Анин Б.Ю. Защита компьютерной информации

Подождите немного. Документ загружается.

шифровании, а о ключах, применяемых при сквозном шифровании, заботятся

сами пользователи.

Шифрование файлов

На первый взгляд, шифрование файлов можно полностью уподобить

шифрованию сообщений, отправителем и получателем которых является одно и

то же лицо, а средой передачи служит одно из компьютерных устройств

хранения данных (магнитный или оптический диск, магнитная лента,

оперативная память). Однако все не так просто, как кажется на первый взгляд.

Если при передаче по коммуникационным каналам сообщение затеряется

по пути от отправителя к получателю, его можно попытаться передать снова.

При шифровании данных, предназначенных для хранения в виде

компьютерных файлов, дела обстоят иначе. Если вы не в состоянии

расшифровать свой файл, вам вряд ли удастся сделать это и со второй, и с

третьей, и даже с сотой попытки. Ваши данные будут потеряны раз и навсегда.

Это означает, что при шифровании файлов необходимо предусмотреть

специальные механизмы предотвращения возникновения ошибок в

шифртексте.

Криптография помогает превратить большие секреты в м аленькие.

Вместо того чтобы безуспешно пытаться запомнить содержимое огромного

файла, человеку достаточно его зашифровать и сохранить в памяти

использованный для этой цели ключ. Если ключ применяется для шифрования

сообщения, то его требуется иметь под рукой лишь до тех пор, пока сообщение

не дойдет до своего адресата и не будет им успешно расшифровано. В отличие

от сообщений, шифрованные файлы могут храниться годами, и в течение всего

этого времени необходимо помнить и держать в секрете соответствующий

ключ.

Есть и другие особенности шифрования файлов, о которых необходимо

помнить вне зависимости от применяемого криптографического алгоритма:

 нередко после шифрования файла его незашифрованная копия остается

на другом магнитном диске, на другом компьютере или в виде

распечатки, сделанной на принтере;

 размер блока в блочном алгоритме шифрования может значительно

превышать размер отдельной порции данных в структурированном

файле, в результате чего зашифрованный файл окажется намного

длиннее исходного;

 скорость шифрования файлов при помощи выбранного для этой цели

криптографического алгоритма должна соответствовать скоростям, на

которых работают устройства ввода/вывода современных

компьютеров;

 работа с ключами является довольно непростым делом, поскольку

разные пользователи должны иметь доступ не только к различным

211

файлам, но и к отдельным частям одного и того же файла.

Если файл представляет собой единое целое (например, содержит отрезок

текста), восстановление этого файла в исходном виде не потребует больших

усилий: перед использованием достаточно будет просто расшифровать весь

файл. Однако если ф айл структурирован (например, разделен на записи и поля,

как это делается в базах данных), то расшиф ровывание всего файла целиком

каждый раз, когда необходимо осуществить доступ к отдельной порции

данных, сделает работу с таким файлом чрезвычайно неэффективной.

Шифрование порций данных в структурированном файле делает его уязвимым

по отношению к атаке, при которой злоумышленник отыскивает в этом файле

нужную порцию данных и заменяет ее на другую по своему усмотрению.

У пользователя, который хочет зашифровать каждый файл, размещенный

на жестком диске компьютера, имеются две возможности. Е сли он использует

один и тот же ключ для шифрования всех файлов, то впоследствии окажется не

в состоянии разграничить доступ к ним со стороны других пользователей.

Кроме того, в результате у криптоаналитика будет много шифртекста,

полученного на одном ключе, что существенно облегчит вскрытие этого ключа.

Лучше шиф ровать каждый файл на отдельном ключе, а затем

зашифровать все ключи при помощи мастер-ключа. Тем самым пользователи

будут избавлены от суеты, связанной с организацией надежного хранения

множества ключей. Разграничение доступа групп пользователей к различным

файлам будет осуществляться путем деления множества всех ключей на

подмножества и шифрования этих подмножеств на различных мастер-ключах.

Стойкость такой криптосистемы будет значительно выше, чем в случае

использования единого клю ча для шифрования всех (файлов на жестком диске,

поскольку ключи, применяемые для шифрования файлов, можно генерировать

случайным образом и, следовательно более стойкими против словарной атаки.

Аппаратное и программное шифрование

Аппаратное шифрование

Большинство средств криптографической защиты данных реализовано в

виде специализированных физических устройств. Эти устройства встраиваются

в линию связи и осуществляют шифрование всей передаваемой по ней

информации. Преобладание аппаратного шифрования над программным

обусловлено несколькими причинами.

 Более высокая скорость. Криптографические алгоритмы состоят из

огромного числа сложных операций, выполняемых над битами

открытого текста. Современные универсальные компьютеры плохо

212

приспособлены для эффективного выполнения этих операций.

Специализированное оборудование умеет делать их гораздо быстрее.

 Аппаратуру легче физически защитить от проникновения извне.

Программа, выполняемая на персональном компьютере, практически

беззащитна. Вооружившись отладчиком, злоумышленник может

внести в нее скрытые изменения, чтобы понизить стойкость

используемого криптографического алгоритма, и никто ничего не

заметит. Что же касается аппаратуры, то она обычно помещается в

особые контейнеры, которые делают невозможным изм енение схемы

ее функционирования. Чип покрывается специальным химическим

составом, и в результате любая попытка преодолеть защитный слой

этого чипа приводит к самоуничтожению его внутренней логической

структуры. И хотя иногда электромагнитное излучение может служить

хорошим источником информации о том, что происходит внутри

микросхемы, от этого излучения легко избавиться, заэкранировав

микросхему. Аналогичным образом можно заэкранировать и

компьютер, однако сделать это гораздо сложнее, чем миниатюрную

микросхему.

 Аппаратура шифрования более проста в установке. Очень часто

шифрование требуется там, где дополнительное компьютерное

оборудование является совершенно излишним. Телефоны,

факсимильные аппараты и модемы значительно дешевле оборудовать

устройствами аппаратного шифрования, чем встраивать в них

микрокомпьютеры с соответствующим программным обеспечением.

Даже в компьютерах установка специализированного шифровального

оборудования создает меньше проблем, чем модернизация системного

программного обеспечения с целью добавления в него функций шифрования

данных. В идеале шифрование должно осуществляться незаметно для

пользователя. Чтобы добиться этого при помощи программных средств,

средства шифрования должны быть упрятаны глубоко в недра операционной

системы. С готовой и отлаженной операционной системой проделать это

безболезненно не так-то просто. Но даже любой непроф ессионал сможет

подсоединить шифровальный блок к персональному компьютеру, с одной

стороны, и к внешнему модему, с другой.

Современный рынок аппаратных средств шифрования информации

предлагает потенциальным покупателям 3 разновидности таких средств —

самодостаточные шифровальные модули (они самостоятельно выполняют всю

работу с ключами), блоки шифрования в каналах связи и шифровальные платы

расширения для установки в персональные компьютеры. Большинство

устройств первого и второго типов являются узко специализированными, и

поэтому прежде, чем принимать окончательное решение об их приобретении,

необходимо досконально изучить ограничения, которые при установке

накладывают эти устройства на соответствующее “железо”, операционные

системы и прикладное программное обеспечение. А иначе м ожно выбросить

213

деньги на ветер, ни на йоту не приблизившись к желанной цели. Правда, иногда

выбор облегчается тем, что некоторые компании торгуют коммуникационным

оборудованием, которое уже имеет предустановленную аппаратуру

шифрования данных.

Платы расширения для персональных компьютеров являются более

универсальным средством аппаратного шифрования и обычно могут быть легко

сконфигурированы таким образом, чтобы шифровать всю информацию,

которая записывается на ж есткий диск компьютера, а также все данные,

пересылаемые на дискеты и в последовательные порты. Как правило, защита от

электромагнитного излучения в шифровальных платах расширения

отсутствует, поскольку нет смысла защищать эти платы, если аналогичные

меры не предпринимаются в отношении всего компьютера.

Программное шифрование

Любой криптографический алгоритм может быть реализован в виде

соответствующей программы. Преимущества такой реализации очевидны:

программные средства шифрования легко копируются, они просты в

использовании, их нетрудно модифицировать в соответствии с конкретными

потребностями.

Во всех распространенных операционных системах имеются встроенные

средства шифрования файлов. Обычно они предназначены для шифрования

отдельных файлов, и работа с ключами целиком возлагается на пользователя.

Поэтому применение этих средств требует особого внимания. Во-первых, ни в

коем случае нельзя хранить ключи на диске вместе с зашифрованными с их

помощью файлами, а во-вторых, незашифрованные копии файлов необходимо

удалить сразу после шифрования.

Конечно, злоумышленник может добраться до компьютера и незаметно

внести нежелательные изменения в программу шифрования. Однако основная

проблема состоит отнюдь не в этом. Если злоумышленник в состоянии

проникнуть в помещение, где установлен компьютер, он вряд ли будет возиться

с программой, а просто установит скрытую камеру в стене, подслушивающее

устройство — в телефон или датчик для ретрансляции электромагнитного

излучения — в компьютер. В конце концов, если злоум ышленник мож ет

беспрепятственно все это сделать, сражение с ним проиграно, даже еще не

начавшись.

Сжатие и шифрование

Алгоритмы сжатия данных очень хорошо подходят для совместного

214

использования с криптографическими алгоритмами. Тому есть две причины:

 При вскрытии шифра криптоаналитик, как правило, полагается на

избыточность, свойственную любому открытому тексту. Сжатие

помогает избавиться от этой избыточности.

 Шифрование данных является весьма трудоемкой операцией. При

сжатии уменьшается длина открытого текста, за счет чего сокращается

время, которое будет потрачено на его шифрование.

Надо только не забыть сжать файл до того, как он будет зашифрован.

После шифрования файла при пом ощи качественного криптографического

алгоритма полученный шифртекст сжать не удастся, поскольку его

характеристики будут близки к характеристикам совершенно случайного

набора букв. Кстати, сжатие может служить своеобразным тестом для проверки

качества криптографического алгоритма: если шифртекст поддается сжатию,

значит этот алгоритм лучше заменить на более совершенный.

Как спрятать один шифртекст в другом

Антон и Борис несколько месяцев обменивались шифрованными

сообщениями. Контрразведка перехватила все эти сообщения, но так и не

смогла прочесть ни единого слова. Контрразведчикам надоело

коллекционировать переписку Антона и Бориса, не зная ее содержания, и они

решили арестовать подозрительную парочку. Первый же допрос начался

словами: “Где ключи к шифру?” “К какому такому шифру?!” — в один голос

воскликнули Антон и Борис, но тут же осеклись и побледнели, заметив на столе

у следователя зловещего вида клещи, покрытые пятнами то ли ржавчины, то ли

крови.

Антон и Борис смогли бы выкрутиться из создавшегося положения, если

бы шифровали каждое свое сообщение так, чтобы оно допускало два различных

расшифрования в зависимости от используемого ключа. Свое настоящее

секретное сообщение Борису Антон мог бы зашифровать на одном ключе, а

вполне невинный открытый текст — на другом. Теперь, если от Антона

потребуют ключ к шифру, он отдаст подставной ключ, который позволит

прочесть невинное сообщение, а другой ключ сохранит в тайне.

Самый простой способ сделать это потребует использования

одноразового блокнота. Пусть Р — секретный открытый текст, D — невинный

открытый текст, С — шифрованный текст, К — настоящий ключ, а К' —

подставной ключ. Антон шифрует Р:

P ⊕ K = C

Поскольку у Бориса имеется копия ключа К, он может без проблем

расшифровать сообщение Антона:

215

С ⊕ К= Р

Если контрразведчики попытаются заставить Антона и Бориса выдать

используемый ими ключ, то вместо К они могут сообщить в контрразведку:

К' = C ⊕ D

В результате контрразведчики смогут прочитать невинный открытый

текст:

С ⊕ К'= D

Так как Антон и Борис пользуются одноразовым блокнотом, то К

является полностью случайным и доказать, что К' является подставным

ключом, практически невозможно (не прибегая к пыткам).

Антон мог бы зашифровать Р не с помощью одноразового блокнота, а

пользуясь любым из своих самых любимых криптографических алгоритмов и

ключом К. Сложив С с фрагментом какого-либо общеизвестного произведения

(например, с отрывком из второй главы “Идиота”) по модулю 2, Антон получит

К'. Теперь если к Антону пристанут злые “дяденьки” из контрразведки, он

предъявит им С вместе с К' и скажет, что К' — это одноразовый блокнот для С

и что он просто захотел попрактиковаться в криптографии, зашифровав для

этой цели отрывок из первой попавшейся книги. РГ пока контрразведчики не

получат в свое распоряжение ключ К, доказать, что Антон занимался чем-то

противозаконным, они не смогут.

Почему криптосистемы ненадежны

В настоящее время криптография успешно используется почти во всех

информационных системах — от Internet до баз данных. Без нее обеспечить

требуемую степень конфиденциальности в современном, до предела

компьютеризированном мире уже не представляется возможным. Кром е того, с

помощью криптографии предотвращаются попытки мошенничества в системах

электронной коммерции и обеспечивается законность финансовых сделок. Со

временем значение криптографии, по всей вероятности, возрастет. Для этого

предположения имеются веские основания.

Однако с огорчением приходится признать, что подавляющее

большинство криптографических систем не обеспечивает того высокого уровня

защиты, о котором с восторгом обычно говорится в их реклам е. Многие из них

до сих пор не были взломаны по той простой причине, что пока не нашли

широкого распространения. Как только эти системы начнут повсеместно

применяться на практике, они, словно магнит, станут привлекать пристальное

внимание злоумышленников, которых сегодня развелось великое множество.

216

При этом удача и везение будут явно на стороне последних. Ведь для

достижения своих целей им достаточно найти в защитных механизмах всего

лишь одну брешь, а обороняющимся придется укреплять все без исключения

уязвимые места.

Реализация

Понятно, что никто не в состоянии предоставить стопроцентную

гарантию безопасности. Тем не менее, криптографическую защиту без особых

усилий можно спроектировать так, чтобы она противостояла атакам

злоумышленников вплоть до того момента, когда им станет проще добыть

желаемую информацию другим путем (например, с помощью подкупа

персонала или внедрения программ-шпионов). Ведь криптография

действительно хороша именно тем, что для нее уже давно придуманы

эффективные алгоритмы и протоколы, которые необходимы, чтобы надежно

защитить компьютеры и компьютерные сети от электронного взлома и

проявлений вандализма.

Вот почему в реальной жизни криптографические системы редко

взламываются чисто математическими методами. Ведь криптографический

алгоритм или протокол от его практической реализации в виде работающей

программы, как правило, отделяет зияющая пропасть. Даже доказанный по

всем правилам формальной логики факт, что криптографическая защита

совершенна с математической точки зрения, совсем не означает, что она

останется таковой после того, как над ее внедрением поработают

программисты.

Известно, что под давлением бюджетных ограничений, дефицита

времени и личных неурядиц программисты неизбежно допускают весьма

серьезные ошибки при реализации алгоритмов — используют плохие датчики

случайных чисел для генерации криптографических ключей, не учитывают

специфику аппаратной среды, в которой предстоит эксплуатировать созданные

ими программные средства, а также регулярно забывают удалять ключевую и

другую секретную информацию из оперативной памяти компьютера или с

магнитного носителя после того, как надобность в ее хранении там отпала.

Единственный способ научиться избегать этих и им подобных ошибок состоит

в том, чтобы вновь и вновь стараться создать совершенные системы

криптографической защиты данных, а потом не менее упорно пытаться их

взломать.

Конечно, после того как брешь в системе криптографической защиты

найдена, ее довольно легко можно залатать. Но сам поиск подобного рода

дефектов является невероятно сложной задачей. Никакое предварительное

тестирование не поможет обнаружить в криптографической системе все

дефекты, поскольку ни один тест в отдельности не может дать полной гарантии

их отсутствия. Ведь если программа шифрования правильно зашифровывает и

расшифровывает файлы, это еще совсем не значит, что она надежно защищает

217

их содержимое.

Учет реальных потребностей пользователей

Немало проблем, связанных с использованием криптографических

средств, создают сами пользователи. Безопасность заботит их меньше всего. В

первую очередь им требуются простота, удобство и совместимость с уже

существующими (как правило, недостаточно защищенными) программными

продуктами. Они выбирают легко запоминающиеся криптографические ключи,

записывают их где попало, запросто делятся ими с друзьями и знакомыми.

Поэтому грамотно спроектированная криптографическая система обязательно

должна принимать во внимание специфические особенности поведения людей.

Еще труднее оказывается убедить людей в необходимости строго и

неукоснительно применять криптографическую защиту данных. Пользователи с

готовностью приносят в жертву собственную безопасность, если средства ее

обеспечения мешают им поскорее сделать свою работу. Поэтому только в

случае, если при проектировании криптографической системы были учтены

реальные потребности пользователей, она действительно в состоянии защитить

их компьютеры и компьютерные сети.

Законодательные ограничения

В Своде законов США имеется пункт 2778, который называется

“Контроль за экспортом и импортом вооружений”. Именно этот пункт является

юридической основой для ряда инструкций, именуемых “Правилами контроля

за перемещением оружия в мире” (International Traffic in Arms Regulations,

сокращенно — ITAR). Раздел 120.1 ITAR впрямую причисляет к военному

снаряжению, за перемещением которого Соединенные Штаты осуществляют

самый строгий контроль, программное обеспечение, предназначенное для

целей эффективного шифрования данных

. А это означает, что американским

компаниям, ж елающим экспортировать программы эффективного шифрования,

необходимо зарегистрироваться в Государственном департам енте США в

качестве торговца военным имуществом и получить там лицензию на экспорт.

Известно, что при выдаче таких лицензий Госдепартамент целиком и

полностью полагается на мнение АНБ. В результате лицензия на экспорт

криптографических средств никому не выдается до тех пор, пока АНБ не

одобрит такое решение. В свою очередь, АНБ отнюдь не заинтересовано в

свободном распространении надежных программ шифрования за пределами

страны. Поэтом у все программные средства, произведенные в США и легально

Эффективное шифрование данных определяется как шифр, взлом которого требует

такого объема вы числений, что при современном уров не развития вычислительной техники

вскрыть его практически невозможно.

218

экспортируемые за рубеж, обеспечивают ослабленную криптографическую

защиту.

Чтобы повысить свою конкурентоспособность на мировом рынке,

производители средств криптографической защиты в США вынуждены искать

лазейки в законодательстве. Например, известная американская ф ирма RSA

Data Security попыталась обойти закон путем финансирования усилий

китайских ученых, которых правительство Китая официально уполномочило

разработать новые программные средства шифрования данных.

Предполагалось, что эти средства, созданные на основе алгоритмов,

переданных американской фирмой китайцам, смогут обеспечить более

надежную криптографическую защиту информации, чем те, которые Китай в

состоянии импортировать из США в соответствии с действующим

американским законодательством. Это, несомненно, радостное событие для

Китая, однако следует отметить, что ради удовлетворения потребностей

рядового пользователя за рубежом, не обладающего возможностями и

ресурсами, сравнимыми с теми, которые имеются в распоряжении китайского

правительства, американские производители программ эффективного

шифрования вряд ли будут искать какие- либо пути, ведущие в обход

американского законодательства.

Следуя примеру США, ряд государств, в том числе и Россия, ввели

ограничения на экспорт, импорт и использование шифровальных средств. Тем

не менее, многих российских граждан ничуть не пугают законодательные

ограничения на эксплуатацию шифровальных средств. Они твердо

придерживаются мнения о том, что принадлежащая им информация безусловно

является объектом их собственности, и что они, как собственники своей

информации, имеют право самостоятельно определять правила ее хранения и

защиты. Остается только со знанием дела решить, какие именно шифровальные

средства применять для адекватной защиты этой информации, а какие не

использовать ни в коем случае, ввиду их слабой надежности.

Слишком малая длина ключа

Слишком малая длина клю ча — одна из самых очевидных причин

ненадежности криптографических систем. Причем недостаточную длину ключа

могут иметь даж е те криптосистемы, в которых применяются самые надежные

алгоритмы шифрования, поскольку:

 в них изначально может присутствовать возможность работы с ключом

переменной длины для того, чтобы при использовании этих систем на

практике можно было выбрать нужную длину ключа, исходя из

желаемой надежности и эффективности;

 они разрабатывались тогда, когда данная длина используемого ключа

считалась более чем достаточной для обеспечения необходимого

уровня криптографической защиты;

219

 на них распространяются экспортные ограничения, которые

устанавливают допустимую длину клю ча на уровне, не отвечающем

современным требованиям.

Первым надежным криптографическим алгоритмом, который вплотную

столкнулся с проблемой выбора адекватной длины ключа, стал RSA. Дело в

том, что его вскрытие требует разложения на множители (факторизации) очень

больших чисел. В марте 1994 г. за вполне приемлемое время было

факторизовано 428-битовое число, а на сегодняшний день достаточно реальным

представляется факторизация 512-битовых чисел. Достигнутый прогресс в

решении задачи факторизации очень больших чисел связан не только с ростом

вычислительных мощностей современного компьютерного парка, но и с

разработкой новых эффективных алгоритмов. На том, что эта задача является

очень трудоемкой, еще совсем недавно была основана надежность

криптографического алгоритма, используемого в распространенной программе

PGP. Поэтом у можно утверждать, что сегодня разложение на множители

является одной из самых динамично развивающихся областей криптографии.

В начале 1998 г. из-за слишком малой длины ключа (56 бит) фактически

“приказал долго жить” DES-алгоритм, долгое время являвшийся официальным

стандартом шифрования данных в США. Сейчас американским Национальным

институтом стандартов объявлен конкурс на новый стандарт шифрования

данных Advanced Encryption Standard (AES). Согласно условиям этого

конкурса, кандидаты на роль AES должны представлять собой симметричные

алгоритмы шифрования с ключом длиной более 128 бит.

Потайные ходы

Причины появления потайных ходов в криптографических системах

довольно очевидны: их разработчики хотят иметь контроль над шифруемой в

этих системах информацией и оставляют для себя возможность

расшифровывать ее, не зная ключа пользователя. Средство, с помощью

которых данная возможность реализуется на практике, и принято именовать

потайным ходом. Иногда потайные ходы применяются для целей отладки, а

после ее завершения разработчики в спешке просто забывают убрать их из

конечного продукта.

Классический пример потайного хода, который хакерами единодушно

признается самым талантливым “хаком” по взлому системы парольной защиты

всех времен и народов, привел Кен Томпсон (один из авторов компилятора для

языка программирования С) в своей лекции по случаю вручения ему

престижной премии Тьюринга. Дело в том, что в операционной системе UNIX

пользовательские пароли хранятся в зашифрованном виде в специальной базе

данных. В компилятор языка С Томпсоном был предусмотрительно вставлен

код, распознававший, когда на вход компилятора поступала программа,

содержавшая приглашение пользователю зарегистрироваться (login). Тогда

220