Помощь в написании студенческих работ
Антистрессовый сервис

Реализация криптографических методов

РефератПомощь в написанииУзнать стоимостьмоей работы

Существуют сертификаты трех классов. Для сертификатов первого класса проверяется уникальность имени и правильность адреса электронной почты, а также то, что получатель сертификата имеет право на доступ к данному разделу электронной почты. Для второго класса мы проверяется имя, адрес, номер водительского удостоверения и полис социального страхования, а также дата рождения. Для сертификатов… Читать ещё >

Реализация криптографических методов (реферат, курсовая, диплом, контрольная)

Проблема реализации методов защиты информации имеет два аспекта:

разработку средств, реализующих криптографические алгоритмы, методику использования этих средств.

Каждый из криптографических методов может быть реализован либо программным, либо аппаратным способом. Возможность программной реализации обуславливается тем, что все методы криптографического преобразования формальны и могут быть представлены в виде конечной алгоритмической процедуры.

При аппаратной реализации все процедуры шифрования и дешифpования выполняются специальными электронными схемами. Наибольшее распространение получили модули, реализующие комбинированные методы.

При этом непременным компонентов всех аппаратно реализуемых методов является гаммиpование. Это объясняется тем, что метод гаммиpования удачно сочетает в себе высокую кpиптостойкость и простоту реализации.

Наиболее часто в качестве генератора используется широко известный регистр сдвига с обратными связями (линейными или нелинейными). Минимальный период порождаемой последовательности равен 2N-1 бит. Для повышения качества генерируемой последовательности можно предусмотреть специальный блок управления работой регистра сдвига. Такое управление может заключаться, например, в том, что после шифрования определенного объема информации содержимое регистра сдвига циклически изменяется.

Другая возможность улучшения качества гаммиpования заключается в использовании нелинейных обратных связей. При этом улучшение достигается не за счет увеличения длины гаммы, а за счет усложнения закона ее формирования, что существенно усложняет кpиптоанализ Большинство зарубежных серийных средств шифрования основано на американском стандарте DES. Отечественные же разработки, такие как, например, устройство КРИПТОН, использует отечественный стандарт шифрования.

Основным достоинством программных методов реализации защиты является их гибкость, т. е. возможность быстрого изменения алгоритмов шифрования.

Основным же недостатком программной реализации является существенно меньшее быстродействие по сравнению с аппаратными средствами (примерно в 10 раз).

В последнее время стали появляться комбинированные средства шифрования, так называемые пpогpаммно-аппаpатные средства. В этом случае в компьютере используется своеобразный «криптографический сопроцессор» — вычислительное устройство, ориентированное на выполнение криптографических операций (сложение по модулю, сдвиг и т. д.).

Меняя программное обеспечения для такого устройства, можно выбирать тот или иной метод шифрования. Такой метод объединяет в себе достоинства программных и аппаратных методов.

Таким образом, выбор типа реализации криптозащиты для конкретной ИС в существенной мере зависит от ее особенностей и должен опираться на всесторонний анализ требований, предъявляемых к системе защиты информации. Тот, кто хочет приобрести шифровальные системы, прежде всего, должен получить четкое представление о двух важнейших компонентах любой системы: ключе и сертификате (key и certificate).

Ключ — это алгоритм или математическая формула, используемая при кодировании сообщения. Для того чтобы получатель мог расшифровать посланное ему сообщение, он сам должен знать этот алгоритм или формула; именно отсюда и происходит название «ключ» .

Размер ключа (он измеряется в битах) определяет, насколько сложен алгоритм кодирования и насколько трудно будет злоумышленнику расшифровать сообщение, не зная ключа. Современные ключи, разрешенные к использованию исключительно на территории Соединенных Штатов, имеют длину 1024 бит.

Однако вывозить за границу разрешено только ключи длиной не более 40 бит (рассматривается вопрос о длине ключа в 56 бит).

При работе с ключами можно следовать либо симметричной модели (используются только открытые ключи), либо асимметричной модели (используются как открытые, так и закрытые ключи).

При работе с симметричными моделями (Рисунок 5) для кодирования и декодирования сообщений используется один и тот же алгоритм. Именно такой подход применяется в известной программе Филиппа Циммермана Pretty Good Privacy (PGP), рассчитанной на работу с открытыми ключами.

Симметричная модель шифрования.

В PGP применяется так называемая модель равного доверия. Это означает, что отправитель знает получателя и доверяет ему, и поэтому не видит ничего плохого в том, чтобы передать ему ключ шифра. Именно тут и зарыта «pretty good» (в буквальном переводе — довольно хорошая) конфиденциальность. Хотя само использование алгоритма шифрования и затрудняет злоумышленнику доступ к содержанию сообщения, такой способ можно признать не более чем «довольно хорошим» по сравнению с прочими методами.

С другой стороны, нельзя не признать, что серьезное достоинство PGP состоит в отсутствии необходимости осуществлять управление ключами — именно потребность в таком управлении и составляет основной недостаток асимметричных ключей При работе с асимметричной моделью каждый из пользователей имеет свой открытый ключ, который хранится таким образом, чтобы он был доступен всем желающим. Тот, кто хочет послать зашифрованное сообщение, должен воспользоваться открытым ключом получателя. При декодировании сообщения получатель использует свой закрытый ключ. Закрытый ключ отличается от открытого ключа, однако между ними существует определенная математическая связь, так что расшифровать сообщение можно только при использовании закрытого ключа.

Работа с асимметричными ключами не требует доверия между отправителем и получателем. Это, конечно, хорошо. Однако работа по этой модели требует дополнительных административных усилий, поскольку ключи (и открытые и закрытые) надо, во-первых, где-то хранить, а во-вторых, время от времени обновлять.

Асимметричная технология используется в алгоритме, разработанном компанией RSA Data Securirty, и приобретенном недавно компанией Security Dynamics. В RSA используется технология, представляющая собой некое видоизменение основанного на равном доверии метода Data Encryption Standard (DES). Этот метод был разработан примерно десять лет назад Национальным институтом стандартов и технологий (National Institute of Standards and Technology) и используется до сих пор. Для каждой операции кодирования в DES генерируется случайный ключ (вместо повторного использования одного и того же ключа). Специалисты-шифровальщики утверждают, что RSA помогает решить ряд проблем (в частности, проблему доверия между отправителем и получателем), однако при этом возникает ряд новых затруднений.

Представим себе, что кто-то хочет послать кодированное сообщение. Первым делом он должен сгенерировать (случайным образом) ключ и с его помощью зашифровать сообщение. Однако, не зная этого ключа, никто не сможет декодировать зашифрованное сообщение, поэтому сам ключ DES тоже приходится кодировать с помощью открытого RSA-ключа получателя. Получатель затем декодирует DES-ключ с помощью закрытого RSA-ключа. Несколько тяжеловесно.

RSA очень громоздок и работает очень медленно. DES организован весьма эффективно и работает быстро, однако он не может обеспечить ту степень защиты, которую можно получить при работе по асимметричной модели.

RSA по-прежнему остается одной из самых известных шифровальных технологий, однако, бесспорно, в настоящее время используются и другие методы шифровки, основанные на асимметричной модели.

Например, другие производители используют альтернативный метод кодирования Диффи-Хеллмана, носящий имя своих создателей. Этот метод представляет собой другую математическую реализацию асимметричной модели. Именно он используется в продукте NetFortress (DSN).

Конечно, невозможно представить себе кодирование сообщений без использования ключей. Нельзя, однако, не признать, что никакое использование ключей не может помочь установить личность адресата сообщения. Чтобы обеспечить безопасность сообщений, нужно решить две задачи: во-первых, обеспечить конфиденциальность информации, а во-вторых, добиться того, чтобы никто не совал в нее нос.

И тут на сцене появляется сертификат, называемый также электронной подписью. Сертификат можно уподобить электронному паспорту: благодаря нему можно убедиться, что отправитель и получатель действительно являются теми, за кого себя выдают.

Сертификат открытого ключа — это цифровой документ, позволяющий однозначно идентифицировать пользователя с открытым ключом. Сертификаты предназначены, для того чтобы удостоверить подлинность цифровых документов и гарантировать доставку сообщения только тем людям, которым оно адресовано. Как и цифровые подписи, сертификаты используются в качестве своеобразного персонального кода.

Выдачей сертификатов занимаются специальные уполномоченные службы CA (certification authority), своего рода клубы по интересам. Они самостоятельно определяют, кого следует принять в число своих членов, а кого нет. Такая служба может быть и правительственной организацией, которая выдает сертификаты пользователям и одновременно предоставляет правительству информацию о том, как следует интерпретировать тот или иной сертификат.

При выполнении некоторых транзакций нельзя ограничиваться сравнением сигнатуры, предоставленной службой CA. Перед предоставлением доступа к важным данным необходимо дополнительно проверить достоверность сертификата непосредственно во время транзакции. Для решения этой задачи вводятся различные механизмы определения статуса сертификата.

Самый старый способ заключается в ведении списка аннулированных сертификатов (certificate revocation list, CRL), который поддерживается службой CA для всех выданных ею цифровых документов. Сертификаты, выданные CA, считаются достоверными до тех пор, пока они не окажутся в списке CRL. Данный подход аналогичен способу выполнения транзакций, который применялся несколько десятков лет тому назад в кредитных картах. Ему были присущи те же недостатки.

Более новый метод (его стандарт в настоящее время находится в процессе разработки) основан на использовании службы сетевых каталогов, которая предоставляет информацию о статусе сертификата в режиме реального времени при помощи протокола статуса сертификата OCSP (online certificate status protocol). В этом случае сертификаты, выданные службой CA, считаются недействительными до тех пор, пока информация об их статусе не будет выбрана из каталога, поддерживаемого CA. Одно из преимуществ модели OCSP состоит в том, что предоставляемая информация может быть расширена за счет включения других пользовательских атрибутов (например, номера кредитной карты или домашнего адреса).

При работе с сертификатами можно использовать две схемы.

  • — Во-первых, сертификаты может создавать и поддерживать сторонняя компания.
  • — Во-вторых, любая компания сама может создавать и поддерживать сертификаты, используя при этом, например, продукт Entrust (Nortel), который к тому же обеспечивает кодирование сообщений. После того, как пользователь получает сертификат, он может использовать его в качестве своей электронной подписи.

При получении документа с электронной подписью, адресат знакомится со всей информацией, содержащейся в сертификате; к ней относится, в частности, имя отправителя, адрес отправителя и прочие данные, которые решено было включить в сертификат. Электронная подпись содержит также информацию о том, кто выдал сертификат, когда истекает срок его действия и какой уровень верификации установлен для данного сертификата.

Существуют сертификаты трех классов. Для сертификатов первого класса проверяется уникальность имени и правильность адреса электронной почты, а также то, что получатель сертификата имеет право на доступ к данному разделу электронной почты. Для второго класса мы проверяется имя, адрес, номер водительского удостоверения и полис социального страхования, а также дата рождения. Для сертификатов третьего класса проверяются все вышеперечисленные данные и осуществляется поиск по базе данных Equifax (информационное бюро по кредитам).

Сертификаты незаменимы в деле идентификации пользователей для всех организаций, озабоченных защитой данных. Тем не менее, пользователи признают, что организация, вынужденная прибегать к использованию шифровки и работе с сертификатами, может неодобрительно отнестись к идее доверить работу с сертификатами сторонней организации. Однако если от услуг сторонней организации будет решено отказаться, то немедленно возникнет проблема, откуда вообще возьмутся сертификаты.

С точки зрения администраторов сетей, работа с сертификатами тоже представляет определенную проблему. Если не обращаться к услугам сторонних компаний, то работа по управлению сертификатами приведет к существенному возрастанию административных накладных расходов, даже если пользоваться такой программой, как Entrust, где заложены функции управления. По большей части, сертификаты выдаются на определенный срок, например, на го…

Часто более эффективным при выборе и оценке криптографической системы является использование экспертных оценок и имитационное моделирование.

В любом случае выбранный комплекс криптографических методов должен сочетать как удобство, гибкость и оперативность использования, так и надежную защиту от злоумышленников циркулирующей в ИС информации.

Одним из главных препятствий на пути широкого распространения шифрования является строгие ограничения на вывоз шифровальных технологий, введенные федеральным правительством. По существу, шифровальная технология отнесена к той же категории, что и боеприпасы.

Показать весь текст
Заполнить форму текущей работой