорогой) способ защиты данных при передаче в сетях заключается в сочетании методов канального и абонентского шифрования.

• [1] ISO — International Standard Organization; OSI — Open Systems Interconnection. Дляглобальных сетей модель ISO/OSI реализована в стеке протоколов TCP/IP (TransmissionControl Protocol/Intcrnct Protocol).
• [2] Шаньгин В. Ф. Информационная безопасность компьютерных систем и сетей. М. :ФОРУМ; ИНФРА-М, 2008.