Mayroong isang hindi kapani-paniwalang bilang ng mga naka-bold na pahayag na lumulutang sa paligid ng Internet tulad ng asymmetric encryption ay mas mahusay kaysa sa simetriko encryption, tulad ng reverse. At kadalasan ang mga baguhan ay nakikinig sa mga salitang ito nang hindi man lang talaga nauunawaan ang ibig sabihin ng mga ito pinag-uusapan natin. Sinabi na ang AES ay cool o, sa kabaligtaran, ang mga panuntunan ng RSA, at lahat ay kinuha sa halaga ng mukha. Gayunpaman, ang diskarte na ito ay madalas na humahantong sa mga problema kapag, dahil sa hindi sapat na pag-unawa sa kakanyahan ng isyu, ganap na hindi kinakailangang mga bahagi ay ipinatupad o ang sistema ay naging walang pagtatanggol.
Samakatuwid, sa artikulong ito sasabihin ko sa iyo ang pangunahing minimum na dapat malaman ng isang baguhan. Walang mangyayari kumplikadong mga formula o mga katwiran sa matematika, ngunit ang pagkakaiba sa pagitan ng simetriko at walang simetrya na pag-encrypt ay ipapaliwanag, at ibibigay din ang ilang mahahalagang punto. Pero, unahin muna.
Symmetric encryption
Ang simetriko na pag-encrypt ay gumagamit lamang ng isang password (o bilang ito ay tinatawag ding key). Tingnan natin kung paano nangyayari ang lahat. Mayroong isang tiyak na mathematical encryption algorithm na tumatanggap ng password at text bilang input. Ang output ay naka-encrypt na teksto. Para makuha pinagmulan, ang parehong password ay ginagamit, ngunit may isang decryption algorithm (kung minsan ito ay maaaring pareho).
Sa madaling salita, sa sandaling malaman ng isang tao ang password na ito, agad na sira ang seguridad. Samakatuwid, kung gagamitin ang simetriko na pag-encrypt, dapat bigyan ng malaking pansin ang isyu ng paglikha at pagpapanatili ng seguridad ng password mismo. Hindi ito dapat maihatid sa bukas na anyo, hindi mahalaga kung ito ay isang network o isang piraso ng papel na naka-attach sa monitor. Ang password ay dapat sapat na kumplikado upang hindi ito makuha sa pamamagitan ng simpleng brute force. Kung ang isang password ay ginagamit ng higit sa isang tao, dapat mayroong isang ligtas na paraan para sa pamamahagi nito, pati na rin ang isang sistema ng abiso kung sakaling ang password ay malaman ng sinuman.
Sa kabila ng mga limitasyon nito, malawakang ginagamit ang simetriko na pag-encrypt. Higit sa lahat dahil sa kadalian ng pag-unawa sa buong proseso (isang password) at ang teknikal na pag-load (kadalasan ang gayong mga algorithm ay mabilis).
Asymmetric na pag-encrypt
Gumagamit ang Asymmetric encryption ng dalawang password - isang bukas (pampubliko) at isang pribado (lihim). Buksan ang password ay ipinadala sa lahat ng tao, habang ang pribadong password ay nananatili sa gilid ng server o iba pang receiver. Bukod dito, ang mga pangalan ay madalas na may kondisyon, dahil ang isang naka-encrypt na mensahe na may isa sa mga susi ay maaari lamang i-decrypt gamit ang isa pang key. Sa madaling salita, ang mga susi ay katumbas sa kahulugang ito.
Ang ganitong mga algorithm ng pag-encrypt ay nagpapahintulot sa password (key) na malayang maipamahagi sa network, dahil walang pangalawang key imposibleng makuha ang orihinal na mensahe. Ang SSL protocol ay nakabatay sa prinsipyong ito, na nagpapadali sa pagtatatag ng isang secure na koneksyon sa mga user dahil sa katotohanan na ang pribadong key (password) ay naka-imbak lamang sa gilid ng server. Kung napansin mo, pana-panahong lumalabas ang mensaheng "hindi secure na koneksyon" sa iyong browser kapag nagbukas ka ng site na may prefix na https. Nangangahulugan ito na medyo posible na ang pribadong susi ay matagal nang nabuksan, sinasabing nakompromiso din, at kilala ng mga umaatake. Samakatuwid, ang gayong secure na koneksyon ay maaaring hindi secure.
Sa kaso ng asymmetric encryption, ito ay nagiging mas simple sa mga tuntunin ng pag-iimbak ng mga password, dahil ang lihim na susi ay hindi kailangang ilipat sa sinuman. Sapat na para sa isang tao o server lamang ang makakaalam nito. Gayundin, nagiging mas madali ang isyu ng pag-crack ng password, dahil maaaring baguhin ng server ang key pair anumang oras at ipadala ang nilikhang pampublikong password sa lahat.
Gayunpaman, ang asymmetric encryption ay mas "mabigat", sa madaling salita, nangangailangan ito ng mas maraming mapagkukunan ng computer. Mayroon ding mga paghihigpit sa mismong proseso ng pagbuo ng pangunahing (kailangan pa rin nilang mapili). Samakatuwid, sa pagsasagawa, ang asymmetric encryption ay karaniwang ginagamit lamang para sa pagpapatunay at pagkilala sa mga user (halimbawa, pag-log in sa isang website), o upang lumikha ng session key para sa simetriko na pag-encrypt ( pansamantalang password para sa pagpapalitan ng data sa pagitan ng user at ng server), o upang lumikha mga digital na lagda, na naka-encrypt lihim na susi. Tulad ng malamang na naunawaan mo na, sa huling kaso, maaaring i-verify ng sinuman ang naturang lagda gamit ang isang pampublikong susi na magagamit sa publiko.
Mahahalagang Punto Tungkol sa Symmetric at Asymmetric Encryption
Ang pinakamahalagang pagkakaiba sa pagitan ng simetriko at asymmetric na pag-encrypt ay ang kanilang diskarte. Samakatuwid, kapag narinig o nabasa mo ang isang artikulo tungkol sa kanilang paghahambing tulad ng "ang algorithm na ito ay mas mahusay" nang hindi nagbabanggit ng mga partikular (ilang kundisyon at gawain), maaari mong ligtas na simulan ang paggawa ng iba pang mga bagay, dahil ito ay isang napakawalang silbi na aktibidad na katulad ng debate na "Alin ang mas mabuti ba ang tangke o barko?" Nang walang mga detalye, ni isa o ang isa. Gayunpaman, mayroong mahahalagang puntos, na nararapat na malaman:
1. Ang simetriko algorithm ay mabuti para sa paghahatid malalaking volume naka-encrypt na data. Ang isang asymmetric algorithm, lahat ng iba pang bagay ay pantay, ay magiging mas mabagal. Bilang karagdagan, upang maisaayos ang pagpapalitan ng data gamit ang isang asymmetric algorithm, dapat alam ng parehong partido ang pampubliko at pribadong key, o dapat mayroong dalawang ganoong pares (isang pares para sa bawat panig).
2. Ang Asymmetric encryption ay nagpapahintulot sa iyo na magsimula ng isang secure na koneksyon nang walang pagsisikap sa bahagi ng user. Ipinapalagay ng simetriko na algorithm na kailangan ng user na "sa anumang paraan malaman ang password." Gayunpaman, ito ay nagkakahalaga ng pag-unawa na asymmetric algorithm Hindi rin sila nagbibigay ng 100% na seguridad. Halimbawa, sila ay madaling kapitan ng man-in-the-middle attacks. Ang kakanyahan ng huli ay ang isang computer ay naka-install sa pagitan mo at ng server, na nagpapadala ng pampublikong key nito sa iyo, at ginagamit ang pampublikong susi ng server upang maglipat ng data mula sa iyo.
3. Mula sa punto ng view ng pag-hack (pagkompromiso) ng isang password, ang asymmetric algorithm ay mas madali, dahil kailangan lamang ng server na baguhin ang isang pares ng mga susi at ipamahagi ang nilikha na pampublikong susi. Sa kaso ng simetriko na pag-encrypt, ang tanong ay lumitaw kung paano ipadala ang susunod na password. Gayunpaman, ang mga paghihigpit na ito ay naiiwasan, halimbawa, sa magkabilang panig ang mga susi ay patuloy na nabuo ayon sa parehong algorithm, pagkatapos ay ang tanong ay tungkol sa pagpapanatiling lihim ng algorithm na ito.
4. Ang mga simetriko algorithm ay karaniwang binuo batay sa ilang mga bloke na may mathematical transformation function. Samakatuwid, mas madaling baguhin ang mga naturang algorithm. Ang mga asymmetric na algorithm ay karaniwang binuo sa ilan mga problema sa matematika, Halimbawa. Ang RSA ay binuo sa problema ng exponentiation at modulo. Samakatuwid, ang mga ito ay halos imposible o napakahirap baguhin.
5. Ang mga asymmetric na algorithm ay karaniwang ginagamit kasabay ng mga simetriko. Nangyayari ito nang humigit-kumulang sa mga sumusunod. Gamit ang isang asymmetric algorithm, ang isang session key na ginawa ng user para sa simetriko na pag-encrypt ay ipinapadala sa server, pagkatapos ay nangyayari ang pagpapalitan ng data gamit ang isang simetriko algorithm. Maaaring bahagyang magbago ang pagkakasunud-sunod o ang susi ay maaaring mabuo nang medyo naiiba, ngunit ang kahulugan ay halos pareho.
6. Ang paglikha ng mga secure na key (mga password) sa mga asymmetric algorithm ay isang napakahirap na bagay, sa kaibahan sa simetriko algorithm, kung saan ito ay sapat na upang mabuo ang susi ayon sa mga patakaran para sa pagbuo ng mga secure na password (mga numero, titik, kaso, atbp.). Gayunpaman, ang katotohanan na ang server lamang ang nakakaalam ng sikretong password ay ginagawang mas madaling panatilihing ligtas ang susi.
Pahayag ng hamon sa seguridad ng impormasyon
Symmetric encryption scheme
Sa pormal, ang isang simetriko na pamamaraan ng pag-encrypt ay maaaring ilarawan bilang mga sumusunod:
SE = (K, E, D) , Saan
- K - key generation algorithm K,
- E(M, K) = C - plaintext encryption algorithm M sa key K, ang resulta nito ay ciphertext C,
- D(C, K) = M - algorithm para sa pag-decrypting ng ciphertext C sa key K, ang resulta nito ay plaintext M
Ang proseso ng pagmemensahe ay maaaring ilarawan tulad ng sumusunod:
Ini-encrypt ng nagpadala ang mensahe gamit ang isang partikular na algorithm ng pag-encrypt, ang input nito ay ang orihinal (hindi naka-encrypt) na mensahe at ang susi. Ang output ng algorithm ay isang naka-encrypt na mensahe. Ang susi ay isang halaga na independiyente sa mensaheng naka-encrypt. Ang pagpapalit ng susi ay dapat baguhin ang naka-encrypt na mensahe.
Ang naka-encrypt na mensahe ay ipinadala sa tatanggap. Kino-convert ng tatanggap ang naka-encrypt na mensahe sa orihinal na mensahe gamit ang isang decryption algorithm at ang parehong key na ginamit sa encryption, o isang key na madaling nakuha mula sa encryption key.
Ang pinakamahalagang bahagi ng isang symmetric encryption scheme ay ang encryption algorithm na ginagamit nito. Sa kasalukuyan, ang mga algorithm ng block at stream encryption ay nakikilala:
- harangan ang mga cipher. Iproseso ang impormasyon sa mga bloke ng isang tiyak na haba (karaniwan ay 64, 128 bits, tulad ng sa DES o AES), paglalapat ng susi sa bloke sa sa inireseta na paraan, kadalasan sa pamamagitan ng ilang mga cycle ng shuffling at substitution, na tinatawag na rounds.
- stream ciphers, kung saan ang pag-encrypt ay isinasagawa sa bawat bit o byte ng orihinal (plain) na teksto gamit ang gamma.
Sa pagsasagawa, ang linya sa pagitan ng block at stream encryption algorithm ay medyo malabo (ang isang stream cipher ay madaling malikha batay sa isang block cipher, halimbawa, GOST 28147-89 sa gamma mode).
Ang mga scheme ng pag-encrypt na ginagamit sa mga block cipher ay tinatawag ding mga mode ng pag-encrypt.
Narito ang ilan sa mga symmetric encryption scheme:
- (ECB) Electronic Code Book
- (ECB CTS
- (CBC) Cipher Block Chaining Mode ng chaining ciphertext blocks
- (CBC CTS) Pagnanakaw ng CipherText
- () block chaining Block chaining mode
- (CBC$) Cipher Block Chaining na may random na IV (initialization vector) Mode ng block chaining na may random initialization vector
- (CBCC) cipher block chaining na may checksum Mode ng chaining ciphertext blocks na may checksum
- (PCBC) na nagpapalaganap ng cipher block chaining Mode ng block chaining na may error na pagpapalaganap
- (CBCPD) cipher block chaining ng pagkakaiba ng plaintext
- (CFB) Cipher Feed Back Mode puna sa pamamagitan ng ciphertext
- (OFB) Output Feed Back Output feedback mode
- (OFBNLF) output feedback na may nonlinear na function
- (PBC) plaintext block chaining
- (PFB) plaintext feedback Plaintext feedback mode
- (CTR) Counter Counter mode
- Maramihang pag-encrypt
- Doble
- Paraan ng Davis-Price
- Triple
- Tuchman scheme
- Tatlong key circuit
- Doble
Mga pangunahing istruktura ng cryptographic at ang kanilang lakas (mga primitibo at/o protocol)
Ang lakas ng cryptographic ng mga symmetric encryption scheme ay halos ganap na nakasalalay sa simetriko na encryption algorithm na ginamit dito. Bilang isang patakaran, kapag sinusuri ang lakas ng isang simetriko (single-key) na algorithm, ipinapalagay na ang pinaka simpleng circuit pag-encrypt - ECB. Ang paggamit ng iba pang mga scheme ay maaaring mapabuti ang ilang mga katangian ng algorithm, kabilang ang ilang mga kaso, ngunit hindi ang kabaligtaran.
Upang matiyak ang pagiging maaasahan ng mga simetriko na algorithm ng pag-encrypt, kinakailangan:
- ang cryptographic algorithm ay dapat na sapat na malakas upang ang ipinadalang naka-encrypt na mensahe ay hindi ma-decrypt nang walang susi, gamit lamang ang iba't ibang istatistikal na pattern ng naka-encrypt na mensahe o ilang iba pang paraan ng pagsusuri nito.
- ang seguridad ng ipinadalang mensahe ay dapat nakadepende sa lihim ng susi, ngunit hindi sa lihim ng algorithm. Ang algorithm ay dapat na masuri ng mga espesyalista upang ibukod ang presensya mahinang punto, sa pagkakaroon kung saan ang relasyon sa pagitan ng hindi naka-encrypt at naka-encrypt na mga mensahe ay hindi gaanong nakatago.
- ang algorithm ay hindi dapat lumabag sa lihim ng susi, kahit na ang kaaway ay may napakaraming pares ng mga plaintext at kaukulang ciphertext na nakuha gamit ang key na ito.
Bilang isang patakaran, ipinapalagay na ang mga kalahok sa naka-encrypt na pagpapalitan ng impormasyon ay ganap na nagtitiwala sa isa't isa, kung hindi man kung ang mga pagtatalo at hindi pagkakasundo ay lumitaw tungkol sa pagiging maaasahan ng mensahe, ang isang independiyenteng tagamasid ay hindi masasabi kung sino ang nagpadala nito.
Ang mga symmetric na crypto scheme, bilang panuntunan, ay nailalarawan sa pamamagitan ng mataas na bilis ng pag-encrypt/pag-decryption, na nagpapahintulot sa mga ito na magamit para sa mabilis na pag-encrypt ng malalaking volume ng impormasyon. Bilang karagdagan, sa tulong ng ilan sa kanila posible upang matiyak ang lahat ng tatlong mga katangian ng seguridad ng impormasyon: pagiging kompidensiyal, pagiging tunay, integridad.
- Ang pagiging kompidensiyal ng paghahatid ay nakasalalay sa lakas ng cipher at pagtiyak ng pagiging kumpidensyal ng susi ng pag-encrypt.
- Natitiyak ang pagiging tunay dahil sa katotohanan na nang walang paunang pag-decryption halos imposibleng magsagawa ng semantic modification at cryptographically forgery. pribadong mensahe. Ang isang pekeng mensahe ay hindi mai-encrypt nang tama nang hindi nalalaman ang sikretong susi.
- Tinitiyak ang integridad ng data sa pamamagitan ng pag-attach sa ipinadalang data espesyal na code(simulate insert) na nabuo gamit ang isang lihim na key. Ang copy insert ay isang uri ng checksum, ibig sabihin, ilang reference na katangian ng isang mensahe kung saan sinusuri ang integridad ng huli. Ang algorithm para sa pagbuo ng kunwa insert ay dapat tiyakin ang pagdepende nito, ayon sa ilang kumplikadong cryptographic na batas, sa bawat bit ng mensahe. Ang integridad ng mensahe ay na-verify ng tatanggap ng mensahe sa pamamagitan ng pagbuo, gamit ang isang lihim na susi, isang kunwa pagpapasok na tumutugma sa natanggap na mensahe at paghahambing nito sa natanggap na halaga ng kunwa pagpasok. Kung mayroong isang tugma, napagpasyahan na ang impormasyon ay hindi binago sa daan mula sa nagpadala hanggang sa tatanggap.
Ang pagkakaroon ng mataas na bilis ng pag-encrypt, pinapayagan ng mga single-key na cryptosystem ang paglutas ng marami mahahalagang gawain proteksyon ng impormasyon (halimbawa, napakaepektibong gumamit ng mga simetriko na algorithm upang i-encrypt ang mga lokal na mapagkukunan, hard drive, Halimbawa). Gayunpaman, ang autonomous na paggamit ng simetriko na mga cryptosystem sa mga network ng kompyuter itinataas ang problema ng pamamahagi ng mga susi sa pag-encrypt sa pagitan ng mga user.
Mga praktikal na aplikasyon ng mga istrukturang cryptographic, mga tampok ng kanilang pagpapatupad (Mga praktikal na isyu)
Ang praktikal na aplikasyon ng mga scheme ng pag-encrypt ay makikita sa maraming bahagi ng ating buhay, halimbawa, ang ECB scheme ay ginagamit para sa key encryption, ang CBC at CFB scheme ay ginagamit para sa data authentication, ang CFB scheme ay ginagamit din para sa encryption. indibidwal na mga karakter. Ang OFB circuit ay kadalasang ginagamit sa mga channel na may mataas na ingay (halimbawa, mga sistema ng satellite komunikasyon). Ang scheme ng pag-encrypt ng PCBC ay gumagamit ng mga protocol ng Kerberos v4 at WASTE
Ngayon sa komunidad ng dalubhasa ay mayroon malaking bilang Mayroong kontrobersya tungkol sa kung alin ang mas mahusay: simetriko o walang simetrya na pag-encrypt. Gayunpaman, maraming mga gumagamit pandaigdigang network tanggapin ang isang punto ng pananaw o iba pa, nang buo, nang hindi nauunawaan ang kahulugan ng mga terminong ito. Ito naman ay humahantong sa maraming problema. Sa partikular, ang mga hindi kinakailangang bahagi ay ipinapasok sa system na binuo o nananatili itong walang tamang antas ng proteksyon.
Samakatuwid, sa ibaba ay sasabihin namin sa iyo kung ano ito simetriko At asymmetric encryption sa simpleng salita.
Symmetric encryption sa mga simpleng salita
Ang isang tampok ng simetriko na pag-encrypt ay ang pagkakaroon ng isang password. Sa ibang paraan ito ay tinatawag ding susi.
Kaya, ang algorithm ay ang mga sumusunod. Mayroong isang tiyak na mathematical encryption algorithm. Siya ay ibinigay sa kanyang pasukan tiyak na password at text. Sa output natatanggap namin ang teksto sa naka-encrypt na form. Upang makuha ang orihinal na text, dapat mong gamitin ang parehong password na ginamit sa input, o ibang password na may decryption algorithm.
Kung titingnan natin ang sitwasyong inilarawan sa itaas mula sa ibang anggulo, makikita natin na kung ang password ay inilipat sa ibang tao, ang seguridad ng system ay nilabag.
Kaya, kapag gumagamit ng simetriko na pag-encrypt, ito ay nagkakahalaga espesyal na atensyon bigyang pansin ang kaligtasan ng password mismo. Sa pagsasaalang-alang na ito, ang password ay hindi maipapasa sa sinuman sa malinaw na teksto, dapat itong medyo kumplikado, at isang sistema para sa pag-abiso sa mga interesadong partido ay dapat ibigay sa kaso ng pagkawala nito.
Dapat pansinin na sa kabila ng mga nuances sa itaas, ang simetriko na pag-encrypt ay medyo laganap, na dahil sa dalawang mga kadahilanan:
- Madaling maunawaan;
- Walang mabigat na teknikal na pagkarga.
Asymmetric encryption sa mga simpleng salita
Ang asymmetric encryption, sa kabaligtaran, ay nagsasangkot ng paggamit ng dalawang password - isang bukas (pampublikong susi) at isang pribado (pribado). Ang bukas naman ay kumakalat sa lahat mga interesadong partido. Ang pribado ay kilala lamang sa taong tumatanggap ng impormasyon at sa server. Kaya, sa ilang lawak, napapansin natin ang pagkakapareho ng dalawang susi.
Mahalaga na ang mga algorithm na ginamit sa asymmetric encryption ay nagbibigay ng kakayahang malayang ipamahagi ang mga susi sa loob ng network, dahil walang pangalawang password ay hindi posibleng ma-access ang data.
Ang prinsipyong ito ay pinagbabatayan SSL protocol, na nagpapahintulot sa iyo na magtatag ng isang secure na koneksyon sa mga user dahil sa katotohanan na ang pribadong key ay nasa gilid ng server.
Ang pag-iimbak ng mga password ay mas madali din sa asymmetric encryption dahil hindi na kailangang ibahagi ang sikretong key sa sinuman. Hindi ito kailangang ipasa kahit kanino.
Kasabay nito, ang ganitong uri ng pag-encrypt ay higit na hinihingi sa kapasidad ng mapagkukunan ng computer. Sa partikular, may mga paghihigpit sa mismong proseso ng paglikha ng pangunahing. Sa pagsasaalang-alang na ito, para sa karamihan, ang asymmetric encryption ay kadalasang ginagamit lamang para sa layunin ng pagpapatunay at pagkakakilanlan ng mga gumagamit ng system o para sa layunin ng pagbuo ng mga naka-encrypt na digital na lagda. pribadong susi. Malinaw na ang naturang lagda ay mapapatunayan ng sinuman sa pamamagitan ng paggamit ng pampublikong password.
Mga pagkakaiba sa pagitan ng simetriko at asymmetric na pag-encrypt
Ang pangunahing pagkakaiba sa pagitan ng mga uri ng pag-encrypt na isinasaalang-alang ay nasa mismong diskarte. Samakatuwid sa sa kasong ito, gaya ng nabanggit sa itaas, hindi masasabi ng isa na ang isa ay mas mahusay kaysa sa isa nang hindi isinasaalang-alang ang mga detalye ng paggamit.
Kaya, ang simetriko na pag-encrypt ay pinakaangkop para sa pagpapadala ng malaking halaga ng impormasyon. Kapag ginamit nang katulad, ang asymmetric algorithm ay mas mabagal.
Nagbibigay-daan sa iyo ang Asymmetric encryption na magtatag ng mga secure na koneksyon nang wala espesyal na pagsisikap mga gumagamit. Ang simetriko na pag-encrypt, sa kabilang banda, ay nangangailangan ng gumagamit na gumamit ng isang password upang makuha ang data.
Mas madaling baguhin ang mga simetriko na algorithm, dahil ang mga ito ay itinayo batay sa ilang mga bloke na may mga pag-andar ng pagbabagong matematika. Ang mga walang simetriko, sa turn, ay batay sa mga problema sa matematika.
Ang pagbuo ng mga password gamit ang isang simetriko algorithm ay mas madali kaysa sa asymmetric algorithm.
Mga konklusyon
Isinasaalang-alang ang nasa itaas, maaari nating tapusin na ang saklaw ng aplikasyon ng mga algorithm ng pag-encrypt ay iba. Samakatuwid, kapag gumagamit ng simetriko o asymmetric na algorithm, dapat mong palaging isaalang-alang ang mga kundisyon tiyak na gawain. Sa partikular, ang posibilidad ng paggamit ng kanilang mga hybrid ay maaaring isaalang-alang.
Computer science, cybernetics at programming
Ang pag-encrypt ay ang pagbabagong-anyo ng data sa isang hindi nababasang anyo gamit ang mga susi sa decryption ng decryption ng encryption. Binubuo ito ng: isa o higit pang mga algorithm para sa pag-encrypt ng mga mathematical formula; ang mga susi na ginagamit ng mga algorithm ng pag-encrypt na ito; mga pangunahing sistema ng pamamahala; plaintext; at ciphertext ciphertext. Mayroong dalawang pamamaraan para sa pagpoproseso ng cryptographic na impormasyon gamit ang mga susi: simetriko at walang simetrya. Isang simetriko lihim na pamamaraan kung saan pareho para sa pag-encrypt at pag-decryption...
1. Mga pangunahing kaalaman sa cryptography.
Ang pangangailangan para sa isang seryosong diskarte sa seguridad ng impormasyon ay humahantong sa amin sa mga pangunahing konsepto ng cryptography, ang mga konsepto ng "digital protection", "digital signature" at encryption.
Ang Cryptography ay ang agham ng pagtiyak ng seguridad ng data. Naghahanap siya ng mga solusyon sa apat na mahahalagang problema sa seguridad - pagiging kumpidensyal, pagpapatunay, integridad at kontrol ng kalahok. Ang pag-encrypt ay ang pagbabago ng data sa isang hindi nababasang anyo gamit ang encryption-decryption (decryption) keys. Binibigyang-daan ka ng pag-encrypt na tiyakin ang pagiging kumpidensyal sa pamamagitan ng pagpapanatiling lihim ng impormasyon mula sa mga hindi nilayon.
Gumagana ang cryptosystem ayon sa isang tiyak na pamamaraan (pamamaraan). Binubuo ito ng: isa o higit pang mga algorithm ng pag-encrypt (mga formula sa matematika); ang mga susi na ginagamit ng mga algorithm ng pag-encrypt na ito; mga pangunahing sistema ng pamamahala; plaintext; at ciphertext (ciphertext).
2. Symmetric at asymmetric encryption.
Mayroong dalawang pamamaraan para sa pagpoproseso ng cryptographic na impormasyon gamit ang mga susi: simetriko at walang simetrya.
Symmetrical (lihim)metodolohiya kung saanpara sa parehong pag-encrypt at pag-decryption, ang nagpadala at tatanggap ay gumagamit ng parehong susi, ang paggamit ng kung saan sila ay napagkasunduan bago magsimula ang pakikipag-ugnayan (Larawan 1.3.). Kung ang susi ay hindi nakompromiso, ang decryption ay awtomatikong nagpapatotoo sa nagpadala, dahil ang nagpadala lamang ang may susi kung saan i-encrypt ang impormasyon, at ang tatanggap lamang ang may susi kung saan i-decrypt ang impormasyon. Dahil ang nagpadala at tumanggap ay ang tanging nakakaalam nito simetriko na susi, kung ang susi ay nakompromiso, tanging ang pakikipag-ugnayan sa pagitan ng dalawang user na ito ang makokompromiso.
kanin. 1.3.
Ang mga symmetric encryption algorithm ay hindi gumagamit ng mga key nang napakahusay mahabang haba at mabilis na makakapag-encrypt ng malaking halaga ng data.
Kasama sa mga tool na available ngayon na gumagamit ng simetriko na pamamaraan, halimbawa, mga ATM network. Ang mga sistemang ito ay orihinal na mga pagpapaunlad ng mga bangko na nagmamay-ari sa kanila at hindi ibinebenta
Kabilang sa mga symmetric encryption algorithm, ang encryption algorithm ay malawakang ginagamit DES (imbento ng IBM), na inirerekomenda para sa paggamit sa mga bukas na sektor ng ekonomiya ng US. Ang algorithm na ito ay una nang napahamak sa isang limitadong habang-buhay dahil sa ang haba ng key ay limitado sa 56 bits. Sa kasalukuyan, ang isang propesyonal ay nakakapag-crack ng ganoong susi para sa isang bayad na medyo katanggap-tanggap para sa mga badyet ng maraming mga bansa at mga korporasyon.
Ang sitwasyon ay pinalala ng katotohanan na ayon sa batas ng US, ang mga sistema ng pag-encrypt na may susi na hindi hihigit sa 40 bits ay pinapayagan para sa pag-export bilang mga produkto ng software. Yung. Kapag bumibili ng isang sistema ng pag-encrypt na may susi na 1024 o 2048 o higit pang mga bit, kailangan mong malaman na kapag binago ang susi, ang aktibong (nagbabagong) bahagi ay magiging 40-bit na bahagi ng susi. Ang mga sistema ng simetriko na pag-encrypt ay may isang karaniwang disbentaha, na ang kahirapan sa pamamahagi ng mga susi. Kung ang susi ay naharang ng isang third party, ang naturang cryptographic na sistema ng proteksyon ay makokompromiso. Kaya, kapag pinapalitan ang susi, dapat itong kumpidensyal na maipasa sa mga kalahok sa mga pamamaraan ng pag-encrypt. Malinaw, ang pamamaraang ito ay hindi angkop kapag kailangan mong magtatag ng mga secure na koneksyon sa libu-libo o higit pang mga subscriber sa Internet. Ang pangunahing problema na nauugnay sa pamamaraang ito ay kung paano bumuo at ligtas na magpadala ng mga susi sa mga kalahok sa pakikipag-ugnayan. Paano magtatag ng isang secure na channel ng paghahatid ng impormasyon sa pagitan ng mga kalahok sa pakikipag-ugnayan upang ilipat ang mga susi sa mga hindi secure na channel ng komunikasyon? Ang kakulangan ng isang secure na paraan ng pagpapalitan ng susi ay naglilimita sa pagkalat ng simetriko na mga diskarte sa pag-encrypt sa Internet.
Sinubukan nilang lutasin ang problemang ito sa pamamagitan ng pagbuoAsymmetrical (bukas)pamamaraan ng pag-encrypt.Ine-encrypt nito ang isang dokumento gamit ang isang key at i-decrypt ito gamit ang isa pa.. Ang bawat kalahok sa paghahatid ng impormasyon ay nakapag-iisa na bumubuo ng dalawang random na numero (lihim (pribado) at pampublikong mga susi).
Pampublikong susi ipinadala ng bukas na mga channel komunikasyon sa isa pang kalahok sa proseso ng cryptoprotection, ngunit ang lihim na susi ay pinananatiling lihim.
Ini-encrypt ng nagpadala ang mensahepampublikong susi ng tatanggap, A Tanging ang may-ari ng pribadong key ang makakapag-decrypt nito.
Ang pampublikong susi ay hindi kailangang itago. Hindi mahalaga kung sino ang nakakaalam binigay na susi, dahil nilayon lamang ito para sa pag-encrypt ng data. Ang pamamaraang ito ay angkop para sa malawak na aplikasyon. Kung magtatalaga ka sa bawat user sa Internet ng sarili nilang pares ng mga susi at mag-publish ng mga pampublikong key bilang mga numero phone book, pagkatapos halos lahat ay makakapagpalitan ng mga naka-encrypt na mensahe sa isa't isa. Parang isang kahon na may dalawang pinto na may magkaibang panig. Ang bawat pinto ay may sariling lock. Ang dokumento ay inilalagay sa kahon, naka-lock, at naka-unlock sa kabilang panig kasama ang susi ng tatanggap.
Tinatawag itong cryptographic protection algorithm RSA. Ang pangalan ay binubuo ng mga unang titik ng mga apelyido ng 3 Amerikanong mathematician na bumuo ng algorithm. Ginamit ang teorya ng pangunahing numero.
Ang lahat ng asymmetric cryptosystem ay napapailalim sa mga brute force na pag-atake at samakatuwid ay dapat gumamit ng mas mahahabang key kaysa sa mga ginagamit sa simetriko na cryptosystem upang magbigay ng katumbas na antas ng seguridad. Ito ay may agarang epekto sa mga mapagkukunan ng computing na kinakailangan para sa pag-encrypt. RSA ay naging isang pamantayan sa industriya na asymmetric key algorithm na ginagamit ng mga negosyo para sa digital signature at encryption.
3. C digital na lagda.
Digital na lagda pinoprotektahan ang dokumento mula sa mga pagbabago o pagpapalit at sa gayon ay ginagarantiyahan ang pagiging tunay nito. Ito ay isang string na nagko-encode ng mga katangian ng dokumento (file checksum, atbp.) at mga nilalaman nito upang ang anumang pagbabago sa file, habang ang lagda ay nananatiling hindi nagbabago, ay nakita.
Kapag ang isang dokumento (email attachment) ay protektado ng CPU, ang CPU na ito ay isinasaalang-alang hindi lamang ang dokumento, kundi pati na ringayundin ang pribadong susi ng nagpadala at ang pampublikong susi ng tatanggap.Tanging ang may-ari ng pribadong susi ang makakapagpirma ng tama sa teksto ng dokumento.
Upang suriin ang CPU ng dokumento, ginagamit ng tatanggap (gamit ang isang espesyal na utility) ng pampublikong susi ng nagpadala.Walang ibang mga pares ng key ang angkop para sa pag-verify. Kaya, hindi tulad ng isang regular na lagda, ang CPU ay nakasalalay sa dokumento at gayundin sa mga susi ng nagpadala. Iyon ang dahilan kung bakit ito ay ilang mga order ng magnitude na mas mataas kaysa sa karaniwang lagda at selyo.
Bine-verify lamang ng CPU ang pagiging tunay ng dokumento, ngunit hindi ito pinoprotektahan mula sa hindi awtorisadong pagbabasa.
Ang mga sistema ng pag-encrypt ng simetriko at walang simetrya ay may kanya-kanyang mga pakinabang at disadvantages. Ang mga disadvantage ng isang simetriko na sistema ng pag-encrypt ay mahirap palitan ang isang nakompromisong key, at ang mga kawalan asymmetrical system pag-encrypt sa medyo mababang bilis.
Sa kasalukuyan, ang mga sistema ng pag-encrypt ay naging laganap na gumagamit ng pinagsamang algorithm na nagbibigay-daan mataas na bilis likas na pag-encrypt DES gumamit ng bukas na pagpapasa ng mga susi sa pag-encrypt (tulad ng sa RSA).
Upang maiwasan ang mabagal na bilis ng mga asymmetric encryption algorithm, isang pansamantalang simetriko na key ang bubuo para sa bawat mensahe. Ang mensahe ay naka-encrypt gamit ang pansamantalang simetriko session key. I-encrypt ang session key na ito gamit ang asymmetric public key ng recipient at isang asymmetric encryption algorithm.Dahil ang session key ay mas maikli kaysa sa mismong mensahe, ang oras ng pag-encrypt nito ay magiging medyo maikli.Ang naka-encrypt na session key na ito, kasama ang naka-encrypt na mensahe, ay ipapadala sa tatanggap. Ginagamit ng tatanggap ang parehong asymmetric encryption algorithm at ang kanilang sikretong key para i-decrypt ang session key, at ang resultang session key ay ginagamit para i-decrypt ang mismong mensahe.
4. Pagproseso ng impormasyon gamit ang pinagsamang algorithm.
Ang pagkakasunud-sunod ng pagproseso ng impormasyon gamit ang pinagsamang algorithm ay ipinakita sa ibaba (Larawan 4.1).
Ang mga walang simetrya na pampubliko at pribadong susi ay nananatili sa may-ari. Ang nagpadala at tumatanggap ng impormasyon ay nagpapalitan ng mga pampublikong asymmetric key.
Ang isang elektronikong lagda ng teksto ay nilikha. Ang natanggap na halaga ay naka-encrypt gamit ang walang simetrya na pribadong key ng nagpadala, at pagkatapos ay ang resultang string ng mga character ay idinagdag sa ipinadalang teksto (tanging ang nagpadala lamang ang maaaring lumikha ng isang electronic na lagda).
Ang isang lihim na simetriko key ay nilikha na gagamitin upang i-encrypt lamang ang mensahe o session na iyon (session key).
Pagkatapos, gamit ang isang simetriko na encryption/decryption algorithm at ang key na ito, ang orihinal na text ay naka-encrypt kasama ang electronic signature na idinagdag dito - ang ciphertext ay nakuha.
Ang session key ay naka-encrypt na ngayon gamit ang isang asymmetric encryption-decryption algorithm at ang asymmetric public key ng tatanggap.
Ang naka-encrypt na session key ay idinagdag sa ciphertext (na kasama rin ang electronic signature na idinagdag kanina).
Ang buong natanggap na data packet (ciphered text, na kinabibilangan, bilang karagdagan sa orihinal na text, electronic signature nito, at ang naka-encrypt na session key) ay ililipat sa tatanggap.
Ginagawa ng tatanggap ang mga aksyon sa reverse order. Una kailangan mong lutasin ang problema sa pag-decryption ng session key. Kinukuha nito ang naka-encrypt na session key mula sa natanggap na packet. Gamit ang kanyang pribadong key at ang parehong asymmetric encryption algorithm, ide-decrypt ng tatanggap ang session key.
Inilalapat ng tatanggap ang parehong symmetric encryption-decryption algorithm at ang decrypted symmetric (session) key sa ciphertext at natatanggap ang orihinal na text kasama ang electronic signature.
Ihihiwalay ng tatanggap ang electronic signature mula sa orihinal na text.
Ang digital signature ng text ay na-verify gamit ang public key ng nagpadala at isang asymmetric encryption-decryption algorithm.
Kung ito ay napatunayang mapagkakatiwalaan, ang teksto ay hindi binago.
Isang magandang halimbawa ganyan pinagsamang sistema makikilala ang mga produkto Notarius at Athena kumpanya ng Lancrypto. Ang pagkakaiba sa inilarawang scheme ay ang electronic signature at encryption algorithm ay nahahati sa dalawang independiyenteng pamamaraan, at kapag gumagawa ng simetriko session encryption key, isang random na numero na "markant" ay idinagdag sa susi. Ang "markant" na ito ay idinagdag sa teksto ng naka-encrypt na mensahe at ipinadala sa malinaw na teksto sa koresponden upang i-decrypt ang mensahe. Nang matanggap ang mensahe, tinanggal niya ang "markant" at, gamit ang kanyang sikreto at pampublikong mga susi ng nagpadala at ang "markant," ay lumilikha ng isang simetriko na decryption key para sa natanggap na mensahe. Dahil ang "markant" ay nagbabago mula sa session hanggang sa session, kahit na may decrypted na text ng mensahe ay imposibleng mahulaan ang susi ng susunod na session.
Ang pangunahing prinsipyo ng public-private key system ay ang "Isa" ay maaaring pumirma sa isang dokumento at i-encrypt ito ng "Dalawa". Maaaring i-decrypt ng "Dalawa" ang dokumento, alam na ito ay mula sa "Isa," at i-verify ang lagda ng "Isa." Ngunit ang computer na "Dalawang" ay hindi maaaring pumirma sa isang dokumento na may lagda na "Raz" at hindi maaaring i-encrypt ang dokumento mula sa "Raz" sa sarili nito, i.e. hindi niya magagawang pekein ang dokumento mula sa "Dalawa".
Paano protektahan ang mga pampublikong susi mula sa panggagaya
Sa mga pampublikong key cryptosystem, hindi mo kailangang protektahan ang mga pampublikong key mula sa hindi awtorisadong pag-access. Sa kabaligtaran, mas malawak ang pagkalat nila, mas mabuti. Gayunpaman, mahalagang protektahan ang mga pampublikong susi mula sa pakikialam upang matiyak na ang susi ay talagang pagmamay-ari ng taong may pangalang taglay nito.
Sabihin nating gusto mong magpadala ng pribadong mensahe kay Alice. Ida-download mo ang pampublikong susi ni Alice mula sa ilang bulletin board system (BBS). Ine-encrypt mo ang iyong liham kay Alice gamit ang kanyang pampublikong susi at ipadala ito sa system email ang parehong BBS.
Sa kasamaang-palad, lingid sa iyo o kay Alice, isa pang user na nagngangalang Victor ang pumasok sa BBS at bumuo ng pampublikong key na naglalaman ng user ID ni Alice. Palihim niyang pinapalitan ang kanyang pekeng susi para sa tunay na pampublikong susi ni Alice. Ginagamit mo ang pekeng susi na ito nang walang ingat, pagmamay-ari ni Victor, sa halip na pampublikong susi ni Alice. Mukhang maayos ang lahat dahil ang pekeng susi ay nagdadala ng user ID ni Alice. Ngayon ay maaari nang i-decrypt ni Victor ang mensaheng inilaan para kay Alice, dahil nasa kanya ang sikretong susi mula sa pekeng pares. Maaari pa rin niyang i-encrypt muli ang mensaheng na-decryption niya gamit ang totoong susi ni Alice at ipadala ito sa kanya nang walang nakakapansin. Bukod dito, makakapaglapat pa siya ng pirma sa ngalan ni Alice, na magmumukhang totoo, dahil lahat ay gagamit ng pekeng susi para i-verify ito.
Ang tanging paraan Upang maiwasan ang gayong istorbo ay ang pag-alis ng posibilidad ng palsipikasyon ng mga pampublikong susi. Kung natanggap mo ang pampublikong susi ni Alice nang direkta mula sa kanya, walang problema. Ngunit ito ay maaaring mahirap kung si Alice ay libu-libong milya ang layo, o para sa iba pang mga kadahilanan na imposibleng makilala siya nang personal.
Marahil ang pampublikong susi ni Alice ay maaaring ibigay sa iyo ng iyong kapwa kaibigan na si Henry, na pareho ninyong pinagkakatiwalaan at nakakaalam na nasa kanya ang tunay na susi ng Alice. Maaaring lagdaan ni Henry ang pampublikong susi ni Alice, kaya ginagarantiyahan ang integridad nito. Dapat niyang gamitin ang sarili niyang pribadong susi para pumirma.
Ang pamamaraang ito ay lumilikha ng isang nilagdaang public key certificate na nagpapatunay na ang susi ni Alice ay hindi na-tamper. Siyempre, para ma-verify mo na tama ang pirma ni Henry, dapat ay mayroon kang kilalang tamang kopya ng kanyang pampublikong susi. Marahil ay maaari ding bigyan ni Henry si Alice ng pinirmahang kopya ng iyong susi. Si Henry ay magsisilbing tagapamagitan sa pagitan mo at ni Alice.
Ang pinirmahang public key certificate na ito ay maaaring i-upload sa BBS ni Alice o Henry, kung saan maaari mo itong kopyahin sa ibang pagkakataon. Dahil na-verify mo ang pirma ni Henry gamit ang kanyang pampublikong susi, makatitiyak kang susi talaga ito ni Alice. Walang kontrabida ang makakapanlinlang sa iyo na maniwala na ang pekeng susi na ginawa niya ay pag-aari ni Alice, dahil walang sinuman ang maaaring pekein ang pirma ni Henry.
Ang isang malawak na pinagkakatiwalaang entity ay maaaring maging dalubhasa sa pamamagitan ng mga user sa pamamagitan ng paglagda sa kanilang mga public key certificate. Ang pinagkakatiwalaang indibidwal na ito ay maaaring ituring na isang "pinagkakatiwalaang certifier." kahit sino pampublikong susi, na na-certify sa pamamagitan ng pirma ng isang awtorisadong nagpapatunay, ay mapagkakatiwalaan sa kahulugan na ito ay pagmamay-ari ng taong may pangalang taglay nito. Ang lahat ng user na nagnanais na lumahok sa pagpapatupad ng naturang network ng distributed trust ay dapat magkaroon ng kilalang totoong kopya ng susi ng awtorisadong certifier upang ma-verify ang pirma ng huli. Sa ilang mga kaso, ang isang pinagkakatiwalaang certifier ay maaari ring magpanatili ng isang pangunahing server, na nagpapahintulot sa mga gumagamit ng network na maghanap ng mga pampublikong susi sa pamamagitan ng pagtatanong sa pangunahing server, ngunit hindi kinakailangan na ang isa na nagpapanatili ng pangunahing server ay siya ring nagpapatunay sa kanila.
Ang nag-iisang awtoridad na certifier ay partikular na angkop para sa malalaking organisasyong pinamamahalaan ng sentral, pamahalaan o korporasyon. Gumagamit ang ilang kapaligiran ng organisasyon ng mga hierarchy ng mga pinagkakatiwalaang awtoridad sa certificate.
Para sa mga desentralisadong kapaligiran, malamang na mas naaangkop ito kaysa sa paggawa ng isang sentralisadong pinagkakatiwalaang awtoridad sa sertipiko upang payagan ang lahat ng mga user na kumilos bilang mga tagapamagitan.
Paano nalulutas ang problema? ligtas na pag-update at paglilipat ng mga susi sa mga hindi secure na channel ng telekomunikasyon? Sa USA ito ay nalutas sa ganitong paraan:
Ang mga walang simetriko pampubliko at pribadong key ay ligtas na nabuo at ipinamamahagi. Ang pribadong asymmetric key ay ililipat sa may-ari nito. Ang asymmetric na pampublikong key ay naka-imbak sa isang X.500 database at pinangangasiwaan ng isang awtoridad sa sertipiko (sa English - Certification Authority o CA).
Ang nagpadala ay dapat na may asymmetric certificate authority (CA) public key. Ang pagharang sa mga hindi naka-encrypt na kahilingan para sa pampublikong key na ito ay isang karaniwang paraan ng pag-atake. Maaaring umiral ang buong sistema mga sertipiko na nagpapatunay sa pagiging tunay ng pampublikong susi ng CA. Ang pamantayang X.509 ay naglalarawan ng ilang mga pamamaraan para sa mga user na makakuha ng mga pampublikong susi ng CA, ngunit wala sa mga ito ang ganap na maprotektahan laban sa panggagaya ng pampublikong key ng CA, na malinaw na nagpapakita na walang sistema kung saan ang pagiging tunay ng CA pampublikong susi ay maaaring garantisadong.
Hinihiling ng nagpadala ang walang simetrya na pampublikong key ng tatanggap ng mensahe mula sa CA. Ang prosesong ito ay mahina sa isang pag-atake kung saan ang umaatake ay nakakasagabal sa komunikasyon sa pagitan ng nagpadala at tatanggap at maaaring baguhin ang trapikong ipinadala sa pagitan nila. Samakatuwid, ang walang simetrya na pampublikong key ng tatanggap ay "pinirmahan" ng CA. Nangangahulugan ito na ginamit ng CA ang asymmetric private key nito upang i-encrypt ang asymmetric public key ng tatanggap. Ang CA lang ang nakakaalam ng asymmetric private key ng CA, kaya may garantiya na ang asymmetric public key ng tatanggap ay nagmula sa CA.
Kapag natanggap na, ang asymmetric na pampublikong key ng tatanggap ay ide-decrypt gamit ang asymmetric public key ng CA at ang asymmetric na encryption/decryption algorithm.
Kaya, ang dalawang tao na hindi pa nakipag-ugnayan noon at walang karaniwang susi sa pag-encrypt ay maaaring magsagawa ng lihim na pagsusulatan.
Sa kasalukuyan, ang pag-export (at pag-import) ng mga digital na produkto ng seguridad ay ipinagbabawal ng batas, kaya nalalapat ang bawat bansa sariling mga pagpapatupad mga algorithm. Ang digital na proteksyon ay ipinatupad alinman sa software o antas ng hardware(sa anyo ng mga expansion card). Kung ang e-mail ay nilagyan ng digital security package, maaari kang mag-sign at pagkatapos ay i-encrypt ang anuman o lahat ng bahagi ng sulat, idagdag ang iyong lagda sa isang dokumentong nilagdaan na ng iba, i-verify ang lagda, atbp.
Kung ang cryptography kamakailan ay ang prerogative ng mga indibidwal na ahensya ng gobyerno, ngayon halos lahat ay sumasang-ayon na ang parehong mga organisasyon at indibidwal ay nararamdaman ang pangangailangan para sa pag-access sa mga teknolohiya ng pag-encrypt. Habang lumalaganap ang Internet, lalong lumalapit ang mga tao sa mga computer at mga network ng telepono, para sa parehong personal at pang-negosyong layunin, at ang pag-encrypt ay ang batayan para sa pagbuo ng pader ng lihim sa paligid ng mga komunikasyong ito.
5. Sertipikasyon cryptographic na paraan.
Ang mga hakbang sa seguridad ng cryptographic ay ginamit sa mahabang panahon, ngunit sa kani-kanina lang sa ilang kadahilanan, ang mga salitang "lisensya", "sertipiko", Komisyon sa Teknikal ng Estado, FAPSI ay nasa mga labi ng lahat. Kasabay nito, ilang tao ang malinaw na makapagpaliwanag kung ano ang eksaktong maaaring gawin upang maprotektahan ang kanilang impormasyon, at kung ano ang maaari mong panagutin.
Ang sertipikasyon ay ang pagpapalabas sa tagagawa ng kagamitan sa seguridad ng impormasyon ng isang dokumentong nagpapatunay na pakete ng software na binuo ng kumpanya ay tumutugma mataas na pangangailangan market (ibig sabihin, ang pagbubunyag ng isang naka-encrypt na dokumento ay hindi madali), at samakatuwid produkto ng software maaaring ibenta.
Upang makagawa ng mga sertipikadong produkto, ang isang kumpanya ay dapat kumuha ng lisensya para sa mga naturang aktibidad. Ang mga lisensya at sertipiko sa larangan ng mga tool sa cryptographic ay inisyu ng FAPSI at ng State Technical Commission. Mas mainam na bumili ng mga cryptographic na tool na sertipikado lamang mula sa mga kumpanyang lisensyado para sa ganitong uri ng aktibidad. Sa legislative sphere, mayroon na ngayong Decree of the President of the Russian Federation No. 334, na nag-oobliga sa mga ahensya ng gobyerno na gumamit lamang ng certified encryption na paraan, at ang batas ng impormasyon ay nagsasaad na upang maprotektahan ang hindi na-classify at unclassified na impormasyon (alinman sa iyong sarili), ikaw maaaring gumamit ng anumang paraan ng pag-encrypt.
Tungkol naman sa paggamit ng mga bangko mga sistema ng cryptographic, pagkatapos ay mayroong ganap na anarkiya. Which is actually not a bad thing. Ang katotohanan ay sa kasalukuyan ay walang mga kinakailangan para sa mga komersyal na bangko mula sa Central Bank at iba pang mga katawan ng pamahalaan para sa ipinag-uutos na paggamit ng mga tool sa pag-encrypt, ang mga paraan ng proteksyon ng impormasyon sa lugar na ito ay hindi kinokontrol.
Hindi rin sapilitan para sa mga komersyal na bangko na gamitin mga sertipikadong produkto electronic exchange sa mga kliyente.
Kasabay nito, itinatatag ng batas ang obligasyon ng mga user, distributor at developer na patunayan ang lahat ng inilapat na hakbang sa seguridad ng impormasyon sa mga nauugnay na ahensya ng gobyerno. Ang utos bilang 334 ay mababasa: “... Ipagbawal mga aktibidad ng legal at mga indibidwal kaugnay sa pagpapaunlad, pagpapatupad at pagsasamantala mga tool sa pag-encrypt na walang mga lisensyang ibinigay ng FAPSI." Totoo, ang kautusang ito ay walang bisa, ngunit hanggang ngayon ay wala pang nagkansela nito. Iyon ay, kung nagkaroon ka ng kasawian sa pagbili ng mga tool sa pag-encrypt na na-certify ng FAPSI, kailangan mong kumuha ng lisensya upang magamit ang mga ito mula sa FAPSI. Ang mga nakikipagpalitan ka ng mga naka-encrypt na mensahe ay dapat, nang naaayon, makatanggap ng parehong lisensya.
Ayon sa kasanayan ng paglalapat ng batas, ang sertipikasyon at sertipikasyon ng mga gumagamit ay ipinag-uutos lamang para sa mga ahensya at istruktura ng gobyerno na nagtatrabaho sa mga lihim ng estado. Para sa mga komersyal na istruktura, ang Batas ng Russian Federation sa mga Bangko at Mga aktibidad sa pagbabangko. Panganib na nauugnay sa paggamit ng hindi sertipikadong mga sistema ng impormasyon at ang paraan ng pagbibigay sa kanila, ay nasa may-ari (may-ari) ng mga sistema at paraan na ito. Ang paggamit ng mga sertipikadong tool sa seguridad ng impormasyon ay isang kinakailangan kapag isinasaalang-alang ang mga kontrobersyal na isyu sa korte.
Ang pananagutan ng bangko sa kliyente para sa pagtagas ng impormasyon sa mga channel ng komunikasyon ay nananatili anuman ang paraan at pamamaraan ng pagprotekta sa impormasyon. Ang paggamit ng isang sertipikadong tool, sa prinsipyo, ay ginagawang posible na magtalaga ng responsibilidad para sa pagtagas at pagnanakaw ng impormasyon sa mga nagpapatunay na awtoridad.
Kaya, sa mga relasyon sa mga kliyente, ang mga komersyal na bangko ay may karapatang gumamit ng mga electronic exchange (daloy ng dokumento) na mga sistema na hindi sertipikado ng FAPSI, sa kondisyon na ang mga naturang sistema ay hindi opisyal na nagbibigay ng mga tool sa pag-encrypt. Ang legal na pananagutan ay lumalabas lamang kapag ang mga tool sa pag-encrypt ay naging paksa ng aktibidad ng negosyo. Upang hindi lokohin ng bangko o ng mga kliyente nito ang kanilang sarili sa paglilisensya sa paggamit ng mga tool sa pag-encrypt, sa mga sistema ng Bank-Client kinakailangan na palitan ang mga salitang "encryption" ng "encoding" sa lahat ng mga kontrata at patuloy na mamuhay nang payapa. Ang batas ay ang haligi ay hindi maaaring tumalon, ngunit ito ay madaling makalibot.
Sa isang Electronic Digital Signature (EDS), medyo mas simple ang mga bagay. Ang Electronic Digital Signature Law ay nagsasaad na ang isang electronic digital signature sa elektronikong dokumento ay katumbas ng isang sulat-kamay na lagda sa isang dokumento sa papel, sa mga kaso na itinatag ng mga batas at iba pang mga regulasyong ligal na aksyon ng Russian Federation o sa pamamagitan ng kasunduan ng mga partido (iyon ay, isang kasunduan o isang ordinaryong kontrata, na nilagdaan at pinatunayan ng isang mastic seal sa pagkilala sa mga partido bilang isang elektronikong lagda, ay kinakailangan). Tulad ng para sa pag-encrypt, isang ipinag-uutos na kundisyon kapag isinasaalang-alang ang mga kontrobersyal na isyu sa korte ay ang paggamit ng mga sertipikadong digital signature tool.
Ang parehong batas ay nagbibigay ng malaking pansin sa mga sentro ng sertipikasyon.
Center ng sertipikasyon:
Gumagawa ng mga signature key certificate;
Lumilikha ng mga susi para sa mga elektronikong digital na lagda sa kahilingan ng mga kalahok sa sistema ng impormasyon na may garantiya na ang pribadong susi ng elektronikong digital na lagda ay pananatiling lihim;
Sinususpinde, nire-renew, at binabawi ang mga signature key certificate;
Nagpapanatili ng isang rehistro ng mga signature key certificate, tinitiyak ang kaugnayan nito at ang posibilidad ng libreng pag-access dito ng mga kalahok sa mga sistema ng impormasyon;
Sinusuri ang pagiging natatangi ng mga pampublikong susi ng mga elektronikong digital na lagda sa rehistro ng mga sertipiko ng susi ng lagda at ang archive ng sentro ng sertipikasyon;
Nag-isyu ng mga signature key certificate sa anyo ng mga dokumentong papel at (o) sa anyo ng mga electronic na dokumento na may impormasyon tungkol sa kanilang operasyon;
Sa mga kahilingan mula sa mga gumagamit ng mga signature key certificate, kinukumpirma nito ang pagiging tunay ng isang electronic digital signature sa isang electronic na dokumento na may kaugnayan sa mga signature key certificate na ibinigay sa kanila.
Kaya, dito rin, sa lahat ng mga kasunduan sa pagkilala sa mga digital na lagda ng mga partido sa kasunduan, mas mabuting palitan ang mga salitang "Electronic digital signature" ng "Digital na lagda".
Upang magbigay ng babala laban sa paggamit ng mga tool sa pag-encrypt na binuo sa mga database, isa lang ang babanggitin namin kawili-wiling katotohanan. May tinatawag na kumpanya AccessData sa US State sa 1-800-658-5199. Sa halagang $185 lang, nagbebenta siya ng personal computer software package na pumutok sa mga built-in na encryption scheme ng WordPerfect, Word, Lotus 1-2-3, Excel, Quattro Pro, Paradox at Oracle. Ang mga programa sa pag-encrypt ay parang gamot. Ang isang tableta na nakuha mula sa isang charlatan ay karaniwang mukhang eksaktong isang healing potion.
6. Karagdagang pag-unlad ng mga tool sa cryptographic.
Kaya, ano ang susunod? Ang paggawa ng code na napakakomplikado na walang matinding pag-atake sa computer ang makakapag-crack nito ay ang tunay na pangarap ng mga cryptographer sa buong mundo. Nakamit ang layuning ito sa pamamagitan ng pagdaragdag ng mga bagong code bit sa "secret key," na nagdodoble sa seguridad sa bawat pagkakataon. " Maaasahang proteksyon"ngayon ay nangangahulugan lamang na ang magnanakaw ay magtatagal upang kunin ang master key, walang ibang pinag-uusapan. At lahat ay magiging maayos, ngunit ang pag-unlad ay hindi tumigil: Gayunpaman, ang mga developer mula sa ako Naniniwala ang mga VM na nakahanap sila ng isang kawili-wiling solusyon sa problema ng malakas na proteksyon sa cryptographic. Gumamit sila ng quantum physics upang magbigay ng ganap na secure na paraan ng paglipat ng susi
Ang quantum physics ay kilala bilang isang madilim at napaka-advanced na larangan, na tumatalakay sa mga katangian ng mga subatomic na istruktura. Ang paggamit ng mga nagawa nito ay nagbigay-daan sa mga developer na magdagdag ng bagong antas ng proteksyon sa karaniwang teknolohiya public key encryption sa pamamagitan ng pagsasalin ng mga key bits sa "quantum bits", quantbits o "qubits". Ang mga estado at pagbabago sa mga estado ng quantbits ay inilarawan sa napakakomplikadong paraan. mga pormula sa matematika. Direktang nakakaapekto ito sa kalidad ng pag-encrypt - ang bilang ng mga posibleng opsyon ay tumataas nang husto. Bitin karaniwang computer kinakatawan ng isang digit zero o isa. Hindi ganoon sa quantbit. Ang huli, na kinakatawan ng isang particle o photon, ay maaaring umiral nang sabay-sabay bilang parehong zero at isa. Upang ipatupad ang quantum encryption, ang kaunti ay na-convert sa isang photon at ipinadala sa pamamagitan ng fiber optic cable sa computer ng tatanggap, pagkatapos ay isinalin pabalik sa isang karaniwang bit at basahin. Ang pangunahing subtlety ay na, hindi tulad ng isang karaniwang bit, ang isang quantbit ay hindi maaaring kopyahin, basahin, o kahit na tingnan ng isang third party nang hindi binabago ang estado nito at sa gayon ay ginagawang hindi magagamit ang code. Kung ang isang third party ay nakikialam sa system, agad na nagbabago ang estado nito at napagtanto ng nagpadala na may isang taong sumusubok na tingnan ang mensahe.
At ako ay VM, at N T, at Los Alamos National Labs, Ang lahat ay kasalukuyang nakatuon sa pagbuo ng mga pamamaraan na ginagawang posible na gamitin ang mga nagawa ng quantum physics upang magpadala ng mga naka-encrypt na mensahe sa mga sistema para sa espasyo at paggamit ng militar. SA VM ako ay nagtatrabaho sa paglikha ng mga katulad na sistema para sa mga bangko at e-commerce na institusyon.
Gayunpaman, hindi lahat ay inspirasyon ng estado ng mga gawain sa quantum encryption. Iyon ay, ito ay nagbibigay-inspirasyon pangunahin sa mga teorista. "Sa totoo lang, quantum physics kasalukuyang lampas sa antas ng pang-unawa karamihan sa mga tao, sabi ng mga eksperto sa pag-encrypt, samakatuwid, mahirap isipin na ang isang tao ay agad na nagmamadali sa paggawa kinakailangang kagamitan. Sa pamamagitan ng kahit man lang"Hindi ito mangyayari sa mga darating na taon." Ang ilang mga espesyalista sa pangkalahatan ay tiwala na ang problema ng kumpidensyal na impormasyon mula sa punto A hanggang punto B ay nalutas na ngayon. Tiwala sila na sa nakikinita na hinaharap ay hindi na kailangan ang mga teknolohiya ng quantum encryption, at mga teknolohiya. RSA , may kakayahang lumikha ng mga susi hanggang sa 2048 bit, medyo maaasahan pa rin. Bagama't noong Enero 1998 Electronic Frontier Foundation at na-decipher ito 22,5 oras na mensahe na naka-encode ayon sa 56-bit na pamantayan DES (kasalukuyang pinakamataas na pamantayan ng teknolohiya ng pag-encrypt na pinapayagan para sa pag-export mula sa Estados Unidos), itinuturing ng mga eksperto na hindi gaanong mahalaga ang kasong ito. "Isang bagay ang basagin ang 56-bit na pamantayan, sabi nila, Ang pag-crack ng mensahe gamit ang 128-bit na key ay humigit-kumulang isang bilyon o kahit isang trilyong beses na mas mahirap.
Sa kabila ng gayong mga pagtataya, ang mabilis na pag-unlad ng mga teknolohiya sa pangkalahatan at mga teknolohiya sa pag-encrypt, pati na rin ang mga teknolohiya para sa pagsira sa mga naka-encrypt na code sa partikular, I VM at Los Alamos National Labs sumulong pa sa landas ng paglikha ng mga bagong teknolohiya sa pag-encrypt, patungo sa mga quantum cipher. Upang ma-crack ang isang quantum code, kailangan munang labagin ng isang attacker ang mga batas ng physics at pagkatapos ay hanapin ang mga tamang numero. Bagama't ang kagamitan na kailangan para ipatupad ang quantum encryption ay nasa isang lugar pa rin sa larangan ng science fiction. Mayroon nang gumaganang bersyon ng laboratoryo. Sa kasalukuyan, isinasagawa ang trabaho upang alisin ang teknolohiyang ito sa laboratoryo at ilagay ito sa isang pang-industriyang sukat.
Bilang karagdagan, ang saklaw ng aplikasyon ng mga tool sa cryptographic ay seryosong lumawak dahil sa kanilang paggamit sa mga network VPN . Sa modernong computerized na mundo, ang pangunahing paraan ng transportasyon ng impormasyon ay electronic. Ang mga dokumento, impormasyon mula sa mga database, mga numero ng credit card at mga file ng iba't ibang nilalaman ay gumagalaw na ngayon sa mga linya ng komunikasyon. Ang lahat ng ito ay natagpuan ang lugar nito bagong teknolohiya mga network sa loob ng mga network VPN (Virtual Private Network) ). Ang teknolohiyang ito ay nagpapahintulot sa iyo na lumikha ng malayuang pandaigdigang mga corporate network kung saan, sa halip na iyong sariling mga linya ng komunikasyon, ang Internet ay ginagamit, ang impormasyon kung saan inililipat sa naka-encrypt na anyo. Tinitiyak nito ang seguridad ng impormasyong ipinadala sa pamamagitan ng mga hindi secure na linya ng komunikasyon. Mga network VPN magkaroon ng malawak na iba't ibang mga aplikasyon. Maaari nilang ikonekta ang isang malayong opisina sa parent na organisasyon at ikonekta ang ilang corporate network nang magkasama. Magbigay sa mga empleyado o pinagkakatiwalaang kliyente ng kumpanya ng access sa kumpidensyal na impormasyon sa loob ng network ng kumpanya.
Electronic na lagda
Naka-encrypt gamit ang Lihim 1
Text
Lihim na susi 1
Pampublikong susi 1
Computer "Dalawang"
Computer na "Raz"
Pampublikong susi 2
Sikretong simetriko
Key ng session key
Ang teksto at lagda ay naka-encrypt gamit ang isang simetriko session key
Naka-encrypt na data
Pag-encrypt ng simetriko session key gamit ang pampublikong key tatanggap
Text Electronic
pirma
Naka-encrypt
Lihim 1
Ang lahat ay naka-encrypt nang simetriko
session key
Naka-attach sa ciphertext
Naka-encrypt na Session Key
Naka-encrypt na data
kanin. 4.1.
Pati na rin ang iba pang mga gawa na maaaring interesante sa iyo |
|||
| 51125. | Spectral analysis ng mga signal gamit ang Fourier transform | 1.43 MB | |
| Tila, ang spectra ng lahat ng discrete signal ay pana-panahon, at ang amplitude spectra ay ipinares na mga function ng frequency. Gamit ang MatLAB, maaari mong makilala ang dalawang halves ng isang panahon ng spectrum, na mga mirror na kopya ng isa at parehong dalas ng Nyquist. Sa pamamagitan ng presyo sa lahat ng mga graph ng amplitude spectra, sapat at kinakailangan na ipakita lamang ang kalahati ng panahon ng spectrum, dahil ganap nitong inilalarawan ang amplitude spectrum | |||
| 51126. | Pagbuo ng Text Editor Gamit ang File I/O | 54.26 KB | |
| Takdang-aralin sa trabaho: Bumuo ng isang text editor gamit ang input/output ng file. Program code (file Form1.cs)... | |||
| 51127. | Pag-aaral ng katumpakan ng ACS sa steady state | 77.99 KB | |
| Error graphs Amplifier link Pi-regulator Differential link Mga pagkalkula ng steady-state na error value: Amplifier link Pi-regulator Differential link Konklusyon Sa panahon ng laboratory work, ang impluwensya ng antas ng astatism sa steady-state na error sa ilalim ng stepwise na pagkilos ay sinisiyasat. | |||
| 51128. | Pag-filter ng signal | 889.81 KB | |
| Meta robots: magsimula sa pagdidisenyo ng mga digital na filter, ang pagtukoy sa mga detalye ng mga filter ay depende sa kapangyarihan ng mga signal na nangangailangan ng pag-filter; Matutunan kung paano ipatupad ang discrete signal filtering sa MatLAB core. | |||
| 51130. | Pagsusuri ng wavelet ng mga signal | 914.01 KB | |
| Meta-robot: upang masubaybayan ang pagmuni-muni ng kapangyarihan ng mga signal sa wavelet scalograms; Matutunan kung paano ipatupad ang mga signal ng wavelet-conversion gamit ang middleware ng MatLAB | |||
| 51131. | SYNTHESIS NG ISANG CONTROL MACHINE SA ARBITRARY BASE | 126.01 KB | |
| Pahayag ng problema: Magtipon at ayusin ang circuit ng control machine feeding mga signal ng input xj mula sa rehistro ng toggle switch Gamit ang mga inihandang pagsubok, ipakita ang tamang operasyon ng circuit sa pamamagitan ng pagbibigay ng mga signal ng orasan mula sa single pulse generator at pagsusuri sa estado ng makina gamit ang mga indicator lights ng mga output signal ng control machine. Uri ng Moore automaton na uri ng mga trigger D. Figure 1 Initial GSA ng automat Tukuyin natin ang pinakamababang hanay ng mga pagsubok:... | |||
| 51132. | Pagsusuri ng ugnayan ng mga signal. Ang kapangyarihan ng mga signal mula sa mga resulta ng pagsusuri ng ugnayan | 199.85 KB | |
| Meta-robots: subaybayan ang kapangyarihan ng mga signal mula sa mga resulta ng pagsusuri ng ugnayan; Magsimula sa pagsusuri ng ugnayan ng mga signal gamit ang MatLAB. Order sa trabaho... | |||
| 51133. | SYNTHESIS NG ISANG KONTROL NA AUTOMATIC BATAY SA MGA SIGNAL DISTRIBUTORS (RS) | 129.3 KB | |
| Layunin ng gawain: pag-aralan ang pamamaraan para sa pagpapatupad ng control automata na may matigas na lohika batay sa mga distributor ng signal. Pahayag ng problema: tipunin at i-debug ang circuit distributor ng signal; ... | |||
Ito ay isang mahusay na panimula sa mga prinsipyo ng cryptography.
Kung seryoso kang interesado sa cryptography, lubos kong inirerekomenda ang Handbook of Applied Cryptography bilang isang kamangha-manghang sangguniang gawain. Ito ay medyo marami sa una, ngunit ito ay libre, kaya ngayon kumuha ng isang kopya :) at kapag tapos ka na sa AC, basahin ang HAC. (Sa katunayan, ang hardcover na edisyon ay napakahusay na ginawa at mas madaling basahin kaysa sa ilang daang pahina ng laser-printed na papel, isaalang-alang ang pagbili kung gusto mo hitsura PDF file.)
Gumagana ang simetriko na pag-encrypt sa pamamagitan ng paghahalo ng isang lihim na input sa isang lihim na susi sa paraang (a) mabilis na (b) hindi maaaring matukoy ang input o ang susi mula sa output. Malaki ang pagkakaiba ng mga detalye ng paghahalo, ngunit may mga block cipher at stream cipher; Gumagana ang mga block cipher sa pamamagitan ng pagtingin sa data ng input sa 8 o 16 o 32 byte na mga bloke sa isang pagkakataon, at pagkalat ng input at key sa mga bloke na iyon. Iba't ibang mga mode ang kailangan para mag-encrypt ng mas maraming data kaysa sa mga bloke, at iba't ibang mga mode ng pagpapatakbo ay maaaring o hindi maaaring magbahagi ng data sa pagitan ng mga bloke.
Ang mga simetriko cipher ay hindi kapani-paniwala para sa pag-encrypt ng maramihang data, 8 hanggang 8 terabytes, ito pinakamahusay na pagpipilian para sa pag-encrypt ng data.
Gumagana ang Asymmetric encryption sa pamamagitan ng paggamit ng napakasalimuot na mga problema sa matematika sa mga pintuan sa likod na nagbibigay-daan sa iyong mabilis na malutas ang problema kung mayroon kang maliit na piraso ng napakasensitibong data. Kasama sa mga karaniwang problema sa matematika ang factoring ng malalaking numero at discrete logarithms. Gumagana ang mga asymmetric algorithm nakapirming laki data, karaniwang 1024-2048 bits para sa RSA at El Gamal at 384 bits para sa Elliptic Curve na mga bersyon ng RSA o El Gamal. (Ang mga bersyon ng Elliptic Curve ay gumagamit ng ibang field kaysa sa mga integer para sa kanilang mga kalkulasyon. Gumagana ang RSA at El Gamal at mga katulad na sistema sa anumang field na tumutukoy sa parehong pagpaparami at pagpapatakbo ng karagdagan, at ang ECC ay may ibang representasyon ng field na iyon na mahiwagang nagdaragdag ng "higit pa" data. Ito ay napaka matalinong paraan gawing angkop ang mga kilalang mekanismo mas kaunting memorya, at ang aking isang pangungusap na panimula ay maaaring hindi magsimulang gawin ang hustisyang ito. Ang pagiging simple ay ang kamangha-manghang bahagi.)
Nakakatulong ang asymmetric encryption na malutas ang problema sa pamamahagi ng susi, ngunit lamang: sa halip na mangailangan ng O(N^2) na mga pares ng key sa pagitan ng bawat pares, ang mga taong gustong gumamit ng cryptography para makipag-usap sa isa't isa ay nangangailangan ng mga O(N) na susi, isang pampubliko/pribadong mag-asawa bawat tao, at kailangan lang malaman ng lahat ang lahat ng iba pang pampublikong bahagi. Ito ay hindi pa rin isang madaling gawain dahil ang pagiging kumplikado ng x509 ay ipinapakita, ngunit ang mga mekanismo tulad ng openPGP at OpenSSH ay may higit pa mga simpleng modelo at mga mekanismo na gumagana nang maayos para sa maraming layunin.
Ang mga asymmetric cipher ay karaniwang ginagamit upang ihatid ang mga session key para sa simetriko cipher. Kahit na maliit na halaga lamang ng data ang inililipat, kadalasang mas gusto ng mga cryptographer na ipadala ang aktwal na data na naka-encrypt gamit ang simetriko cipher at ipadala ang key na naka-encrypt gamit ang asymmetric encryption. Ang isang malaking bentahe ay maaari kang magpadala ng mensahe sa maraming tatanggap at ang laki ng mensahe ay magiging O (laki ng mensahe + 100 * 2048 bits) - maaari mong i-encrypt ang session key sa bawat isa sa mga tatanggap nang paisa-isa, at isang beses lang ipadala ang mensahe. Malaking tagumpay.
Ang mga asymmetric cipher ay ginagamit din para sa mga digital na lagda. Bagama't posibleng gumamit ng simetriko cipher upang patotohanan ang isang mensahe, simetriko cipher hindi maaaring gamitin upang magbigay
