1 Методи та механізми 2014. 1. 1 Основні послуги при застосуванні, уніфікація та стандартизація криптографічних перетворень
 Скачать 1.75 Mb.
|
|
8) Атаки на основі аналітичних слабкостей. Такі атаки поєднують звичайні методи оптимізації та крипто аналітичні методи аналізу. Особливість цих атак полягає в тому, що зміни контролюються тільки в деяких точках алгоритмів; на відміну від диференційного криптоаналізу, де аналізу піддаються всі спільні диференціали деякого ступеня. Геш - функції повинні бути захищеними від вказаних вище атак. 1.11.36 Функція гешування SHA-1 визначена у федеральному стандарті США FIPS 180-1, вона рекомендована NIST разом з DSA стандартом для цифрових підписів. NIST оновив цей стандарт, затвердивши стандарт FIPS 180-2, що включає, крім SHA-1, ще три нових функції гешування: SHA-2/256, SHA-2/384 і SHA-2/512, з функціями гешування відповідно з довжинами 256, 384 та 512 бітів. Також в ISO/IEC 10118 додатково введено функції гешування, що включені до FIPS 180-2. У частині ISO/IEC 10118-2 визначені функції гешування, що засновані на блокових шифрах у конструкції Matyas-Meyer-Oseas, у ній незалежний блоковий шифр в алгоритмі MDC-2 із двома й більше функціями використовується для обчислення значення геш-функції подвійної та потрійної довжини відповідно. Частина 10118-3 [88] визначає три замовлених алгоритми: RIPEMD-128, RIPEMD-160 і SHA-1. Ця частина стандарту на цей час переглянута. Окрім зазначених трьох алгоритмів, прийняті функції гешування: SHA-2/256, SHA-2/384, SHA-2/512 і Whirlpool. Частина 10118-4 [89] описує MASH-1 та MASH-2 функції гешування, що використовують модульну арифметику. 1.11.37 Метою проведення конкурсу SHA-3 було розробка алгоритму, який зміг би замінити діючий стандарт функцій гешування. В інформаційному листі NIST наведено ряд вимог до кандидатів на новий стандарт. Основною вимогою є підтримка алгоритмом-кандидатом можливості вироблення геш-значень довжиною 224, 256, 384 та 512 бітів. Така вимога необхідна для того, щоб не порушити спадкову послідовність відносно SHA-2 і, таким чином, домогтися сумісності нового стандарту гешування з уже існуючими, у яких його планується застосовувати. Можливість функції гешування виробляти значення іншої довжини є перевагою, але за умови, що її визнають учасники відкритого обговорення. NIST планує використовувати новий алгоритм гешування в таких застосуваннях: – вироблення та перевіряння електронного цифрового підпису за FIPS 186-2 та FIPS 186-3; – обчислення кодів автентифікації повідомлень за FIPS 198 (HMAC); – встановлення ключів згідно SP 800-56A; – генерування псевдовипадкових чисел згідно NIST SP 800-90 (DRBGs). Зважаючи на перелік сервісів, що пропонуються NIST, вимоги до її безпеки мають бути жорсткими. Відповідно до цього, узгоджені вимоги щодо безпеки функції гешування з довжиною геш-значення n бітів такі: – складність знаходження колізії, не менше  ;– складність відновлення прообразу, не менше  ;– складність знаходження другого прообразу, не менше ;– стійкість до атак length extension; – стійкість до усічених колізій; – відсутність атак розпізнавання для генераторів псевдовипадкових послідовностей, що використовують HMAC, побудованих на базі функції гешування зі складністю, меншою ніж знаходження другого прообразу, і кількістю запитів до генератора не менше ;– також, як випливає з аналізу, відкритість алгоритмів гешування та можливість мінімізації складності гешування, як при апаратній, так і при програмній реалізації. 1.11.38 У відкритому конкурсі перемогла ФГ Keccak. За наведеною вище класифікацію функцію ґешування Keccak найбільш доцільно віднести до спеціалізованих функцій гешування. Попередні дослідження дозволяють зробити висновок, що ФГ Keccak є найбільш швидкою з визнаних на нинішній час, але проблема перевірки стійкості, на наш погляд, залишається дещо відкритою. 1.11.39 Стандарт ДСТУ 7564:2014 визначає функцію ґешування, яка забезпечує обчислення ґеш-значення з довжинами від 8 до 512 біт з кроком у 8 біт. Режим роботи для формування ґеш-значення довжиною n біт позначається як «Купина- n ». Основними режимами роботи функції ґешування, що рекомендуються до застосування, є «Купина-256», «Купина-384» і «Купина-512». Функція ґешування, що визначена у стандарті ДСТУ 7564:2014, формує ґеш-значення для повідомлення, що складається з бітової послідовності довжини від 0 біт (порожній рядок) до  біт. При формуванні ґеш-значення повідомлення доповнюється, далі поділяється на  - бітні блоки  , після чого виконується обробка кожного блоку шляхом ітеративного виконання функції стиснення  . При цьому формуються значення  , де  , а початкове значення  . Після обробки останнього блоку повідомлення обчислюється результуюче ґеш-значення.1.11.40 найбільш широко й системно вимоги до засобів КЗІ були визначені у федеральних стандартах США FIPS 140-1, FIPS 140-2 та у проекті FIPS 140-3, а також у стандартах ДСТУ ISO/IEC 19790 - 2012 та ДСТУ ISO/IEC 19790 - 2005. З них можна зробити висновок, що при побудуванні криптографічних систем необхідно обґрунтовувати та вибирати з відповідним рівнем захищеності криптографічні засоби, політики їх застосування, криптографічні перетворення та протоколи, протоколи управління та сертифікації ключів тощо. При цьому, у першу чергу, необхідно враховувати таке: наскільки важливою є ІС чи ІТС для вирішення завдань організації; якою мірою повинні використовуватися національні та міжнародні стандарти; які вимоги щодо ефективності криптографічних механізмів повинні виконуватися (наприклад, пропускна здатність, час обробки, їх здатність протистояти діям порушників тощо); які вимоги повинні виконуватися щодо внутрішньо системної здатності та міжсистемною здатністю й інтероперабільністю; вимоги щодо криптографічних алгоритмів, криптографічних протоколів та протоколів зв’язку тощо; мета та цілі безпеки інформації, мета та цілі застосування криптографічних засобів і механізмів; які послуги та за яким профілем повинні надаватися, наприклад, цілісність, справжність, конфіденційність, доступність, спостережливість, неспростовність; протягом якого періоду часу інформація повинна бути захищена; які регламенти та політики повинні бути застосовані; якою мірою користувачі проінформовані щодо криптографічних методів та механізмів та наскільки добре вони навчені; у чому полягає сутність фізичної та процедурної інфраструктури з криптографічного захисту інформації та даних, наприклад, збереження, облік та аудит, матеріальна й технічна підтримка тощо; відносно якої інформації та даних потрібно забезпечити зв’язок з використанням криптографічних перетворень і протоколів (у тому числі, наприклад, засоби та процедури фізичного захисту ключових даних та інформації). 1.11.41 Національний стандарт ДСТУ ISO/IEC 19790 : 2012 встановлює вимоги безпеки для криптографічних модулів, що використовуються в системі безпеки для захисту критичної (чутливої) інформації в комп'ютерних і телекомунікаційних системах. Стандарт ДСТУ ISO/IEC 19790 : 2012 визначає для модулів КЗІ чотири рівні безпеки для кожної з 11 областей вимог, забезпечуючи підвищення безпеки кожного рівня в порівнянні з попереднім рівнем. Стандарт ДСТУ ISO/IEC 19790 : 2012 встановлює вимоги, що спрямовані на підтримання безпеки, що забезпечується криптографічним модулем; відповідність стандарту не є достатньою умовою, щоб гарантувати, що конкретний модуль є безпечним, або що безпека, забезпечувана модулем, є достатньою і прийнятною для власника інформації, яка захищається. 1.11.42 Версія ДСТУ ISO/IEC 19790 : 2012 є суттєво переробленою версією міжнародного версії ДСТУ ISO/IEC 2005-03-30. В стандарті передбачено чотири наростаючі, якісні рівні вимог безпеки, що призначені для покриття широкого спектру потенційних застосувань і середовищ. Причому криптографічні методи та механізми однакові для всіх чотирьох рівнів безпеки. Вимоги безпеки стандарту охоплюють галузі специфікації модулів КЗІ; інтерфейси модулів КЗІ; ролі, послуги і автентифікація; безпека програмного / програмно-апаратного забезпечення; експлуатаційне середовище, фізична безпека; неінвазивна безпека; управління чутливими параметрами безпеки; самотестування; гарантії життєвого циклу, а також відбиття інших атак. 1.11.43 Важливою необхідною умовою забезпечення криптографічної стійкості асиметричних криптографічних перетворень є використання справжніх цілісних «сильних» загальних або загально - системних параметрів. Під загальними параметрами асиметричних криптографічних перетворень будемо розуміти сукупність критичних параметрів, які є загальними для одного окремого користувача. Прикладом загальних параметрів є прості числа P та Q і модуль N, що використовуються в RSA криптографічних перетвореннях. Під загально - системними параметрами будемо розуміти критичні параметри криптографічного перетворення, які є загальними для домену xи системи. Прикладами загально - системних параметрів є параметри (P, g) скінченного поля, де P - як правили «сильне» просте число, а G - первісний елемент, що породжує скінченне поле. Для криптографічних перетворень в групі точок еліптичних кривих також визначаються загально - системні параметри. 1.11.44 Із стандарту Х9.98 NTRUEncrypt можливо реалізувати ефективний захист від несанкціонованого доступу через застосування простих пристроїв, таких як смарт - карти та електронні ключі. Так за даними компанії NTRU Cryptosystem безконтактні смарт - карти з NTRUEncrypt будуть коштувати у 6-10 раз дешевше за смарт - карти з RSA. Згідно стандарту Х9.98 NTRUEncrypt може використовуватися також для транспортування симетричних ключів із забезпеченням криптографічного захисту. Безпосередньо криптографічні перетворення в фактор - кільці NTRUEncrypt визначені тільки в стандарті Х9.98 NTRUEncrypt. Для їх застосування необхідно відповідним чином здійснити гармонізацію, або розробити з використанням аналогічних або розширених вимог національний стандарт. Одним із недоліків Х9.98 NTRUEncrypt є розширення у порівнянні з іншими алгоритмами направленого шифрування довжини криптограми. Бажано щоби вона була мінімізована. Іншим недоліком Х9.98 NTRUEncrypt є збільшення довжин відкритих L в та особистих ключів асиметричних пар. |