Рассмотрим кратко широко известные алгоритмы блочного шифрования, принятые в качестве государственных стандартов шифрования данных в США и России.
В 1973 г. Национальное бюро стандартов США начало разработку программы по созданию стандарта шифрования данных на ЭВМ. Был объявлен конкурс среди фирм-разработчиков США, который выиграла фирма IBM, представившая в 1974 году алгоритм шифрования, известный под названием DES (Data Encryption Standart).
В этом алгоритме входные 64-битовые векторы, называемые блоками открытого текста, преобразуются в выходные 64-битовые векторы, называемые блоками шифртекста, с помощью двоичного 56-битового ключа А", Число различных ключей DES-алгоритма равно 256 > 7 • 1016.
Алгоритм реализуется в течение 16 аналогичных циклов шифрования, где на /-м цикле используется цикловой ключ К„ представляющий собой алгоритмически вырабатываемую выборку 48 битов из 56 битов ключа К„ /==1,2, .... 16. ,
Алгоритм обеспечивает высокую стойкость, однако недавние результаты показали, что современная технология позволяет создать вычислительное устройство стоимостью около 1 млн долларов США, способное вскрыть секретный ключ с помощью полного перебора в среднем за 3,5 часа.
Из-за небольшого размера ключа было принято решение использовать DES-алгоритм для закрытия коммерческой (несекретной) информации. Практическая реализация перебора всех ключей в данных условиях экономически нецелесообразна, так как затраты на реализацию перебора не соответствуют ценности информации, закрываемой шифром.
DES-алгоритм явился первым примером широкого производства и внедрения технических средств в области защиты информации. Национальное бюро стандартов США проводит проверку аппаратных реализации DES-алгоритма, предложенных фирмами-разработчиками, на специальном тестирующем стенде. Только после положительных результатов проверки производитель получает от Национального бюро стандартов сертификат на право реализации своего
продукта. К настоящему времени аттестовано несколько десятков изделий, выполненных на различной элементной базе.
Достигнута высокая скорость шифрования. По некоторым сообщениям, имеется микросхема, реализующая DES-алгоритм со скоростью 45 Мбит/с. Велика доступность этих изделий: стоимость некоторых аппаратных реализации ниже 100 долларов США.
Основные области применения DES-алгоритма:
1) хранение данных в ЭВМ (шифрование файлов, паролей);
2) аутентификация сообщений (имея сообщение и контрольную группу, несложно убедиться в подлинности сообщения);
3) электронная система платежей (при операциях с широкой клиентурой и между банками);
4) электронный обмен коммерческой информацией (обмен данными между покупателем, продавцом и банкиром защищен от изменений и перехвата).
В 1989 году в СССР был разработан блочный, шифр для исполь-зования в качестве государственного стандарта шифрования данных. Разработка была принята и зарегистрирована как ГОСТ 28147—89. И хотя масштабы применения этого алгоритма шифрования до сих пор уточняются, начало его внедрению, в частности в банковской системе, уже положено. Алгоритм, судя по публикациям, несколько медлителен, но обладает весьма высокой стойкостью.
Блок-схема алгоритма ГОСТ отличается от блок-схемы DES-ал-горитма лишь отсутствием начальной перестановки и числом циклов шифрования (32 в ГОСТе против 16 в DES-алгоритме).
Ключ алгоритма ГОСТ — это массив, состоящий из 32-мерных векторов а'|, Х^, ... Ag. Цикловой ключ г-го цикла К, равен Xs, где ряду значений / от 1 до 32 соответствует следующий ряд значений 5:
В шифре ГОСТ используется 256-битовый ключ и объем ключевого пространства составляет 2236. Ни на одной из существующих в настоящее время или предполагаемых к реализации в недалеком будущем ЭВМ общего применения нельзя подобрать ключ за время, меньшее многих сотен лет. Российский стандарт проектировался с большим запасом, по стойкости он на много порядков превосходит американский стандарт DES с его реальным размером ключа в 56 бит и объемом ключевого пространства всего 256. В свете прогресса современных вычислительных средств этого явно недостаточно. В этой связи DES может представлять скорее исследовательский или научный, чем практический интерес
Алгоритм расшифровки отличается от алгоритма зашифровки тем, что последовательность ключевых векторов используется в обратном порядке.
Расшифровка данных возможна только при наличии синхропо-сылки, которая в скрытом виде хранится в памяти ЭВМ или передается по каналам связи вместе с зашифрованными данными.
Важной составной частью шифросистемы является ключевая система шифра. Под ней обычно понимается описание всех видов ключей (долговременные, суточные, сеансовые и др.), используемых шифром, и алгоритмы их использования (протоколы шифрованной связи).
В электронных шифраторах в качестве ключей могут использоваться начальные состояния элементов памяти в схемах, реализующих алгоритм шифрования, функциональные элементы алгоритма шифрования. Ключ может состоять из нескольких ключевых составляющих различных типов: долговременных, сеансовых и т. д.
Одной из основных характеристик ключа является его размер, определяющий число всевозможных ключевых установок шифра. Если размер ключа недостаточно велик, то шифр может быть вскрыт простым перебором всех вариантов ключей. Если размер ключа чрезмерно велик, то это приводит к удорожанию изготовления ключей, усложнению процедуры установки ключа, понижению надежности работы шифрующего устройства и т. д. Таким образом, выбранный криптографом размер ключа — это всегда некий компромисс.
Заметим, что DES-алгоритм подвергался критике именно в связи с небольшим размером ключа, из-за чего многие криптологи пришли к мнению, что необходимым «запасом прочности» DES-ал-горитм не обладает.
Другой важной характеристикой ключа является его случай-' ность.
Наличие закономерностей в ключе приводит к неявному уменьшению его размера и, следовательно, к понижению криптографической стойкости шифра. Такого рода ослабление криптографических свойств шифра происходит, например, когда ключевое слово устанавливается по ассоциации с какими-либо именами, датами, терминами. Всякая логика в выборе ключа наносит ущерб криптографическим свойствам шифра.
Таким образом, требование случайности ключей выступает как одно из основных при их изготовлении.
Для изготовления ключей могут использоваться физические датчики и псевдослучайные генераторы со сложным законом образования ключа. Использование хорошего физического датчика более привлекательно с точки зрения обеспечения случайности ключей, но является, как правило, более дорогим и менее производительным способом. Псевдослучайные генераторы более дешевы и производительны, но привносят некоторые зависимости если не в отдельные ключи, то в совокупности ключей, что также нежелательно.
Важной частью практической работы с ключами является обеспечение секретности ключа. К основным мерам по защите ключей относятся следующие:
1) ограничение круга лиц, допущенных к работе с ключами;
2) регламентация рассылки, хранения и уничтожения ключей;
3) регламентация порядка смены ключей;
4) применение технических мер защиты ключевой информации от несанкционированного доступа.
Важной составляющей защиты информации являются протоколы связи, определяющие порядок вхождения в связь, зашифровки и передачи информации. Протокол связи должен быть построен с учетом следующих обстоятельств;
1) протокол должен защищать открытый текст и ключ от несанкционированного доступа на всех этапах передачи информации от источника к получателю сообщений;
2) протокол не должен допускать выхода в линии связи «лишней» информации, предоставляющей криптоаналитику противника дополнительные возможности дешифрования криптограмм.
Нетрудно видеть, что использование криптосистем с секретным ключом предполагает заблаговременные до сеансов связи договоренности между абонентами о сеансовых секретных ключах или их предварительную пересылку по защищенному каналу связи. К настоящему времени разработаны принципы так называемого открытого распределения ключей (ОРК) и открытого шифрования (ОШ), которые явились «новыми направлениями в криптографии», давшими начало криптографии с открытым ключом.
Проблемы реализации методов криптографической защиты вАСОД[2]
Проблема реализации методов защиты информации имеет два аспекта: разработку средств, реализующих криптографическое закрытие, и методику использования этих средств. Каждый из рассмотренных выше методов закрытия информации может быть реализован либо аппаратными, либо программными средствами. Возможность программной реализации обусловливается тем, что все методы криптографического закрытия формальны и могут быть представлены в виде конечной алгоритмической процедуры.
При аппаратной реализации все процедуры шифрования и дешифрования реализуются специальными электронными схемами. Обычно такие схемы выполняются в виде отдельных модулей, сопрягаемых с ЭВМ, терминалами пользователей, модемами связи, с другими элементами автоматизированных систем. Наибольшее распространение получили модули, реализующие комбинированные методы шифрования. При этом непременным компонентом всех аппаратно реализованных комбинаций шифров является гаммиро-вание. Это объясняется, с одной стороны, достаточно высокой степенью закрытия с помощью гаммирования, а с другой — сравнительно простой схемой, реализующей этот метод. Обычно в качестве генератора гаммы применяют широко известный регистр сдвига с обратными (линейными или нелинейными) связями. Минимальный период порождаемой таким регистром последовательности составляет 2^- 1 двоичных знаков. Если, например, N-=56 (столько рабочих разрядов в регистре сдвига шифрующего аппарата для уже упоминавшегося DES), то 256- 1 = 1016. Если перебирать знаки этой гаммы со скоростью 1 млн знаков в секунду, то для перебора всех знаков одного периода потребуется не менее 3000 лет.
Для повышения качества генерируемой последовательности можно предусмотреть специальный блок управления работой регистра сдвига. Такое управление может заключаться, например, в том, что после зашифровки определенного объема исходного текста содержимое регистра сдвига циклически изменяется (например, сдвигается на несколько тактов). Дальнейшего повышения качества генерируемой гаммы можно достичь, если использовать три регистра сдвига, два из которых являются рабочими, а третий — управляющим. На каждом такте работы в качестве знака гаммы принимается выходной сигнал первого или второго регистра, причем выбор определяется значением выходного сигнала третьего регистра (0 — выбор первого регистра, 1 — выбор второго регистра).
Еще одна возможность улучшения криптографических свойств гаммы заключается в использовании нелинейных обратных связей. При этом улучшение достигается не за счет увеличения длины гаммы, а за счет усложнения закона ее формирования, что существенно усложняет криптоанализ. Показано, что N регистров сдвига с нелинейными обратными связями обеспечивают такую же стойкость шифра, что и 1м регистров с линейными связями.
К настоящему времени разработано значительное число шифровальных аппаратов, отличающихся и алгоритмом работы, и методом формирования гаммы. Рассмотрим некоторые из них.
Например, фирмой AEG-Telefunken разработана система Tele-krypt, реализующая шифрование гаммированием. Формирование гаммы осуществляется с помощью специальной процедуры с использованием двух ключей — основного, определяемого пользователем, и дополнительного, определяемого системой. Основной ключ может принимать 1030 различных значений, он вводится в систему с помощью специальной карты. Дополнительный ключ выбирается системой случайно, он передается на шифроаппарат получателя сообщения в начале каждого нового сообщения. Благодаря наличию дополнительного ключа появляется возможность применения двухкаскадного ключа с варьируемой периодичностью изменения. С использованием одного и того же основного ключа можно в таком случае передавать больший объем информации при обеспечении требуемой надежности закрытия информации.
Шифровальное устройство T&lekrypt выполнено на интегральных схемах. Для предотвращения выдачи в линию открытого исходного текста предусмотрено специальное устройство контроля. Максимальная скорость формирования гаммы достигает 10 Кбит/с. . '
Американская фирма Cryptex разработала устройство шифрования данных для вычислительной системы TRS-80. Устройство размером с пачку сигарет подключается к задней панели ЭВМ или шине интерфейса.
В этом устройстве применен алгоритм шифрования, который существенно отличается от DES. Хотя структура алгоритма держится в секрете, его разработчики утверждают, что достигнутая ими стойкость шифрования превышает стойкость DES. Повышения стойкости удалось добиться за счет увеличения длины исходного ключа, используемого для формирования гаммы. Ключ состоит из 10 символов кода ASCII. В двоичном исчислении длина кода равна 80 битам, что значительно превышает длину ключа DES. За счет дополнительного усложнения алгоритма (ветвление кода и задержка в использовании формируемой гаммы) удается увеличить объем пространства ключей до 2330 двоичных знаков. Максимальная скорость шифрования до 15 тыс. символов в минуту. Устройство имеет усиленный корпус и защиту от воздействия внешних электромагнитных полей.
Основным достоинством программных методов реализации криптографической защиты является их гибкость, т. е. возможность быстрого изменения алгоритма шифрования. При этом можно предварительно создать пакет шифрования, содержащий программы для различных методов шифрования или их комбинаций. Смена
программ будет производиться оперативно в процессе функционирования системы.
Основным недостатком программной реализации криптографических методов является существенно меньшее быстродействие. Например, при аппаратной реализации национального стандарта время на обработку одного блока составляет примерно 5 мкс, при программной реализации на большой ЭВМ — 100 мкс, а на специализированной мини-ЭВМ это время составляет примерно 50 мкс. Поэтому при больших объемах защищаемой информации аппаратные методы представляются более предпочтительными. Программные методы, кроме того, могут быть реализованы только при наличии в составе аппаратуры мощного процессора, тогда как шифрующие аппараты с помощью стандартных интерфейсов могут подключаться практически к любым подсистемам автоматизированных систем.
По способу использования средств закрытия информации обычно различают потоковое и блочное шифрование. При потоковом шифровании каждый символ исходного текста преобразуется независимо от других. Поэтому такое шифрование может осуществляться одновременно с передачей данных по каналу связи. При блочном шифровании одновременно преобразуется некоторый блок символов закрываемого исходного текста, причем преобразование символов в пределах блока является взаимозависимым. Может существовать зависимость и между преобразованиями символов в некоторых смежных блоках.
Большие трудности возникают при формировании механизма распределения ключей криптографического преобразования. Одним из принципов, которого придерживаются многие специалисты в области криптографии, является несекретность используемого способа закрытия. Предполагается, что необходимая надежность закрытия полностью обеспечивается за счет сохранения в тайне ключей. Именно этим объясняется то, что алгоритм и архитектура аппаратной реализации DES были широко опубликованы в печати. Отсюда с однозначностью вытекает принципиальная важность формирования ключей, распределения их и доставки в пункты пользования. Существенными аспектами этой проблемы являются следующие соображения:
• ключи должны выбираться случайно, чтобы исключалась возможность их отгадывания на основе каких-либо ассоциаций;
• выбранные ключи должны распределяться таким образом, чтобы не было закономерностей в изменении ключей от пользователя к пользователю;
• механизм распределения ключей должен, обеспечивать тайну ключей на всех этапах функционирования системы. 'Ключи должны передаваться по линиям связи и храниться в системе обработки только в защищенном виде;
• должна быть предусмотрена достаточно частая смена ключей, причем частота их изменения должна определяться двумя факторами: временем действия и объемом закрытой с их использованием информации.
Если система криптографического закрытия информации разработана правильно, то доступ злоумышленников к информации невозможен. Однако любое отступление от правил использования реквизитов защиты может явиться причиной утечки информации. Поэтому соблюдение этих правил является непременным условием надежной защиты информации.
Очень сложной является проблема распределения ключей в сети с большим числом пользователей. Суть проблемы состоит в том, чтобы в случае необходимости обеспечить секретную связь между любыми двумя пользователями, и только эти пользователи должны знать ключ, используемый для шифрования сообщений. Эту задачу можно решить, предоставив каждому из пользователей по т - 1 ключу, т. е. по одному ключу для связи с каждым из остальных пользователей. При этом необходимо распределить т(т - 1) пар ключей, что представляется невыполнимой на практике задачей. Применение другого метода требует от пользователей доверия к сети. При этом каждому пользователю нужно запомнить только один ключ. Этим ключом шифруются сообщения, которые передаются к одному из узлов сети. Там оно перешифровывается и передается к следующему узлу. Этот процесс продолжается до тех пор, пока сообщение не поступит в точку назначения. Так как при таком подходе для разрушения секретности в сети достаточно разрушить защиту лишь в одном узле, то авторы не настаивают на использовании этого метода. Они предлагают два дополнительных подхода, которые позволяют разрешить возникающие проблемы.
При первом подходе требуется, чтобы небольшое число k узлов сети функционировало в качестве узлов распределителей ключей. Каждый пользователь запоминает k ключей, каждый из которых должен применяться при связи с определенным узлом. Когда два пользователя захотят установить между собой связь, они соединяются со всеми узлами и получают случайные ключи от каждого из узлов. Затем пользователь объединяет эти ключи с помощью операции «исключающее ИЛИ» и использует результат в качестве действительного ключа для шифрования любых сообщений. Преимуще-
ством такого подхода является уменьшение распределяемого числа ключей. Кроме того, для разрушения секретности в такой сети нужно разрушить секретность во всех узлах-распределителях ключей в сети.
При использовании второго подхода допускается,, чтобы некоторые ключи были известны. При этом пользователь имеет два ключа А и Б, ключ А используется для шифрования сообщений самого пользователя, а Б — для расшифровки сообщений, поступающих к пользователю. Необходимым условием при этом является выполнение следующих требований: пары А— Б должны формироваться с помощью простых методов, при этом, однако, вычисление ключа Б по ключу А должно представлять собой невыполнимую задачу. Ключ А является общим, так как он используется всеми пользователями системы для передачи сообщений к данному пользователю. Так как ключи А и Б связаны между собой, то требование невозможности восстановления А и Б является совершенно обязательным.
Задача управления большим числом ключей является очень важной при использовании любого метода шифрования. Известен метод, который применим для обеспечения секретности связи в системе с единственной центральной ЭВМ и большим числом терминалов.
Предположим, что каждый терминал имеет единственный главный терминальный ключ, известный на терминале и в центральной ЭВМ. В этой ЭВМ ключ может быть защищен с помощью главного ключа ЭВМ, который недоступен для любой программы пользователя. Для любого интервала работы центральная ЭВМ генерирует интервальный ключ, который передается на терминал после зашифрования с помощью главного ключа терминала. После расшифровки интервального ключа с помощью своего главного ключа терминал использует его в течение всего интервала работы с центральной ЭВМ.
Таким образом, используемые в системе ключи подразделяются на ключи для шифрования данных и ключи для шифрования ключей. Последние должны быть очень устойчивыми, поэтрму для их генерации рекомендуется использовать случайные процессы. Ключи для шифрования данных используются в значительно большем количестве и сменяются значительно чаще. Поэтому их можно формировать с помощью некоторого детерминированного процесса или устройства.
Характеристики криптографических средств защиты [8, 11]
Важнейшей характеристикой криптографического закрытия информации является его стойкость. Под этим понимается тот минимальный объем зашифрованного текста, статистическим анализом
которого можно вскрыть исходный текст. Таким образом, по стойкости шифра можно определить предельно допустимый объем информации, зашифровываемый при использовании одного ключа.
При выборе криптографического алгоритма для использования в конкретной разработке его стойкость, т. е. устойчивость к попыткам противоположной стороны его раскрыть, является одним из определяющих факторов. Вопрос о стойкости шифра при ближайшем рассмотрении сводится к двум взаимосвязанным вопросам:
• можно ли вообще раскрыть данный шифр;
• если да, то насколько это трудно сделать практически. Шифры, которые вообще невозможно раскрыть, называются абсолютно или теоретически стойкими. Существование подобных шифров доказывается теоремой Шеннона, однако ценой этой стойкости является необходимость использования для шифрования каждого сообщения ключа, не меньшего по размеру самого сообщения. Во всех случаях, за исключением ряда особых, эта цена чрезмерна, поэтому на практике в основном используются шифры, не обладающие абсолютной стойкостью. Таким образом, наиболее употребительные схемы шифрования могут быть раскрыты за конечное время или, что точнее, за конечное число шагов, каждый из которых является некоторой операцией над числами. Для таких схем важнейшее значение имеет понятие практической стойкости, выражающее практическую трудность их раскрытия. Количественной мерой этой трудности может служить число элементарных арифметических и логических операций, которые необходимо выполнить, чтобы раскрыть шифр, то есть, чтобы для заданного шифротекста с вероятностью, не меньшей заданной величины, определить соответствующий открытый текст. При этом в дополнение к дешифруемому массиву данных криптоаналитик может располагать блоками открытых данных и соответствующих им зашифрованных данных или даже иметь возможность получить для любых выбранных им открытых данных соответствующие зашифрованные данные. В зависимости от перечисленных и многих других неуказанных условий различают отдельные виды криптоанализа.
Все современные криптосистемы построены по принципу Кирхгофа, то есть секретность зашифрованных сообщений определяется секретностью ключа. Это значит, что даже если сам алгоритм шифрования известен криптоаналитику, тот, тем не менее, не в состоянии расшифровать сообщение, если не располагает соответствующим ключом. Все классические блочные шифры, в том числе DES и ГОСТ, соответствуют этому принципу и спроектированы таким образом, чтобы не было пути вскрыть их более эффективным спосо-
бом, чем полным перебором по всему ключевому пространству, т. е. по всем возможным значениям ключа. Ясно, что стойкость таких шифров определяется размером используемого в них ключа.
Приведем оценки стойкости рассмотренных выше методов шифрования. Моноалфавитная подстановка является наименее стойким шифром, так как при ее использовании сохраняются все статистические закономерности исходного текста. Уже при длине зашифрованного текста в 20—30 символов указанные закономерности проявляются в такой степени, что, как правило, позволяют вскрыть исходный текст. Поэтому такое шифрование считается пригодным только для закрытия паролей, коротких сигнальных сообщений и отдельных знаков.
Стойкость простой полиалфавитной подстановки (из подобных систем нами была рассмотрена подстановка по таблице Вижинера) оценивается значением 20л, где п — число различных алфавитов, используемых для замены. При использовании таблицы Вижинера число различных алфавитов определяется числом букв в ключевом слове. Усложнение полиалфавитной подстановки существенно повышает ее стойкость. Монофоническая подстановка может бцть весьма стойкой (и даже теоретически нераскрываемой), однако строго монофоническую подстановку, в которой все символы имеют равные вероятности появления, реализовать на практике трудно, а любые отклонения от монофоничности снижают реальную стойкость шифра.
Стойкость простой перестановки однозначно определяется размерами используемой матрицы. Например, при использовании матрицы 16х16 число возможных перестановок достигает 1,4х1026. Такое число вариантов невозможно перебрать даже с использованием современных ЭВМ. Стойкость усложненных перестановок может быть выше. Однако следует иметь в виду, что при шифровании перестановкой полностью сохраняются вероятностные характеристики исходного текста, что облегчает криптоанализ.
Стойкость гаммирования однозначно определяется длиной периода гаммы. В настоящее время реальным становится использование бесконечной гаммы, при использовании которой теоретическая стойкость зашифрованного текста также будет бесконечной
Можно отметить, что для надежного закрытия больших массивов информации наиболее пригодны гаммирование и усложненные перестановки и подстановки.
При использовании комбинированных методов шифрования стойкость шифра равна произведению стойкостей отдельных методов. Поэтому комбинированное шифрование является наиболее надежным способом криптографического закрытия. Именно такой метод был положен в основу работы всех известных в настоящее время шифрующих аппаратов (в том числе и аппарата, реализующего DES).
Рассмотренные значения стойкости шифров являются потенциальными величинами. Они могут быть реализованы при строгом соблюдении правил использования криптографических средств защиты. Основными из этих правил являются: сохранение в тайне ключей, исключение дублирования и достаточно частая смена ключей. Остановимся на двух последних правилах. Под дублированием здесь понимается повторное шифрование одного и того же отрывка текста с использованием тех же ключей (например, если при первом шифровании имел место сбой). Нарушение этого правила резко снижает надежность шифрования, так как исходный текст может быть восстановлен с помощью статистического анализа двух вариантов текста.
Важнейшим правилом использования криптографических средств является достаточно частая смена ключей. Причем эту частоту можно определять и исходя из длительности использования ключа, и объема зашифрованного текста. При этом смена ключей по временному графику является защитной мерой против возможного их хищения, а смена после шифрования определенного объема текста — от раскрытия шифра статистическими методами.
До сих пор мы предполагали, что злоумышленник не обладает никакой другой информацией, кроме отрезка зашифрованного текста. Однако для крупных современных систем коллективного пользования, для которых более характерно территориальное распределение отдельных элементов, злоумышленнику может стать доступной и дополнительная информация, которая может существенно облегчить криптоанализ.
На практике, например, может встретиться ситуация, когда злоумышленник имеет возможность направить в систему ряд специально подобранных сообщений и получить их от системы в зашифрованном виде. Особенно опасна такая ситуация при использовании перестановок. При использовании полиалфавитных подстановок это облегчает определение количества используемых алфавитов, а при использовании гаммирования — закономерности формирования гаммы. Более того, если злоумышленнику удается полностью перехватить зашифрованное сообщение, то он может попытаться получить «куски» шифрованного и соответствующего исходного текстов, предполагая наличие в сообщении служебных слов: адреса
отправителя, даты, времени, грифа секретности и т. п. Все это мо» жет быть использовано при криптоанализе зашифрованного текста.
Оценим далее некоторые технико-экономические показатели криптографических средств.
Расходы на программную реализацию криптографических методов защиты определяются сложностью алгоритмов прямого и обратного преобразований. Оценка затрат на эти цели производится по тем же методикам, что и оценка затрат на другие компоненты программного обеспечения. При этом, однако, надо иметь в виду, что для подавляющего большинства методов закрытия прямое и обратное преобразования осуществляются по одному и тому же алгоритму.
Расходы на аппаратную реализацию могут быть оценены приближенно стоимостью шифрующей аппаратуры. По данным зарубежной печати, такие аппараты в настоящее время поступают на коммерческий рынок. Выпускаются и поступают в продажу, например, шифрующие аппараты, реализующие DES.
Одной из наиболее важных технико-экономических характеристик систем криптографического закрытия является трудоемкость метода шифрования, которую можно выразить числом элементарных операций, необходимых для шифрования одного символа исходного текста.
При шифровании подстановкой необходимо выполнить выбор алфавита и поиск необходимого символа в этом алфавите. При полиалфавитной подстановке дополнительно необходимо выполнить выбор очередного алфавита. Основными процедурами, выполняемыми при перестановке, являются выбор знаков исходного текста, определение места записи и запись в поле шифрованного текста. Трудоемкость аналитического преобразования определяется сложностью используемого преобразования. Если, например, используется правило перемножения матрицы и вектора, то для шифрования одного символа необходимо осуществить т умножений и т - 1 сложений, где от — размерность матрицы.
При шифровании гаммированием основная трудоемкость связана с формированием гаммы. Если, например, для этой цели применен линейный рекуррентный генератор, реализующий алгоритм вида ?„.] = (а/; + c)Tod т, где а и с — константы, то нетрудно заметить, что для формирования каждого знака гаммы необходимо выполнить не менее трех операций.
Таким образом, наиболее трудоемкими являются аналитические преобразования, затем по мере снижения трудоемкости следует гам-мирование, перестановки и замены.
Вопросы к главе 3
1. Что такое криптология?
2. Что такое ключ?
3. Определите понятие «криптологический алгоритм».
4. Какие функции выполняет криптологический протокол?
5. Что из себя представляет криптосистема?
6. Дайте определение стойкости криптосистемы.
7. Какие основные типы криптосистем вы знаете?
8. Дайте общее определение цифровой подписи.
9. Объясните суть преобразований — перестановка и замена.
10. Приведите пример табличной перестановки с использованием ключевого слова.
11. Что из себя представляет система шифрования с использованием таблицы Вижинера?
12. Что из себя представляет'Йистемаздйфров&ния Вёрнама! Укажите ее Особенности.
13. Что из себя представляет симметричная криптографическая система?
14. Что из себя представляет блочная симметричная криптографическая система? ' . , '
15. Объясните, что такое композиционный блочный шифр и ит^рацйй^", !\ ный блочный шифр. ' '
16. Объясните суть алгоритма DES и укажите на его особенности.
17. В каких режимах может работать алгоритм DES?
18. Дайте описание отечественного алгоритма криптографического преобразования данных (ГОСТ 28147—90) и его отличительных особенностей. ,'
'19. Какие режимы имеет отечественный алгоритм криптографического. преобразования данных (ГОСТ 28147—90)? '•' ''.'.'.
'20. Чем отличаются поточные симметричные криптографические системы?