Добавлен: 17.06.2023
Просмотров: 425
Скачиваний: 12
СОДЕРЖАНИЕ
Правовой метод защиты информации
Физический метод защиты информации
Аппаратный метод защиты информации
Симметрические криптографические системы
Стандарт шифрования данных DES
Механизм безопасности EPS (Evolved Packet System)
Алгоритм шифрования EEA (EPS Encryption Algorithm)
Шифрование используется для защиты потоков данных от вмешательства третьей стороны, в то время как защита целостности позволяет приемнику обнаруживать вставку или замену пакетов.
Алгоритм шифрования EEA (EPS Encryption Algorithm)
Алгоритм шифрования EPS (EPS Encryption Algorithms (EEA)) работает со 128-битным блоком под управлением 128-битного ключа исключая алгоритм Null шифрования. Каждому EEA алгоритму присваивается 4-битный идентификатор. В настоящее время были определены следующие значения для NAS, RRC и UP (User Plane) шифрования:
"00002": алгоритм шифрования EEA0 Null. Алгоритм EEA0 реализован таким образом, что он имеет тот же эффект, как если бы он генерировал ключевой поток всех нулей. Длина сгенерированного ключевого потока должна быть равна длине входного параметра. Помимо этого, вся обработка выполняется в ассоциации с шифрованием точно так же, как и с любым из алгоритмов шифрования.
"00012": 128-EEA1. EEA1 представляет собой шифрованный поток на основе другого шифрованного потока так называемый SNOW 3G алгоритм. EEA1 это наследство от UMTS и был введен в качестве стандарта 3GPP в 2006 году.
"00102": 128-EEA2. EEA2 представляет собой шифрованный поток на основе алгоритма блочного шифра AES, используемого в режиме CTR (CounTeR mode).
"00112": 128-EEA3. ZUC based algorithm.
ZUC это слово-ориентированный потоковый шифратор. Он берет 128-битный исходный ключ и 128-битовый начальный вектор (initial vector (IV)) в качестве входных данных, и выводит ключевой поток 32-битных слов (где каждое 32-битное слово, следовательно, называется ключевым словом). Этот поток ключей может использоваться для шифрования / дешифрования. ZUC это новый потоковый алгоритм шифрования для мобильных устройств. Он использует 16-уровневый регистр сдвига с линейной обратной связью Linear Feedback Shift Register (LFSR) на каждом уровне может содержать 231 – 1 значений и производить 32-битное слово за каждый тик.
Абонентское оборудование и узлы eNBs (eNodeBs) должны поддерживать EEA0, 128-EEA1 и 128-EEA2 для обоих RRC (Radio Resource Control) и абонентского оборудования.
К тому же, абонентское оборудование и объект управления мобильностью ММА (Mobility Management Entity) реализует EEA0, EEA1 и 128-128-EEA2 для шифрования передачи сигналов NAS (Non Access Stratum).
Важно отметить, что функции безопасности никогда не деактивируется, хотя можно применить алгоритм NULL шифрования; Алгоритм NULL, может быть использован в некоторых особых случаях, например, для принятия экстренного вызова без USIM (Universal Subscriber Identity Module).
Другие алгоритмы шифрования с симметричными ключами
AES (Rijndael) и DES являются наиболее известными криптографическими алгоритмами с симметричными ключами, и стандартным выбором в производственных целях только по причине ответственности. Тем не менее, стоит отметить, что, были разработаны многочисленные другие криптографические алгоритмы с симметричным ключом. Некоторые из них встроены в различные продукты. Некоторые наиболее распространенные из них перечислены в таблице. Можно использовать комбинации этих алгоритмов, например, AES над Twofish, для взлома потребуется больше усилий вдвое, чтобы восстановить данные.
Таблица Другие алгоритмы шифрования с симметричным ключем.
|
Алгоритм шифрования |
Автор |
Длина ключа |
Комментарий |
|
DES |
IBM |
56 бит |
На сегодняшний день слишком слаб. |
|
RC4 |
Ronald Rivest |
1–2048 бит |
Некоторые ключи являются уязвимыми. |
|
RC5 |
Ronald Rivest |
128–256 бит |
Хорош, но запатентован. |
|
AES (Rijndael) |
Daemen and Rijmen |
128–256 бит |
На сегодня лучший выбор. |
|
Serpent |
Anderson, Biham, Knudsen |
128–256 бит |
Очень стойкий. |
|
Triple DES |
IBM |
168 бит |
Хорош, но устарел. |
|
Twofish |
Bruce Schneier |
128–256 бит |
Очень стойкий. Используется наиболее широко. |
Асимметрические (открытые) криптосистемы
Криптографические системы с открытыми ключами шифрования позволяют пользователям осуществлять безопасную передачу данных по незащищенному каналу без какой-либо предварительной подготовки. Такие криптосистемы должны быть асимметрическими в том смысле, что отправитель и получатель имеют различные ключи, причем ни один из них не может быть выведен из другого с помощью вычислений.
В этих системах фазы шифрования и дешифрования отделены, и защита сообщения обеспечивается без засекречивания ключа шифрования, поскольку он не используется при дешифровании. Поэтому ключ публикуется вместе с алгоритмами шифрования и дешифрования, и это не приносит вреда защите системы. Принцип функционирования системы с открытыми ключами шифрования заключается в следующем: пользователь i шифрует сообщение М, используя открытый ключ шифрования пользователя j, и посылает шифрованное сообщение пользователю j по незащищенному каналу передачи данных. Только пользователь j: может выполнить дешифрование, чтобы восстановить М, поскольку только он знает секретный ключ дешифрования. Алгоритмы шифрования Е (encryption) и дешифрования D (Decryption) в таких системах характеризуются следующими свойствами:
Свойство 1. Дешифрование шифрованного сообщения восстанавливает исходное сообщение М, т. е.
D(E(M)) = М.
Свойство 2. Алгоритмы шифрования Е и дешифрования D являются простыми в реализации.
Свойство 3. При раскрытии алгоритма шифрования Е алгоритм дешифрования D не раскрывается, т. е. только получатель или отправитель могут дешифровать сообщение, зашифрованное алгоритмом Е, т. е. выполнить алгоритм дешифрования D.
Свойство 4. Если сообщение М сначала дешифровано, а затем зашифровано, то справедливо условие
Е(D(M)) = М.
Свойство 4 не обязательно для систем с открытыми ключами, но если оно выполняется, то можно использовать цифровые сигнатуры.
Принцип открытого ключа порождает новый класс криптографических алгоритмов, которые позволяют решить проблему распределения ключей и в симметрических системах. Системы с открытыми ключами во многих случаях обеспечивают наилучшее решение проблемы распределения ключей. Это может быть сделано следующим образом: пользователь i может зашифровать сеансовый ключ KS, используя открытый ключ пользователя j, а затем переслать ключ пользователю i, используя незащищенный канал.
Поскольку ключ дешифрования известен только пользователю j, то только он и может дешифровать сообщение и получить значение сеансового ключа. После этого пользователи i и j могут взаимодействовать между собой, используя некоторую симметрическую криптографическую систему. Криптографические системы с открытыми ключами используют функции шифрования, обладающие свойством однонаправленности. Это подтверждает и свойство 3, устанавливающее условие, которое требует, чтобы защищенный ключ нельзя было восстановить по открытому ключу. Однонаправленные функции характеризуются следующими свойствами:
- Как функция у = f(x), она вычисляется просто.
- Имеет обратную функцию.
- Обратную функцию крайне сложно вычислить.
Определение однонаправленной функции включает понятие сложности, которое зависит от вычислительных возможностей компьютеров. Степень сложности оценивается в затратах времени, требуемого объема памяти или произведения этих величин. Если в качестве меры сложности принять число операций, необходимых для вычисления обратной функции, то теория термодинамики устанавливает предел, равный приблизительно 1070 операциям, которые можно выполнить, истратив всю энергию Солнца.
Поскольку законный получатель должен иметь возможность дешифровать сообщение, то в системах с открытыми ключами следует использовать однонаправленные функции с обходными путями, обладающие дополнительным свойством: обратная функция не должна быть вычислимой, если неизвестна специальная информация об обходных путях. Однонаправленная функция с обходными путями становится однонаправленной перестановкой с обходными путями, если она удовлетворяет свойству 4. В этом случае отображение между зашифрованным и исходным текстом приобретает свойства инъективности и сюръективности, которые лежат в основе асимметрических алгоритмов шифрования.
Криптографическая система RSA (Rivest-Shamir-Adleman)
Обходной путь в асимметрической схеме системы RSA основан на замене процедуры нахождения больших простых чисел процедурой их разложения на множители. Метод RSA основывается на некоторых принципах теории чисел.
- Выбрать два простых числа, p и q (обычно 1024 бита).
- Вычислить n p q и z (p -1) (q -1).
- Выбрать взаимно простое число, связанное с z и назовем его d.
- Находим e как e d 1 mod z.
Вкратце принцип, положенный в основу системы RSA, можно описать следующим образом. Получатель выбирает два больших простых числа р и q так, чтобы произведение n=pq находилось за пределами вычислительных возможностей. Исходное сообщение М может иметь произвольную длину в диапазоне 1 <М <п. Шифрованный текст С, соответствующий сообщению М, может быть получен из перестановки
С = Мe (mod n).
Исходный текст М восстанавливается из шифрованного С обратным преобразованием
M = Cd (mod n).
Как можно заметить возведение в степень с большими числами потребует значительных ресурсов. Для решения этой задачи может использоваться алгоритм быстрого возведения в степень. Например, для 310 и обычного алгоритма потребуется 10 - 1 операций умножения.
310 = 3 × 3 × 3 × 3 × 3× 3 × 3 × 3 × 3 × 3 = 59049
А для алгоритма быстрого возведения в степень потребуется 4 операции умножения:
((32)2)2 × 32 = (92)2× 9 = 812× 9= 6561 × 9 = 59049
Принцип алгоритма показан на Рисунок 7. Возведение в квадрат потребуется меньшее количество раз, затем просто готовый результат повторит операцию. И, таким образом количество умножений сокращается.
Рисунок Визуальное представление алгоритма быстрого возведения в степень
Конечно полностью проблемы производительности это не решает. Поэтому данный алгоритм шифрования используется в основном для обмена ключами симметрической системы шифрования. А именно в начале сеанса связи, после обмена открытыми ключами асимметрическим алгоритмом происходит генерация и обмен новыми ключами симметрической системы. После чего производится уже зашифрованный сеанс связи.
Заключение
Как видно существует достаточное количество надежных алгоритмов шифрования. Они способны защитить передаваемую по компьютерным сетям информацию от вскрытия злоумышленником. Эти системы уже прочно вошли в повседневную жизнь и не являются чем-то экзотическим. Алгоритмы шифрования хорошо отлажены, некоторые имеют свободный открытый код и могут быть вполне легально использованы при проектировании систем связи, что, впрочем, и происходит.
Защита компьютерной сети на примере издательства.
Для примера взято небольшое издательство, основанное на информации о реальном предприятии. На Рисунок 8 показан упрощенный план этажа издательства. На этом плане указано запланированное размещение персонала и оборудования.
Как видно на плане, на предприятии предусмотрена базовая система безопасности, ограничивающая физический доступ на территорию издательства. Серверная комната находится в отдельном помещении и доступ к оборудованию, расположенному в ней дополнительно ограничен только для технического персонала. Сам технический персонал расположен в отдельной комнате, что дает возможность дополнительно ограничить доступ к информации, находящейся в его компетенции. Дополнительно там могут быть расположены шкафы или сейфы для хранения ключевой информации доступа.
Все концентраторы расположены на внутренних стенах внутри отдельных запираемых комнат. Это дает возможность ответственному за помещением персоналу наблюдать за доступом к концентраторам только техническому персоналу издательства. Попросту посторонним лицам будет гораздо сложнее провести какие-либо манипуляции с оборудованием в комнате, где люди хорошо друг друга знают и тут же обратят внимание на подозрительные действия посторонних или не технический персонал.
В конечном итоге можно сказать, что размещение, предусмотренное планом, обеспечивает хорошую физическую безопасность сетевого оборудования. Конечно на плане не указано размещение кабелей, не показаны радиусы излучения оборудования. В данном случае для такой организации, как издательство белее высокий уровень безопасности не требуется. Хотя, несмотря на это, серверная комната со всех сторон, кроме внешней стены, окружена комнатами с персоналом, который непосредственно несет ответственность за сохранность оборудования и информации, поэтому карта излучений не требуется.
Рисунок План размещения персонала издательства.