1.5. Проблемы обеспечения конфиденциальности и аутентичности информации
Конфиденциальность сообщений, как известно, может быть обеспечена либо симметричными шифрами, либо схемами открыто-го шифрования. Практическое использование последних сдерживается сравнительно низкой скоростью их работы (как правило, на много порядков ниже, чем у симметричных). По этой причине ос-новным средством обеспечения конфиденциальности сообщений достаточно большого объема и при интенсивном трафике были и остаются симметричные алгоритмы шифрования.
Подлинность сообщений можно обеспечивать, используя коды аутентификации сообщений (Message Authentication Codes - MAC) либо цифровую подпись. Целесообразность применения одного из двух механизмов определяется требованием обеспечения в конкрет-ном приложении невозможности отказа от сообщений (или отсут-ствием этого требования). Невозможность отказа может быть обес-печена только асимметричными криптосхемами, т. е. в данном случае схемами цифровой подписи, так как в любой схеме цифровой подписи секретные ключи подписи имеют только одного владельца. Следовательно, при возникновении спора о факте создания какого- либо документа, заверенного цифровой подписью, его автора всегда можно установить однозначно. Симметричные криптосхемы сделать этого не позволяют, так как в них используются ключи, которые являются общими секретами как минимум для двух, а то и более уча-стников криптосистемы.
Следовательно, однозначно установить единственное лицо, применившее секретный ключ для выполнения криптографического преобразования, не представляется возможным.Применение цифровой подписи для обеспечения подлинности сообщений в электронной коммерции и в электронном документообороте, на наш взгляд, требует некоторых дополнительных ком-ментариев. Заметим, что для человека, несомненно, более удобным является подписание открытого текста документа: при этом он хорошо осознает свои действия и психологически готов нести ответст-венность за подписываемый документ. Далее подписанный документ при необходимости зашифровывается. Получатель обрабатывает документ в обратном порядке: сначала расшифровывает, потом проверяет цифровую подпись. С технической точки зрения более надежным было бы, напротив, подписание уже полностью обрабо-танного, в том числе зашифрованного, документа. При этом получа-телем проверялась бы подлинность «окончательного» источника данных, т. е. если проверка цифровой подписи получателем даст от-рицательный результат, это совершенно точно будет свидетельствовать о «внешней» ошибке либо злоумышленном воздействии на со- общение при передаче по каналу связи. Для корректной проверки цифровых подписей необходимо обеспечивать подлинность откры-тых ключей всех участников криптосистемы. Гарантии подлинности открытых ключей, как правило, предоставляются инфраструктурой криптосистемы, в частности инфраструктурой открытых ключей.
В тех случаях, когда требование невозможности отказа (с юри-дическим разрешением конфликтных ситуаций) не является крити-чески важным, используют симметричные методы аутентификации. В симметричных криптосистемах также необходимо обеспечить подлинность общих секретных ключей, что достигается применением протоколов аутентичного распределения ключей. Когда участни-кам криптосистемы предоставлены гарантии подлинности их общих секретных ключей, только тогда можно говорить об обеспечении подлинности данных, передаваемых по каналу связи между ними.
Традиционно известны два метода обеспечения подлинности данных в электронных каналах связи: хеш-функции с ключом и блочные шифры в режимах работы, обеспечивающих аутентификацию сообщений.
Оба подхода основаны на вычислении некоторого «контрольного кода», называемого в различных случаях хеш-кодом, тегом или имитовставкой. Для определенности будем далее во всех случаях называть его хеш-кодом. Независимо от способа вычисле-ния он прикрепляется отправителем к сообщению, а получатель са-мостоятельно тем же способом пересчитывает хеш-код полученного им сообщения и сверяет его с тем, которое прикреплено к сообще-нию. При положительном результате проверки источник сообщения считается аутентичным, так как верно сгенерировать хеш-код могло только то лицо, которое знает общий с получателем секретный ключ.Симметричные алгоритмы обеспечивают высокую производи-тельность, что позволяет обрабатывать в режиме реального времени достаточно интенсивный трафик без ощутимых для человека вре-менных задержек. В зависимости от конкретных прикладных про-грамм и условий применения механизмов защиты можно выделить три ситуации:
требуется обеспечить только конфиденциальность данных;
требуется обеспечить только аутентичность данных;
3) требуется одновременно обеспечить конфиденциальность и аутентичность данных.
Таким образом, понятие защищенного канала передачи инфор-мации включает в себя три составные части: протокол аутентичного распределения ключей и механизмы обеспечения конфиденциально-сти и(или) аутентичности сообщений. Несмотря на кажущуюся про-стоту (всего две функции: обеспечение конфиденциальности и ау-тентичности), проблема получила серьезное научное содержание, что связано с множественностью самих определений безопасности и стойкости к различным видам атак, множеством требований к рас-пределению ключей, большим количеством известных протоколов распределения ключей и режимов шифрования.
Рассмотрим вначале случай, когда требуется только конфиденциальность данных. В настоящее время наиболее употребительны-ми в практике защиты информации являются пять режимов работы блочных шифров, обеспечивающих конфиденциальность, которые перечислены ниже:
режим простой замены, или режим электронной кодовой книги (Electronic CodeBook - ЕСВ );
режим сцепления блоков (Cipher Block Chaining - СВС);
автономный режим, или режим обратной связи по выходу (Output FeedBack - OFB);
режим обратной связи по шифртексту (Cipher FeedBack - CFB);
режим счетчика (Counter Mode Encryption - CTR).
Режимы различаются удобством (или неудобством) использования в тех или иных ситуациях, свойствами распространения ошибки, возможностями несанкционированного внесения изменений в шиф- ртекст, доказанными утверждениями о безопасности и пр.
Отечественным стандартом ГОСТ 28147-89 рекомендованы три режима работы блочного шифра, обеспечивающие конфиденциаль-ность: режим простой замены, режим гаммирования (соответствующий OFB) и режим гаммирования с обратной связью (соответствующий CFB).
Известны и другие режимы блочного шифрования, обеспечи-вающие конфиденциальность: 2DEM (2D-Encryption Mode), ABC (Accumulated Block Chaining), IGE (Infinite Garble Extension), XCB (Extended Codebook Mode). Последний режим рассматривается в научной литературе как перспективный, так как позволяет обрабатывать блоки произвольной длины, для которых реализует строгую псевдослучайную перестановку.
Теперь обратимся к случаю, когда при передаче данных необхо-димо обеспечить только аутентичность.
Для этого можно исполь-зовать либо хеш-функцию с ключом, либо блочный шифр в режиме аутентификации.Стандартизованным, широко применяемым в практике защиты информации является режим СВС-МАС. Отечественным стандартом ГОСТ 28147-89 рекомендован режим выработки имитовставки, по принципу устройства в целом соответствующий режиму СВС-МАС, где в качестве хеш-кода сообщения берется фрагмент последнего блока шифртекста.
Из научной литературы известен целый ряд режимов работы блочных шифров, обеспечивающих аутентичность. Из них наиболее эффективными и стойкими считаются следующие два, которые являются кандидатами на стандартизацию:
одноключевой режим аутентификации со сцеплением блоков ОМАС (One-Key СВС MAC);
режим вероятностной аутентификации RMAC (Randomized MAC).
Перечислим и остальные режимы: РМАС (Parallelizable MAC), ТМАС (Two-Key СВС MAC), ХСВС-МАС (Extended Cipher Block Chaining MAC), XECB-MAC (Extended Electronic CodeBook MAC).
Напомним, что отечественным стандартом на хеш-функцию с ключом является ГОСТ Р 34.11-94.
Случай, когда требуется обеспечить одновременно конфиденци-альность и аутентичность, более всего интересен для обсуждения. Рассмотрим сначала основные теоретические результаты в этой области.
Функции обеспечения конфиденциальности и аутентичности мо-гут применяться к открытому тексту либо раздельно, либо одновре-менно. В первом случае немедленно возникает вопрос о порядке их применения. Пусть КЕ - общий секретный ключ шифрования отпра-вителя и получателя данных, Км - их общий секретный ключ аутен- 62 Запечников С. В. Криптографические протоколы и их применение
тификации, EKf - алгоритм шифрования, ТК - алгоритм вычисле-ния хеш-кода, EKt>K - алгоритм обработки сообщения отправителем, М - открытый текст, С - шифртекст. Очевидно, возможны три варианта обработки сообщения отправителем (получатель обраба-тывает сообщения в обратном порядке):
отдельно зашифровывается открытый текст и отдельно вы-числяется хеш-код, который присоединяется к шифртексту (encrypt- and-authenticate):
eke,km{m)=ekf{mItku{m)-,
сначала вычисляется хеш-код, который присоединяется к от-крытому тексту сообщения, а затем оба они зашифровываются (au-thenticate-then-encrypt):
сначала открытый текст зашифровывается, затем вычисляется хеш-код шифртекста, который присоединяется к нему (encrypt-then- authenticate):
Екк,ки (М) = С\К (С)' где С = ЕКе (МУ
Какой из этих способов лучше? И каковы критерии их оценки? Доказано, что самым стойісим методом является третий.
Он макси-мально полно удовлетворяет всем критериям безопасности, включая стойкость к атакам по выбранным открытым текстам и к атакам по выбранным шифртекстам. Другие методы в общем случае не обес-печивают безопасности передаваемых данных, хотя в не очень от-ветственных случаях различия в доказанных свойствах не имеют практического значения. Можно даже построить пример такого про-токола, в котором используется совершенно секретный (по Шенно-ну) шифр, но если выбран второй метод защиты (authenticate-then- encrypt), то протокол получается абсолютно нестойким к атакам ак-тивного противника. Вместе с тем доказано, что в частном случае, когда применяется стойкий алгоритм блочного шифрования в режиме СВС или поточный шифр (накладывающий на поток данных слу-чайную или псевдослучайную двоичную последовательность), метод authenticate-then-encrypt является стойким.Есть и второй путь решения рассматриваемой задачи защиты - одновременное применение функций обеспечения конфиденциаль-ности и аутентичности. Для этого используются специальные режимы работы блочных шифров, называемые реэ/симами аутентичного іиифрования (authenticated encryption).
Наиболее эффективными из них, претендующими быть стандар-тами, являются следующие:
режим счетчика со сцеплением блоков ССМ (Counter with СВС-МАС);
режим счетчика над полем Галуа GCM (Galois/Counter Mode).
Кроме них, известен еще целый ряд режимов аутентичного шифрования: CS (Cipher-State Mode), CWC (Carter - Wegman autheti- cation with Counter encryption), EAX (A Conventional Authenticated- Encryption Mode), IACBC (Integrity Aware Cipher Block Chaining), IAPM (Integrity Aware Parallelizable Mode), OCB (Offset CodeBook), PCFB (Propagating Cipher Feedback), XCBC (Extended Cipher Block Chaining Encryption).
Большинство теоретических результатов в рассматриваемой области было получено за последние несколько лет. Наиболее распро-страненные сейчас протоколы образования защищенных каналов передачи данных были разработаны раньше, чем стали известны эти результаты.
Так, в протоколе SSL используется метод authenticate- then-encrypt, в SSH - метод encrypt-and-authenticate, которые с точки зрения теоретической криптографии в общем случае являются не-стойкими. Но в стандартизованной спецификации протокола SSL как раз использован режим шифрования СВС, который согласно из-вестным, доказанным криптографами результатам является исклю-чением из общего правила и обеспечивает стойкость протокола в данном частном случае, несмотря на его нестойкость в общем случае. Все же возможности атаки на протокол SSL остаются, и такой пример мы рассмотрим в гл. 4.Было бы, конечно, лучше, чтобы протоколы обеспечивали наи-высшую степень стойкости независимо от конкретных условий и особенностей применения, но поскольку жизненный цикл хорошо разработанных и апробированных технологий достаточно длителен, надеяться на корректировку протоколов можно только в будущем, с развитием и совершенствованием информационных технологий.