Как видим, вычисленное на обоих концах канала связи значение K одинаково, при этом по каналу передавались только значения Y1 и Y2, на основании которых потенциальный злоумышленник, прослушивавший канал, не сможет вычислить X1 и X2, равно как и общий секрет K.

    KEA
    Key Exchange Algorithm. Вариации на тему Diffie-Hellman.
    Q: Что такое Perfect Forward Secrecy?

A1. Если мне не изменяет мой склероз, Perfect Forward Secrecy -- это свойство протокола, заключающееся в том, что захват противником _криптографических_ параметров не приводит к нарушению

конфиденциальности данных, передаваемых _после_ события захвата. Пример.

Рассмотрим протокол, в котором передача очередного сообщения осуществляется следующим образом.

    1. Обе стороны генерируют пару секретный ключ - открытый
    ключ, и каждая сторона передает другой по доверенному, но
    _неконфиденциальному_ каналу, свой открытый ключ.

2. Передающая сторона генерирует свой секретный сеансовый ключ. 3. По протоколу открытого распределения ключей Диффи-Хеллмана сеансовый ключ передается стороне-получателю.

4. Отправитель шифрует сообщение на сеансовом ключе, отправляет получателю, а тот расшифровывает его.

5. Каждая из сторон уничтожает все ключи, а именно сеансовый ключ и свой секретный.

Передача одного сообщения должна являться одной транзакцией.

В этом протоколе ни до, ни после передачи сообщения стороны не владеют секретной информацией, которая может привести

    к раскрытию сообщения или ключей.

A2. Согласно IPSEC, Perfect Forward Secrecy -- это следующее свойство протокола: компрометация ключа приводит к раскрытию только тех данных, которые были зашифрованы на этом ключе.

    VII. Криптоанализ.
    Q: Какие есть методы криптоанализа, атаки на шифры?
    A: Распространена следующая классификация: FIXME!
    * ciphertext only attack (атака с известным шифртекстом).

* known plaintext attack (атака с известным открытым текстом) * chosen plaintext attack (атака с выбором открытого текста) * adaptive chosen plaintext attack (адаптивная атака с выбором открытого текста)

    * chosen ciphertext attack (атака с выбором шифртекста)

* adaptive chosen ciphertext attack (адаптивная атака с выбором шифртекста) * chosen text attack (атака с выбором текста)

    * chosen key attack (атака с выбором ключа)

* physical attack - атака, при которой используются физические методы перехвата;

например, так секретный ключ из смарт-карт вынимали - измеряя ток потребления при шифровании или облучая их гамма-излучением для того, чтобы сбросить ключ в ноль;

* social engineering attack - позвонить по телефону и грозным голосом приказать немедленно принести дискетку с ключом по такому-то адресу; : )

* man-in-the-middle attack (атака "человек посередине") - злоумышленник "разрывает" канал связи и взаимодействует с каждым из участников обмена от имени другого. Применяется, в частности, против алгоритма распределения ключей Диффи-Хэллмана. Легко нейтрализуется использованием вместо открытых ключей их сертификатов.

    Рассмотрим подробнее:

Допустим есть два законных абонента A и B, при этом у противника есть два варианта атаки:

- противник С выдает себя за абонета А и от его имени говорит с B; - противник C вклинивается между A и B и в протоколе с А выдает себя за В, а в протоколе с В выдет себя за А, то есть пропускает разговор через себя и тем самым подслушивает его. Также может навязывать ложную информацию.

Решение этой проблемы - центр доверия, куда помещаются открытые ключи абонентов сети. Центру доверия все верят. Предполагается, что Центр доверия не подвержен атакам.

В частности для рассылки открытых ключей предложена система сертификатов. Рекомендация X. 509 ITU-T описывает эти структуры и предложения по их использованию.

Q: Hасколько стойким является шифрование ZIP-архива с паролем?

A: Как доказал Paul Kocher, его стойкость оценивается в 2^38 операций. Подробнее см. статью "A Known Plaintext Attack on the PKZIP Stream Cipher" (Eli Biham, Paul C. Kocher).

Q: А как дешифровать пароли в UNIX, WINDOWS, NetWare? Насколько хорошо они защищены?

    A: В этих системах они защищены по-разному.

Если рассматривать проблему укрупненно, то можно выделить два основных подхода к хранению паролей, и, соответственно, к используемой схеме аутентификации.

Первый подход заключается в защищенном хранении паролей на сервере. При этом, в случае хищения базы с паролями, злоумышленник не сможет воспользоваться этими данными непосредственно, ему понадобится произвести некоторое количество преобразований (подчас весьма сложных), так как пароли преобразованы односторонней функцией, и узнать их можно только "прогоняя" различные варианты паролей через эту функцию и сравнивая результат; в данной ситуации, это - единственный способ дешифрования. Очевидно, что при таком подходе пользователь должен предъявлять серверу пароль в открытом виде, чтобы последний, произведя над ним соответствующее преобразование, сравнил полученный результат с записью в базе паролей. Ну, а коль скоро пароль предъявляется в открытом виде, возможен его перехват при передаче по каналам связи. Конечно, если использовать даже самую сложную функцию вида:

    y=f(x) (1)

где x - пароль, а y - значение односторонней функции (как правило, в качестве односторонней используется хэш-функция, которая должна обладать, как минимум, следующими характеристиками: ее значение имеет фиксированный размер независимо от размера параметра, а подбор параметра под заданное значение является сложной задачей), то одинаковым паролям будут соответствовать одинаковые значения функции. Злоумышленнику в этом случае достаточно будет один раз обработать большой словарь и в дальнейшем просто определять пароль по значению функции. Чтобы устранить эти недостатки в процесс вычисления вводят дополнительный элемент - salt, который для каждой генерации пароля выбирается случайным образом, после чего формула (1) приобретает вид: y=f(salt, x) (2)

а в базе паролей на сервере хранится пара чисел (salt, y). Такой подход к защите паролей применяется в большинстве UNIX-систем. В качестве преобразования (2) используется алгоритм шифрования DES (x выступает в роли ключа шифрования), либо алгоритм хэширования MD5.

Другой подход направлен на невозможность перехвата пароля при его передаче. В этом случае пользователь доказывает серверу, что ему известен правильный пароль, не путем предъявления его в открытом виде, а путем вычисления над предложенным сервером числом некоей функции, зависящей также и от пароля. В простейшем случае это может быть шифрование предложенного сервером числа, используя в качестве ключа пароль. Естественно, что для проверки значения функции, присланного пользователем, серверу необходимо повторить данное преобразование, а для этого, в свою очередь, он должен обладать паролем в открытом виде. Схема похожа на предыдущую, изменяется только место вычисления односторонней функции, а роль salt играет высылаемое сервером число. Очевидно, что при этом способе осуществления аутентификации, необходимо принять меры по недопущению несанкционированного доступа к базе паролей на сервере. Такой подход применяется в семействе ОС Novell NetWare, а также Windows NT.

Про атаки типа brute-force лучше прочитать отдельно для каждой системы. Для unix-подобных систем (и не только) см. программу John-The-Ripper. (primary site http: //www. false. com/security/john/)

    Для windows (pwl) - PWLCrack

(primary site http: //www. geocities. com/SiliconValley/Hills/7827) Для NetWare 3. x - http: //cybervlad. port5. com/nwpass/index. html (или более полную версию - netware. pdf, там же).

    Q: Какова минимально безопасная длина ключа?

A: Ответ на этот вопрос сложно зафиксировать, т. к. очень быстро меняется производительность техники. Развитие методов криптоанализа тоже не стоит на месте. Вобщем, лучше почитать статью Ю. Пудовченко на эту тему и перевод FAQ`а Thomas Pornin. Оба материала доступны на страничке "Криптографический ликбез" Длины ключей считаются по-разному для симметричных и несимметричных алгоритмов (и вообще для разных алгоритмов). Правильнее было бы говорить о мощности ключевого пространства. Так вот, для хороших симметричных алгоритмов в настоящее время считается достаточной длина ключа в 256 бит (ГОСТ, AES). Если полностью перебирать все возможные варианты (их придется перебрать в среднем около 10^77), даже если мы возьмем для этого 10 миллиардов компьютеров, каждый из которых способен перебрать 10 миллиардов ключей в секунду, то нам потребуется около 10^49 лет, чтобы найти ключ. Разговор про стойкость несимметричных алгоритмов, основанных на задаче факторизации, может идти начиная с ключей длиной 2048 бит (лучше 4096: ).

    VIII. Практическая эксплуатация.

Q: А зачем вообще эти юридические заморочки? Шифруется и ладно! A: Математические абстpакции (из коих в частности выpосла кpиптогpафия с откpытыми ключами) используются в пpикладных вещах, где используются для доказательства достовеpности сообщения, подтвеpждения автоpства, etc. после чего включаются законы данной стpаны.

Q: А вот закон об ЭЦП пока не принят, как мне грамотно организовать ее использование?

    A: Придется потрудиться : )

Между тобой и клиентом pисуется (пpимеpное название, можешь обозвать "пpотоколом", "договоpом" или еще более умно 8-)) "соглашение о пpизнании данного способа защиты инфоpмации". Высокие договаpивающиеся стоpоны _пpизнают_ данный способ обмена инфоpмацией между собой достовеpным и

_пpинимают_документы_, пеpеданные данным способом _к_ _исполнению_ (будь то платежки, договоpы, записки "пошли пива нажpемся"), пpи выполнении следующих условий.... (или вытащи это в пpиложение) начинается самая суpьезная часть, где оговаpиваются такие моменты:

* администpативно - оpганизационные: отдельное, помещение с огpаниченным доступом, дискеты с ключами только в сейфе - у пpедседателя в своем у главбуха в своем (это для фоpмиpования ЭЦП), тут за тpемя печатями спpятан эталонный обpазец софта. откpытые ключи pаспечатаны в двух экземляpах, подписаны и синимя печятямя 8-)) пpопечатаны. вот этот и этот специальный мужик, ответственны со своих стоpон за эксплуатацию. вот тута к договоpу пpилагаем ихие должностные инстpукции (покоpмил собак и ниче не тpогай). поpядок смены (даже в случае только подозpения о компpометации) ключей и ответственности за их неpазглашение. особенно оговаpивается, что ежели где чего сдохло в pезультате чего-то не пpедусмотpенного, то создается комиссия из пpедставителей заинтеpесованных стоpон и "базаp pазводят по понятиям без стволов и гнилых базаpов в суде" 8-)) - тpетейский суд или пеpеговоpы (вpоде так это юpидически)

* технические и софтвеpные особенности эксплуатации ТВОЕГО кpиптокомплекса. типа - балалайка - пень с установленным ДОСом, "СупеpКpиптоСофт", пpогpамма для мудема и ВСЕ! !

* _особенно_ оговаpивается, что оpигиналы и соответствующие им кpиптотексты хpанятся "стоко-то" (если пункта нет, то хpани 3 года, в соответствии с ГК), после чего все пpетензии стоpон посылаются к....

Q: Ну, а если всеже по электронному документу возник спор, что делать?

    A: Пpимеpный "поpядок pазpешения конфликтов".
    // "непpокоцаный тикет - повод для гнилого базаpа" 8-))

Страницы: 1, 2, 3, 4, 5, 6, 7