RSA-система с открытым ключом

RSA-система с открытым ключом. Криптографические системы с открытым ключом позволят создать в 90-х годах новую защищенную систему телефонной связи с числом абонентов до 3 миллионов.

Компании АТ&Т, Motorola, RCA производят аппараты, допускающие совместную работу; компания GTE разрабаты- вает систему управления ключами. Поставки первых 75000 телефонов начались в 1987 году. Разработана специализированная интегральная схема IDS-P2 (МВ8763), реализующая алгоритм DH и вычисляющая сек- ретный ключ за 0,9 с. Программная реализация алгоритма RSA осу- ществлена компанией RSA Data Security, аппаратная реализация того же алгоритма и специализированная интегральная схема выполнены фирмой Sandia.

Фирма Cylink выпустила специализированную интег- ральную схему CY1024, реализующую алгоритм RSA и обеспечивающую скорость шифрования 1000 бит/с. 2.3 Системы потокового шифрования. При шифрования высокоскоростных магистральных линий, как правило, используют системы потокового шифрования. Устройство SEC-17 обеспечивает скорость шифрования от 256 Кбит/с до 2304 Кбит/с, его ключ состоит из 72 шестнадцатиричных цифр; устройство SEC-15 позволяет иметь более 10 534 0 статистически независимых клю- чей. Принципы потокового шифрования используются в устройствах fggfhfnehs ibahjdfybz MSDS MARCRYP. В устройстве потокового шиф- рования CSD 807 в генераторе ключевой последовательности применен 31-разрядный регистр сдвига, в генераторе устройства потокового шифрования SDE 100 используются 2 регистра сдвига. 2.4 ГОСТ 28147-89 - отечественный стандарт шифрования данных.

В нашей стране установлен единый алгоритм криптографического преобразования данных для систем обработки информации в сетях ЭВМ, отделительных комплексах и ЭВМ, который определяется ГОСТ 28147-89. Алгоритм криптографического преобразования данных предназна- чен для аппаратной или программной реализации, удовлетворяет криптографическим требованиям и не накладывает ограничений на степень секретности защищаемой информации.

Чтобы получить подробные спецификации алгоритма криптографи- ческого преобразования, следует обратиться к ГОСТ 28147-89. Бе- зусловно, приведенный ниже материал не должен ни при каких усло- виях использоваться для программной или аппаратной реализации ал- горитма криптографического преобразования.

При описании алгоритма используются следующие обозначения. Если L и R - это последовательности бит, то LR будет обозна- чать конкатенацию последовательностей L и R. Под конкатенацией последовательностей L и R понимается последовательность бит, раз- мерность которой равна сумме размерностей L и R. В этой последо- вательности биты последовательности R следуют за битами последо- вательности L. Конкатенация битовых строк является ассоциативной, т.е. запись ABCDE обозначает, что за битами последовательности А следуют биты последовательности В, затем С и т.д. Символом (+) будет обозначаться операция побитового сложения по модулю 2, символом [+] - операция сложения по модулю ( 2 в 32 степени) двух 32-разрядных чисел.

Числа суммируются по следующему правилу: A [+] B = A + B ,если A + B <>(2 в 32 степени), A [+] B = A + B -( 2 в 32 степени),если A + B =2 в 32 Символом {+} обозначается операция сложения по модулю ((2 в 532 0) -1) двух 32 разрядных чисел.

Правила суммирования чисел следующие: A {+} B = A + B,если A+B<>((2 в 32)-1) A {+} B = A + B-((2 в 32)-1),если A + B = (2 в 32)-1 Алгоритм криптографического преобразования предусматривает несколько режимов работы. Но в любом случае для шифрования данных используется ключ, который имеет размерность 256 бит и представ- ляется в виде восьми 32-разрядных чисел Х(i). Если обозначить ключ через W, то W =X(7)X(6)X(5)X(4)X(3)X(2)X(1)X(0) Расшифрование выполняется по тому же ключу, что и зашифрова- ние, но этот процесс является инверсией процесса зашифрования данных.

Первый и самый простой режим - замена. Открытые данные, под- лежащие зашифрованию, разбивают на блоки по 64 бит в каждом, ко- торые можно обозначить Т(j). Очередная последовательность бит Т(j) разделяется на две последовательности В(О) (левые или старшие биты) и А(О) (правые или младшие биты), каждая из которых содержит 32 бита. Затем вы- полняется итеративный процесс шифрования, который описывается следующими формулами: 1. A(i)=f(A(i-1) [+] X(j) (+) B(i-1)), и B(i)=A(i-1), если i=1,2 24,j=(i-1) mod 8; 2. A(i)=f(A(i-1) [+] X(j) (+) B(i-1)), и B(i)=A(i-1), если i=25,26 31,j=32-i; 3. A(32)=A(31), и B(32)=f(A(31) [+] X(0)) (+) B(31), если i=32. Здесь i обозначается номер итерации (i=1,2 32). Функция f называется функцией шифрования. Ее аргументом является сумма по модулю 2 в 532 0 числа А(i), полученного на предыдущем шаге итерации, и числа Х(j) ключа (размерность каждого из этих чисел равна 32 знакам). Функция шифрования включает две операции над полученной 32-разрядной суммой.

Первая операция называется подстановкой К. Блок подстановки К состоит из восьми узлов замены К(1) К(8) с памятью 64 бит каждый.

Поступающий на блок подстановки 32-разряд- ный вектор разбивается на восемь последовательно идущих 4-разряд- ный вектор соответствующим узлом замены, представляющим собой таблицу из шестнадцати целых чисел в диапазоне 0 15. Входной вектор определяет адрес строки в таблице, число из которой является выходным вектором.

Затем 4-разрядные выходные векторы последовательно объединяются в 32-разрядный вектор. Таб- лицы блока подстановки К содержит ключевые элементы, общие для сети ЭВМ и редко изменяемые. Вторая операция - циклический сдвиг влево 32-разрядного век- тора, полученного в результате подстановки К. 64-разрядный блок зашифрованных данных Тш представляется в виде Тш = А(32) В(32) Остальные блоки открытых данных в режиме простой замены за- шифровываются аналогично.

Следует иметь в виду, что режим простой замены допустимо ис- пользовать для шифрования данных только в ограниченных случаях. К этим случаям относится выработка ключа и зашифрование его с обес- печением имитозащиты для передачи по каналам связи или хранения в памяти ЭВМ. Следующий режим шифрования называется режимом гаммирования.

Открытые данные, разбитые на 64-разрядные блоки Т(i) (i=1,2 m, где m определяется объемом шифруемых данных), за- шифровываются в режиме гаммирования путем поразрядного сложения по модулю 2 с гаммой шифра Гш, которая вырабатывается блоками по 64 бит, т.е. Гш = ( Г(1),Г(2), Г(i), Г(m) ). Число двоичных разрядов в блоке Т(m) может быть меньше 64, при этом неиспользованная для шифрования часть гаммы шифра из блока Г(m) отбрасывается.

Уравнение зашифрования данных в режиме гаммирования может быть представлено в следующем виде: Ш(i)=A(Y(i-1) [+] C2), Z(i-1) {+ }C1 (+) T(i)=Г(i) (+) T(i). В этом уравнении Ш(i) обозначает 64-разрядный блок зашифро- ванного текста, А - функцию шифрования в режиме простой замены (аргументами этой функции являются два 32-разрядного числа), С1 и С2 - константы, заданные в ГОСТ 28147-89. Величины Y(i) и Z(i) определяются итерационно по мере формирования гаммы, следующим образом: (Y(0),Z(0))=A(S), где S - 64-разрядная двоичная последовательность (синхропосылка); (Y(i), Z(i))=(Y(i-1) [+] C2,Z(i-1) {+} C1), для i=1,2 m Расшифрование данных возможно только при наличии синхропо- сылки, которая не является секретным элементом шифра и может хра- ниться в памяти ЭВМ или передаваться по каналам связи вместе с зашифрованными данными.

Режим гаммирования с обратной связью очень похож на режим гаммирования. Как и в режиме гаммирования, открытые данные, раз- битые на 64-разрядные блоки Т(i) (i=1,2 m, где m определяет- ся объемом шифруемых данных), зашифровывается путем поразрядного сложения по модулю 2 с гаммой шифра Гш, которая вырабатывается блоками по 64 бит: Гш=(Г(1),Г(2) Г(i) Г(m)). Число двоичных разрядов в блоке Т(m) может быть меньше 64, при этом неиспользованная для шифрования часть гаммы шифра из блока Г(m) отбрасывается.

Уравнение зашифрования данных в режиме гаммирования с обрат- ной связью может быть представлено в следующем виде: Ш(1) = A(S) (+) T(1) = Г(1) (+) T(1), Ш(i) = A(Ш(i-1)) (+) T(i) = Г(i) (+) T(i), для i=2,3 m Здесь Ш(i) обозначает 64-разрядный блок зашифрованного текс- та, А - функцию шифрования в режиме простой замены.

Аргументом функции на первом шаге итеративного алгоритма является 64-разряд- ный синхропосылка, а на всех последующих - предыдущий блок зашиф- рованых данных Ш(i-1). В ГОСТ 28147-89 определяется процесс выработки имитовставки, который единообразен для любого из режимов шифрования данных.

Имитовставка - это блок из p бит ( имитовставка Иp), который вы- рабатывается любо перед шифрованием всего сообщения, либо парал- лельно с шифрованием по блокам. Первые блоки открытых данных, ко- торые участвуют в выработке имитовставки, могут содержать служеб- ную информацию (например, адресную часть, время, синхропосылку) и не зашифровываться. Значение параметра p (число двоичных разрядов в имитовставке) определяется криптографическими требованиями с учетом того, что вероятность навязывания ложных помех равна 1/2 5р Для получения имитовставки открытые данные представляются в виде 64-разрядных блоков Т(i) (i=1,2 m где m определяется объемом шифруемых данных). Первый блок открытых данных Т(1) под- вергается преобразованию, соответствующему первым 16 циклам алго- ритма зашифрования в режиме простой замены.

Причем в качестве ключа для выработки имитовставки используется ключ, по которому шифруются данные. Полученное6 после 16 циклов работы 64-пазрядное число сумми- руется по модулю 2 со вторым блоком открытых данных Т(2). Резуль- тат суммирования снова подвергается преобразованию, соответствую- щему первым 16 циклам алгоритма зашифрования в режиме простой за- мены. Полученное 64-разрядное число суммируется по модулю 2 с третьим блоком открытых данных Т(3) и т.д. Последний блок Т(m), при необходимости дополненный до полного 64-разрядного блока ну- лями, суммируется по модулю 2 с результатом работы на шаге m-1, после чего зашифровывается в режиме простой замены по первым 16 циклам работы алгоритма.

Из полученного 64-разрядного числа выби- рается отрезок Ир длиной р бит. Имитовставка Ир передается по каналу связи или в память ЭВМ после зашифрованных данных.

Поступившие зашифрованные данные рас- шифровываются и из полученных блоков открытых данных Т(i) выраба- тывается имитовставка Ир, которая затем сравнивается с имитовс- тавкой Ир, полученной из канала связи или из памяти ЭВМ. В случае несовпадения имитовставок все расшифрованные данные считаются ложными.

III.Сравнение криптографических методов. Метод шифрования с использованием датчика псевдо-случайных чисел наиболее часто используется в программной реализации системы криптографической защиты данных. Это объясняется тем, что, он достаточно прост для программирования и позволяет создавать алгоритмы с очень высокой криптостойкостью. Кроме того, эффек- тивность данного метода шифрования достаточно высока. Системы, основанные на этом методе позволяют зашиифровать в секунду от нескольких десятков до сотен Кбайт данных.

Основным преимуществом метода DES является то, что он - стандартный. Важной характеристикой этого алгоритма является его гибкость при реализации и использовании в различных прило- жениях обработки данных. Каждый блок данных шифруется независимо от других, поэтому можно осуществлять независимую передачу бло- ков данных и произвольный доступ к зашифрованным данным. Ни временная, ни позиционная синхронизация для операций шифрования не нужна. Алгоритм вырабатывает зашифрованные данные, в которых каж- дый бит является функцией от всех битов открытых данных и всех битов ключей. Различие лишь в одном бите данных даёт в резуль- тате равные вероятности изменения для каждого бита зашифрован- ных данных.

DES может быть реаализован аппаратно и программно, но ба- зовый алгоритм всё же рассчитан на реализацию в электронных устройствах специального назначения. Это свойство DES выгодно отличает его от метода шифрова- ния с использованием датчика ПСЧ,поскольку большинство алго- ритмов шифрования построенных на основе датчиков ПСЧ,не харак- теризуются всеми преимуществами DES.Однако и DES обладает ря- дом недостатков.

Самым существенным недостатком DES считается малый размер ключа. Стандарт в настоящее время не считается неуязвимым, хотя и очень труден для раскрытия (до сих пор не были зарегистриро- ваны случаи несанкционированной дешифрации. Ещё один недостаток DES заключается в том, что одинаковые данные будут одинаково выглядеть в зашифрованном тексте.

Алгоритм криптографического преобразования, являющийся отечественным стандартом и определяемый ГОСТ 28147-89,свободен от недостатков стандартаа DES и в то же время облаадает всеми его преимуществами. Кроме того в него заложен метод, с помощью которого можно зафиксировать необнаруженную случайную или умышленную модификацию зашифрованной информации. Однако у алгоритма есть очень существенный недостаток, ко- торый заключается в том, что его программная реализация очень сложна и практически лишена всякого смысла.

Теперь остановимся на методе RSA.Он является очень перспективным, поскольку для зашифрования информации не требу- ется передачи ключа другим пользователям. Но в настоящее время кэтому методу относятся с подозрительностью, поскольку не су- щесствует строго доказательства, что не существует другого способа определения секретного ключа по известному, кроме как определения делителей целых чисел. В остальном метод RSA обладает только достоинствами. К числу этих достоинств следует отнести очень высокую крип- тостойкость, довольно простую программную и аппаратную реализа- ции. Следует заметить, что использование этого метода для крип- тографической защиты данных неразрывно связано с очень высоким уровнем развития вычислительной техники.

Cписок литературы : 1. С. Мафтик, "Механизмы защиты в сетях ЭВМ", изд. Мир, 1993 г. 2. В. Ковалевский, "Криптографические методы", Компьютер Пресс 05.93 г. 3. В. Водолазкий, "Стандарт шифрования ДЕС", Монитор 03-04 1992 г. 4. С. Воробьев, "Защита информации в персональных ЗВМ", изд. Мир, 1993 г.