Сильная криптография
Эта статья нуждается в дополнительных цитатах для проверки . ( декабрь 2007 г. ) |
Эта статья , возможно, содержит оригинальные исследования . ( Ноябрь 2021 г. ) |
Сильная криптография или криптографически стойкая — это общие термины, используемые для обозначения криптографических алгоритмов , которые при правильном использовании обеспечивают очень высокий (обычно непреодолимый) уровень защиты от любого перехватчика , включая правительственные учреждения. [1] Точного определения границы между сильной криптографией и ( взламываемой ) слабой криптографией не существует , поскольку эта граница постоянно смещается из-за усовершенствований аппаратного обеспечения и методов криптоанализа . [2] Эти улучшения в конечном итоге делают возможности, ранее доступные только АНБ, доступными для квалифицированного специалиста. [3] поэтому на практике существует только два уровня криптографической безопасности: «криптография, которая не позволит вашей младшей сестре прочитать ваши файлы, и криптография, которая не позволит крупным правительствам читать ваши файлы» ( Брюс Шнайер ). [2]
Алгоритмы стойкой криптографии имеют высокую степень защиты , которую для практических целей обычно определяют как количество битов в ключе . Например, правительство США, занимаясь экспортным контролем шифрования , считало по состоянию на 1999 г. [update] любая реализация алгоритма симметричного шифрования с длиной ключа более 56 бит или его с открытым ключом эквивалент [4] быть сильным и, таким образом, потенциально подлежать экспортному лицензированию . [5] Чтобы быть надежным, алгоритм должен иметь достаточно длинный ключ и быть свободным от известных математических недостатков, поскольку их использование эффективно уменьшает размер ключа. В начале 21-го века типичный уровень безопасности сильных алгоритмов симметричного шифрования составляет 128 бит (немного меньшие значения все еще могут быть надежными, но обычно использование ключей меньшего размера дает мало технической выгоды). [5] [ нужно обновить ]
Демонстрация устойчивости любой криптографической схемы к атаке — сложный вопрос, требующий тщательного тестирования и проверки, желательно на публичном форуме. Требуются хорошие алгоритмы и протоколы (аналогично, чтобы построить прочное здание нужны хорошие материалы), но также необходим хороший дизайн и реализация системы: «можно построить криптографически слабую систему, используя сильные алгоритмы и протоколы» (точно так же, как использование хороших материалов в строительстве не гарантирует прочную конструкцию). Многие реальные системы оказываются слабыми, когда сильная криптография не используется должным образом, например, случайные одноразовые номера . повторно используются [6] Успешная атака может вообще не включать в себя алгоритм: например, если ключ сгенерирован на основе пароля, угадать слабый пароль легко и не зависит от стойкости криптографических примитивов. [7] Пользователь может стать самым слабым звеном в общей картине, например, поделившись с коллегами паролями и аппаратными токенами. [8]
Предыстория [ править ]
Уровень затрат, необходимых для надежной криптографии, изначально ограничивал ее использование правительством и военными ведомствами. [9] до середины 20-го века процесс шифрования требовал большого человеческого труда, и ошибки (препятствовавшие расшифровке) были очень распространены, поэтому зашифровать можно было лишь небольшую часть письменной информации. [10] Правительство США, в частности, смогло сохранить монополию на разработку и использование криптографии в США до 1960-х годов. [11] В 1970 году возросшая доступность мощных компьютеров и несекретные научные открытия ( стандарт шифрования данных , алгоритмы Диффи-Хеллмана и RSA ) сделали надежную криптографию доступной для гражданского использования. [12] В середине 1990-х годов во всем мире произошло распространение знаний и инструментов для надежной криптографии. [12] К 21 веку технические ограничения исчезли, хотя большая часть сообщений все еще оставалась незашифрованной. [10] При этом стоимость создания и эксплуатации систем с сильной криптографией стала примерно такой же, как и со слабой криптографией. [13]
Использование компьютеров изменило процесс криптоанализа, как известно, благодаря » Блетчли Парка «Колоссу . Но так же, как развитие цифровых компьютеров и электроники помогло в криптоанализе, оно также сделало возможным гораздо более сложные шифры. Обычно использование качественного шифра очень эффективно, в то время как его взлом требует усилий на много порядков больше, что делает криптоанализ настолько неэффективным и непрактичным, что он практически невозможен.
алгоритмы Криптографически стойкие
Этот раздел нуждается в дополнительных цитатах для проверки . ( июнь 2023 г. ) |
Этот термин «криптографически стойкий» часто используется для описания шифрования алгоритма и подразумевает, по сравнению с некоторыми другими алгоритмами (которые, таким образом, криптографически слабы), большую устойчивость к атакам. Но его также можно использовать для описания алгоритмов хеширования и создания уникальных идентификаторов и имен файлов. См., например, описание функции библиотеки времени выполнения Microsoft .NET Path.GetRandomFileName. [14] В данном случае этот термин означает «трудно угадать».
Алгоритм шифрования задуман как невзламываемый (в этом случае он настолько надежен, насколько это возможно), но может быть и взломанным (в этом случае он настолько слаб, насколько это вообще возможно), поэтому в принципе не существует континуум силы, как, казалось бы, подразумевает эта идиома : алгоритм A сильнее, чем алгоритм B, который сильнее, чем алгоритм C, и так далее. Ситуация становится более сложной и менее поддающейся единой метрике силы из-за того, что существует много типов криптоаналитических атак и что любой конкретный алгоритм, вероятно, заставит злоумышленника выполнить больше работы, чтобы взломать его при использовании одной атаки, чем другой.
Существует только одна известная невзламываемая криптографическая система — одноразовый блокнот , которую обычно невозможно использовать из-за трудностей, связанных с заменой одноразовых блокнотов без их компрометации. Таким образом, любой алгоритм шифрования можно сравнить с идеальным алгоритмом — одноразовым блокнотом.
Обычно этот термин используется (в широком смысле) в отношении конкретной атаки, перебора ключей — особенно в объяснениях для новичков в этой области. Действительно, при этой атаке (всегда при условии, что ключи выбраны случайным образом) существует континуум сопротивления, зависящий от длины используемого ключа. Но даже в этом случае есть две основные проблемы: многие алгоритмы допускают использование ключей разной длины в разное время, и любой алгоритм может отказаться от использования ключа полной длины. Таким образом, Blowfish и RC5 представляют собой алгоритмы блочного шифрования , конструкция которых специально допускает несколько длин ключей , и поэтому нельзя сказать, что они обладают какой-либо особой стойкостью в отношении поиска ключей методом перебора. Более того, экспортные правила США ограничивают длину ключей для экспортируемых криптографических продуктов, и в нескольких случаях в 1980-х и 1990-х годах (например, знаменитый случай с разрешением на экспорт Lotus Notes ) использовались только частичные ключи, что снижало «стойкость» к атакам грубой силы для эти (экспортные) версии. Примерно то же самое произошло и за пределами США , как, например, в случае более чем одного криптографического алгоритма в GSM стандарте сотовых телефонов .
Этот термин обычно используется для обозначения того, что некоторый алгоритм подходит для какой-либо задачи в криптографии или информационной безопасности , но также противостоит криптоанализу и не имеет или имеет меньше недостатков безопасности. Задачи разнообразны и могут включать в себя:
- генерация случайности
- шифрование данных
- предоставление метода обеспечения целостности данных
Криптостойкость , по-видимому, означает, что описанный метод имеет некоторую зрелость и, возможно, даже одобрен для использования против различных видов систематических атак в теории и/или на практике. Действительно, метод может противостоять этим атакам достаточно долго, чтобы защитить передаваемую информацию (и то, что стоит за этой информацией) в течение полезного периода времени. Но из-за сложности и тонкости этой области ни то, ни другое почти никогда не бывает таковым. Поскольку такие гарантии на самом деле недоступны в реальной практике, ловкость рук в формулировках, подразумевающая, что они есть, обычно вводит в заблуждение.
Всегда будет существовать неопределенность, поскольку достижения (например, в области криптоаналитической теории или просто доступные компьютерные мощности) могут уменьшить усилия, необходимые для успешного использования какого-либо метода атаки на алгоритм.
Кроме того, фактическое использование криптографических алгоритмов требует их инкапсуляции в криптосистему , а это часто приводит к появлению уязвимостей, которые не связаны с ошибками в алгоритме. Например, практически все алгоритмы требуют случайного выбора ключей, и любая криптосистема, которая не предоставляет такие ключи, будет подвержена атаке независимо от каких-либо характеристик устойчивости к атакам используемого алгоритма(ов) шифрования.
Юридические вопросы [ править ]
Широкое использование шифрования увеличивает затраты на слежку , поэтому политика правительства направлена на регулирование использования стойкой криптографии. [15] В 2000-х годах влияние шифрования на возможности наблюдения было ограничено постоянно растущей долей сообщений, проходящих через глобальные платформы социальных сетей, которые не использовали стойкое шифрование и предоставляли правительствам запрошенные данные. [16] Мерфи говорит о законодательном балансе, который необходимо найти между полномочиями правительства, которые достаточно широки, чтобы иметь возможность следовать быстро развивающимся технологиям, и в то же время достаточно узки, чтобы общественность и надзорные органы могли понимать будущее использование законодательства. [17]
США [ править ]
Первоначальная реакция правительства США на расширение доступности криптографии заключалась в том, чтобы относиться к криптографическим исследованиям так же, как к исследованиям в области атомной энергии , то есть « рождаться засекреченными », при этом правительство осуществляло юридический контроль над распространением результатов исследований. Это быстро оказалось невозможным, и усилия были переключены на контроль за внедрением (экспорт, поскольку запрет на использование криптографии в США серьезно не рассматривался). [18]
Экспортный контроль в США исторически использует два направления: [19]
- предметы военного назначения (обозначаемые как «боеприпасы», хотя на практике предметы в Списке боеприпасов США не соответствуют общепринятому значению этого слова). Экспорт боеприпасов контролируется Государственным департаментом . Ограничения на боеприпасы очень жесткие: в отдельных экспортных лицензиях указываются продукт и фактический заказчик;
- Товары двойного назначения («товары») должны быть коммерчески доступными без лишней документации, поэтому, в зависимости от пункта назначения, могут быть предоставлены широкие разрешения на продажу гражданским потребителям. Лицензирование товаров двойного назначения осуществляется Министерством торговли . Процесс перевода товара из списка боеприпасов в статус товара осуществляется Государственным департаментом.
Поскольку первоначальные применения криптографии были почти исключительно военными, она была включена в список боеприпасов. С ростом гражданского использования криптография двойного назначения определялась криптографической стойкостью , при этом стойкое шифрование оставалось боеприпасом, как и огнестрельное оружие ( стрелковое оружие имеет двойное назначение, а артиллерия имеет чисто военную ценность). [20] Эта классификация имела свои очевидные недостатки: крупный банк, возможно, так же системно важен, как и военный объект. [20] и ограничение на публикацию стойкого криптографического кода, противоречащего Первой поправке , поэтому после экспериментов в 1993 году с чипом Clipper (где правительство США хранило специальные ключи дешифрования на условном депонировании ), в 1996 году почти все криптографические элементы были переданы Министерству торговли. [21]
Я [ править ]
Позиция ЕС, по сравнению с США, всегда больше склонялась к конфиденциальности. В частности, ЕС отверг идею депонирования ключей еще в 1997 году. Агентство Европейского Союза по кибербезопасности (ENISA) придерживается мнения, что бэкдоры неэффективны для законного наблюдения, но представляют большую опасность для общей цифровой безопасности. [15]
Пять глаз [ править ]
« Пять глаз» (после Брексита ) представляют собой группу государств со схожими взглядами на вопросы безопасности и конфиденциальности. У группы может быть достаточно веса, чтобы продвигать глобальную повестку дня по законному перехвату . Усилия этой группы не совсем скоординированы: например, требование 2019 года к Facebook не внедрять сквозное шифрование не было поддержано ни Канадой, ни Новой Зеландией и не привело к регулированию. [17]
Россия [ править ]
Президент и правительство России в 90-е годы издали несколько указов, формально запрещающих использование несертифицированных криптосистем государственными органами. Указом президента от 1995 года также была предпринята попытка запретить частным лицам производить и продавать криптографические системы без соответствующей лицензии, но он не был реализован каким-либо образом, поскольку подозревался в том, что он противоречит Конституции России 1993 года и не является законом как таковым. [22] [23] [24] [примечание 1] Постановление №313, изданное в 2012 году, внесло дополнительные изменения в предыдущие, разрешив производить и распространять продукцию со встроенными криптосистемами и не требуя лицензии как таковой, хотя и декларируя некоторые ограничения. [25] [26] Во Франции были довольно строгие правила в этой области, но в последние годы они были смягчены. [ нужна ссылка ]
Примеры [ править ]
Этот раздел нуждается в дополнительных цитатах для проверки . ( июнь 2023 г. ) |
Сильный [ править ]
- PGP обычно считается примером стойкой криптографии, его версии работают под большинством популярных операционных систем и на различных аппаратных платформах. Стандартом с открытым исходным кодом для операций PGP является OpenPGP , а GnuPG является реализацией этого стандарта из FSF . Однако ключ подписи IDEA в классическом PGP имеет длину всего 64 бита, поэтому больше не защищен от атак коллизий. Поэтому OpenPGP использует хеш-функцию SHA-2 и криптографию AES.
- Алгоритм AES считается надежным после того, как он был выбран в ходе длительного открытого процесса отбора , включавшего многочисленные тесты.
- Криптография на основе эллиптических кривых — еще одна система, основанная на графической геометрической функции.
- Последняя версия протокола TLS ( версия 1.3 ), используемая для защиты интернет- транзакций, обычно считается надежной. В предыдущих версиях существовало несколько уязвимостей, включая продемонстрированные атаки, такие как POODLE . Хуже того, некоторые наборы шифров намеренно ослаблены, чтобы использовать 40-битный эффективный ключ, чтобы обеспечить экспорт в соответствии с правилами США, существовавшими до 1996 года .
Слабый [ править ]
Этот раздел нуждается в дополнительных цитатах для проверки . ( июль 2023 г. ) |
Примеры, которые не считаются криптостойкими:
- DES , чьи 56-битные ключи допускают атаки посредством полного перебора.
- Тройной DES (3DES / EDE3-DES) может стать объектом «атаки SWEET32 Birthday». [27]
- Конфиденциальность, эквивалентная проводной сети , которая подвергается множеству атак из-за недостатков в ее конструкции.
- SSL v2 и v3. TLS 1.0 и TLS 1.1 также устарели [см. RFC7525] из-за необратимых недостатков, которые все еще присутствуют в конструкции, а также из-за того, что они не обеспечивают эллиптическое подтверждение связи (EC) для шифров, современную криптографию, режимы шифрования CCM/GCM. TLS1.x также объявлен PCIDSS 3.2 для коммерческих/банковских реализаций на веб-интерфейсах. Разрешены и рекомендуются только TLS1.2 и TLS 1.3, должны использоваться исключительно современные шифры, подтверждения связи и режимы шифрования.
- и Хэш -функции MD5 SHA -1 больше не защищены от коллизионных атак.
- Потоковый шифр RC4 .
- 40-битная система шифрования контента, используемая для шифрования большинства DVD-Video . дисков
- Почти все классические шифры .
- Большинство ротационных шифров, таких как машина «Энигма» .
- DHE/EDHE можно угадать/слабый при использовании/повторном использовании известных простых значений по умолчанию на сервере.
Примечания [ править ]
- ^ Источники представлены на русском языке. Чтобы смягчить проблему нехватки англоязычных источников, источники цитируются с использованием официальных правительственных документов.
Ссылки [ править ]
- ^ Вагл 2015 , с. 121.
- ^ Jump up to: Перейти обратно: а б Вагл 2015 , с. 113.
- ^ Леви, Стивен (12 июля 1994 г.). «Битва за Клипер Чип». Журнал Нью-Йорк Таймс . стр. 44–51.
- ^ «Правила шифрования и экспортного контроля (EAR)» . bis.doc.gov . Бюро промышленности и безопасности . Проверено 24 июня 2023 г.
- ^ Jump up to: Перейти обратно: а б Рейнхольд 1999 , с. 3.
- ^ Шнайер 1998 , с. 2.
- ^ Шнайер 1998 , с. 3.
- ^ Шнайер 1998 , с. 4.
- ^ Вагл 2015 , с. 110.
- ^ Jump up to: Перейти обратно: а б Диффи и Ландау 2007 , с. 725.
- ^ Вагл 2015 , с. 109.
- ^ Jump up to: Перейти обратно: а б Вагл 2015 , с. 119.
- ^ Диффи и Ландау 2007 , с. 731.
- ^ Метод Path.GetRandomFileName (System.IO) , Microsoft
- ^ Jump up to: Перейти обратно: а б Рибе и др. 2022 , с. 42.
- ^ Рибе и др. 2022 , с. 58.
- ^ Jump up to: Перейти обратно: а б Мерфи 2020 .
- ^ Диффи и Ландау 2007 , с. 726.
- ^ Диффи и Ландау 2007 , с. 727.
- ^ Jump up to: Перейти обратно: а б Диффи и Ландау 2007 , с. 728.
- ^ Диффи и Ландау 2007 , с. 730.
- ^ Фарбер, Дэйв (6 апреля 1995 г.). «Запрет криптографии в России (fwd) [Далее..djf]» . Проверено 14 февраля 2011 г.
- ^ Antipov, Alexander (1970-01-01). "Пресловутый указ №334 о запрете криптографии" . www.securitylab.ru (in Russian) . Retrieved 2020-09-21 .
- ^ "Указ Президента Российской Федерации от 03.04.1995 г. № 334" . Президент России (in Russian) . Retrieved 2020-09-21 .
- ^ "Положение о лицензировании деятельности по разработке, производству, распространению шифровальных средств и систем" . Российская газета (in Russian) . Retrieved 2020-09-21 .
- ^ "Миф №49 "В России запрещено использовать несертифицированные средства шифрования" " . bankir.ru (in Russian) . Retrieved 2020-09-21 .
- ^ Бюллетень по безопасности: уязвимость Sweet32, влияющая на шифр Triple DES . Бюллетень IBM по безопасности, 2016 г.
Источники [ править ]
- Вагл, Джеффри Л. (2015). «Скрытое шифрование: власть, доверие и конституционная цена коллективного наблюдения» . Юридический журнал Индианы . 90 (1).
- Рейнхольд, Арнольд Г. (17 сентября 1999 г.). Сильная криптография. Глобальная волна перемен . Информационные материалы Института Катона № 51. Институт Катона .
- Диффи, Уитфилд; Ландау, Сьюзен (2007). «Экспорт криптографии в 20 и 21 веках». История информационной безопасности . Эльзевир. стр. 725–736. дои : 10.1016/b978-044451608-4/50027-4 . ISBN 978-0-444-51608-4 .
- Мерфи, Сиан С. (2020). «Миф о криптовойнах: реальность государственного доступа к зашифрованным коммуникациям» . Мировой обзор общего права . 49 (3–4). Публикации SAGE: 245–261. дои : 10.1177/1473779520980556 . hdl : 1983/3c40a9b4-4a96-4073-b204-2030170b2e63 . ISSN 1473-7795 .
- Рибе, Тея; Кюн, Филипп; Императори, Филипп; Рейтер, Кристиан (26 февраля 2022 г.). «Политика безопасности США: регулирование криптографии двойного назначения и ее влияние на наблюдение» (PDF) . Европейский журнал исследований безопасности . 7 (1). ООО «Спрингер Сайенс энд Бизнес Медиа»: 39–65. дои : 10.1007/s41125-022-00080-0 . ISSN 2365-0931 .
- Фейгенбаум, Джоан (24 апреля 2019 г.). «Шифрование и наблюдение» . Коммуникации АКМ . 62 (5). Ассоциация вычислительной техники (ACM): 27–29. дои : 10.1145/3319079 . ISSN 0001-0782 .
- Шнайер, Брюс (1998). «Подводные камни безопасности в криптографии» (PDF) . Проверено 27 марта 2024 г.