Содержание
Транскрипт
1
Методы и средства защиты информации ЛЕКЦИЯ 20: УПРАВЛЕНИЕ КЛЮЧАМИ. ЭЛЕКТРОННАЯ ЦИФРОВАЯ ПОДПИСЬ Тейс Г.Н., 2013
3 Роль управления ключами 3 в криптографии Управление ключами играет важнейшую роль в криптографии как основа для обеспечения конфиденциальности обмена информацией, идентификации и целостности данных. Важным свойством хорошо спроектированной системы управления ключами является сведение сложных проблем обеспечения безопасности многочисленных ключей к проблеме обеспечения безопасности нескольких ключей, которая может быть относительно просто решена путем обеспечения их физической изоляции в выделенных помещениях и защищенном от проникновения оборудовании. В случае использования ключей для обеспечения безопасности хранимой информации субъектом может быть единственный пользователь, который осуществляет работу с данными в последовательные промежутки времени. Управление ключами в сетях связи включает, по крайней мере, двух субъектов отправителя и получателя сообщения.
4 Цели управления 4 ключами Целью управления ключами является нейтрализация таких угроз, как: компрометация конфиденциальности закрытых ключей; компрометация аутентичности закрытых или открытых ключей. При этом под аутентичностью понимается знание или возможность проверки идентичности корреспондента, для обеспечения конфиденциальной связи с которым используется данный ключ; несанкционированное использование закрытых или открытых ключей, например использование ключа, срок действия которого истек.
5 Закрытый ключ 5 Закрытый ключ сохраняемый в тайне компонент ключевой пары, применяющейся в асимметричных шифрах, т. е. таких шифрах, в которых для прямого и обратного преобразований используются разные ключи. В отличие от закрытого ключа, другой компонент ключевой пары открытый ключ, как правило, не хранится в тайне, а защищается от подделки и публикуется.
7 Электронная цифровая 7 подпись ЭЦП информация в электронной форме, присоединенная к другой информации в электронной форме (электронный документ) или иным образом связанная с такой информацией. Используется для определения лица, подписавшего информацию (электронный документ). По своему существу электронная подпись представляет собой реквизит электронного документа, позволяющий установить отсутствие искажения информации в электронном документе с момента формирования ЭП и проверить принадлежность подписи владельцу сертификата ключа ЭП. Значение реквизита получается в результате криптографического преобразования информации с использованием закрытого ключа ЭП.
9 Назначение и 9 применение ЭП [2] Невозможность отказа от авторства. Так как создать корректную подпись можно, лишь зная закрытый ключ, а он известен только владельцу, он не может отказаться от своей подписи под документом. Доказательное подтверждение авторства документа: Так как создать корректную подпись можно, лишь зная закрытый ключ, а он известен только владельцу, он может доказать своё авторство подписи под документом. В зависимости от деталей определения документа могут быть подписаны такие поля, как «автор», «внесённые изменения», «метка времени» и т. д.
11 История возникновения 11 Россия В 1994 году Главным управлением безопасности связи Федерального агентства правительственной связи и информации при Президенте Российской Федерации был разработан первый российский стандарт ЭЦП ГОСТ Р «Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма». В 2002 году для обеспечения большей криптостойкости алгоритма взамен ГОСТ Р «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи.» был введен одноименный стандарт ГОСТ Р , основанный на вычислениях в группе точек эллиптической кривой. В соответствии с этим стандартом, термины «электронная цифровая подпись» и «цифровая подпись» являются синонимами. 1 января 2013 года одноименный ГОСТ Р заменён на ГОСТ Р «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи.»
13 Виды ЭП в РФ [2] Усиленная неквалифицированная электронная подпись (НЭП) Создается с использованием криптографических средств и позволяет определить не только автора документа, но проверить его на наличие изменений. Простые и усиленные неквалифицированные подписи заменяют подписанный бумажный документ в случаях, оговоренных законом или по согласию сторон. Например, простые подписи могут использовать граждане для отправки сообщений органам власти. Усиленная подпись также может рассматриваться как аналог документа с печатью.
15 Алгоритмы получения ЭП 15 Существует несколько схем построения цифровой подписи: На основе алгоритмов симметричного шифрования. Данная схема предусматривает наличие в системе третьего лица арбитра, пользующегося доверием обеих сторон. Авторизацией документа является сам факт зашифрования его секретным ключом и передача его арбитру. На основе алгоритмов асимметричного шифрования. На данный момент такие схемы ЭП наиболее распространены и находят широкое применение. Кроме этого, существуют другие разновидности цифровых подписей (групповая подпись, неоспоримая подпись, доверенная подпись), которые являются модификациями описанных выше схем. Их появление обусловлено разнообразием задач, решаемых с помощью ЭП.
17 17 Использование хэшфункций [2] Использование хеш-функций даёт следующие преимущества: Вычислительная сложность. Обычно хеш цифрового документа делается во много раз меньшего объёма, чем объём исходного документа, и алгоритмы вычисления хеша являются более быстрыми, чем алгоритмы ЭП. Поэтому формировать хэш документа и подписывать его получается намного быстрее, чем подписывать сам документ. Совместимость. Большинство алгоритмов оперирует со строками бит данных, но некоторые используют другие представления. Хеш-функцию можно использовать для преобразования произвольного входного текста в подходящий формат. Целостность. Без использования хеш-функции большой электронный документ в некоторых схемах нужно разделять на достаточно малые блоки для применения ЭП. При верификации невозможно определить, все ли блоки получены и в правильном ли они порядке.
19 Симметричная схема [1] 19 Симметричные схемы ЭП менее распространены чем асимметричные, так как после появления концепции цифровой подписи не удалось реализовать эффективные алгоритмы подписи, основанные на известных в то время симметричных шифрах. Первыми, кто обратил внимание на возможность симметричной схемы цифровой подписи, были основоположники самого понятия ЭП Диффи и Хеллман, которые опубликовали описание алгоритма подписи одного бита с помощью блочного шифра. Асимметричные схемы цифровой подписи опираются на вычислительно сложные задачи, сложность которых еще не доказана, поэтому невозможно определить, будут ли эти схемы сломаны в ближайшее время, как это произошло со схемой, основанной на задаче об укладке ранца. Также для увеличения криптостойкости нужно увеличивать длину ключей, что приводит к необходимости переписывать программы, реализующие асимметричные схемы, и в некоторых случаях перепроектировать аппаратуру. Симметричные схемы основаны на хорошо изученных блочных шифрах.
21 Асимметричная схема 21 [1] Асимметричные схемы ЭП относятся к криптосистемам с открытым ключом. В отличие от асимметричных алгоритмов шифрования, в которых зашифрование производится с помощью открытого ключа, а расшифрование с помощью закрытого, в схемах цифровой подписи подписывание производится с применением закрытого ключа, а проверка с применением открытого.
23 Асимметричная схема 23 [3] Для того, чтобы использование цифровой подписи имело смысл, необходимо выполнение двух условий: Верификация подписи должна производиться открытым ключом, соответствующим именно тому закрытому ключу, который использовался при подписании. Без обладания закрытым ключом должно быть вычислительно сложно создать легитимную цифровую подпись. Следует отличать электронную цифровую подпись от кода аутентичности сообщения (имитовставка — специальный набор символов, который добавляется к сообщению и предназначен для обеспечения его целостности и аутентификации источника данных.).
25 Виды асимметричных ЭП 25 [2] Вычисления тоже могут производиться двумя способами: на базе математического аппарата эллиптических кривых (ГОСТ Р , ECDSA) и на базе полей Галуа (ГОСТ Р , DSA). В настоящее время самые быстрые алгоритмы дискретного логарифмирования и факторизации являются субэкспоненциальными. Принадлежность самих задач к классу NP-полных не доказана. Алгоритмы ЭП подразделяются на обычные цифровые подписи и на цифровые подписи с восстановлением документа. При верификации цифровых подписей с восстановлением документа тело документа восстанавливается автоматически, его не нужно прикреплять к подписи. Обычные цифровые подписи требуют присоединение документа к подписи. Ясно, что все алгоритмы, подписывающие хеш документа, относятся к обычным ЭП. К ЭП с восстановлением документа относится, в частности, RSA.
27 Перечень алгоритмов ЭП 27 [1] Асимметричные схемы: FDH (Full Domain Hash), вероятностная схема RSA-PSS (Probabilistic Signature Scheme), схемы стандарта PKCS#1 и другие схемы, основанные на алгоритме RSA Схема Эль-Гамаля Американские стандарты электронной цифровой подписи: DSA, ECDSA (ECDSA на основе аппарата эллиптических кривых) Российские стандарты электронной цифровой подписи: ГОСТ Р (в настоящее время не действует), ГОСТ Р Схема Диффи-Хельмана Украинский стандарт электронной цифровой подписи ДСТУ Белорусский стандарт электронной цифровой подписи СТБ Схема Шнорра Pointcheval-Stern signature algorithm Вероятностная схема подписи Рабина Схема BLS (Boneh-Lynn-Shacham) Схема GMR (Goldwasser-Micali-Rivest)
29 Взлом подписей [1] 29 В своей работе Гольдвассер, Микали и Ривест описывают следующие модели атак, которые актуальны и в настоящее время: Атака с использованием открытого ключа. Криптоаналитик обладает только открытым ключом. Атака на основе известных сообщений. Противник обладает допустимыми подписями набора электронных документов, известных ему, но не выбираемых им. Адаптивная атака на основе выбранных сообщений. Криптоаналитик может получить подписи электронных документов, которые он выбирает сам.
31 Взлом подписей [3] 31 Ясно, что самой «опасной» атакой является адаптивная атака на основе выбранных сообщений, и при анализе алгоритмов ЭП на криптостойкость нужно рассматривать именно её (если нет каких-либо особых условий). При безошибочной реализации современных алгоритмов ЭП получение закрытого ключа алгоритма является практически невозможной задачей из-за вычислительной сложности задач, на которых ЭП построена. Гораздо более вероятен поиск криптоаналитиком коллизий первого и второго рода. Коллизия первого рода эквивалентна экзистенциальной подделке, а коллизия второго рода выборочной. С учетом применения хеш-функций, нахождение коллизий для алгоритма подписи эквивалентно нахождению коллизий для самих хеш-функций.
33 Подделка документа (коллизия первого рода) [2] 33 Если у фальшивого набора байт и произойдет коллизия с хешем исходного документа, то должны выполниться 3 следующих условия: Случайный набор байт должен подойти под сложно структурированный формат файла. То, что текстовый редактор прочитает в случайном наборе байт, должно образовывать текст, оформленный по установленной форме. Текст должен быть осмысленным, грамотным и соответствующим теме документа.
35 Получение двух документов с одинаковой подписью (коллизия второго рода) 35 Куда более вероятна атака второго рода. В этом случае злоумышленник фабрикует два документа с одинаковой подписью, и в нужный момент подменяет один другим. При использовании надёжной хэш-функции такая атака должна быть также вычислительно сложной. Однако эти угрозы могут реализоваться из-за слабостей конкретных алгоритмов хэширования, подписи, или ошибок в их реализациях. В частности, таким образом можно провести атаку на SSLсертификаты и алгоритм хеширования MD5.
37 Слепая подпись Определение 37 Слепая подпись (Blind Signature) разновидность ЭЦП, особенностью которой является то, что подписывающая сторона не может точно знать содержимое подписываемого документа. Понятие слепой подписи придумано Дэвидом Чаумом (David Chaum), им же предложена первая реализация через алгоритм RSA.
39 Алгоритмы слепой подписи Полностью слепая подпись 39 Дана ситуация: Боб нотариус. Алисе нужно, чтобы он подписал документ не имея никакого представления о его содержании. Боб только заверяет, что документ нотариально засвидетельствован в указанное время. Тогда они действуют по следующему алгоритму: Алиса берёт документ и умножает его на случайное число. Оно называется маскирующим множителем. Алиса отсылает документ Бобу Боб подписывает документ и отсылает обратно Алиса удаляет маскирующий множитель и получает свой документ с подписью. Этот протокол работает, только если функции подписи и умножения коммутативны.
41 Алгоритмы слепой подписи Протокол RSA 41 Первая реализация слепых подписей была осуществлена Чаумом с помощью криптосистемы RSA: Алиса выбирает случайное число k, взаимно простое с n. Затем она маскирует m, вычисляя: t = mk e mod n Боб подписывает t: t d = (mke) d mod n Алиса снимает маскировку с t d, вычисляя s = t d /k mod n Результатом является s = = t d /k mod n Чаум придумал целое семейство более сложных алгоритмов слепой подписи под общим названием неожиданные слепые подписи. Их схемы ещё сложнее, но они дают больше возможностей.
43 Применение Тайное голосование [1] 43 Слепые подписи используются для тайного голосования. В протоколе Фуджиока, Окамото и Охта, избиратель подготавливает избирательный бюллетень со своим выбором, который он сделал, шифрует его секретным ключом, и маскирует его. Далее избиратель подписывает избирательный бюллетень и посылает его валидатору. Валидатор проверяет, что подпись принадлежит зарегистрированному избирателю, который еще не голосовал. Если избирательный бюллетень действителен, валидатор подписывает избирательный бюллетень и возвращает его избирателю. Избиратель удаляет маскировку, раскрывая таким образом зашифрованный избирательный бюллетень, подписанный валидатором. Далее избиратель посылает в результате полученный подписанный, зашифрованный избирательный бюллетень счётчику, который проверяет подпись на зашифрованном избирательном бюллетене.
45 Управление открытыми 45 ключами [1] Важной проблемой всей криптографии с открытым ключом, в том числе и систем ЭП, является управление открытыми ключами. Так как открытый ключ доступен любому пользователю, то необходим механизм проверки того, что этот ключ принадлежит именно своему владельцу. Необходимо обеспечить доступ любого пользователя к подлинному открытому ключу любого другого пользователя, защитить эти ключи от подмены злоумышленником, а также организовать отзыв ключа в случае его компрометации. Задача защиты ключей от подмены решается с помощью сертификатов. Сертификат позволяет удостоверить заключённые в нём данные о владельце и его открытый ключ подписью какого-либо доверенного лица. Существуют системы сертификатов двух типов: централизованные и децентрализованные. В децентрализованных системах путём перекрёстного подписывания сертификатов знакомых и доверенных людей каждым пользователем строится сеть доверия. В централизованных системах сертификатов используются центры сертификации, поддерживаемые доверенными организациями.
47 Хранение закрытого 47 ключа [1] Закрытый ключ является наиболее уязвимым компонентом всей криптосистемы цифровой подписи. Злоумышленник, укравший закрытый ключ пользователя, может создать действительную цифровую подпись любого электронного документа от лица этого пользователя. Поэтому особое внимание нужно уделять способу хранения закрытого ключа. Пользователь может хранить закрытый ключ на своем персональном компьютере, защитив его с помощью пароля. Однако такой способ хранения имеет ряд недостатков, в частности, защищенность ключа полностью зависит от защищенности компьютера, и пользователь может подписывать документы только на этом компьютере.
49 Хранение закрытого 49 ключа [3] Наиболее защищенный способ хранения закрытого ключа хранение на смарт-карте. Для того, чтобы использовать смарт-карту, пользователю необходимо не только её иметь, но и ввести PIN-код, то есть, получается двухфакторная аутентификация. После этого подписываемый документ или его хэш передается в карту, её процессор осуществляет подписывание хеша и передает подпись обратно. В процессе формирования подписи таким способом не происходит копирования закрытого ключа, поэтому все время существует только единственная копия ключа. Кроме того, произвести копирование информации со смарт-карты сложнее, чем с других устройств хранения. В соответствии с законом «Об электронной подписи», ответственность за хранение закрытого ключа владелец несет сам.
51 Политика безопасности 51 [1] Управление ключами обычно осуществляется в контексте определенной политики безопасности. Политика безопасности прямо или косвенно определяет те угрозы, которым должна противостоять система. Кроме того, она определяет: правила и процедуры, которыми необходимо руководствоваться и которые необходимо выполнять в процессе автоматического или ручного управления ключами, ответственность и подотчетность всех субъектов, участвующих в управлении, а также все виды записей, которые должны сохраняться для подготовки необходимых сообщений и проведения проверки действий, связанных с безопасностью ключей.
53 Сроки действия ключей 53 [1] Одной из важных характеристик системы управления ключами являются сроки действия ключей. Срок действия ключа означает промежуток времени, в течение которого он может быть использован доверенными сторонами. Сокращение сроков действия ключей необходимо для достижения следующих целей: ограничения объёма информации, зашифрованной на данном ключе, которая может быть использована для криптоанализа; ограничения размера ущерба при компрометации ключей; ограничения объёма машинного времени, которое может быть использовано для криптоанализа.
55 Сроки действия ключей 55 [3] Как правило, в телекоммуникационных приложениях используются ключи с коротким сроком действия, а для защиты хранимых данных с длительным сроком действия. Необходимо иметь в виду, что термин «короткий срок действия» относится только к сроку действия ключа, а не к промежутку времени, в течение которого ключ должен оставаться в секрете. Например, к ключу, используемому для шифрования в течение только одного сеанса связи, часто предъявляется требование, чтобы зашифрованная на нём информация не могла быть вскрыта на протяжении нескольких десятков лет. В то же время электронная подпись проверяется немедленно после передачи сообщения, поэтому ключ подписи должен сохраняться в тайне в течение достаточно короткого срока.
57 Жизненный цикл ключей 57 [2] Все криптосистемы, за исключением простейших, в которых используемые ключи зафиксированы раз и навсегда, нуждаются в периодической замене ключей. Эта замена проводится с помощью определенных процедур и протоколов, в ряде которых используются и протоколы взаимодействия с третьей стороной. Последовательность стадий, которые проходят ключи от момента установления до следующей замены, называется жизненным циклом ключей. Регистрация пользователей. Эта стадия включает обмен первоначальной ключевой информацией, такой, как общие пароли или PIN-коды, путем личного общения или пересылки через доверенного курьера. Инициализация. На этой стадии пользователь устанавливает аппаратное оборудование и/или программные средства в соответствии с установленными рекомендациями и правилами.
59 Жизненный цикл ключей 59 [4] Обычный режим работы. На этой стадии ключи используются для защиты информации в обычном режиме. Хранение ключа. Эта стадия включает процедуры, необходимые для хранения ключа в надлежащих условиях, обеспечивающих его безопасность до момента его замены. Замена ключа. Замена ключа осуществляется до истечения его срока действия и включает процедуры, связанные с генерацией ключей, протоколами обмена ключевой информацией между корреспондентами, а также с доверенной третьей стороной. Для открытых ключей эта стадия обычно включает обмен информацией по защищенному каналу с сертификационным центром. Архивирование. В отдельных случаях ключевая информация после её использования для защиты информации может быть подвергнута архивированию для её извлечения со специальными целями (например, рассмотрения вопросов, связанных с отказами от цифровой подписи).
61 Услуги, предоставляемые доверенной третьей стороной [1] 61 В жизненном цикле управления ключами важную роль играет так называемая доверенная третья сторона. Эти функции могут быть определены следующим образом. Сервер имен абонентов обеспечивает придание каждому из абонентов индивидуального имени. Регистрационный центр обеспечивает включение каждого из абонентов в данную сеть засекреченной связи и выдачу ему соответствующей ключевой информации. Центр производства ключей. Ключевой (идентификационный) сервер обеспечивает установку общего сеансового ключа между двумя абонентами путем передачи этого ключа по защищенному каналу, образуемому сервером с каждым из абонентов. При этом может осуществляться и идентификация абонентов.
63 Использование ЭП в 63 России [2] В законе РФ от 10 января 2002 г. 1-ФЗ «Об электронной цифровой подписи» описаны условия использования ЭП, особенности её использования в сферах государственного управления и в корпоративной информационной системе. Благодаря ЭП теперь, в частности, многие российские компании осуществляют свою торгово-закупочную деятельность в Интернете, через системы электронной торговли, обмениваясь с контрагентами необходимыми документами в электронном виде, подписанными ЭП. Это значительно упрощает и ускоряет проведение конкурсных торговых процедур.
65 Ваши вопросы 65
Источник