Анин Б.Ю. Защита компьютерной информации

Подождите немного. Документ загружается.

К сожалению, при некоторых обстоятельствах Борис может обмануть

Антона, если воспроизведет точную копию документа вместе с подписью,

поставленной под ним Антоном. Еще одна копия документа, который

представляет собой обычный деловой договор между двумя сторонами, погоды

не сделает. Однако если у Бориса в руках окажется точная копия чека на

кругленькую сумму, выписанного Антоном, последний может понести

значительный материальный ущерб.

Поэтому, как и в обыденной жизни, на все докум енты обычно ставятся

дата и время их подписания, которые, в свою очередь, также снабжаются

цифровой подписью наравне с самим документом. В результате банк сможет

разоблачить попытку дважды обналичить один и тот же чек, а у

смошенничавшего Бориса в тюрьме будет много свободного врем ени, которое

он сможет посвятить более тщательному изучению криптографических

протоколов.

Использование однонаправленных хэш-функций

для подписания документов

На практике криптосистемы с открытым ключом не всегда эффективны

при подписании документов значительного объема. В целях экономии времени

можно подписывать не сам документ, а хэш- значение, вычисленное для этого

документа при помощи однонаправленной хэш-функции. Участники протокола

должны только заранее условиться о том, какой алгоритм шифрования с

открытым ключом и какую однонаправленную хэш-функцию они будут

использовать для подписания документов:

1. Антон подвергает документ хэшированию при помощи

однонаправленной хэш-функции.

2. Антон шифрует вычисленное хэш-значение с использованием

собственного тайного ключа, тем самым ставя под документом свою

подпись, и отправляет это хэш-значение Борису в зашифрованном виде

вместе с документом.

3. Борис вычисляет хэш-значение документа, расшифровывает

хэш-значение, присланное ему Антоном, с использованием открытого

ключа Антона. Если два полученных хэш-значения совпадают, то

подпись Антона под документом верна.

Для подписания документа непременно должна быть использована

однонаправленная хэш-функция, поскольку в противном случае

злоумышленник Зиновий окажется в состоянии сгенерировать множество

документов, хэш-значения которых совпадут. А тогда подписание Антоном

одного конкретного документа станет равносильно подписанию им всех

документов, имеющих такие же хэш-значения.

Кроме того, при использовании однонаправленных хэш-функций для

151

подписания докум ентов подпись можно хранить отдельно. А следовательно в

архиве, в котором данный протокол применяется для проверки подлинности

подписи, достаточно хранить только зашифрованные хэш-значения файлов.

При возникновении разногласий относительно авторства документа достаточно

найти в архиве соответствующее шифрованное хэш- значение, расшифровать

его и проверить, совпадает ли оно с хэш-значением, вычисленным для спорного

документа.

Дополнительная терминология

Криптографы придумали множество алгоритмов цифровой подписи. Все

они основаны на криптосистемах с открытым ключом. При этом секретная

информация используется для того, чтобы поставить подпись под документом,

а общедоступная — чтобы проверить подлинность этой подписи. Поэтому

часто процесс подписания докум ента называют шифрованием на тайном

ключе, а процесс проверки подлинности подписи — расшифрованием на

открытом ключе. Однако это справедливо только для одного алгоритма

шифрования с открытым ключом — RSA, а подавляющее большинство

остальных алгоритмов цифровой подписи совершенно непригодны для

шифрования сообщений.

По этой причине в ходе дальнейшего изложения о процессах подписания

документа и проверки подлинности подписи будет говориться без упоминания

конкретных алгоритмов, которые используются для этих целей. Подписание

документа Р при помощи тайного ключа К будет обозначаться S

(P), а проверка

подлинности подписи р использованием соответствующего открытого ключа —

(P).

Битовая строка, которая присоединяется к документу при его подписании

(например, хэш-значение файла, зашифрованное на тайном ключе) будет

именоваться цифровой подписью. И наконец, протокол, при помощи которого

получатель сообщения убеждается в подлинности и целостности этого

сообщения, будет называться аутентификационным протоколом.

Несколько подписей под одним документом

Каким образом Антон и Борис могут поставить свои цифровые подписи

под одним и тем же документом? Если не задействовать однонаправленные

хэш-функции, существуют 2 способа сделать это.

 Первый заключается в создании двух идентичных копий документа,

одну из которых подписывает Антон, а другую — Борис. Однако тогда

придется хранить документ, длина которого в 2 раза превышает размер

исходного документа, предназначенного для совместного подписания

Антоном и Борисом.

152

 Второй способ состоит в том, чтобы сначала документ подписал

Антон, а затем подпись Антона заверил своей подписью Борис. Но в

этом случае будет невозможно убедиться в подлинности подписи

Антона, не проверив подпись Бориса.

Если использовать однонаправленную хэш-функцию, от перечисленных

недостатков можно легко избавиться:

1. Антон подписывает хэш-значение документа.

2. Борис подписывает хэш-значение того же самого документа.

3. Борис отсылает свою подпись Антону.

4. Антон шлет документ вместе со своей подписью и подписью Бориса

Владимиру.

5. Владимир проверяет подлинность подписей Антона и Бориса.

Неоспоримость

Вполне возможна ситуация, при которой Антон, подписав некоторый

документ, впоследствии попытается ее оспорить — заявит о том, что подпись

под документом поставил не он. Причиной может послужить, например, потеря

Антоном своего тайного ключа в людном месте или намеренная его публикация

Антоном в разделе частных объявлений популярной газеты. Эта ситуация

называется отказ от обязательств.

Уменьшить ущерб отказа от обязательств помогает введение в подпись

даты и времени, когда она была поставлена под документом. Конечно, ничего

нельзя поделать в случае, если Антон заранее предпринял определенные

действия для создания условий, при которых его прдпись под документом

должна будет признана недействительной. Но можно, по крайней мере, сделать

так, чтобы эти действия не позволили Антону объявить поддельными все

остальные его подписи, которые он ранее поставил под другими документами:

1. Антон подписывает документ.

2. Антон генерирует заголовок, в который помещает свои личные данные,

присоединяет этот заголовок к подписанному им документу, еще раз

подписывает итоговый документ и посылает его Дмитрию.

3. Дмитрий проверяет вторую подпись Антона, добавляет к его

сообщению отметку о дате и времени получения этого сообщения,

подписывает его, а затем отправляет Антону и Борису.

4. Борис проверяет подпись Дмитрия, персональные данные Антона и его

подпись.

5. Антон знакомится с содержанием сообщения, присланного Дмитрием.

Если Антон обнаруживает в этом сообщении что-то подозрительное,

он должен немедленно заявить об этом во всеуслышание.

153

Цифровая подпись и шифрование

Аналогии из повседневной жизни помогают лучше понять, как должны

быть устроены криптографические протоколы, чтобы обеспечивать

максимальную защиту от мошенников и злоумышленников. Возьмем, к

примеру, обыкновенное письмо, приготовленное Антоном для отправки Борису

по почте. Антон всегда подписывает свои письма Борису, прежде чем

вкладывает их в конверты. А почему бы Антону не подписывать сами

конверты? Да потому, что получив конверт с подписью Антона и обнаружив в

нем неподписанное письмо, Борис не смож ет убедиться в том, что подлинное

письмо Антона не было подменено на пути следования от отправителя к

адресату.

Аналогичная ситуация сложилась и в криптографии: если Антон хочет

послать шифрованное сообщение, завизированное своей подписью, то ему

лучше сначала подписать открытый текст этого сообщения и только затем

зашифровать его вместе с поставленной под ним подписью.

1. Антон подписывает сообщение Р при помощи своего тайного ключа

Sк

(Р)

2. Антон шифрует подписанное сообщение, используя открытый ключ

Бориса K

, и посылает его Борису

Ек

(Sк

(Р))

3. Борис расшифровывает сообщение Антона с помощью своего тайного

ключа K

Dк

(Ек

(Sк

(Р))) = Sк

(Р)

4. С помощью открытого ключа Антона К

, Борис проверяет подпись

Антона и получает открытый текст его сообщения:

Vк

(Sк

(P)) = P

В результате подпись становится неотъемлемой частью сообщения

(злоумышленник не может вместо шифрованного сообщения подставить свое

собственное, сохранив под ним подлинную подпись отправителя). Кроме того,

отправитель видит открытый текст сообщения, когда ставит под ним свою

подпись.

154

Антон может использовать разные ключи для зашифрования документа и

для того, чтобы поставить под ним подпись. Это позволит ему при

необходимости передать клю ч шифрования правоохранительным органам, не

компрометируя собственную подпись, а также по своему выбору отдать один из

двух ключей на хранение доверенным третьим лицам, сохранив второй в тайне

от посторонних.

Однако совместное использование шифрования и цифровой подписи таит

в себе особую опасность, если для зашифрования и генерации цифровой

подписи используется один и тот же криптографический алгоритм. Рассмотрим

для примера протокол, согласно котором у после приема сообщения Борис

немедленно должен послать отправителю этого сообщения подтверждение о

его получении.

1. Антон подписывает сообщение при помощи своего тайного ключа,

шифрует это сообщение, используя открытый ключ Бориса, и посылает

его Борису:

Ек

(Sк

(Р))

2. Борис расшифровывает сообщение Антона на своем тайном ключе,

удостоверяется в подлинности подписи Антона с помощью его

открытого ключа и восстанавливает открытый текст сообщения:

3. Борис подписывает сообщение Антона с использованием своего

тайного ключа, шифрует это сообщение вместе со своей подписью на

открытом ключе Антона и отсылает обратно:

Ек

(Sк

(Р))

4. Антон расшифровывает сообщение Бориса при помощи своего тайного

ключа и проверяет подлинность подписи Бориса, используя его

открытый ключ. Если в результате он получит сообщение, идентичное

тому, которое он ранее отправил Борису, значит, сеанс связи прошел

корректно.

К сожалению, если для шифрования и проверки цифровой подписи

применяется одинаковый криптографический алгоритм (т.е., V

= E

и S

= D

Зиновий, являясь законным пользователем сети связи, при определенных

условиях сможет читать шифрованную переписку Антона. Для этого,

перехватив сообщение Антона Ек

(Sк

(Р), Зиновий шлет его от своего

имени Борису. Борис после расшиф рования и проверки цифровой подписи

Зиновия получит:

155

Кз

(Dк

(Ек

(Dк

(Р)))) = Е

Кз

(Dк

(Р))

В соответствии с протоколом Борис должен отправить Зиновию

подтверждение правильности приема пришедшего ему сообщения:

Кз

(Ек

(Е

Кз

((Dк

(Р))))

В результате Зиновию останется только преобразовать сообщение,

присланное ему Борисом, при помощи своего тайного ключа и известных

открытых ключей Антона и Бориса — и вот он, заветный открытый текст Р

сообщения, отправленного Антоном!

Конечно, все это стало возможным не только потому, что для

шифрования и проверки цифровой подписи использовался один и тот же

криптографический алгоритм. Борису следовало бы быть более внимательным

и не отсылать подтверждение правильности приема сообщения, присланного

Зиновием. Попытка расшифровать это сообщение привела к тому, что Борис

получил открытый текст, не имеющий никакого смысла.

Отсюда вывод. Ни в коем случае не пытайтесь подписывать или

шифровать произвольные сообщения, а затем делиться полученными

результатами с другими людьми. Это для вас может плохо кончиться.

Основные криптографические протоколы

Обмен ключами

Распространенным приемом в криптографии является шифрование

каждого передаваемого сообщения с помощью отдельного ключа. Такой ключ

называется сеансовым, поскольку используется только на протяжении одного

сеанса связи. Каким образом сеансовый ключ попадает в распоряжение

отправителя и получателя шифрованного сообщения?

Обмен ключами для симметричных криптосистем

Предположим, что Антон и Борис, являющиеся пользователями

компьютерной сети, получили секретные ключи от Дмитрия (доверенного лица,

наделенного правами арбитра). Секретные ключи попали к Антону и Борису

еще до начала сеанса связи, а злоумышленник Зиновий ровным счетом ничего

не знает о том, какие это ключи. Тогда для обмена шифрованными

сообщениями по компьютерной сети Антон и Борис могут воспользоваться

следующим криптографическим протоколом:

156

1. Антон связывается с Дмитрием и запрашивает у него сеансовый ключ

для связи с Борисом.

2. Дмитрий генерирует случайный сеансовый ключ и создает две

шифрованных копии этого ключа — один раз Дмитрий шифрует

сеансовый ключ с помощью секретного ключа Антона, второй — с

помощью секретного ключа Бориса. Затем Дмитрий отсылает обе

копии Антону.

3. Антон расшифровывает свою копию сеансового ключа.

4. Антон отправляет Борису его копию сеансового ключа.

5. Борис расшифровывает свою копию сеансового ключа.

6. Антон отправляет Борису сообщение, зашифрованное с

использованием сеансового ключа, копия которого имеется у них

обоих.

И Антон, и Борис полностью полагаются на честность Дмитрия. Если

Зиновию удастся его подкупить или обмануть, ни о какой секретности обмена

сообщениями между Антоном и Борисом не может быть и речи. В этом случае

Зиновий получит доступ ко всем ключам, используемым абонентами

компьютерной сети, и сможет прочесть шифрованные сообщения, которыми

они обмениваются по сети. Для этого Зиновию достаточно аккуратно

копировать всю передаваемую через нее информацию.

Другой существенный недостаток этого протокола состоит в том, что

арбитр является потенциальным узким местом в обмене сообщениями между

Антоном и Борисом. Если Дмитрий по какой-либо причине не сможет воврем я

снабдить их ключами, шифрованная связь между ними будет прервана.

Обмен ключами для криптосистем

с открытым ключом

Обычно Антон и Борис используют криптографический алгоритм с

открытым ключом, чтобы договориться о сеансовом ключе, при помощи

которого они будут шифровать свои данные. В этом случае протокол обмена

сеансовыми ключами значительно упрощается, и Антон может послать

шифрованное сообщение Борису, даже если Борис и не слышал о

существовании Антона:

1. Антон находит открытый ключ Бориса в справочнике, в базе данных

или получает его от Дмитрия.

2. Антон генерирует случайный сеансовый ключ, шифрует его при

помощи открытого ключа Бориса и отправляет ему в зашифрованном

виде.

3. Борис расшифровывает сообщение Антона с использованием своего

тайного ключа.

4. Антон и Борис обмениваются сообщениями, зашифрованными на

157

одном и том же сеансовом ключе.

Атака методом сведения к середине

Петр, возмож ности которого ограничены лишь перехватом передаваемых

сообщений, может попытаться вскрыть применяемый криптографический

алгоритм с открытым ключом или организовать атаку со знанием только

шифртекста. По сравнению с Петром у Зиновия выбор гораздо богаче: он

может не только “подслушивать” за Антоном и Борисом, но также

видоизменять и даже уничтожать сообщения, которыми они обмениваются

между собой. Более того, Зиновий может перевоплотиться в Антона, когда

общается с Борисом. Он также может попытаться выдать себя за Бориса,

вступая в контакт с Антоном. При этом Зиновий может действовать, например,

следующим образом:

1. Антон посылает Борису свой открытый ключ. Зиновий перехватывает

этот ключ, а вместо него отсылает Борису свой собственный открытый

ключ.

2. Борис посылает Антону свой открытый ключ. Зиновий перехватывает

этот ключ, а вместо него отсылает Антону свой собственный открытый

ключ.

3. Антон шлет Борису сообщение, зашифрованное с помощью открытого

ключа, который Антон ошибочно считает принадлежащим Борису.

Зиновий перехватывает это сообщение, расшифровывает его при

помощи своего тайного ключа, произвольным образом изменяет его,

снова зашифровывает на открытом ключе Бориса и затем отсылает

адресату.

4. Борис шлет Антону сообщение, зашифрованное с помощью открытого

ключа, который Борис ошибочно считает принадлежащим Антону.

Зиновий перехватывает это сообщение, расшифровывает его при

помощи своего тайного ключа, произвольным образом изменяет его,

снова зашифровывает на открытом ключе Антона и затем отсылает

адресату.

Даже если в процессе обмена сообщениями Антон и Борис не передают

свои открытые ключи по каналам связи, а просто извлекают их из базы данных,

Зиновий может оказаться в состоянии перехватывать запросы в эту базу данных

и подменять открытые ключи Антона и Бориса своими собственными. А еще

Зиновий может проникнуть в базу данных, где хранятся открытые ключи

Антона и Бориса, заменить их на свои собственные, а затем преспокойно

дожидаться, пока Антон и Борис не захотят обменяться сообщениями.

Такая атака методом сведения к середине стала возможна потому, что

Антон и Борис не в состоянии достоверно убедиться в том, что общаются друг

с другом напрямую. И если, модифицируя сообщения Антона и Бориса,

158

Зиновий научится делать это с такой быстротой, что задержка в передаче

сообщений будет незаметной, ни Антон, ни Борис так никогда и не догадаются,

что кто-то вклинился между ними и читает всю их якобы секретную переписку.

Блокировочный протокол

Блокировочный протокол, изобретенный американскими криптологами Р.

Райвестом и А. Шамиром, позволяет существенно осложнить жизнь Зиновию и

ему подобным личностям:

1. Антон посылает Борису свой открытый ключ.

2. Борис посылает Антону свой открытый ключ.

3. Антон зашифровывает свое сообщение и отсылает половину этого

сообщения Борису.

4. Борис зашифровывает свое сообщение и отсылает половину этого

сообщения Антону.

5. Антон отсылает вторую половину своего сообщения Борису.

6. Борис расшифровывает сообщение Антона с помощью своего тайного

ключа. Борис отсылает вторую половину своего сообщения Антону.

7. Антон расшифровывает сообщение Бориса с помощью своего тайного

ключа.

Необходимо, чтобы одну часть сообщения, посланного Антоном или

Борисом, нельзя было прочитать, не имея на руках другой его части. Тогда

Борис не сможет прочитать сообщение Антона до тех пор, пока не дойдет до

шага 6 блокировочного протокола, а Борис не сможет ознакомиться с

сообщением Антона до шага 7. Существует несколько способов добиться этого:

 если для шифрования используется блочный криптографический

алгоритм, то первую часть отсылаемого сообщения можно, например,

составить из первых половин блоков шифртекста, а вторую — из

вторых;

 расшифрование сообщения можно поставить в зависимость от

случайного битового вектора, который отсылается вм есте со второй

частью сообщения;

 первая часть сообщения представляет собой хэш-значение, полученное

для шифртекста этого сообщения, а вторая часть содержит собственно

сам шифртекст.

На шаге 1 блокировочного протокола Зиновий по-прежнему может

подставить свой собственный открытый ключ вместо открытого ключа Антона.

Однако теперь на шаге 3 Зиновий будет не в состоянии дешифровать

перехваченное сообщение Антона и зашифровать его заново при помощи

открытого ключа Бориса. Зиновию непременно придется придумать свое

собственное сообщение (случайный битовый вектор или хэш-значение) и

159

послать его половину Борису. То же самое касается и сообщения Бориса

Антону, которое Зиновий перехватит на шаге 4 блокировочного протокола. А

после того как Зиновий получит в свое распоряжение вторые половины

подлинных сообщений Антона и Бориса, будет уже слишком поздно изменить

придуманные им ранее ф альшивые сообщения, которые он уже отослал от их

имени. Следовательно, Зиновию придется дать волю своей фантазии и

продолжить вести всю переписку от имени Антона и Бориса.

Конечно, м ожет случиться так, что у Зиновия очень живое воображение и

что он весьма близко знаком с Антоном и Борисом. В результате они никогда

не заподозрят, что на самом деле общаются не друг с другом, а с Зиновием.

Однако в любом случае Зиновию будет значительно труднее, чем тогда, когда

Антон и Борис используют обычный, а не блокировочный Протокол.

Протокол обмена ключами с цифровой подписью

При обмене сеансовыми ключами атаку методом сведения к середине

можно попытаться отразить также с помощью цифровой подписи. В этом

случае Антон и Борис получают сеансовые ключи, подписанные Дмитрием,

который является доверенным лицом, наделенным правами арбитра. Каждый

сеансовый ключ снабжается свидетельством о его принадлежности

определенному лицу. Получая от Дмитрия ключ, Антон и Борис могут

проверить его подпись и убедиться, что этот ключ принадлежит именно тому

человеку, которому они собираются послать сообщение.

В результате Зиновию придется весьма несладко. Он не сможет выдать

себя за Антона или Бориса, поскольку не знает их тайных клю чей. Зиновий

будет лишен возможности подменить открытые ключи Антона и Бориса на

свои собственные, поскольку в его распоряжении есть только сеансовые ключи

с подписью Дмитрия, удостоверяющей их принадлежность Зиновию. Зиновию

остается только перехватывать шифрованные сообщения, которыми

обмениваются Антон и Борис, и пытаться их читать с помощью крип-

тоаналитических методов.

Однако следует отметить, что в протоколе обмена сеансовыми ключами с

цифровой подписью появился новый участник — Дмитрий. Если Зиновий

сумеет перевоплотиться в Дмитрия, он сможет подписывать и навязывать

участникам протокола известные ему фальшивые сеансовые ключи. Таким

образом, несмотря ни на что, у Зиновия все же остается возможность атаковать

этот протокол, воспользовавшись методом сведения к середине.

Одновременная передача ключа и сообщения

Антон и Борис совершенно необязательно передают друг другу

сеансовые ключи перед тем, как приступить к обмену сообщениями. Вместо

этого они могут воспользоваться следующим протоколом:

160