Похожие презентации:
Основы криптографической защиты информации. (Тема 3.8)
1.
Тема 3.Основы
криптографической
защиты
информации
2. Занятие 8
3. Криптография – наука о шифрах.
Криптография базируется на самыхпоследних достижениях фундаментальных
наук и в первую очередь математики.
Сегодня в теоретической криптографии
используются понятия и результаты таких
разделов математики, как алгебра, теория
чисел, теория сложности алгоритмов и
вычислений, теория кодирования и др.
4.
Криптография была поставлена нанаучную основу во многом благодаря
работам выдающегося американского
ученого Клода Шеннона. Его доклад
“Математическая теория криптографии”
был подготовлен в секретном варианте в
1945 г., рассекречен и опубликован в
1948 году, переведен на русский язык в
1963 году.
5. Криптография
• Криптография в переводе с греческого языкаозначает тайнопись
6. Классическая задача криптографии
• Классической задачей криптографии являетсяобратимое преобразование некоторого
понятного исходного текста (открытого текста)
в кажущуюся случайной последовательность
некоторых знаков, называемых шифртекстом
или криптограммой.
7. Основные понятия
• открытая информация8. Основные понятия
• конфиденциальная, секретная, приватнаяинформация, информация с ограниченным
доступом
9. Важная информация
• Информация, причинение ущерба которой можетповлечь за собой существенные материальные,
моральные и иные потери
10. Основные задачи защиты информации
•обеспечение конфиденциальностиинформации
•Конфиденциальность – свойство
информации быть доступной только
ограниченному кругу пользователей
информационной системы, в которой
циркулирует данная информация.
11. Основные задачи защиты информации
•обеспечение целостности информации•Под целостностью понимается свойство
информации сохранять свою структуру и/или
содержание в процессе передачи и/или
хранения
12. Основные задачи защиты информации
•обеспечение достоверности информации•Достоверность – отсутствие случайных
ошибок и преднамеренных искажений
13. Основные задачи защиты информации
•обеспечение оперативности доступа кинформации
•Под оперативностью доступа
подразумевается возможность реализации
легальным пользователем своих прав по
отношению к информации в любой момент
времени по его усмотрению
14. Основные задачи защиты информации
•обеспечение юридической значимостиинформации, представленной в виде
электронного документа
•Юридическая значимость означает, что
документ обладает юридической силой.
•Необходимо: повсеместное принятие
некоторых атрибутов информации,
выражающих ее способность быть
юридически значимой
15. Основные задачи защиты информации
•обеспечение неотслеживаемости действийклиента
•Неотслеживаемость – способность
совершать некоторые действия в
информационной системе незаметно от
других объектов
16.
Основу обеспеченияинформационной безопасности в
информационно-телекоммуникационных
системах
составляют криптографические методы и
средства защиты информации.
17. Криптографические методы защиты информации и ресурсов
• шифрование всего информационного трафика• криптографическая аутентификация
• защита трафика средствами имитозащиты и
ЭЦП
• шифрование данных, представленных в виде
файлов либо хранящихся в базе данных
• контроль целостности
• обеспечение юридической значимости
документов
18. Варианты защиты
Отправительзакрытый
канал связи
Получатель
Отправитель
скрытый
канал связи
Получатель
Отправитель
открытый
канал связи
Получатель
19. Система засекреченной связи
• Система засекреченной связи – это системапередачи информации, в которой смысл
передаваемой информации скрывается с
помощью криптографических
преобразований
20. Основные термины
• Зашифрование – процесс криптографическогопреобразования множества открытых
сообщений в множество закрытых сообщений
• Расшифрование – процесс криптографического
преобразования закрытых сообщений в
открытые
• Дешифрование – процесс нахождения открытого
сообщения, соответствующего заданному
закрытому при неизвестном криптографическом
преобразовании
21. Система засекреченной связи
•Система засекреченной связи — это множествоотображений множества открытых сообщений в
множество закрытых
P
C
22. Система засекреченной связи
•Отображения должны обладать свойствомвзаимооднозначности
P
C
23. Система засекреченной связи
ЗашифрованноеОткрытый текст
Открытый текст
сообщение
Зашифрование
Расшифрование
Ключ 1
Ключ 2
Источник
ключей
24. Основные термины
• Выбор конкретного типа преобразованияопределяется ключом расшифрования (или
зашифрования)
• Множество, из которого выбираются ключи,
называется ключевым пространством
25. Работа системы засекреченной связи
1. Из ключевого пространства выбираются ключиК1 и К2 и по каналу передачи данных
распределяются между абонентами
2. К открытому сообщению Р применяют
преобразованиеE K , определяемое ключом
1
К1, для получения зашифрованного сообщения
С = E K(Р)
1
3. Зашифрованное сообщение С пересылают по
каналу передачи данных
26. Работа системы засекреченной связи
3. Зашифрованное сообщение С пересылают поканалу передачи данных
4. На принимающей стороне к полученному
сообщению применяют преобразованиеD K ,
2
определяемое из всех возможных
преобразований ключом К2, для получения
открытого сообщения Р= D K(С), P= D(K E(P))
K
2
2
1
27. Формула вычисления числа необходимых ключей
• N=(время жизни ключа) /(скорость
подбора ключа) /
(шанс взлома)
• Время жизни ключа. Меньше 25 лет.
• Скорость подбора ключа. Например, рассмотрим алгоритм
DES. За 20 млн. долл. можно создать ЭВМ, которая раскроет
шифр за сутки. Но на создание такой ЭВМ уйдет до пяти лет, а
это приемлемый срок жизни стандартов и шифров.
• Шанс взлома. Весьма индивидуальная величина. Обычно она
равна 10-3 – 10-6 в зависимости от области применения.
28. Криптостойкость
29. Криптостойкость
• Стойкость алгоритма шифрования(криптостойкость) — способность
противостоять всем возможным атакам
против него
30. Раскрытие системы засекреченной связи (алгоритма шифрования)
полное раскрытие. Противник находит путемвычислений секретный ключ системы;
нахождение
эквивалентного
алгоритма.
Противник находит алгоритм, функционально
эквивалентный алгоритму зашифрования, не
имея при этом представления об используемом
секретном ключе;
31. Раскрытие системы засекреченной связи (алгоритма шифрования)
нахождение открытого сообщения. Противникнаходит открытое сообщение, соответствующее
одному из перехваченных зашифрованных;
частичное раскрытие. Противник получает
частичную информацию об используемом ключе
или об открытом сообщении.
32. Атаки на криптоалгоритмы
• Атака с известным шифртекстом (ciphertextonly attack). Противнику известен лишь наборперехваченных криптограмм.
• Это соответствует модели внешнего нарушителя,
который имеет физический доступ к линии
связи, но не имеет доступа к аппаратуре
шифрования и дешифрования;
33. Атаки на криптоалгоритмы
• Атака с известным открытым текстом(known plaintext attack). Предполагается, что
криптоаналитику известен шифртекст и та или
иная доля исходной информации, а в частных
случаях и соответствие между шифртекстом и
исходным текстом.
34. Атаки на криптоалгоритмы
• Атака с выбором открытого текста (chosenplaintext attack). Противник имеет возможностьвыбрать необходимое количество открытых
текстов и получить соответствующие им
криптограммы.
• Это соответствует модели внутреннего
нарушителя, имеющего доступ к аппаратуре, но
не имеющего доступа к ключам.
35. Криптостойкость
• Стойким считается алгоритм, в котором перехватзашифрованных сообщений не приводит к
появлению точки единственности принятия
решения об используемом ключе или
переданном открытом сообщении
36. Криптостойкость
Криптограмма1Ключ1
Ключ2
…
Ключn
От. текст1
От. текст2
…
От. текстn
37. Криптостойкость
Криптограмма1Ключ1
КлючK
…
КриптограммаМ
Ключ1
…
От. текст11
КлючК
…
От. текст1К
От. текстМ1
От. текстМК
38. Криптостойкость
• Стойким считается алгоритм, который для своеговскрытия требует от противника:
практически недостижимых вычислительных
ресурсов или
недостижимого объема перехваченных
зашифрованных сообщений или
времени раскрытия, превышающего время
жизни защищенной информации
39. Время жизни информации
Тип информацииВремя жизни
Военная тактическая информация
Долгосрочные бизнес-проекты
Производственные секреты
Информация о разведчиках
Дипломатическая тайна
минуты/часы
годы
десятилетия
> 50 лет
> 65 лет
40. Типы алгоритмов шифрования
41. Типы алгоритмов шифрования
• В криптографии существуют только два основныхтипа преобразований – замены и
перестановки, все остальные являются лишь
комбинацией этих двух типов
• В перестановочных шифрах символы открытого
текста изменяют свое местоположение.
42. Шифры колонной замены
12
3
4
5
6
7
Ю С
Т
А
С
_
А
Л
Е
К
С
У
_
В
Ы
_
СЕ_АВТТКИ__ОЮЛЫАСДСУИ
И Д И О Т
2-7-3-6-1-4-5
2
7
3
6
1
4
5
С
А
Т
_
Ю
А
С
Е
В
К
_
Л
С
У
_
Т
И
О
Ы
Д
И
43. Перестановки
КРЕПИ ДРУЖБУКПДЖРИРБЕ УУ
УБЖУРД ИПЕРК
РКПЕ ИРДЖУУБ
44. Шифры замены
• В шифрах замены один символ открытого текстазамещается символом зашифрованного текста
• В классической криптографии различают четыре
типа шифров замены:
1.
2.
3.
4.
Шифры простой замены
А +
Шифры сложной замены
А РО4Е
Шифры блочной замены
АВС СРТ
Полиалфавитные шифры замены
45. Полиалфавитная замена
АЮ
В
У
Я
П
…
Б
В
Н
К
Ч
А
…
В
Е
К
П
С
Р
…
Г
Ы
Ф
Р
М
В
…
Д
О
Т
Т
И
О
…
Е
Щ
М
Б
Т
Ы
…
Ж
М
Р
Ю
К
Л
…
АГАВА ЮФУСП
З
Л
А
Д
У
Ф
…
И
Э
Б
Ж
Ц
К
…
…
…
…
…
…
…
…
46. Полиалфавитная замена
АЮ
В
У
Я
П
…
Б
В
Н
К
Ч
А
…
В
Е
К
П
С
Р
…
Г
Ы
Ф
Р
М
В
…
Д
О
Т
Т
И
О
…
Е
Щ
М
Б
Т
Ы
…
Ж
М
Р
Ю
К
Л
…
АГАВА ЮЫВЕУ
З
Л
А
Д
У
Ф
…
И
Э
Б
Ж
Ц
К
…
…
…
…
…
…
…
…
47. Типы алгоритмов шифрования
• В блочных шифрах открытый текст разбиваетсяна блоки подходящей длины и каждый блок
шифруется
• В поточных алгоритмах каждый символ
открытого текста зашифровывается независимо
от других и расшифровывается таким же
образом
48. Типы алгоритмов шифрования
Алгоритмы шифрованияСимметричные
Блочные
Поточные
Асимметричные
49. Система засекреченной связи
ЗашифрованноеОткрытый текст
Открытый текст
сообщение
Зашифрование
Расшифрование
Ключ 1
Источник
ключей
Ключ 2
50. Типы алгоритмов шифрования
•Классическая схема:ключи зашифрования и расшифрования
идентичны
(симметричные криптоалгоритмы)
•Схема с открытым ключом:
ключи зашифрования и расшифрования различны
(асимметричные криптоалгоритмы)
51. Абсолютно стойкие шифры
52. Необходимое условие абсолютной стойкости шифра по К.Шеннону
Для того, чтобы шифр был абсолютно стойким,необходимо, чтобы неопределенность
алгоритма шифрования была не меньше
неопределенности шифруемого сообщения
(т. е. алгоритм неизвестен)
53. Правило Керкхоффа
«Компрометация системы не должна причинятьнеудобств корреспондентам»
• Стойкость (или надёжность) шифра
определяется лишь секретностью ключа
• Оценка качества шифра должна проводиться
при условии, что о данном шифре известно все,
кроме использованного ключа
54. Правило Керкхоффа
Шифр – параметризованный алгоритм, состоящий из:• процедурной части (описания того, какие именно
операции и в какой последовательности
выполняются над шифруемыми данными) и
• параметров (различных элементов данных,
используемых в преобразованиях)
Раскрытие процедурной части не должно приводить к
увеличению вероятности успешного дешифрования
сообщения выше допустимого предела.
55. Преимущества
• разглашение конкретного шифра (алгоритма иключа) не приводит к необходимости полной
замены реализации всего алгоритма, достаточно
заменить только скомпрометированный ключ;
56. Преимущества
• ключи можно отчуждать от остальныхкомпонентов системы шифрования – хранить
отдельно от реализации алгоритма;
57. Преимущества
• появляется возможность для точной оценки«степени неопределенности» алгоритма
шифрования – она равна неопределенности
используемого ключа
58. Абсолютно стойкие шифры
• Абсолютно стойкие или совершенные шифры– шифры, которые не могут быть дешифрованы
в принципе. (Определение исходного текста из
шифртекста принципиально невозможно)
59. Условие абсолютной стойкости
для шифров удовлетворяющих правилу Керкхоффа:Для того, чтобы шифр был абсолютно стойким,
необходимо:
1. Размер использованного для шифрования
ключа должен быть не меньше размера
шифруемых данных;
2. Ключ используется только один раз;
3. Все возможные значения ключа равновероятны.
60. Причины осуществления успешных атак на алгоритмы шифрования
• Наличие статистической структуры историческисложившихся языков. (Некоторые символы и их
комбинации более вероятны)
• Наличие вероятных слов. (Некоторые слова и
выражения более вероятны)
61. Методы, затрудняющие криптоанализ
• Рассеивание (Diffusion). Влияние одного символаоткрытого сообщения на множество символов
зашифрованного сообщения.
- Запутывание. Влияние одного символа ключа
на множество символов зашифрованного
сообщения
• Перемешивание (Confusion). Рассеивание
вероятных последовательностей по всему
пространству возможных открытых сообщений
62. Абсолютно стойкие шифры
Юс
т
а
с
А
л
е
к
с
у
DE F1 F2 E0 F1 20 C0 EB E5 EA F1 F3
76 0C 4F 5A 7E F9 45 60 F7 A3 27 F8
=
A8 FD BD BA 8F D9 85 8B 12 49 D6 0B
Ё
э
Ѕ
є
Џ
Щ
…
‹
шифр Вернама
,
I
Ц
+
63. Абсолютно стойкие шифры
A8 FD BD BA 8F D9 85 8B 12 49 D6 0BЁ
э
Ѕ
є
Џ
Щ
…
‹
,
I
Ц
+
77 D0 52 4A 6A 3E 6D 6F F7 A4 24 2A
76
0C
4F
5A
7E
F9
45
60
F7
A3
27
F8
68
16
41
48
6A
29
68
6B
E0
A1
34
7B 1C 58 53 AF 31 70 AB F0 B8 33 EB
FE
=
DF 2D EF F0 E5 E7 E8 E4 E5 ED F2 21
DE
F1
F2
E0
F1
20
C0
EB
E5
EA
F1
F3
C0
EB
FC
F2
E5
F0
ED
E0
F2
E8
E2
E0
D3
E1
E5
E9
20
E8
F5
20
E2
F1
E5
Я - п р е з и д е н т ! F5
ЮА сл ть ат се р Ан ла ет ки св уа
У б е й
и х
в с е х
64. Абсолютно стойкие шифры
Я—
п
р
е
з
и
д
е
н
т
!
А
л
ь
т
е
р
н
а
т
и
в
а
К
а
р
л
К
л
а
р
ы
Ю
с
т
а
с
А
л
е
к
с
у
П
о
ч
е
м
о
п
и
у
м
?
И
д
и
с
е
в
е
р
.
.
.
.
.
.
.
.
.
у
н
а
.
.
.
65. Абсолютно стойкие шифры
Я—
п
р
е
з
и
д
е
н
т
!
А
л
ь
т
е
р
н
а
т
и
в
а
К
а
р
л
К
л
а
р
ы
Ю
с
т
а
с
А
л
е
к
с
у
П
о
ч
е
м
о
п
и
у
м
?
И
д
и
с
е
в
е
р
.
.
.
.
.
.
.
.
.
у
н
а
.
.
.
66. Абсолютно стойкие шифры
Я—
п
р
е
з
и
д
е
н
т
!
А
л
ь
т
е
р
н
а
т
и
в
а
К
а
р
л
К
л
а
р
ы
Ю
с
т
а
с
А
л
е
к
с
у
П
о
ч
е
м
о
п
и
у
м
?
И
д
и
с
е
в
е
р
.
.
.
.
.
.
.
.
.
у
н
а
.
.
.
67. Абсолютно стойкие шифры
Я—
п
р
е
з
и
д
е
н
т
!
А
л
ь
т
е
р
н
а
т
и
в
а
К
а
р
л
К
л
а
р
ы
Ю
с
т
а
с
А
л
е
к
с
у
П
о
ч
е
м
о
п
и
у
м
?
И
д
и
с
е
в
е
р
.
.
.
.
.
.
.
.
.
у
н
а
.
.
.
68. Абсолютно стойкие шифры
Я—
п
р
е
з
и
д
е
н
т
!
А
л
ь
т
е
р
н
а
т
и
в
а
К
а
р
л
К
л
а
р
ы
Ю
с
т
а
с
А
л
е
к
с
у
П
о
ч
е
м
о
п
и
у
м
?
И
д
и
с
е
в
е
р
.
.
.
.
.
.
.
.
.
у
н
а
.
.
.
69. Абсолютно стойкие шифры
Я—
п
р
е
з
и
д
е
н
т
!
А
л
ь
т
е
р
н
а
т
и
в
а
К
а
р
л
К
л
а
р
ы
Ю
с
т
а
с
А
л
е
к
с
у
П
о
ч
е
м
о
п
и
у
м
?
И
д
и
с
е
в
е
р
.
.
.
.
.
.
.
.
.
у
н
а
.
.
.
70. Абсолютно стойкие шифры
Я—
п
р
е
з
и
д
е
н
т
!
А
л
ь
т
е
р
н
а
т
и
в
а
К
а
р
л
К
л
а
р
ы
Ю
с
т
а
с
А
л
е
к
с
у
П
о
ч
е
м
о
п
и
у
м
?
И
д
и
с
е
в
е
р
.
.
.
.
.
.
.
.
.
у
н
а
.
.
.
71. Симметричные алгоритмы
72. Симметричные алгоритмы
• Простейшие: шифр Вернама, Цезаря, Виженера,Плэйфера
• Современные:
США: DES, AES (Rijndael), RC5, RC6, Mars, Blowfish,
Twofish, Serpent;
Канада: CAST;
Австралия: LOKI;
IDEA (Ascom, Швейцария);
Россия: ГОСТ 28147-89
73.
Шифр Цезарясообщение: ЮСТАС АЛЕКСУ…
ключ: 3
Ю А
С Ф
Т Х
А Г
С Ф
АБВГДЕЖЗИЙКЛМНОПРСТУФХЦЧШЩЪЫЬЭЮЯ_
_ В
А Г
Л О
Е И
К Н
С Ф
У Ц
шифртекст: АФХГФВГОИНФЦ …
Шифр Виженера. Ключ: ВАГОН (3, 1, 4, 15, 14)
шифртекст:АТЦПЯВБПФШФФ
74.
Шифр Виженерасообщение: ЮСТАС АЛЕКСУ…
ключ: ВАГОНИДЕТНАСЕВЕР …
Ю А
С Т
Т Ц
_ И
А Е
Л С
С Т
У Д
А П
Е Ш
шифртекст: АТЦПЯИЕСШШТД
Наложение белого шума на исходный текст.
Одноразовые системы невскрываемы!!!
С Я
К Ш
75. Шифр Плэйфера
• Ключ: криптографияк
г
д
н
ш
р
а
е
с
щ
и
ф
ж
у
ь
п
я
з
х
ы
т
б
л
ц
э
о
в
м
ч
ю
ПР ИМ ЕР ШИ ФР АФ ПЛ ЭИ ФЕ РА
ТИ ОЖ СА ЬК АИ ФЯ ТЗ ЬТ АЖ АЕ
76. Сети Файштеля (Feistel Network)
X1X2
fi
Y1
Y2
ki
Y1=X2,
Y2=X1 fi(X2,ki)
X1=Y2 fi(Y1,ki)
X =Y
2 1
77. Сети Файстеля (Feistel Network)
Li-2Ri-2
fi-1
Li-1
Ri-1
fi
Li
ki
Ri
fi+1
Li+1
ki-1
Ri+1
ki+1
Li=Ri-1,
R =L f (R ,k )
i i-1 i i-1 i
78. DES
• Data Encryption Standard.• Разработан в 1977 году
• Длина ключа 56 бит (256 7.2*1016 комбинаций)
• Размер блока 64 бита
• 16 раундов шифрования
Недостатки:
• малая длина ключа:
вскрыт за 140 дней, 450 MIPS-лет
• наличие слабых ключей
79. Шифрование с открытым ключом
Alice (открытый ключ Bob)E(M,K)= C
Bob (закрытый ключ)
D(C,K)= M
M = сообщение
E = шифрование
D = дешифрование
C = зашифрованный
текст
80. DES
• Доработка: TripleDESКлюч 168 бит: 2168 3.7*1050 комбинаций
Зашифрованный
текст
Открытый текст
DES
(зашифрование)
DES
(расшифрование)
DES
(зашифрование)
К1
К2
К3
Недостаток: EK3(DK2(EK1(P)))=EK4(P)
3.7*1050 7.2*1016 комбинаций
?
81. ГОСТ 28147-89
• Системы обработки информации.Защита криптографическая.
Алгоритм криптографического преобразования.
• Принят в качестве стандарта в 1989 году
• Длина ключа 256 бит
(2256 1.2*1077 комбинаций)
• 32 раунда шифрования
82. ГОСТ 28147-89
• 4 режима работы:простая замена
гаммирование
гаммирование с обратной связью
выработка имитовставки
83. ГОСТ 28147-89: Структура
Х1Х2
F(k[0])
32
32
Исходый блок
+
1-й раунд
Повторить 31 раз
Размен последнего
раунда
Z1
Z2
Зашифрованный
блок
84. Образующая функция ГОСТ 28147-89
S0k[i]
S1
32
S2
S3
+
32
32
<<<11
S4
S5
32
S6
4
S7
32 компоненты материала ключа получаются их применением в следующем
порядке:
k[0]...k[32]= К0
К1... К6
К7 К0 К1... К6 К7 К0 К1... К6 К7 К7 К6... К1 К0
Для дешифрования (по свойству симметричной сети Файштеля) используется
тот же код, но с обратным порядком ключей раунда:
К0
К1... К6
К7 К7 К6... К1 К0 К7 К6... К1 К0 К7 К6... К1 К0
85. IDEA: структура
k[i*6+1]k[i*6+0]
*
k[i*6+2]
k[i*6+3]
+
+
*
+
+
k[i*6+4]
*
+
k[i*6+5]
+
+
*
+
+
+
86. Алгоритм IDEA
Х1Х2
Х3
Х4
Исходный
блок
8 раундов
(i=0...7)
k[49]
k[48]
*
Z1
+
k[50]
Z2
IDEA: расширение ключа
k[51]
+
Z3
*
Z4
k[0]...k[7]=key
key=key ROL 25
k[8]...k[15]=key
key=key ROL 25
...
Дополнительное
выходное
преобразование
Зашифрованны
й блок
87. Oсновные термины
• Гамма шифра — псевдослучайная двоичнаяпоследовательность, вырабатываемая по
заданному алгоритму, для зашифрования
открытых данных и расшифрования
зашифрованных данных
• Гаммирование — процесс наложения по
определенному закону гаммы шифра на
открытые данные
88. Простая замена
Блок открытого текстаНакопитель N2
Накопитель N1
89. Простая замена
Блок открытого текстаНакопитель N2
Накопитель N1
К0
К1
…
К6
К7
+
90. Простая замена
Блок открытого текстаНакопитель N2
Накопитель N1
К0
+
К1
…
Таблица подстановок
К6
К7
Регистр сдвига <<11
91. Порядок использования ключей
• Шифрование:Раунды с 1-го по 24-й:
К0, K1, K2, K3, K4, K5, K6, K7
Раунды с 25-го по 32-й:
K7, K6, K5, K4, K3, K2, K1, К0
• Расшифрование:
Раунды с 1-го по 24-й:
K7, K6, K5, K4, K3, K2, K1, К0
Раунды с 25-го по 32-й:
К0, K1, K2, K3, K4, K5, K6, K7
92. Гаммирование
Синхропосылка SНакопитель N2
Накопитель N1
К0
+
К1
…
Таблица подстановок
К6
К7
Регистр сдвига <<11
93. Гаммирование
E (S)Накопитель N2
Накопитель N1
Накопитель N4
Накопитель N3
94. Гаммирование
E (S)Накопитель N2
Накопитель N1
Накопитель N4
Накопитель N3
Накопитель N6
Накопитель N5
95. Гаммирование
Накопитель N2Накопитель N1
Накопитель N4
Накопитель N3
96. Гаммирование
Гамма шифраНакопитель N2
Накопитель N1
97. Гаммирование
Гамма шифраНакопитель N2
Накопитель N1
Шифртекст
Открытый текст2
Открытый текст1
Выход
98. Гаммирование с обратной связью
Гамма шифраНакопитель N2
Накопитель N1
Шифртекст
Выход
99. Основные термины
• Имитозащита — защита системы шифрованнойсвязи от навязывания ложных данных
• Имитовставка — отрезок информации
фиксированной длины, полученной по
определенному правилу из открытых данных и
ключа и добавленный к зашифрованным
данным для обеспечения имитозащиты
100. Навязывание ложных данных
за
1
9
0
0
0
0
0
0
$
19 10 10 10 10 10 10 04
20 E7 E0 20 11
76 0C 4F 5A 7E F9 45 60 F7 A3 27 F8
=
56 EB AF 7A 67
6F E9 55 70 E7 B3 37 FC
101. Выработка имитовставки
Открытый текстНакопитель N2
16 раундов!!!
Накопитель N1
К0
+
К1
…
Таблица подстановок
К6
К7
Регистр сдвига <<11
102. Выработка имитовставки
Накопитель N2Накопитель N1
Шифртекст
Открытый текстi+1
Открытый текстi
• Выбирается L бит:
вероятность навязывания ложных данных = 2-L
103. ГОСТ 28147-89
• Достоинства:на сегодняшний день не предложено практически
реализуемых атак, более эффективных, чем атака
методом bruteforce
большáя длина ключа (bruteforce можно пренебречь)
заполнение таблицы подстановок является секретом
• Проблемы:
выбор заполнения таблицы подстановок
работа с 4-разрядными векторами
104. AES
• Advanced Encryption Standard (Rijndael)• Авторы: Йон Дамен и Винсент Рэмен (Бельгия)
(J.Daemen and V.Rijmen)
• размер блока 128 бит
• длина ключа 128, 192, 256 бит; 10 – 14 раундов
• принят 2.10.2000 NIST (www.nist.gov)
• скорость работы: 7 Мбайт/с (Assembler, 200 Mhz)
105. AES
• Каждый блок кодируемых данныхпредставляется в виде двумерного массива байт
размером 4х4, 4х6 или 4х8 в зависимости от
установленной длины блока
• Далее преобразования производятся
либо над независимыми столбцами,
либо над независимыми строками,
либо над отдельными байтами в таблице
106. Табличная подстановка
a00 a01 a02 a03 a04 a05a10
a11
aa12ij a13 a14 a15
S-box
a20 a21 a22 a23 a24 a25
a30 a31 a32 a24 a34 a35
b00 b01 b02 b03 b04 b05
b10 b11 bb12 b13 b14 b15
ij
b20 b21 b22 b23 b24 b25
b30 b31 b32 b24 b34 b35
107. Сдвиг строк
mn
o
p
…
нет сдвига
j
kj
kl
…
l
…
>> 1
d
e
df
…
e
f
…
>> 2
w
x
y
w
z
…
x
y
>> 3
108. Перемешивание
a00aa 0j
01
a02 a03 a04 a05
a10
aa111j
a12 a13 a14 a15
a20 a
a21 a22 a23 a24 a25
2j
a30 a31 a32 a24 a34 a35
a3j
b
0j b
b00 b01
02 b03 b04 b05
c(x)
b10 b
b11
1j b12 b13 b14 b15
b20 b
b21 b22 b23 b24 b25
2j
b30 b31 b32 b24 b34 b35
b3j
109. Добавление ключей
a00 a01 a02…
a05
k00 k01 k02
…
k05
a10
a12
…
a15
k10 k11 k12
…
k15
a20 a21 a22
…
a25
k20 k21 k22
…
k25
a30 a31 a32
…
a35
k30 k31 k32
…
k35
a11
=
b00 b01 b02
…
b05
b10 b11 b12
…
b15
b20 b21 b22
…
b25
b30 b31 b32
…
b35
=
110. AES
• Достоинства:эффективен как на 8-битных так и на 32-битных
процессорах
на многопроцессорных рабочих станциях за счет
распараллеливания операций можно поднять
скорость шифрования в 4 раза
111. Поточные алгоритмы
• Главная идея: выработка на основе секретногоключа последовательности символов из входного
алфавита (гаммы, ключевого потока)
•Зашифрование и расшифрование осуществляется,
например, путем сложения по модулю 2
символа открытого текста с символом гаммы
ci=pi ki`
112. Поточные алгоритмы. Проблемы
• Стойкость зависит от обеспеченияравновероятности появления очередного
символа гаммы
•Недопустимо
использовать
выработанную
гамму
•Для правильного расшифрования необходима
более одного раза:
синхронизация шифраторов
с1 = р1 k
с2 = р2 k
c1 c2 = p1 p2
113. Методы обеспечения синхронизации
• самосинхронизирующиеся шифраторы(очередной символ гаммы зависит от
определенного количества уже образованных)
• Достоинства: относительно стойки к пропуску
символов
• Недостаток: разрастание ошибок при
расшифровании, если произошла ошибка
в ходе передачи
114. Методы обеспечения синхронизации
• синхронные шифраторы (осуществляютсинхронизацию только при вхождении в связь)
• Достоинства:полностью отсутствует
размножение ошибки
• Недостатки: чувствительны к пропуску
символов
115. Скремблеры
• Единственная операция:сложение по модулю 2 ( , XOR)
1
0
0
1
10011 – начальная
последовательность
10111 – скремблер
1
1
0
0
1
1
1
1
1
…
исх. поток
зашифр. поток
116. Скремблеры
• Основная проблема: зацикливание• Зацикливание неустранимо:
N разрядов
через 2N-1 циклов начнется повторение
• Чем больше разрядность –
тем выше криптостойкость
33 разряда 233 бит = 1 Гбайт
117. Асимметричные алгоритмы
118. Асимметричные алгоритмы
• Уитфрид Диффи, Мартин Хеллман:«Новые направления в криптографии», 1976 год
• Идея асимметричных алгоритмов тесно связана:
с теорией односторонних функций;
с теорией сложности
119. Односторонние функции
• Необратимые или односторонние функции:y=f(x) — вычисляется легко для любого x;
найти x по y невозможно
Под необратимостью понимают не теоретическую, а
практическую невозможность вычисления обратного
значения, используя современные вычислительные
средства за обозримый интервал времени.
120. Проблема
• На сегодняшний день теоретически не доказаносуществование односторонних функций
• Использование односторонних функций в
качестве основы асимметричных
криптоалгоритмов допустимо лишь пока не
найдены эффективные алгоритмы решения
обратной задачи: f-1(y): Y X, y Y
121. Асимметричные алгоритмы
• Односторонние функции с секретом:fz(x): Х Y, x X
• Для данного z можно найти алгоритмы Ez и Dz,
позволяющие легко вычислить
а также
1
z
f z(x), x X
f (y), y Y ,
но практически для всех z и y Y, нахождение
1
f z (y) вычислительно неосуществимо
даже при известном Ez
122. RSA
• Авторы: Rivest, Shamir, Adleman• Обнародован в 1993 г.
• Принят в качестве стандарта
• Стойкость базируется на сложности
факторизации больших целых чисел
123. Пример
• 16444757698990888364317098853 –простое?
• 189435747774163 • 878634363654631 =
16444757698990888364317098853
124. Генерация ключей
• Правила:1. Выбираются два очень больших простых
натуральных числа p и q, приблизительно одного
размера (150-200 десятичных знаков)
• увеличение порядка чисел ведет к замедлению
работы
• увеличение порядка чисел ведет к увеличению
стойкости алгоритма
125. Генерация ключей
• Правила:2. Вычисляется модуль системы: n = p • q и
функция Эйлера: (n) = (p-1) • (q-1)
3. Выбирается достаточно большое число
e, такое что 1 < e < (n) и взаимно простое с (n)
4. Вычисляется большое целое
d, такое что ed = 1 (mod (n)) и 1 < d < (n)
126. RSA
• Секретным ключом является пара чисел (n, d),• Открытым — пара чисел (n, e)
• Входное сообщение разбивается на блоки mi, их
размер определяется целым k, таким что
10k-1 < n < 10k
127. RSA
• Секретным ключом является пара чисел (n, d),• Открытым — пара чисел (n, e)
• Входное сообщение разбивается на блоки mi, их
размер определяется целым k, таким что
10k-1 < n < 10k
• Вычисляется
ci m mod n
e
i
128. Пример
• Выбираем:p = 3; q = 11
• Вычисляем: n = p • q;
n = 33
• Вычисляем: (n) = (p-1) • (q-1);
(n) = 20
• Выбираем: e, 1 < e < (n),
взаимно простое с (n)
e=7
• Выбираем: d, ed = 1 (mod (n))
и 1 < d < (n)
d=3
• (7, 33) – открытый ключ; (3, 33) - закрытый
129. Пример
• Сообщение:ПОРА (04h, 03h, 05h, 02h)
• 47 mod 33 = 16
16384 mod 33 = 496•33 + 16
• 37 mod 33 = 9
2187 mod 33 = 66•33 + 9
• 57 mod 33 = 14
78125 mod 33 = 2367•33 + 14
• 27 mod 33 = 29
128 mod 33 = 3•33 + 29
130. Пример
• Шифртекст:или
(16, 9, 14, 29)
(10h, 09h, 0Еh, 1Dh)
• 163 mod 33 = 4
4096 mod 33 = 124•33 + 4
• 93 mod 33 = 3
729 mod 33 = 22•33 + 3
• 143 mod 33 = 5
2744 mod 33 = 83•33 + 5
• 293 mod 33 = 2
24389 mod 33 = 739•33 + 2
131. Проблемы RSA
• Некорректный выбор p и q• Наличие нешифруемых блоков
• Критичность к некоторым видам атак
132. Основные разновидности асимметричных алгоритмов
• RSA (разложение на множители)• Эль-Гамаля (дискретное логарифмирование)
• на основе эллиптических кривых
133. Хэш-функции
134. Хэш-функции
• Хэш-функции — функции, отображающиепоследовательность произвольной длины в
значение фиксированной длины, называемой
хэш-кодом
• Варианты на основе:
1. На
основе
трудновычисляемой
математической задачи;
2. На основе алгоритмов блочного шифрования;
3. Разработанные с нуля.
135. Хэш-функции
• Основные требования:отсутствие коллизий, т.е. невозможность найти
такие значения x y, чтобы h(x) = h(y)
отсутствие корреляции, т.е. отсутствие пар
значений x y,
таких что H (h(x) h(y)) < H(M)
136. Хэш-функции
SHA (Security Hash Algorithm)
Разработчики: NIST & RSA
Последовательности до 264 бит
Генерирует хэш-код длиной 160 бит
• ГОСТ Р 34.11 – 94
• На основе ГОСТ 28147-89
• Нет ограничения на длину входной
последовательности
• Генерирует хэш-код длиной 256 бит
137. Электронно-цифровая подпись
138. ЭЦП
• Цель подписи:гарантирование истинности письма путем
сличения подписи с имеющимся образцом
гарантирование авторства документа (с
юридической точки зрения).
139. Схемы построения ЭЦП
1. Шифрование электронного документа наоснове симметричных алгоритмов
Сообщение
Антон
Борис
Сообщение
Арбитр
140. Схемы построения ЭЦП
2. Использование асимметричных алгоритмовшифрования
Антон
Борис
Открытый ключ Бориса
Секретный ключ Антона
Секретный ключ Антона
Сообщение
Сообщение
Владимир
141. Схемы построения ЭЦП
3. На основе хэш-функции при помощиасимметричного алгоритма
Антон
S
f
Сообщение
Хэш-функция
Владимир
Секретный
ключ
Борис
142. Схемы построения ЭЦП
3. На основе хэш-функции при помощиасимметричного алгоритма
Антон
Открытый ключ
f
S
Сообщение
Хэш-функция
Владимир
h
h
Борис
143. Нарушения в процессе информационного обмена, обнаруживаемые при помощи ЭЦП
144. Отказ (ренегатство)
• А заявляет, что он не посылал сообщенияучастнику Б, хотя на самом деле посылал
Антон
Борис
Сообщение
145. Модификация
• Б, приняв сообщение, изменяет его иутверждает, что именно данное (измененное)
сообщение он принял от участника А
Антон
Борис
Сообщение
146. Подделка
• Б формирует сообщение и утверждает, чтоименно данное (сформированное) сообщение он
принял от участника А, хотя на самом деле А
ничего не передавал
Антон
Борис
Сообщение
147. Навязывание
• Злоумышленник В перехватывает обменсообщениями между А и Б и модифицирует их
Антон
Борис
Сообщение
Владимир
148. Имитация
• Злоумышленник В пытается отправлятьсообщения от имени одного из участников
информационного обмена
Антон
Борис
Сообщение
Владимир
149. Основные достоинства и недостатки «классических» (симметричных) и «новых» (асимметричных) алгоритмов
Симметричныебыстрые;
стойкие при
относительно
коротких ключах;
проблема
распространения
ключей
Асимметричные
медленные;
требуется использовать
более длинные ключи;
не требуется
распространять
секретные ключи
Конечно, речь идет о хороших профессиональных шифрах;
сравнение - при прочих равных условиях.
150.
Примерное соответствие длин ключей длясимметричных и асимметричных криптосистем,
обеспечивающих равную безопасность
Симметричные
криптосистемы
Асимметричные
криптосистемы
56
384
64
512
80
768
112
1792
128
2304
151. «Гибридная» схема криптографической защиты
• Генерация сеансового ключаи распространение его
в зашифрованном с использованием
асимметричной схемы виде
• Использование сеансового ключа
в качестве ключа шифрования
и расшифрования всей передаваемой
в течение данного сеанса информации по
«классической» схеме
152. «Гибридная» схема криптографической защиты
Симметричный ключСообщение
Открытый ключ
Сим.ключСим.ключ
Сообщение
Сим.ключ
Сообщение
153. Вероятностные шифры
• Одним из перспективных способов повышениястойкости известных шифров является задание
неопределённости хода шифрования
• Ti, i = 1,…, L – исходный алфавит
• fi , i = 1,…, L – частоты появления букв
• Ti i, i j = 0, i j,
количество элементов в i = fi
154. Вероятностные шифры
• Сообщение: ЮСТАС АЛЕКСУ• А {Б, В}
Е {Г}
Л {Е} С {Ж, З, И}
У {Л} Ю {М}
• Шифртекст:
К {Д}
Т {К}
_ {Н}
МЗКБЖНВЕДИЛ,
МЖКВИНБЕДЗЛ
Все символы сообщения равновероятны!