2013-12-31
856
Рис.8.6. Использование метода шифрования с открытым ключом
Рис.8.5. Использование симметричного метода шифрования с закрытым ключом
2. Асимметричные методы используют два взаимосвязанных ключа: для шифрования и расшифровывания. Один ключ является закрытым и известным только получателю. Его используют для расшифровывания. Другой ключ – открытый, т.е. он может быть общедоступным по сети и опубликован вместе с адресом пользователя. Его используют для выполнения шифрования.
Формально асимметричный метод можно описать следующим образом. Обозначим результат шифрования текста T с помощью открытого ключа E(T), а результат расшифровки текста с помощью закрытого ключа D(T). Тогда асимметричный метод должен отвечать следующим трем требованиям: 1) D(E(T)) = T; 2) D практически невозможно определить по E; 3) Е нельзя взломать за заданное время.
Преимущество указанного метода состоит в уменьшении количества ключей, с которыми приходится оперировать.
Однако данный алгоритм имеет существенный недостаток – требует значительной вычислительной мощности.
|
|
|
Использование асимметричного метода шифрования представлено на рис.8.6.
В настоящее время наиболее известными и надежными являются асимметричные алгоритмы RSA (Rivest, Shamir, Adleman) и Эль Гамаля.
Алгоритм RSA принят в качестве международных стандартов ISO/IEC/DIS 9594-8 и X.509. Алгоритм использует факт, что нахождение больших (например, 100-битных) простых чисел осуществляется достаточно легко, однако разложение на множители произведения двух таких чисел представляется в вычислительном отношении невыполнимым.
 |
Другим известным методом является алгоритм Эль Гамаля, положенный в основу стандарта MD 20899 Национального института стандартов и технологий США (NIST). Алгоритм основан на возведении в степень по модулю большого простого числа.
Следует сказать, что, если алгоритмы типа DES ограничивают длину ключа (в битах), то асимметричные алгоритмы могут быть реализованы при любой длине ключа. Чем ключ длиннее, тем выше криптостойкость системы, но больше время шифрования и расшифровывания.
Как отмечалось, основным недостатком асимметричных алгоритмов является их низкое быстродействие: они в несколько тысяч раз медленнее симметричных. Для исключения данного недостатка используют технологии сочетания симметричных и асимметричных методов шифрования. Например, текст может шифроваться быстродействующим симметричным алгоритмом, а секретный (случайный) ключ, сопровождающий текст, – асимметричным.
Важным преимуществом асимметричных методов является возможность идентификации отправителя путем использования его электронной подписи. Идея технологии электронной подписи состоит в следующем. Отправитель передает два экземпляра одного сообщения: открытое и расшифрованное его закрытым ключом (т.е. обратно шифрованное). Получатель шифрует с помощью открытого ключа отправителя расшифрованный экземпляр. Если он совпадет с открытым вариантом, то личность и подпись отправителя считается установленной.
|
|
|
Асимметричный метод обеспечивает реализацию электронной подписи при выполнении следующего тождества: E(D(T)) = D(E(T)) = T.
При практической реализации электронной подписи также шифруется не все сообщение, а лишь специальная контрольная сумма – хэш (hash total), защищающая послание от нелегального изменения. Важно, что электронная подпись здесь как гарантирует целостность сообщения, так и удостоверяет личность отправителя.
Вопросы реализации электронной подписи и вычисления ее хэша определены в отечественных стандартах “Информационная технология. Криптографическая защита информации”, а именно в ГОСТ Р 34.10-94 “Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма” и ГОСТ 34.11-94 “Функция хэширования”.
Отметим, что криптографические методы используются также для контроля целостности информации и программ. Для этого применяется шифрованная контрольная сумма исходного текста (имитоприставка), вычисленная с применением секретного ключа. В отличие от традиционной контрольной суммы, применяемой для защиты от программно-аппаратных сбоев и ошибок, имитоприставка обеспечивает защиту как от непреднамеренной, так и от преднамеренной модификации данных или программ.
Экранирование – это механизм обеспечения информационной безопасности в ИВС. Оно служит для разграничения информационных потоков на границе защищаемой сети, причем это разграничение выполняется в двух направлениях:
1) экранирование повышает безопасность объектов внутренней сети за счет игнорирования неавторизованных запросов из внешней среды. Это уменьшает уязвимость внутренних объектов, так как сторонний нарушитель должен преодолеть некоторый защитный барьер – межсетевой экран, в котором механизмы ОБИ сконфигурированы особенно тщательно и жестко;
2) экранирование позволяет контролировать информационные потоки, исходящие во внешнюю среду, что повышает режим конфиденциальности АС.
Кроме функций разграничения доступа, экранирование обеспечивает регистрацию информационных обменов.
Функции экранирования выполняет межсетевой экран или брандмауэр (firewall), под которым понимают программную или программно-аппаратную систему, выполняющую контроль информационных потоков, поступающих в АС и/или выходящих из АС, и обеспечивающую защиту АС посредством фильтрации информации.
Фильтрация информации состоит в анализе информации по совокупности критериев и принятии решения о ее распространении в (из) АС [30].
В общем случае межсетевой экран выполняет свои функции, контролируя все информационные потоки между двумя сегментами сети или сетями (рис.8.7).
| Множество информационных систем 1 | Множество информационных систем 2 | |||
| Э | ||||
 КЛИЕНТЫ
| К | СЕРВЕРЫ | ||
| Р | ||||
| СЕРВЕРЫ | А | КЛИЕНТЫ | ||
| Н |
