Инфокоммуникационные системы и сети (ИКСС)

Классические алгоритмы шифрования данных

Применяются следующие основные методы шифрования:

- подстановка (простая – одноалфавитная, многоалфавитная однопетлевая, многоалфавитная многопетлевая);

- гаммирование (смешивание с короткой, длинной или другой маской);

- перестановка (простая, усложненная).

Устойчивость каждого из перечисленных методов к дешифрованию без знания ключа характеризуется количественно с помощью показателя, представляющего собой минимальный объем зашифрованного текста, который может быть дешифрован посредством статистического анализа.

          Стандартные методы шифрования (национальные или международные) для повышения степени устойчивости к дешифрованию реализуют несколько этапов (шагов) шифрования, на каждом из которых используются различные «классические» методы шифрования в соответствии с выбранным ключом (ключами). Существуют две принципиально различные группы стандартных методов шифрования:

- шифрование с применением одних и тех же ключей (шифров) при шифровании и дешифровании (симметричное шифрование или системы с закрытыми ключами – private-key systems);

- шифрование с использованием открытых ключей для шифрования и закрытых ключей для дешифрования (несимметричное шифрованиеили системы с открытыми ключами – public-key systems).

          Строгое математическое описание алгоритмов стандартных методов шифрования слишком сложно. Для пользователей важны в первую очередь «потребительские» свойства различных методов (степень устойчивости к дешифрованию, скорость шифрования и дешифрования, порядок и удобство распространения ключей).

Стандартные методы шифрования и криптографические системы

          Стандарт шифрования США DES (Data Encryption Standard) действует с 1976 г., его относят к группе методов симметричного шифрования. Использует 16 шагов. Длина ключа – 64 бита, 8 из которых - проверочные разряды четности/нечетности. Степень устойчивости к дешифрованию этого метода долгое время считалась достаточной, однако в настоящее время он устарел. Вместо DES применяется «тройной DES» – 3DES, в котором алгоритм DES используется 3 раза в последовательности «шифрование – дешифрование – шифрование» с различными ключами на каждом из этапов.

          Достаточно надежным считается алгоритм IDEA (International Data Encryption Algorithm), имеет длину ключа 128 бит (разработан в Швейцарии).

Отечественный ГОСТ28147-89 - аналог DES, имеет длину ключа 256 бит, поэтому его степень устойчивости к дешифрованию значительно выше.

          Достоинством симметричных методов шифрования считается высокая скорость шифрования и дешифрования, недостатком – низкая степень защиты в случае, если ключ стал доступен третьему лицу.

          При использовании электронной почты в Интернет довольно популярны, несимметричные методы шифрования или системы с открытыми ключами – public-key systems. К таким методам относится, например, PGP (Pretty Good Privacy - достаточно хорошая секретность).

          Каждый из пользователей имеет пару ключей (открытый и закрытый). Открытые ключи предназначены для шифрования информации и свободно рассылаются по сети, но не позволяют произвести ее дешифрование. Для этого нужны специальные, секретные (закрытые) ключи. Принцип шифрования в данном случае основывается на применении так называемых односторонних функций.

          Преимущества и недостатки несимметричных методов шифрования обратные тем, которыми обладают симметричные методы. Например, в несимметричных методах с помощью посылки и анализа специальных служебных сообщений может быть выполнена процедура целостности (отсутствия подмены) и аутентификации (проверки легальности источника) данных. При этом выполняются операции шифрования и дешифрования с применением открытых ключей и секретного ключа конкретного абонента. Проблема рассылки ключей в несимметричных методах, в отличие от симметричных методов шифрования, решается проще - пары ключей (открытый и закрытый) генерируются пользователем при помощи специальных программ.

          Достаточно широко распространен способ, реализуемый с участием сторонней организации, которой доверяют все участники обмена информацией. Это так называемые цифровые сертификаты - посылаемые по сети сообщений с цифровой подписью, удостоверяющей подлинность открытых ключей.

Программные средства защиты информации

          Интегрированные средства защиты информации в сетевых ОС не всегда могут полностью решить возникающие на практике проблемы связанные с защитой информации.

          Специализированное программное обеспечение для защиты информации от несанкционированного доступа обладают существенно лучшими возможностями и характеристиками, чем интегрированные средства сетевых ОС. Кроме криптографических систем и программ шифрования, существует много других доступных внешних средств защиты данных. Наиболее часто упоминаются следующие системы, позволяющие контролировать и ограничивать информационные потоки:

-Firewalls – брандмауэры (firewall - огненная стена). Между локальной и глобальной сетями размещаются специальные промежуточные серверы, которые фильтруют и инспектируют весь проходящий через них трафик.

-Proxy-servers (proxy - доверенное лицо). Весь трафик сетевого и транспортного уровней между локальной и глобальной сетями полностью запрещается, а обращения из локальной сети в глобальную происходят через специальные серверы-посредники. Очевидно, что при такой схеме взаимодействия обращения из глобальной сети в локальную становятся невозможными в принципе. Этот метод, достаточно надежный метод, не дает защиты против сетевых атак на более высоких уровнях (вирусы, код Java и JavaScript).