2.4.2 Классические алгоритмы шифрования данных. Программные средства защиты
Классические алгоритмы шифрования данных. Программные средства защиты
Классические алгоритмы шифрования данных
Применяются следующие основные методы шифрования:
- подстановка (простая – одноалфавитная, многоалфавитная однопетлевая, многоалфавитная многопетлевая);
- гаммирование (смешивание с короткой, длинной или другой маской);
- перестановка (простая, усложненная).
Устойчивость каждого из перечисленных методов к дешифрованию без знания ключа характеризуется количественно с помощью показателя, представляющего собой минимальный объем зашифрованного текста, который может быть дешифрован посредством статистического анализа.
Стандартные методы шифрования (национальные или международные) для повышения степени устойчивости к дешифрованию реализуют несколько этапов (шагов) шифрования, на каждом из которых используются различные «классические» методы шифрования в соответствии с выбранным ключом (ключами). Существуют две принципиально различные группы стандартных методов шифрования:
- шифрование с применением одних и тех же ключей (шифров) при шифровании и дешифровании (симметричное шифрование или системы с закрытыми ключами – private-key systems);
- шифрование с использованием открытых ключей для шифрования и закрытых ключей для дешифрования (несимметричное шифрованиеили системы с открытыми ключами – public-key systems).
Строгое математическое описание алгоритмов стандартных методов шифрования слишком сложно. Для пользователей важны в первую очередь «потребительские» свойства различных методов (степень устойчивости к дешифрованию, скорость шифрования и дешифрования, порядок и удобство распространения ключей).
Стандартные методы шифрования и криптографические системы
Стандарт шифрования США DES (Data Encryption Standard) действует с 1976 г., его относят к группе методов симметричного шифрования. Использует 16 шагов. Длина ключа – 64 бита, 8 из которых - проверочные разряды четности/нечетности. Степень устойчивости к дешифрованию этого метода долгое время считалась достаточной, однако в настоящее время он устарел. Вместо DES применяется «тройной DES» – 3DES, в котором алгоритм DES используется 3 раза в последовательности «шифрование – дешифрование – шифрование» с различными ключами на каждом из этапов.
Достаточно надежным считается алгоритм IDEA (International Data Encryption Algorithm), имеет длину ключа 128 бит (разработан в Швейцарии).
Отечественный ГОСТ28147-89 - аналог DES, имеет длину ключа 256 бит, поэтому его степень устойчивости к дешифрованию значительно выше.
Достоинством симметричных методов шифрования считается высокая скорость шифрования и дешифрования, недостатком – низкая степень защиты в случае, если ключ стал доступен третьему лицу.
При использовании электронной почты в Интернет довольно популярны, несимметричные методы шифрования или системы с открытыми ключами – public-key systems. К таким методам относится, например, PGP (Pretty Good Privacy - достаточно хорошая секретность).
Каждый из пользователей имеет пару ключей (открытый и закрытый). Открытые ключи предназначены для шифрования информации и свободно рассылаются по сети, но не позволяют произвести ее дешифрование. Для этого нужны специальные, секретные (закрытые) ключи. Принцип шифрования в данном случае основывается на применении так называемых односторонних функций.
Преимущества и недостатки несимметричных методов шифрования обратные тем, которыми обладают симметричные методы. Например, в несимметричных методах с помощью посылки и анализа специальных служебных сообщений может быть выполнена процедура целостности (отсутствия подмены) и аутентификации (проверки легальности источника) данных. При этом выполняются операции шифрования и дешифрования с применением открытых ключей и секретного ключа конкретного абонента. Проблема рассылки ключей в несимметричных методах, в отличие от симметричных методов шифрования, решается проще - пары ключей (открытый и закрытый) генерируются пользователем при помощи специальных программ.
Достаточно широко распространен способ, реализуемый с участием сторонней организации, которой доверяют все участники обмена информацией. Это так называемые цифровые сертификаты - посылаемые по сети сообщений с цифровой подписью, удостоверяющей подлинность открытых ключей.
Программные средства защиты информации
Интегрированные средства защиты информации в сетевых ОС не всегда могут полностью решить возникающие на практике проблемы связанные с защитой информации.
Специализированное программное обеспечение для защиты информации от несанкционированного доступа обладают существенно лучшими возможностями и характеристиками, чем интегрированные средства сетевых ОС. Кроме криптографических систем и программ шифрования, существует много других доступных внешних средств защиты данных. Наиболее часто упоминаются следующие системы, позволяющие контролировать и ограничивать информационные потоки:
-Firewalls – брандмауэры (firewall - огненная стена). Между локальной и глобальной сетями размещаются специальные промежуточные серверы, которые фильтруют и инспектируют весь проходящий через них трафик.
-Proxy-servers (proxy - доверенное лицо). Весь трафик сетевого и транспортного уровней между локальной и глобальной сетями полностью запрещается, а обращения из локальной сети в глобальную происходят через специальные серверы-посредники. Очевидно, что при такой схеме взаимодействия обращения из глобальной сети в локальную становятся невозможными в принципе. Этот метод, достаточно надежный метод, не дает защиты против сетевых атак на более высоких уровнях (вирусы, код Java и JavaScript).