Тема компьютерной криптографии - одна из наиболее популярных в Internet'е, в том числе и в русскоязычной его части. Цель данного обзора - не повторяя уже сказанное и не углубляясь в теорию (даже краткое изложение которой по объему видится многотомным), попытаться собрать и кратко изложить основные практические выводы и рекомендации по применению широкодоступного криптографического программного обеспечения.
Широкодоступность программного обеспечения ограничивает рассмотрение только алгоритмами, удовлетворяющими правилу Кирхгоффа (не путать с электротехникой), согласно которому результат (шифрование и/или аутентификация) обеспечивается наличием секретного ключа, а не недокументированными деталями используемого метода. Таким образом, тема, связанная с использованием алгоритмов Clipper, Skipjack и их развитием, оставляется на рассмотрение iXBT :-)
Основными задачами криптографии (к которым сводится большинство других) можно считать
Аутентификация последнее время все шире применяется для "цифровой подписи" распространяемых через Internet программных продуктов в качестве защиты от "троянских коней".
Существуют ли абсолютно надежные методы шифрования? Да, согласно одной из теорем Шенона, таковыми являются алгоритмы, использующие ключи, длина которых не меньше длины шифруемого сообщения. При этом каждый такой ключ можно использовать только один раз. Генерация и распределение таких длинных ключей в достаточных количествах представляет определенные трудности. Поэтому подобные методы используются только в исключительных случаях. В реальной жизни приходится пользоваться методами с большей или меньшей, но ограниченной криптостойкостью.
В книге "Секреты Internet" все криптографические методы были разделены по уровню их стойкости на пять групп:
Перечисленные в статье Павла Семьянова "Почему криптосистемы ненадежны?" причины можно условно разделить на объективные (рассматриваемые ниже) и субъективные:
При исключении этих основных субъективных причин наиболее распространенные алгоритмы обеспечивают следующий уровень защиты ( по введенной выше классификации):
DES | 2,3 |
Тройной DES | 3,4 |
GOST | 3,4 |
BlowFish | 3,4 |
RC5 | 3,4 |
IDEA | 3,4 |
RSA, RIPEM | ключ 512 бит - 2, 768 бит - 3, 1024 бит - 4 |
PGP | в зависимости от используемых внутренних алгоритмов, в целом несколько выше, чем в предыдущем пункте |
ECC | согласно последним исследованиям, устойчивость эквивалентна RSA с примерно втрое более длинным ключом |
Некоторые теоретико-числовые результаты последних лет (новые методы факторизации) сильно пошатнули позиции метода RSA. Прогресс в этом направлении такой быстрый, что нет никакой гарантии, что разумное сегодня увеличение длины ключа обеспечит достаточную криптостойкость в ближайшем будущем.
Регулярно объявляемые компанией RSA конкурсы привели к разработке эффективных методов атак на алгоритм DES, использующих как распределенные вычисления, так и специальные аппаратные средства. Последняя такая атака в рамках проекта Monarch была проведена 18 января 1999 года. В настоящее время продолжается проект Bovine - криптоатака алгоритма RC5/64.
Объективная причина слабости криптоалгоритмов заключается в некоторых их математических особенностях. Незнание или пренебрежение теоретическими основами криптографии (а это, к сожалению, не редкость не только в программах типа FreeWare или ShareWare) при разработке собственных алгоритмов шифрования приводит к плачевным результатам.
Характерные примеры - некоторые архиваторы, MS Office до Office97, Novell версий 3.x и 4.x, и Paradox - криптостойкость которых была настолько низкой, что, во-первых, не требовала никаких специфических знаний для написания программы поиска пароля (необязательно истинного), и, во-вторых, эти программы работали о-о-очень быстро даже на слабых ПЭВМ. Т.е., по введенной выше классификации, с трудом обеспечивали защиту от группы 1.
Но даже многие в целом неплохие алгоритмы (в частности, DES, IDEA, BlowFish, ГОСТ) имеют слабые ключи, использование которых не обеспечивает должного уровня криптостойкости. И хотя таких ключей (по крайней мере, известных) у каждого конкретного алгоритма обычно немного, пренебрегать ими не рекомендуется.
Еще одной неприятной особенностью некоторых криптографических систем является наличие люков - универсальных паролей, своего рода отмычек, дающих доступ к информации без знания истинного ключа. В большинстве случаев люки являются всего лишь особенностью конкретной реализации - результатом либо ошибки, либо злонамеренности разработчиков программного продукта. Однако в отношении некоторых криптосистем есть серьезные подозрения в наличие алгоритмических люков. Но это уже другая тема ...
В США существуют ограничения на экспорт криптографической продукции. Ряд успешных криптоатак показал, что первоначально установленное ограничение длины ключа 40 бит не обеспечивало защиты даже от группы 2. Поэтому ограничения были ослаблены, но все равно многие разработанные в Америке программные продукты существуют в двух вариантах - для "внутреннего" использования и "international"-версия. Желающие работать с полнофункциональными (с точки зрения защиты) программами могут взять их на расположенных в Нидерландах ftp и www серверах Replay.com.
Какие алгоритмы лучше: "классические" - с секретными ключами, или "современные" - с открытыми? Хороший вопрос :-) И совершенно неправильный, потому что выбор во многом зависит от постановки задачи и условий применения.
В "симметричных" криптоалгоритмах ( DES, GOST, BlowFish, RC5, IDEA) один и тот же ключ используется как для шифрования, так и для восстановления открытого сообщения. Поэтому этот ключ является секретным. Достоинством этих алгоритмов является их хорошая теоретическая изученность, в том числе обоснование криптостойкости. По сравнению с "асимметричными" алгоритмами следует отметить относительную простоту как программной, так и аппаратной реализации, более высокую скорость работы в прямом и в обратном направлении, а также обеспечение необходимого уровня защиты при использовании существенно более коротких ключей. К основным недостаткам следует отнести необходимость обеспечения дополнительных мер секретности при распространения ключей и связанные с этим проблемы и, возможно, затраты, а также тот факт, что алгоритмы с секретным ключом работают только в условиях полного доверия корреспондентов друг другу, т.к. не позволяют реализовать настоящую "цифровую подпись".
В "асимметричных" методах ( RSA, PGP, ECC) прямое и обратное криптопреобразования выполняются с использованием различных полу-ключей, которые не имеют между собой легко прослеживаемых связей, позволяющих по одному полу-ключу вычислить другой. Поэтому один из полу-ключей публикуется открыто для того, чтобы каждый мог зашифровать сообщение или проверить цифровую подпись. Расшифровать такое сообщение или поставить подпись может только тот, кто знает второй - секретный - полу-ключ. Такие алгоритмы, по сравнению с "симметричными", более требовательны к вычислительным ресурсам и, следовательно, их реализация и использование обходится дороже. Криптостойкость "асимметричных" алгоритмов на сегодняшний день обоснована хуже, чем "симметричных". Но они работают там, где "классические" криптосхемы неприменимы - позволяют реализовать различные хитроумные протоколы типа цифровой подписи, открытого распределения ключей и надежной аутентификации в сети, устойчивой даже к полному перехвату трафика.
Криптосхема с секретным ключом может быть построена одним из двух способов:
В потоковых схемах для криптопреобразование (как прямого, так и обратного) используется вырабатываемый генератором поток гаммы. Для обеспечения секретности этот поток зависит от значения секретного ключа. Основная сложность при реализации таких криптометодов заключается в разработке генератора криптостойкой гаммы.
В блочных схемах информация делится на блоки и часть блоков используется для выработки гаммы, которая применяется при криптопреобразовании оставшейся части блоков, после чего части блоков меняются местами. Детальное описание общей схемы и некоторых вариантов ее реализации можно найти в статье Андрея Винокурова "Как устроен блочный шифр?" Этому же автору принадлежат подробное описание одного из лучших на сегодняшний день блочных криптоалгоритмов ГОСТ 28147-89 и доступный для широкого использования исходный текст соответствующей программы.
Программ, реализующих различные популярные криптографические алгоритмы, в Internet'е великое множество. Но для тех, кто серьёзно озабочен сохранением конфиденциальности своих данных и не хочет в один не очень счастливый день поиметь неприятный сюрприз как следствие чужой ошибки, недостаточной компетентностиили просто излишнего любопытства, наибольший интерес представляют программные продукты серьёзных разработчиков с устойчивой репутацией.
Для Linux'а и Windows95/98/NT такие программы можно взять, например, на ftp и www серверах Replay.com. Простейшие из этих программ используют PGP и позволяют шифровать как файлы, так и информацию, пересылаемую по электронной почте, а также обеспечивают возможность создания полностью PGP-криптованных файловых систем. Для Windows95/98/NT есть использующий алгоритмы ГОСТ и BlowFish (и поэтому работающий несколько быстрее) пакет BestCrypt. К сожалению, этот пакет является коммерческим, но у него имеется 30-дневный trial, подробную инструкцию по работе с которым желающие смогут найти на AstalaVist'е.