Об угрозах криптографическим ключам

Развитие современных информационных технологий привело к активному вытеснению бумажного документооборота электронным. Любой крупный коммерческий банк является участником нескольких внешних систем защищенного электронного документооборота. Кроме того, во многих банках развернуты системы «Клиент-Банк», обеспечивающие обмен электронными документами между банком и клиентами. Основным средством обеспечения конфиденциальности, целостности и юридической значимости электронных документов в таких системах являются криптографические методы зашиты информации.

Угрозы криптографическим ключамНадежность криптографической защиты обеспечивается стойкостью используемых криптографических алгоритмов и защищенностью криптографических ключей.Стойкость криптографических алгоритмов определяется государственными и международными стандартами. В России имеются следующие криптографические стандарты: ГОСТ 28147-89 на шифрование данных (предусмотрено четыре режима, включая режим выработки имитовставки); ГОСТ Р 34.10-94 и ГОСТ Р 34.10-2001 на электронную цифровую подпись (ЭЦП); ГОСТ Р 34.11-94 на функцию хэширования.Легко заметить, что данный список не полон -отсутствует стандарт на систему открытого распределения ключей, т.е. на процедуру выработки и доставки секретного ключа симметричного алгоритма шифрования с использованием открытого ключа принимающей стороны. Это объясняется тем, что для различных систем связи необходимы различные процедуры распространения ключей.Как правило, в системах электронного документооборота распределение секретных ключей, используемых непосредственно для шифрования сообщений, осуществляется либо по схеме Диффи-Хеллмана, либо с применением алгоритма шифрования с открытым ключом.В классической схеме, предложенной Диффи и Хеллманом, общий секретный ключ двух абонентов может быть вычислен как по закрытому ключу отправителя и открытому ключу получателя, так и наоборот - по открытому ключу отправителя и закрытому - получателя.Распределение ключей с помощью алгоритмов шифрования с открытым ключом осуществляется следующим образом:•отправитель генерирует случайный ключ, используемый для шифрования сообщения с помощью симметричного алгоритма шифрования;•ключ симметричного алгоритма шифрования шифруется на открытом ключе получателя и направляется ему вместе с зашифрованным сообщением.Вопросы распределения открытых ключей шифрования и ЗИП стандартизованы еще в меньшей степени. Частично их можно решить на основе рекомендаций Х.509. Однако создать документ, регламентирующий детали управления криптографическими ключами для всех ситуаций, не представляется возможным. Обычно такие документы создаются для каждой организации отдельно на основе типовых схем, разработанных производителями криптографических средств зашиты.При подготовке регламентирующих документов необходимо учитывать имеющиеся угрозы для используемых криптографических ключей. Как правило, в литературе и нормативных документах основное внимание уделяется проблеме зашиты ключей от компрометации, т.е. от нарушения их секретности. Но в эпоху широкого использования криптографии с открытым ключом дополнительно к угрозе компрометации также необходимо рассматривать угрозу подмены ключевой информации. Причем последствия компрометации и подмены зависят от того, какой ключевой элемент был атакован.Проанализируем последствия угроз при следующих предположениях:•- угрозы реализуются скрытно;•- злоумышленнику полностью известен ключ, элементы которого используются для подмены подлинного ключа.1. Компрометация секретного ключа симметричной криптосистемы: приводит к получению злоумышленником возможности использования ключа для чтения сообщений всех абонентов, использующих данный ключ. При этом участники обмена не будут наблюдать никаких признаков несанкционированного ознакомления с передаваемыми сообщениями.Злоумышленник также получит возможность посылать зашифрованные сообщения от имени участников системы связи. Защититься от угрозы подделки сообщений в такой ситуации можно с помощью ЭЦП или имитовставки, вырабатываемой на независимых ключах.2. Подмена злоумышленником секретного ключа симметричной криптосистемы: позволит злоумышленнику читать сообщения, зашифрованные на подмененном ключе.Если подмена совершена только у одного из взаимодействующих абонентов, то другие абоненты не смогут прочесть отправленные им сообщения, так же как и этот абонент не сможет читать сообщения, предназначенные для него, что поможет участникам обмена выявить подмену.Последствия подмены ключей у всех абонентов, использующий данный ключ, такие же, как и при компрометации секретного ключа симметричной криптосхемы.3. Компрометация закрытого ключа в схеме Диффи-Хеллмана: при наличии открытого ключа адресата злоумышленник сможет читать сообщения, зашифрованные владельцем похищенного ключа, а также при наличии открытого ключа отправителя и сообщения, предназначенные для владельца ключа. При этом участники обмена не будут наблюдать никаких признаков несанкционированного ознакомления с передаваемыми сообщениями.Кроме того, если в системе связи не используются специальные меры для зашиты целостности передаваемой информации, то будет возможна и подделка сообщений.4. Подмена злоумышленником закрытого ключа в схеме Диффи-Хеллмана: наличие открытого ключа получателя позволит злоумышленнику читать сообщения, зашифрованные владельцем подмененного ключа, а также посылатьподдельные сообщения абоненту, у которого подменен ключ, от имени абонента, чей открытый ключ известен злоумышленнику.При этом получатели сообщений, зашифрованных абонентом, у которого подменен ключ, не смогут правильно их расшифровать, так как имеющийся у них открытый ключ не будет соответствовать используемому закрытому ключу. Это позволит участникам обмена информацией обнаружить подмену.5. Компрометация открытого ключа в схеме Диффи-Хеллмана: не рассматривается как нештатная ситуация, так как не создает угроз в системе связи, если злоумышленнику недоступны закрытые ключи.6. Подмена злоумышленником открытого ключа в схеме Диффи-Хеллмана: наличие открытого ключа отправителя позволяет злоумышленнику читать сообщения, зашифрованные абонентом, с использованием подмененного ключа адресата. При этом абонент, которому предназначены сообщения, не сможет правильно их расшифровать, чем и обнаруживает подмену.7. Компрометация закрытого ключа асимметричной криптосистемы: позволяет злоумышленнику читать сообщения, предназначенные для владельца похищенного ключа. При этом участники обмена не будут наблюдать никаких признаков несанкционированного ознакомления с передаваемыми сообщениями.8. Подмена злоумышленником закрытого ключа асимметричной криптосистемы: позволит посылать поддельные сообщения владельцу ключа. При этом полученные подлинные сообщения он расшифровать не сможет.Как правило, открытый ключ абонента не является секретом. Поэтому возможность отправки поддельных сообщений у злоумышленника имеется и без подмены закрытого ключа. Для проверки подлинности сообщений должны применятся дополнительные меры, например ЭЦП.Таким образом, подмена закрытого ключа без подмены соответствующего ему открытого у отправителя, эквивалентна по своим последствиям повреждению закрытого ключа.9. Компрометация открытого ключа асимметричной криптосистемы: позволяет направлять зашифрованные сообщения владельцу ключа. Не рассматривается как нештатная ситуация в предположении, что для зашиты от подделки сообщений используются ЭЦП или другие методы.10. Подмена злоумышленником открытого ключа асимметричной криптосистемы: позволит злоумышленнику читать сообщения, отправленные абонентом с использованием подмененного ключа. При этом абонент, которому предназначены сообщения, не сможет правильно их расшифровать, что поможет участникам обмена информацией обнаружить подмену.11. Компрометация закрытого ключа цифровой подписи: позволит злоумышленнику подписывать сообщения от имени абонента, ключ которого похищен. Для обнаружения такого рода действий необходимо использовать дополнительные механизмы, например использовать нумерацию сообщений, отложенное сопровождение бумажным документом и т.п.12. Подмена злоумышленником закрытого ключа ЭЦП: приведет к тому, что подпись сообщений абонента, чей ключ подменили, будет некорректной.13. Компрометация открытого ключа ЭЦП: позволит злоумышленнику проверять подлинность сообщений, подписанных на соответствующем закрытом ключе. В корректно построенной криптосистеме данная угроза не представляет опасности и не рассматривается как нештатная ситуация.14. Подмена злоумышленником открытого ключа ЭЦП: позволит злоумышленнику подделывать сообщения, проверяемые с помощью подмененного ключа. При этом подлинные сообщения будут выглядеть, как поддельные, что позволит участникам обмена выявить факт подмены ключа.Кроме угроз компрометации и подмены по отношению к ключевой информации могут быть реализованы следующие угрозы:•- усечение ключевого множества, т.е. изменение механизма генерации криптографических ключей с целью ограничения количества возможных вариантов;•- повреждение ключей;•- демонстративное нарушение секретности ключей или имитация такого нарушения.

Усечение ключевого множестваГенерацию криптографического ключа можно рассматривать как вычисление некоторой функции F от случайной величины Y, принимающей значения на множестве Y. В идеале распределение F(Y) должно быть равномерным на множестве К, состоящем из всех допустимых ключей используемого криптографического алгоритма.Предположим, процедура генерации ключа осуществляется таким образом, что для некоторого Х, принадлежащего К вероятность P[F(Y) е X) > q. To есть вероятность того, что сгенерированный ключ будет принадлежать множеству X, являющемуся частью множества К, больше некоторого числа q. В этом случае, опробовав ключи из множества X, злоумышленник узнает сгенерированный ключ с вероятностью больше q.Например, если ключ вырабатывается на основе случайной последовательности из 8 символов, включая русские и английские буквы с учетом регистра, а также цифры, то общее число возможных ключей будет ограничено величиной 128 в степени 8 = 256 приблизительно равно 7,2 х 1016. Таким образом, если источником случайности при генерации ключей алгоритма ГОСТ 28147-89 служит последовательность из 8 букв и цифр, то число возможных ключей уменьшится в 2200 раз и не будет превосходить число ключей алгоритма DES. А, как известно, перебор всех ключей алгоритма DES для современной вычислительной техники уже не является непреодолимой задачей.Целью усечения ключевого множества является получение возможности несанкционированного использования криптографических ключей, что ведет к их компрометации с соответствующими последствиями.При генерации ключа обычно используют аппаратный или «биологический» датчик случайных чисел. В качестве биологического датчика выступает пользователь, которому предлагается нажать определенное количество случайных клавиш или подвигать мышкой. Полученная информация о нажатых клавишах, интервалах между их нажатием, траектории и скорости движения курсора может использоваться как исходные данные для функции генерации ключа. Другие источники случайности, такие как данные таймера, значения областей памяти, - менее надежны.Соответственно имеются два варианта реализации рассматриваемой угрозы: подменить алгоритм выработки ключа, задаваемый функцией F, или изменить распределение случайной величины У. Для предотвращения подобных угроз необходимо контролировать исправность и невозможность подмены аппаратного и программного обеспечения, используемого для генерации криптографических ключей.Однако злоумышленнику не всегда необходимо предпринимать какие-либо активные действия по отношению к средствам генерации ключей. Усечение ключевого множества может быть заложено производителем криптографических средств зашиты. Это может быть сделано по причине низкой квалификации разработчиков либо умышленно. Например, на протяжении многих лет производители программного обеспечения, поставляемого из США на экспорт, были обязаны ограничивать множество возможных ключей величиной 2 в 40-ой степени, что примерно равно 10 в 12-ой степени.

Повреждение ключейЭта угроза используется для нарушения нормальной работы системы связи. При этом нарушение работы может являться не конечной целью, а подготовительным этапом для реализации других угроз, например:•- в системе предусмотрено наличие резервных ключей, и злоумышленнику удалось получить к ним доступ. Повредив основные ключи, он может инициализировать переход на уже скомпрометированные резервные;•- у злоумышленника появилась возможность осуществить копирование или подмену ключа при его смене. Испортив ключевые носители, он инициализирует процедуру смены ключа, и в итоге получает к нему доступ.

Демонстративная компрометация и подмена ключей или имитация таких нарушенийКак правило, злоумышленник заинтересован в скрытном получении доступа к ключам. Обнаружение несанкционированного доступа позволяет в большинстве случаев значительно снизить отрицательные последствия компрометации или подмены ключей. Однако в ряде случаев ему может быть выгодно продемонстрировать признаки компрометации или подмены ключей с целью нарушения работы системы связи. При этом преследуются те же цели, что и при повреждении ключей. Однако, во-первых, имитировать компрометацию ключей во многих случаях гораздо легче, чем действительно похитить или повредить их. Во-вторых, последствия такой имитации могут быть гораздо более тяжелыми, чем при повреждении ключей, так как ставится под сомнение достоверность и конфиденциальность всей переданной на этих ключах информации.Из вышеизложенного возможно сделать следующие выводы:1. Учитывая наличие опасности подмены или повреждения элементов ключевой информации, необходимо наряду с угрозой компрометации рассматривать угрозы нарушения целостности криптографических ключей.2. При подготовке документов, регламентирующих управление криптографическими ключами, необходимо учитывать, что компоненты ключевой информации в разной степени подвержены опасности компрометации и нарушения целостности.3. Система управления криптографическими ключами должна быть устойчива по отношению к угрозам компрометации, подмены и повреждения ключей, а также к действиям, имитирующим реализацию этих угроз.

ТерминыВладелец ключа - лицо, имеющее право использовать закрытую часть криптографического ключа.Закрытая часть ключа (закрытый ключ) - часть криптографического ключа, используемая для вычисления цифровой подписи и/или расшифрования электронных документов. Компрометация криптографических ключей - события, в результате которых возможно использование ключей неуполномоченными лицами или процессами.Криптографический ключ (ключ) - совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе.Нарушение целостности криптографических ключей - несанкционированное изменение ключей в процессе их доставки, хранения и использования.Открытая часть ключа (открытый ключ) - часть криптографического ключа, используемая при проверке цифровой подписи и/или шифровании электронных документов.Повреждение ключа - нарушение целостности криптографического ключа, делающее невозможным его дальнейшее использование. Подмена ключа - нарушение целостности криптографического ключа, в результате которого подлинный ключ заменяется пригодным к использованию ложным ключом. Секретный ключ - ключ симметричной криптографической системы.Управление криптографическими ключами - генерация, распределение, ввод в действие, хранение и уничтожение ключей, а также мероприятия, проводимые в случае их компрометации. Шифрование - обратимое преобразование данных с использованием криптографического ключа в форму, предотвращающую доступ к исходным данным неуполномоченных лиц.Литература1. Алферов А.П., Зубов А.Ю., Кузьмин А.С., Черемушкин А.В. Основы криптографии: Учебное пособие. - М.: Гелиос АРВ, 2001.2. Инструкция об организации и обеспечении безопасности хранения обработки и передачи по каналам связи с использованием средств криптографической зашиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну. Утверждена Приказом ФАПСИ от 13 июня 2001 г. N 152. Зарегистрирована в Министерстве юстиции Российской Федерации 06.08.01, регистрационный N 2848.3. Пазизин С.В. Основы зашиты информации в компьютерных системах: Учебное пособие. - М.: ТВП/ОПиПМ, 2002.4. Шнайер Б. Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си. - М.: Триумф, 2002