Основы ИТ-безопасности

Достоинства алгоритмов на симметричном ключе

Как мы показали, в настоящее время используется целый ряд шифров на симметричном ключе. Помимо тех, что уже были упомянуты, дальше в курсе мы еще опишем те, которые используются в Notes, Domino и в других совместных продуктах Lotus. Сейчас же давайте поговорим о тех достоинствах, которые присущи всем этим алгоритмам на симметричном ключе.

Из-за коротких ключей, которые тем не менее обеспечивают достаточно высокую безопасность, эти алгоритмы быстры и требуют относительно небольшой загрузки системы. По этой причине о шифровании на симметричном ключе часто говорят как о массовом шифровании, так как оно эффективно для больших объемов данных.

Недостатки алгоритмов на симметричном ключе

Самый ключевой недостаток симметричного шифра состоит в том, что ему присущи трудности в управлении этими самыми симметричными ключами, используемыми при шифровании. В частности, как можно безопасно передать их в руки противоположной стороны без того, чтобы не скомпрометировать их?

В следующем разделе мы покажем, как эта проблема управления ключами решается при использовании алгоритмов на асимметричном ключе, но и в использовании асимметричных ключей существуют недостатки, для которых тоже требуется использование симметричных ключей и алгоритмов на симметричном ключе.

Вопросы коммерческого использования и экспорта

Прежде чем мы перейдем к теме асимметричных ключей, давайте закончим обзор важных тонкостей, касающихся алгоритмов с симметричными ключами.

Эти алгоритмы публикуются свободно, и при их реализации не следует рассматривать вопросы коммерческого лицензирования.

Все они подпадают под ограничения на экспорт Национального агентства безопасности США (NSA, National Security Agency). Точное действие этих ограничений не так просто, но суть их в следующем:

• любое экспортируемое американской компанией программное обеспечение, в котором присутствуют криптографические технологии, должно идти под специальной экспортной лицензией;
• если в продукте содержится код симметричного шифрования, который можно использовать для шифрования произвольного потока данных, лицензия позволит экспорт без ограничений только в том случае, если размер ключа меньше, чем величина, предопределенная NSA.

Это означает то, что для того, чтобы экспортировать полноценную криптографию, компания должна иметь специальную лицензию на каждого клиента. Такие лицензии выдаются только для таких клиентов, которые рассматриваются правительством США в качестве дружественных, таких, как крупные банки и дочерние образования американских компаний.

Когда писалась предыдущая книга серии Redbooks, пороговая длина ключа для обычной экспортной лицензии составляла 40 бит. С тех пор несколько испытаний Проект управления композитными приложениями 29 показали, что при помощи относительно современных компьютерных мощностей на 40-битовый ключ вполне можно провести успешную атаку обычным перебором вариантов. Заявление правительства открыло дверь для использования более длинных ключей, сначала до 56 бит, а в перспективе до любой длины, когда компьютерная индустрия разработает эффективную технологию восстановления ключа. (Восстановление ключа означает, что ключ сессии может быть найден по другому известному ключу, мастер-ключу); 56 бит, может, и не выглядят намного лучше, чем 40, но фактически их в 2 в 16-й степени, или в 65,536 раза, труднее взломать.

Дополнением к этому стало заявление Бюро управления экспортом коммерческого департамента от 18 ноября 1998 г., которое внесло изменения в правила управления экспортом для экспорта и реэкспорта товаров и программного обеспечения полноценного шифрования. Длины ключей сейчас: полных 56 бит для DES и эквивалентных ему "массовых" шифров (т. е. RC2, RC4, RC5 и CAST) и 1,024 бита для RSA асимметричных ключей по всем направлениям, кроме Кубы, Ирана, Ирака, Ливии, Северной Кореи, Судана и Сирии. С той оговоркой, что восстановление ключей невозможно. Аналогично криптоключами без ограничений по силе могут пользоваться американские дочерние предприятия, страховые компании, фирмы, профилирующиеся в сфере медицины и здоровья, интернет-магазины при условии, что у них нет представительств ни в одной из вышеперечисленных стран.

Далее, 6 июня 2002 г. Бюро промышленности и безопасности (BIS, Bureau of Industry and Security) опубликовало постановление, которое корректировало Положения по управлению экспортом (EAR, Export Administration Regulations) так, чтобы отразить изменения, сделанные в списке Вассенаарских договоренностей^{11Вассенаарские договоренности – соглашение стран-производителей/экспортеров вооружений и соответствующих технологий о совместной глобальной системе контроля за распространением обычных вооружений, товаров и технологий двойного применения с целью противостояния угрозам международной и региональной безопасности и стабильности. Образован в 1994 г. в городе Вассенаары (Нидерланды) после упразднения КОКОМа. Россия входит с 1995 г.} по технологиям двойного применения^{12Технологии двойного применения – технологии, которые могут быть использованы при создании как вооружения и военной техники, так и продукции гражданского назначения.} а также чтобы обновить и уточнить другие положения EAR, касающиеся контроля за экспортом в области шифрования.

Криптографические товары и программное обеспечение для массового рынка с длиной симметричного ключа свыше 64 бит, подпадающие под номера 5A992 и 5D992 классификации экспортного контроля (ECCNs, Export Control Classification Numbers), могут экспортироваться и реэкспортироваться без лицензии (NLR, No License Required) после 30-дневного рассмотрения BIS. Это положение корректирует категорию 5, часть II (информационная безопасность) списка контроля коммерции (CCL, Commerce Control List) и позволит экспорт и реэкспорт оборудования, определяемого ECCN 5B002, согласно License Exception ENC.

Для дополнительной информации здесь приведен полный список ресурсов, способных пролить некоторый свет на положения по экспорту и те двусторонние соглашения, которые действуют в настоящий момент:

• издаваемые федеральные реестры – правила, влияющие на Положения по управлению экспортом, можно найти по следующему адресу:

  http://w3.access.gpo.gov/bis/fedreg/ear_fedreg.html#67fr38855
• информационный листок на тему управления экспортом коммерческих продуктов, содержащих криптографию, можно найти по следующему адресу:

  http://www.bxa.doc.gov/encryption/EncFactSheet6_17_02.html
• пояснения по Вассенаарскому соглашению и тому, что входит в них, можно найти по следующему адресу:

  http://www.bxa.doc.gov/Wassenaar/Default.htm

1.4.3 Алгоритмы с асимметричным ключом

Отталкиваясь от знакомых аналогий, нематематик может интуитивно понять, как работает алгоритм симметричного ключа. Однако алгоритмы асимметричного ключа непрофессионалу доступны намного хуже. Фактически иногда они выглядят скорее как магия, нежели как технология. На самом деле это не так. Для них требуется немного больше объяснений, чем для алгоритмов на симметричном ключе, но тем не менее любой, кто внимательно прочитает нижеследующее, легко справится с ними.

Основы алгоритмов на асимметричном ключе

Асимметричное шифрование получило свое название из того факта, что в нем участвует два ключа. Один содержится в тайне (закрытый, или секретный, ключ пользователя), другой общедоступен (открытый, или публичный, ключ пользователя). Открытый ключ обычно помещается в общедоступные каталоги, и совершенно не имеет значения, кто будет иметь его копию.

Существует строгое математическое соответствие между закрытым и открытым ключами, которое заключается в том, что все, что зашифровано при помощи одного из двух ключей, может быть расшифровано только другим ключом пары. Длина ключей и вся математика, стоящая за ними, дают достаточную гарантию того, что не существует никакого другого ключа, не являющегося частью пары, который мог бы дешифровать сообщение.

Давайте вернемся к Бобу и Алисе и посмотрим, что же происходит при отправке защищенного при помощи алгоритма на асимметричном ключе сообщения. На рис. 1.5 приведен пример, где обмен происходит слева направо.

Рис. 1.5. Пример алгоритма с асимметричным ключом: отправка защищенного сообщения по электронной почте

Вот что происходит в нашем примере:

• Алиса хочет послать Бобу еще одно сообщение;
• сообщение Алисы зашифровывается при помощи открытого ключа Боба (с тем, чтобы его можно было расшифровать только закрытым ключом, находящимся в единоличном владении Боба);
• Боб получает Алисино зашифрованное сообщение, видит, что оно зашифровано, и хочет прочитать его;
• с помощью своего закрытого ключа Боб дешифрует сообщение;
• после дешифровки теперь сообщение может быть прочитано Бобом.

Замечание. В этом сценарии нет необходимости в обмене закрытыми ключами и, таким образом, весь процесс работы с ключами проще.

Виды асимметричных шифров

Асимметричные шифры еще называют механизмами обмена ключами. Самые известные из них – следующие:

• Обмен ключами Диффи–Хелмана (D-H, Diffie–Hellman) – это криптографический протокол, который позволяет двум собеседникам (условно названным Алисой и Бобом, как мы видели выше) установить связь на секретном ключе по небезопасному коммуникационному каналу. После того как общий секретный ключ был установлен, Алиса и Боб могут использовать его для условного шифрования своих тайных коммуникаций. Обмен ключами Диффи–Хелмана был изобретен в 1975-м или 1976 г. во время совместной работы Уитфилда Диффи (Whitfield Diffie), Мартина Хелмана (Martin Hellman) и Ральфа Меркле (Ralph Merkle) и стал первым практическим методом для установления режима секретности по незащищенному коммуникационному каналу. На самом деле открыт он был еще за несколько лет до того Малькольмом Уильямсоном из компании GCHQ в Англии, но GCHQ решило не раскрывать его вплоть до 1997 г., когда это уже никак не могло повлиять на исследования. В скором времени компанией RSA был разработан метод, который стал первой публично анонсированной реализацией криптографии открытого ключа, использующей асимметричные алгоритмы.
• Ривест–Шамир–Адлеман (RSA, Rivest–Shamir–Adleman). Этот асимметричный алгоритм открытого ключа широко используется в электронной коммерции. Сам алгоритм был описан в 1977 г. Роном Ривестом (Ron Rivest), Ади Шамиром (Adi Shamir) и Леном Адлеманом (Len Adleman); буквы RSA – это заглавные буквы их фамилий. Клиффорд Кокс (Clifford Cocks), британский математик, работающий на GCHQ, в 1973 г. во внутреннем документе компании описал эквивалентную систему. Его открытие, однако, не было раскрыто, опять же вплоть до 1997 г., по причине его сверхсекретной природы. Алгоритм был запатентован в 1983 г. в Соединенных Штатах Америки Массачусетским технологическим институтом (MIT, Massachusetts Institute of Technology). Срок действия патента закончился в сентябре 2000 г. Поскольку алгоритм был опубликован до своего патентования, он не мог быть запатентован в других странах. На RSA действуют те же ограничения на экспорт за пределы США, что и на симметричные алгоритмы. Только в этом случае фактически ключом является очень большое число. По очень приблизительной оценке, размер RSA ключа в 1024 бита соответствует полноценному симметричному ключу в 64 бита и более.
• Криптография эллиптической кривой (ECC, Elliptic Curve Cryptography). Подобно D-H и RSA, ECC является классом криптографических алгоритмов, способных выполнять асимметричное шифрование. И точно так же, как в D-H и RSA, обладание одним ключом не дает достаточной информации для определения другого ключа. Существует несколько слегка отличных друг от друга версий криптографии эллиптической кривой, и все они основаны на общеизвестной трудности решения задачи дискретного логарифма для группы эллиптических кривых в некоторой конечной области. ECC считается самым сильным асимметричным алгоритмом при заданной длине ключа, и поэтому он может быть особенно полезен для соединений, имеющих очень жесткие ограничения по полосе пропускания. Занижены также требования и к размеру ключа. Давайте посмотрим: NIST и ANSI X9 установили минимальный размер ключа в 1024 бита для RSA и 160 бит для ECC, что соответствует 80-битовому ключу симметричного блочного шифра. NIST опубликовал список рекомендованных эллиптических кривых для защиты пяти различных размеров симметричных ключей (а именно 80, 112, 128, 192 и 256).

Достоинства алгоритмов на асимметричном ключе

Как мы показали, в настоящее время используется целый ряд алгоритмов на асимметричном ключе. Помимо тех, что уже были упомянуты, дальше в курсе мы еще опишем те, которые используются в Notes, Domino и в других совместных продуктах Lotus. Сейчас же давайте поговорим о тех достоинствах, которые присущи всем алгоритмам на асимметричном ключе.

Алгоритмы асимметричного ключа делают более легким управление ключами благодаря тому, что не надо искать безопасный канал для передачи копии ключа конечному получателю. Закрытый ключ остается закрытым, а открытый – открытым. Другими словами, большим преимуществом этого механизма над механизмом симметричного ключа является то, что больше нет того секрета, которым требуется делиться. Фактически совершенно не имеет значения, у кого имеется открытый ключ, поскольку он бесполезен без соответствующего закрытого.

Еще одним важнейшим достоинством алгоритмов на асимметричном ключе является то, что они способны предоставить такую цифровую подпись, которую невозможно подделать. Мы обсудим это в последующих разделах.

Недостатки алгоритмов на асимметричном ключе

Недостаток алгоритмов на асимметричном ключе состоит в том, что они очень медленные. В настоящий момент есть множество методов шифрования секретным ключом, которые значительно быстрее, чем любой из существующих методов шифрования открытым ключом. Это проистекает из того факта, что для получения сравнимого уровня безопасности требуются большие длины ключей по сравнению с меньшими симметричными ключами.