Российские криптоалгоритмы: Теперь все российские криптоалгоритмы опубликованы как RFC

Содержание

Теперь все российские криптоалгоритмы опубликованы как RFC

Отголоски Холодной войны

На рынке криптографии давно сложилась своеобразная монополия. В коммерчески доступных системах шифрования вы встретите массу американских алгоритмов (часто с израильскими или европейскими корнями), но ни одного российского.

Так происходит из-за того, что для большинства разработчиков американский рынок основной, а Национальный институт стандартов и технологий США (NIST) всячески бойкотирует «русский след» ещё со времён Холодной войны.

Внутри отдельной страны правительство может продвигать свои местные разработки (особенно это заметно в Китае и России), но на международном уровне компаниям приходится использовать только то, что одобрил дядя Сэм. На практике процедуру валидации проходят лишь те шифросистемы, которые не мешают работать CIA, NSA и прочим трёхбуквенным агентствам.

На уровне математики сами алгоритмы считаются чистыми, но их коммерчески доступная реализация обычно содержит какой-то случайный или намеренный изъян. Это может быть предсказуемый генератор псевдослучайных чисел (см. Dual EC DRBG), склонные к коллизиям хеш-функции (см. MD5) и другие ослабления (см. OpenBSD) криптографических примитивов. Троянские закладки на уровне железа и софта уже стали обычным делом.

Национальный вопрос и «независимые» организации

В области криптографии Россия «играет на чужом поле» по навязанным правилам. Поэтому первым шагом к признанию российских разработок и к возможности использования их в протоколах сети Интернет должно было стать их упоминание в документах Инженерного совета Интернета (IETF).

Формально IETF зарегистрировано как открытое международное партнёрство специалистов разного профиля, занимающихся развитием стандартов для сети Интернет. Реально штаб-квартира IETF располагается в Калифорнии, а организация IETF LLC, осуществляющая юридические действия от имени IETF, обязана соблюдать законы США.

Поэтому неудивительно, что во всех стандартах сети Интернет (они называются RFC) Инженерного совета фигурирует исключительно американская криптография.

Там нет алгоритмов блочного шифрования «Кузнечик» и «Магма», нет алгоритма вычисления хеш-функции «Стрибог», нет алгоритма цифровой подписи на базе эллиптических кривых. Это при том, что все они давно и детально описаны в открытых источниках, а в России приняты как государственные стандарты. Причём, использование эллиптических кривых в России было стандартизовано задолго до того, как этот класс алгоритмов был стандартизован в США.

На пути к международному признанию

Первые упоминания российских криптоалгоритмов в документах IETF были сделаны в документах RFC 4357 и RFC 4491. Однако, прохождение этих документов было связано с большими трудностями и основным выдвигаемым возражением было то, что они ссылаются на алгоритмы «неизвестные сообществу IETF».

Поэтому примерно десять лет назад началась большая работа по переводу российских стандартов на английский язык и проведению их через процедуру IETF. Российские разработчики прошли долгий путь, чтобы описания отечественных криптографических стандартов появились как документы RFC.

В этом году произошло знаковое событие: сотрудник НПК «Криптонит» Василий Долматов подготовил и опубликовал RFC 8891, описывающий российский криптографический алгоритм «Магма». Эта публикация завершает большой цикл работ по продвижению отечественных систем шифрования на международном уровне и делает возможным их использование в интернет-протоколах.

Сейчас в IETF есть полный комплект документов на английском языке про актуальные российские стандарты шифрования и криптографические примитивы. Они детально описывают алгоритмы собственно шифрования, вычисления хэш-функций и формирования электронной подписи.

К настоящему моменту как RFC опубликованы все три «старых» алгоритма и четыре новых, пришедшие им на смену. Поэтому формальный аргумент не использовать российскую криптографию в протоколах сети Интернет у американцев пропал.

Эти документы имеют статус «информационных» (Informational) — «не являются спецификацией Internet Standards Track, публикуются в информационных целях». Однако этого достаточно для начала использования российских криптографических алгоритмов в документах категории Standards Track. И сейчас внутри IETF стали появляться стандарты, которые ссылаются на российские RFC Таким образом, система замкнулась, а бюрократическая змея укусила собственный хвост.

Ниже приводится полный список российских криптографических алгоритмов, опубликованных как RFC:

RFC 5830 (was draft-dolmatov-cryptocom-gost2814789) GOST 28147-89: Encryption, Decryption, and Message Authentication Code (MAC) Algorithms;

RFC 5831 (was draft-dolmatov-cryptocom-gost341194) GOST R 34.11-94: Hash Function Algorithm;

RFC 5832 (was draft-dolmatov-cryptocom-gost34102001) GOST R 34.10-2001: Digital Signature Algorithm;

RFC 6986 (was draft-dolmatov-gost34112012) GOST R 34.11-2012: Hash Function;

RFC 7091 (was draft-dolmatov-gost34102012) GOST R 34.10-2012: Digital Signature Algorithm;

RFC 7801 (was draft-dolmatov-kuznyechik) GOST R 34.12-2015: Block Cipher «Kuznyechik»;

RFC 8891 (was draft-dolmatov-magma) GOST R 34.12-2015: Block Cipher «Magma».

: Технологии и медиа :: РБК

Согласно законодательству российские криптоалгоритмы должны использоваться в средствах защиты информации, сертифицированных ФСБ и обязательных для использования госорганами в их электронном документообороте, напоминает Станислав Смышляев, директор по информационной безопасности компании «Крипто-ПРО» (входит в ТК 26). С 2024 года, по требованиям Центробанка, они станут обязательны и для использования платежными системами.

Смышляев также отметил, что протокол TLS предыдущих версий с отечественными криптоалгоритмами уже используется для защиты соединений на некоторых сайтах госуслуг, например на едином портале госзакупок и в личном кабинете юрлица на сайте Федеральной налоговой службы. В ближайшее время, по его словам, количество таких сайтов должно увеличиться в связи с поручением президента России.

Читайте на РБК Pro

Протоколы защиты данных с отечественными криптоалгоритмами после утверждения документов Росстандартом могут использоваться при разработке программного обеспечения и оборудования для защиты ведомственных каналов связи, уточняет Сергей Панов, заместитель гендиректора по производственной деятельности компании «Элвис-Плюс» (также входит в ТК 26, разрабатывала часть проектов стандартов). «Это могут быть маршрутизаторы, универсальные устройства для защиты IP-сетей от атак и угроз и т.д. То есть речь идет о защите конфиденциальной информации, прежде всего той, необходимость обеспечения безопасности которой определена законодательно, например персональных данных или информации, которой обмениваются государственные информационные системы», — пояснил Панов.

Когда на отечественные криптоалгоритмы перейдет Рунет

Норму о защите всего трафика в Рунете с помощью отечественных средств шифрования изначально планировали внести в так называемый закон о суверенном Рунете, но из финального варианта этот пункт был исключен. Однако в обозримом будущем предполагается перевод всего российского сегмента интернета на отечественную криптографию — в плане мероприятий федерального проекта «Информационная безопасность» национальной программы «Цифровая экономика» упомянута разработка соответствующей «дорожной карты». При этом несколько членов ТК 26, включая Качалина, входят в рабочую группу проекта «Информационная безопасность».

Панов подтвердил РБК, что ТК 26 готовит нормативную базу для более широкого использования отечественных криптографических алгоритмов в российском сегменте Сети. «Переход на использование российских криптоалгоритмов повысит уровень защищенности и устойчивости Рунета», — считает он.

Стандарты, над которыми работает ТК 26, как раз создаются для широкого применения российских криптографических алгоритмов, подтвердил заместитель гендиректора по науке и инновациям компании «ИнфоТеКС» и заместитель ответственного секретаря ТК 26 Алексей Уривский.

Станислав Смышляев напомнил, что в проекте «Информационная безопасность» предусмотрено создание Национального удостоверяющего центра, который обеспечит применение российских криптоалгоритмов в ходе взаимодействия рядовых пользователей с сайтами в Рунете.

Не помешает ли отечественное шифрование обычным пользователям

Для массового распространения российских криптоалгоритмов в Рунете есть ряд препятствий. «Первым [препятствием] является необходимость внедрять российскую криптографию в компьютеры и смартфоны. Без этого граждане не смогут пользоваться сайтами, на которых для шифрования данных установлена исключительно отечественная криптография. То есть органам власти нужно будет договариваться с Apple, Google, Microsoft и другими производителями операционных систем о возможности внедрения отечественной криптографии», — предупреждает консультант по информационной безопасности Cisco Systems Алексей Лукацкий.

Для массового использования отечественной криптографии в Рунете придется договариваться с крупнейшими производителями операционных систем, подтверждает старший аналитик Российской ассоциации электронных коммуникаций Карен Казарян. «Android — это открытая ОС, на нее можно будет добавить поддержку российского национального удостоверяющего центра и без договоренностей с Google, просто выпустив отдельную сборку. В случае с Apple или Microsoft это невозможно», — уточняет он.

Если российские власти не смогут договориться, то на отечественных сайтах будут использовать одновременно отечественное и зарубежное шифрование, полагает Казарян. В таком случае, если браузер пользователя не поддерживает отечественное шифрование, система будет перебрасывать его на иностранное.

Еще одно препятствие — это, по словам Лукацкого, отсутствие российской криптографии на устройствах интернета вещей, количество которых постоянно растет. «Кроме того, согласно действующему российскому законодательству ФСБ ведет учет всех сертифицированных средств криптографической защиты информации и позволяет вывозить их за рубеж только после получения разрешения. То есть для широкого распространения отечественной криптографии в Рунете и на устройствах пользователей нужно будет поправить российское законодательство», — отметил Лукацкий.

Почему ФСБ активизирует переход на российские алгоритмы

Члены ТК 26 утверждают, что использование российских алгоритмов позволит повысить безопасность передачи данных. По словам Смышляева, утвержденные в 2018 году российские криптонаборы протокола TLS1.2 в отличие от зарубежных гарантируют контроль объема данных, шифруемых на одном ключе. «Это позволяет обеспечивать противодействие атакам на криптосистемы, которые становятся возможными при шифровании больших объемов данных. Зарубежные коллеги в IETF (Инженерном совете интернета. —

РБК), узнав о таком решении, инициировали в своей исследовательской группе по криптографии работу, направленную на определение таких механизмов», — говорит Смышляев.

Впрочем, у экспертов ранее возникали вопросы к двум российским криптографическим стандартам «Кузнечик» и «Стрибог», разработанным Центром защиты информации и специальной связи ФСБ. В 2015 году Лео Перрин из Университета Люксембурга и его коллеги представили доклад, в котором говорилось о скрытых особенностях упомянутых алгоритмов, которые могут свидетельствовать о специально заложенных уязвимостях. В феврале 2019 года Перрин представил еще одно исследование, в котором вновь обосновал этот тезис.

Наличие скрытых уязвимостей в криптографическом алгоритме потенциально может позволить злоумышленникам расшифровывать данные пользователей, которые им шифруются. Однако в разговоре с РБК эксперты отмечали, что отечественные алгоритмы используются для шифрования государственных данных, и потому очень маловероятно, чтобы в них были какие-либо специально оставленные уязвимости. В компании «ИнфоТеКС», которая принимала участие в разработке алгоритмов, заявили, что исследование «носит спекулятивный характер и имеет своей целью срыв работ российских экспертов по продвижению указанных криптоалгоритмов в стандарты ISO (Международной организации по стандартизации.  — РБК)».

Автор

Мария Коломыченко

Минцифры разработало рекомендации по переходу на российские криптоалгоритмы

Взаимодействие с гражданами и организациями будет проводиться с помощью «Сервиса защищённого взаимодействия».  

Минцифры разработало временные рекомендации по переходу органов госвласти и местного самоуправления на отечественные криптографические алгоритмы и средства шифрования при взаимодействии с гражданами и организациями. Соответствующий проект приказа выложен на общественное обсуждение.

Коммуникация будет осуществляться с помощью клиентской части «Сервиса защищённого взаимодействия» (СЗВ).

Минцифры утвердило рекомендации по переходу на российские криптоалгоритмы #Минцифры, #РФ, #СЗВ https://t.co/jHzAMSo4DY pic.twitter.com/f6ErlcopgV

— SecurityLab.ru (@SecurityLabnews) October 20, 2020

Он представляет собой комплекс организационно-технических мер с клиент-серверной архитектурой, реализующий электронное взаимодействие граждан и организаций с информационными ресурсами органов государственной и муниципальной власти. Общение происходит по защищённым протоколам с поддержкой российских криптографических алгоритмов.

В рамках работ по созданию СЗВ проектируется подсистема реализации протокола защиты транспортного уровня, обеспечивающая:

− перенаправление на средства СЗВ трафика граждан и организаций при их обращении к государственным и муниципальным информационным системам;

− одностороннюю аутентификацию средств СЗВ;

− расшифровку трафика и его передачу на обработку в другие подсистемы СЗВ.

При выборе ПО для реализации клиентской части Сервиса Минцифры рекомендует выбирать решения с использованием отечественных криптографических стандартов со следующими характеристиками:

  1. отечественные криптопровайдеры, обеспечивающие конфиденциальность и имитозащиту TLS-соединений;
  2. специализированные браузеры со встроенными отечественными криптографическими средствами, обеспечивающие конфиденциальность и имитозащиту TLS-соединений;
  3. криптографические средства, представляющие собой криптографическую службу, обеспечивающую возможность работы вне зависимости от типа используемых пользователем браузеров;
  4. криптографические средства, представляющие собой мобильное приложение, обеспечивающее возможность работы, включая просмотр веб-страниц с защищённым соединением.

Технические решения клиентской части СЗВ будут основаны на российском ПО, входящем в Единый реестр российских программ для для электронных вычислительных машин и баз данных. Средства криптографической защиты информации, используемые в клиентской части Сервиса, должны быть сертифицированы ФСБ.

Дата окончания общественного обсуждения проекта приказа — 2 ноября 2020 г. Если у вас есть какие-то предложения или замечания, вы можете оставить их на странице документа.

КриптоПро | КриптоПро TLS c ГОСТ

Протокол TLS: Краткая справка

Протокол TLS (Transport Layer Security) является одним из наиболее популярных протоколов, предназначенных для установления защищенного канала связи в сети Интернет. Он основан на спецификации протокола SSL (Secure Sockets Layer) версии 3.0, но за время своего существования претерпел довольно много изменений. Самой актуальной версией протокола на текущий момент является недавно вышедшая версия TLS 1.3, однако версия TLS 1.2 все еще остается наиболее распространенной.

Ключевая задача, решаемая TLS, – организация между клиентом и сервером аутентифицированного защищенного канала, обеспечивающего целостность и конфиденциальность передаваемых данных. На каждом этапе работы протокола используются различные криптографические алгоритмы, которые задаются криптонабором – совокупностью алгоритмов, определенной в стандартизирующих документах и включающей, например, алгоритм выработки симметричного ключа, алгоритм шифрования и алгоритм выработки имитовставки. Используемый криптонабор согласуется сторонами в самом начале установления защищенного канала.

Что такое TLS с ГОСТ?

В процессе работы над задачей разработки протокола TLS с поддержкой российских криптонаборов при активном участии специалистов КриптоПро было создано два ключевых документа, регламентирующих порядок работы протоколов TLS 1.2 и TLS 1.3 с ГОСТ Р 34.12-2015 (с использованием алгоритмов Магма и Кузнечик) – рекомендации по стандартизации Р 1323565.1.020-2018 для TLS 1.2 и рекомендации по стандартизации Р 1323565.1.030-2020 для TLS 1.3. Документы определяют криптонаборы с российскими алгоритмами хэширования, шифрования и электронной подписи с учетом наиболее современных и безопасных практик использования криптоалгоритмов. Для регламентации работы протокола с использованием криптонаборов на базе ГОСТ 28147-89 ранее были разработаны методические рекомендации МР 26.2.001-2013. Отметим, что сами российские алгоритмы стандартизируются в международных организациях ISO и IETF, проходя экспертизу ведущих мировых специалистов.

Подробнее о TLS c ГОСТ и поддерживаемых КриптоПро CSP криптонаборах 

Процесс стандартизации TLS с российскими криптонаборами также активно идет и в рамках международных организаций IETF и IANA. Так, организация IANA, управляющая идентификаторами и параметрами протоколов сети Интернет, в том числе благодаря усилиям специалистов нашей компании, впервые зарегистрировала в своем реестре российские криптонаборы и другие сопутствующие параметры для протокола TLS 1.2, а затем и TLS 1.3. Это крайне важное событие, которое имеет непосредственное отношение к стабильности работы протокола TLS с ГОСТ, ведь без наличия международно признаваемых идентификаторов все предыдущие годы существовала опасность блокировки TLS с ГОСТ из-за захвата номеров сторонними криптонаборами, а внесение поддержки российских криптонаборов в свободное ПО было затруднено.

КриптоПро CSP и TLS с ГОСТ

Ниже приведен список поддерживаемых различными версиями нашего криптопровайдера КриптоПро CSP криптонаборов и соответствующих регламентирующих документов. Отдельно отметим, что с версии 5.0 R3 планируется реализация поддержки криптонаборов в соответствии с рекомендациями Р 1323565.1.030-2020 для обеспечения поддержки протокола TLS версии 1.3 с использованием отечественной криптографии.

Версия TLS

Поддерживаемые криптонаборы

Версия CSP

Регламентирующие документы

1.0

28147_CNT_IMIT (0xFF,0x85)

любая поддерживаемая

МР 26.2.001-2013

1.1

28147_CNT_IMIT (0xFF,0x85)

любая поддерживаемая

МР 26.2.001-2013

1.2

28147_CNT_IMIT (0xFF,0x85)

любая поддерживаемая

МР 26.2.001-2013

28147_CNT_IMIT (0xC1,0x02)

5.0 R2 и выше

Р 1323565.1.020-2018

draft-smyshlyaev-tls12-gost-suites

KUZNYECHIK_CTR_OMAC (0xC1,0x00)

MAGMA_CTR_OMAC (0xC1,0x01)

1.3

KUZNYECHIK_MGM_L (0xC1,0x03)

Планируется с 5.0 R3

Р 1323565.1.030-2020

draft-smyshlyaev-tls13-gost-suites

MAGMA_MGM_L (0xC1,0x04)

KUZNYECHIK_MGM_S (0xC1,0x05)

MAGMA_MGM_S (0xC1,0x06)

Криптонаборы с номерами (0xC1, 0x00) – (0xC1, 0x06) являются наборами, зарегистрированными в реестре организации IANA.

Внедрить TLS c ГОСТ? Легко!

Наша компания предлагает широкий спектр продуктов для организации каналов, защищенных с помощью TLS с использованием отечественной криптографии. Ниже мы опишем существующие решения для различных задач: 

Также на данной странице представлена информацию об услугах нашего удостоверяющего центра CryptoPro TLS-CA по выдаче сертификатов TLS →

Клиент-серверные решения

TLS-сервер с ГОСТ

Предлагаем воспользоваться одним из двух подходов, позволяющих без дополнительной сертификации и разработки программного кода развернуть TLS-сервер, который будет одновременно работать как с российскими, так и с зарубежными криптонаборами:

  1. Если вам необходимо настроить работу для конкретного серверного ПО (IIS, Apache, nginx), вы можете на компьютере с указанным серверным ПО установить КриптоПро CSP и, следуя соответствующим инструкциям по настройке, получить TLS-сервер, дополнительно поддерживающий алгоритмы ГОСТ.
  2. Вы также можете воспользоваться решением КриптоПро NGate, представляющим собой самостоятельный TLS-шлюз (отдельная аппаратная или виртуальная платформа). Решение имеет большое количество преимуществ, одним из которых является удобство обеспечения классов защиты KC2-KC3: в отличие от предыдущего подхода, не требуется выполнение отдельных настроек, приобретение и конфигурирование электронных замков и прочих дополнительных мер защиты, все необходимое уже включено в аппаратные компоненты решения.

Ниже представлена сравнительная таблица характеристик каждого предлагаемого решения. В колонке “Cертификация” приведена информация о статусе сертификации решения: как самостоятельное СКЗИ или как решение, исследование которого было проведено в рамках сертификации КриптоПро CSP. Во втором случае указана соответствующая версия криптопровайдера.

Решение

Платформа

Сертификация

Класс защиты

CSP + IIS

Windows

любая поддерживаемая версия CSP

КС1, КС2*, КС3*

CSP + Apache

Linux

начиная с
CSP 5. 0 R2

КС1, КС2*, КС3**

CSP + nginx

Linux

начиная с
CSP 5.0 R2

КС1, КС2*, КС3**

NGate

Усиленная ОС на базе Linux Debian

самостоятельное СКЗИ

КС1, КС2, КС3

 * – требуются дополнительные настройки и технические средства защиты
 ** – КС3 только под Astra Linux

TLS-клиент с ГОСТ

Одна из важнейших задач, стоящих перед командой КриптоПро, – создание для пользователя как можно более комфортных условий при работе с сервисами по TLS c ГОСТ. В настоящее время мы предлагаем несколько вариантов решений, включающих в себя как готовые клиентские решения для стационарных устройств, так и решения для разработки собственных мобильных приложений.

Решения для стационарных устройств 

Одним из популярных клиентских сценариев является взаимодействие клиента с сайтом, требующим защиту соединения с помощью отечественных алгоритмов (например, сайты банков). В этом случае необходимо, чтобы клиент со своей стороны, так же как и сервер, поддерживал работу по TLS с ГОСТ. Наиболее удобным решением является использование на стороне клиента криптопровайдера КриптоПро CSP совместно с одним из поддерживаемых браузеров.

Кратко о решении:

  • На стороне клиента устанавливается КриптоПро CSP и один из поддерживаемых браузеров
  • Решение не требует никакой дополнительной разработки
  • Такое использование бесплатно для клиента (если с его стороны нет аутентификации по ключу и сертификату).

Ниже представлена сравнительная таблица характеристик поддерживаемых браузеров. Прочерк в колонке «Cертификация» означает необходимость проведения тематических исследований.

Браузер

Платформа

Сертификация

Класс защиты

Internet Explorer

Windows

любая поддерживаемая версия CSP

КС1, КС2*, КС3*

Спутник Браузер

Windows, Astra Linux, ALT Linux

самостоятельное СКЗИ

КС1, КС2*

Chromium-Gost

Astra Linux

начиная с CSP 5. 0 R2

КС1, КС2*, КС3*

Windows, Linux, MacOS

Яндекс.Браузер

Windows

 * – требуются дополнительные настройки и технические средства защиты

Решения для мобильных устройств

КриптоПро предоставляет возможность встраивания поддержки отечественных криптоалгоритмов в ваше мобильное приложение при помощи КриптоПро CSP для операционных систем iOS и Android.

Кратко о решении:

  • CSP встраивается в мобильное приложение, пользователю не требуется устанавливать дополнительное ПО
  • Приложение может использовать как российские, так и иностранные криптонаборы

Ниже представлен список поддерживаемых операционных систем и соответствующих классов защиты:

Операционная система

Сертификация

Класс защиты

iOS

любая поддерживаемая версия CSP

КС1

Android

начиная с CSP 5.0

КС1

В случае использования КриптоПро CSP версии 5.0 R2 встраивание не требует проведения тематических исследований. Для CSP 5.0 и более ранних версий требуются тематические исследования.

Другие решения

Протокол TLS позволяет обеспечивать защищенное соединение между любыми узлами в сети, что выводит область его применения за рамки представленных решений. TLS может обеспечивать защищенную передачу данных между узлами блокчейна, между пользователями VoIP, фактически между любыми двумя приложениями. Мы предлагаем продукт, позволяющий решить и такие задачи.

Приложение stunnel, входящее в дистрибутив КриптоПро CSP, позволяет устанавливать защищенный с помощью отечественных криптонаборов канал между любыми двумя незащищенными приложениями без дополнительной разработки.

Ниже представлен список наиболее популярных поддерживаемых операционных систем и соответствующих классов защиты:

Операционная система

Сертификация

Класс защиты

Windows

любая поддерживаемая версия CSP

КС1, КС2*, КС3*

Linux

КС1, КС2*, КС3**

MacOS

КС1

 * – требуются дополнительные настройки и технические средства защиты
 ** – КС3 только под Astra Linux

Как настроить доверие к сертификату?

Не секрет, что почти все механизмы аутентификации сторон в протоколе TLS построены на основе инфраструктуры открытых ключей (PKI), одной из основных компонент которой является сертификат открытого ключа сервера или клиента. С помощью сертификата происходит доверенное связывание идентифицирующей сторону информации (например, имени домена сервера) с открытым ключом, для этого используется указанная в сертификате информация о том, кому принадлежит открытый ключ. Данный ключ и соответствующий ему закрытый ключ используются для аутентификации стороны при выполнении протокола TLS, при этом сертификат пересылается по каналу в процессе взаимодействия.

Подробнее о том, что такое сертификат в TLS

Для того, чтобы механизм аутентификации функционировал корректно, необходимо, чтобы аутентифицирующая сторона могла убедиться, что информация, содержащаяся в переданном сертификате, является корректной и не была сформирована злоумышленником. Фактически, нам необходимо решить проблему доверия к открытым ключам. Это делается за счет наличия третьей стороны, которой доверяют все стороны информационного обмена – Удостоверяющего Центра (УЦ), выдающего сертификаты.

Строго говоря, когда мы говорим о передаче сертификата, мы имеем в виду передачу целой цепочки сертификатов («цепочку доверия»), где каждый сертификат подписывается закрытым ключом, соответствующим тому сертификату, который находятся выше в иерархии.

 

 

Если мы хотим проверить полученный сертификат, нам необходимо проверить подписи всех сертификатов в цепочке, опираясь на ключ проверки подписи из следующего по рангу сертификата. Следуя такому принципу, рано или поздно мы встретим сертификат, на котором цепочка заканчивается (т.е. сертификат, для которого нет сертификата с открытым ключом, который можно было бы использовать для проверки подписи). Такие сертификаты называются корневыми (root certificate). Корневые сертификаты устанавливаются доверенным образом, и в них указана информация, ассоциированная с доверенным УЦ.

В протоколе TLS предусмотрена возможность аутентификации и сервера, и клиента (двухсторонняя аутентификация), однако обязательной является только аутентификация сервера. Наиболее распространенным сценарием использования протокола является взаимодействие браузера с сайтом, в рамках которого обычно необходима только односторонняя аутентификация. Поэтому далее мы поговорим о том, как правильно и безопасно настроить доверие к сертификату сервера в рамках работы TLS c ГОСТ.

При работе по протоколу TLS с ГОСТ клиент может доверять сертификату, если его корневым сертификатом является либо сертификат головного удостоверяющего центра Минцифры России (сертификат ГУЦ), либо сертификат любого доверенного удостоверяющего центра (сертификат TLS-CA). Сертификаты, имеющие в качестве корневого сертификат ГУЦ, выдаются только аккредитованными удостоверяющими центрами по 63ФЗ «Об электронной подписи». Отметим, что сертификат, использующийся для аутентификации сервера по протоколу TLS, не обязан быть полученным в аккредитованном удостоверяющем центре, достаточно, чтобы сертификат был выдан доверенным в рамках системы удостоверяющим центром.

Сертификат, корневым сертификатом которого будет TLS-CA, можно получить в нашем удостоверяющем центре CryptoPro TLS-CA. Отдельно отметим, что сертификат можно получить полностью удаленно, не посещая офис компании, воспользовавшись распределенной схемой обслуживания. Подробно о процедуре получения сертификата можно узнать на странице нашего удостоверяющего центра.

Настроить в браузере доверие к сертификату сервера можно одним из следующих способов:

  • вручную:
    1. браузер клиента предупреждает пользователя о том, что сертификат не входит в список доверенных, клиент может «согласиться» доверять этому сертификату и продолжить устанавливать TLS соединение. Однако, очевидно, что возлагать ответственность за принятие такого решения на пользователя является не самым безопасным решением.
    2. администратор безопасности системы заносит сертификат сервера в доверенные в ручном режиме, что является достаточно безопасным, но не самым удобным решением.
  • автоматически без участия человека:

При установке КриптоПро CSP версии 4.0 R3 и выше для работы браузера по ГОСТ сертификат ГУЦ и сертификат удостоверяющего центра CryptoPro TLS-CA добавятся в список доверенных автоматически. Таким образом, доверие распространится на любой сертификат, выданный аккредитованным УЦ или CryptoPro TLS-CA, причем после прохождения полноценной проверки, не требующей принятия решений от человека.

Минцифры утвердило рекомендации по переходу на российские криптоалгоритмы

Минцифры утвердило рекомендации по переходу на российские криптоалгоритмы

Alexander Antipov

Взаимодействии с гражданами и организациями будет осуществляться с помощью «Сервиса защищенного взаимодействия».


Министерство цифрового развития, связи и массовых коммуникаций РФ утвердило временные рекомендации по переходу органов государственной власти и органов местного самоуправления на использование российских криптографических алгоритмов и средств шифрования при взаимодействии с гражданами и организациями. Это будет осуществляться с помощью клиентской части «Сервиса защищенного взаимодействия».

«Сервис защищенного взаимодействия» (СЗВ) представляет собой комплекс организационно-технических мер с клиент-серверной архитектурой, предназначенный для обеспечения возможности реализации электронного взаимодействия граждан и организаций с информационными ресурсами органов государственной и муниципальной власти по защищенным протоколам с поддержкой российских криптографических алгоритмов.

В рамках работ по созданию СЗВ проектируется подсистема реализации протокола защиты транспортного уровня, обеспечивающая:

− перенаправление на средства СЗВ трафика граждан и организаций при их обращении к государственным и муниципальным информационным системам;

− одностороннюю аутентификацию средств СЗВ;

− расшифровку трафика и его передачу на обработку в другие подсистемы СЗВ.

Подсистема реализации протокола защиты транспортного уровня имеет клиент-серверную архитектуру и объединяет средства защиты каналов связи между пользователями СЗВ и серверной частью.

Технические решения клиентской части СЗВ будут базироваться на преимущественном использовании российского ПО, входящего в Единый реестр российских программ для ЭВМ и БД.


Биометрическую идентификацию легко обойти с помощью deepfake, доступ к данным пользователей хакерских форумов могли получить спецслужбы, а также розыгрыш уникальной хакерской настольной игры и билета на PhDays в 11 выпуске на нашем Youtube канале.
Поделиться новостью:

МойОфис — продукт с поддержкой российских криптоалгоритмов

МойОфис – полноценный набор офисных приложений для работы с электронными документами. По утверждению разработчиков, продукты из набора поддерживают российские криптоалгоритмы. Продукт получил сертификаты соответствия ФСТЭК и ФСБ. Насколько действительно безопасны алгоритмы шифрования МойОфис, и можно ли их взломать? Попробуем разобраться.

Форматы файлов и алгоритмы шифрования

В современном мире ни одно офисное приложение не работает в вакууме. Необходимость обмениваться документами привела к необходимости стандартизации форматов файлов. Разработчики пакета МойОфис не стали изобретать колесо: продукт может сохранять файлы в форматах Microsoft Office 2007, ODT и XODT (последние два формата хоть и различаются между собой, но с точки зрения шифрования полностью идентичны).

Шифрование по стандарту Microsoft Office 2007

Первый из используемых пакетом МойОфис форматов файлов — формат Microsoft Office 2007. Этот стандарт нами изучен давно; никаких сюрпризов с точки зрения шифрования здесь нет и быть не может (в противном случае сохранённые документы было бы невозможно открыть в других приложениях).

С 2007 года Microsoft Office переходит на новый формат документов (документы с расширением .DOC превращаются в .DOCX, таблицы .XLS – в  .XLSX и так далее). Новые форматы стали не просто «расширенными» версиями исходных форматов Microsoft Office. Дополнительный символ «X» в расширении указывает на новый открытый стандарт документов Office Open XML (не путать с форматом файлов XML OpenOffice.org). Изменился и подход Microsoft к защите: в формате образца 2007 года используется 128-битное шифрование AES с 50,000 итерациями хэш-функции SHA-1 для преобразования пароля в двоичный ключ.

Насколько безопасна такая защита? Даже сегодня документы, зашифрованные в формате Microsoft Office 2007, являются умеренно безопасными. Использование вычислительных мощностей современного процессора Intel Core i7 обеспечивает скорость перебора порядка 1000 паролей в секунду, в то время как атаки с использованием графического сопроцессора выдают скорость порядка 200,000 паролей в секунду (на ускорителе NVIDIA Tesla V100). Разумеется, формат 13-летней давности почти в десять раз уступает в стойкости защите, использующейся современными версиями Microsoft Office начиная с 2013 года (100,000 итераций заметно более стойкой функции SHA-512). Уступает он и формату 10-летней давности из MS Office 2010; в этом случае разница двукратная. Тем не менее, даже устаревшая защита, разработанная Microsoft и использующая американский стандарт шифрования AES (хоть и не самым длинным ключом), обеспечивает некоторый (хоть и не самый высокий) уровень безопасности.

Шифрование файлов ODT/XODT

Помимо формата Microsoft Office 2007, пакет МойОфис поддерживает зашифрованные форматы OpenDocument ODT и XODT. В качестве шифра принят всё тот же AES с весьма умеренной длиной ключа 128 бит, работающий в режиме CBC. Преобразование пароля в двоичный ключ осуществляется посредством 1024 итераций хэш-функции SHA256.

Выбор подобных настроек для продукта, сертифицированного вплоть до уровня государственной тайны, не может не удивлять. Скорость перебора паролей к зашифрованным документам зашкаливает: порядка 2,44 миллиона паролей в секунду на старой видеокарте NVIDIA GeForce GTX 1080, около 3,36 миллиона на современной видеокарте среднего уровня NVIDIA RTX 2070 или порядка 7,17 миллиона паролей в секунду на новейшей NVIDIA RTX 3090. Это – очень высокие скорости перебора (а следовательно – и чрезвычайно слабая защита) даже в сравнении с форматом Microsoft Office 13-летней давности.

Насколько плохо обстоят дела в реальности? Для сравнения, в офисном пакете LibreOffice, который сохраняет файлы в том же формате ODT, используется 100,000 итераций SHA256, а шифрование данных осуществляется по алгоритму AES с длиной ключа 256 бит. С такими параметрами защиты атаку на пароль можно запустить со скоростью около 15,000 паролей в секунду на NVIDIA GeForce GTX 1080 или около 19,000 паролей в секунду на NVIDIA RTX 2070. А если использовать самый свежий ускоритель NVIDIA RTX 3090, то разница и вовсе поразительна:

Почему в пакете МойОфис используется настолько слабое шифрование? Дело здесь исключительно в выбранных разработчиками настройках: при сборке продукта из исходных кодов OpenOffice можно указать и более безопасные настройки.

Заключение

«В 2020 году наиболее важным трендом в области программного обеспечения стала защита пользовательских данных — из-за пандемии многие сотрудники госструктур и крупных предприятий были вынуждены использовать небезопасные каналы обмена информацией. МойОфис внимательно следит за изменением конъюнктуры рынка и своевременно добавляет необходимые функции, которые способны обеспечить более высокий уровень информационной безопасности с применением российских криптографических технологий», — заявил Евгений Фенюшин, директор по продуктам МойОфис.

Проведённое исследование указывает на неполное соответствие маркетинговых заявлений компании реальному положению дел. Несмотря на использование алгоритма шифрования Advanced Encryption Standard, разработанного двумя бельгийцами и принятого в качестве стандарта в США, стойкость зашифрованных документов ниже аналогов от Microsoft и других сборок на основе OpenOffice в разы, а для отдельных форматов — на несколько порядков. Выбранные разработчиками настройки защиты откровенно устарели, что позволяет перебирать пароли с огромной скоростью. Исследование защиты документов, сохраняемых офисными приложениями из пакета МойОфис, ещё раз показало, что наличие сертификатов с громкими именами не имеет ни малейшего отношения к реальной безопасности данных.


ООО «Цифровые технологии»

Решение по созданию безопасного обмена электронными данными в территориально-распределенных банковских сетях. Программные продукты, входящие в его состав, позволяют комплексно подойти к вопросу защиты конфиденциальной информации с применением сертифицированных криптоалгоритмов. Причем защита обеспечивается на трех уровнях: защита электронных данных, защита доступа к информации и защита каналов, по которым она передается.

Программные продукты компании «Цифровые технологии» позволяют в комплексе решить вопрос защиты конфиденциальной информации.

Решение для масштабируемых территориально-распределенных информационных систем.

успешная интеграция в различные информационные системы
низкая стоимость внедрения решения
консалтинг и разработка регламентов
возможность адаптации ПО под индивидуальные требования заказчика

  • защита электронных данных
  • защита электронного документооборота
  • защита электронной почты
  • защита доступа к конфиденциальной информации
  • защита каналов передачи данных

с применением ГОСТ криптоалгоритмов

Программа «КриптоАРМ» позволяет удобно шифровать и подписывать электронной цифровой подписью файлы, обмениваться ими, а также управлять цифровыми сертификатами. «КриптоАРМ» — универсальное рабочее место для обмена электронными документами с ЭЦП между сотрудниками банка либо между банком и его клиентами.

Trusted TLS позволяет разграничить доступ к корпоративным веб-приложениям (порталу, системе электронного документооборота и т.п.) на основе цифровых ГОСТ-сертификатов, а также обеспечить защиту используемых каналов информации от несанкционированного доступа.

Библиотека Trusted Java дает возможность использовать криптографические операции в Java-приложениях на основе сертифицированных криптоалгоритмов. Trusted Java представляет собой набор криптоалгоритмов, реализованных в соответствии с требованиями архитектур JSSE и JCE.

Все три продукта поддерживают работу с сертифицированным средством криптографической защиты информации «КриптоПро CSP».

Подробнее о назначении программы «КриптоАРМ»

УДОБСТВО. Криптографическая защита информации – для большинства пользователей сложная и запутанная область. Однако с развитием электронного документооборота появляются новые задачи, которые требуют незамедлительного решения. В электронном мире важно гарантировать безопасность и юридическую значимость. Эти задачи решаются с помощью криптопровайдеров. Обычно простому человеку сложно разобраться, как они работают, а руководители организаций считают внедрение таких систем долгим и трудным. «КриптоАРМ» создан как универсальный инструмент для удобной работы с криптографическими средствами, другими словами, для того, чтобы пользователю было максимально удобно шифровать и подписывать электронные данные.

Поддерживаются следующие криптопровайдеры

  • стандартные криптопровайдеры ОС Microsoft Windows
  • российский сертифицированный криптопровайдер «КриптоПро CSP»
  • криптопровайдеры стран СНГ («AVEST CSP», «Tumar CSP»)

Программу легко устанавливать, легко настраивать и использовать в ежедневной работе.

  • подробная документация в электронном варианте
  • для начинающих пользователей — обучающие видео-курсы по работе с программой
  • наличие настроек может полностью освободить пользователя от необходимости ввода непонятных, сложных для него данных, а также повторения одинаковых действий при выполнении задач

СОВМЕСТИМОСТЬ. В России действуют разные информационные системы: электронные торговые площадки, порталы государственных услуг, системы для сдачи отчетности через Интернет. В каждом конкретном случае используются разные средства защиты. “КриптоАРМ” станет для организации единым окном для выполнения операций ЭЦП и шифрования, вне зависимости от используемых технических средств. Причем финансовые вложения в этом случае – минимальны.

ФУНКЦИОНАЛЬНОСТЬ. «КриптоАРМ» — это динамично развивающаяся система. Его возможности постоянно расширяются. С ним вы всегда сможете решить поставленные задачи.

«КриптоАРМ» отличают простота и удобство в работе, максимальная совместимость и функционал, который опережает потребности организации.

«КриптоАРМ» успешно применяется:

Для защиты электронных данных и ускорения процесса обмена документами в электронном виде во втором квартале 2010 года банк Хоум Кредит закупил более 500 лицензий к программным средствам шифрования и ЭЦП — СКЗИ «КриптоПро CSP» и ПО «КриптоАРМ».

С 2011 года программное обеспечение «КриптоАРМ» используется клиентами «Крайинвестбанка» для ведения юридически значимого и защищенного документооборота в рамках работы электронной системы «Город».

«Альфа-банк» использует ПО «КриптоАРМ» как простое и недорогое рабочее место в системе юридически значимого электронного документооборота в рамках действующей инфраструктуры открытых ключей.

Подробнее о назначении ПО «Trusted TLS»

Автоматизация процессов получения гражданами доступа к информации требует, с одной стороны, ее общедоступности, а с другой надежной защиты. Весь поток информации, размещаемый на официальных порталах и хранилищах, подразделяется на два вида:

  • публичная информация (например, образцы документов, формуляры справок, статистические выкладки и т.д.)
  • закрытая (конфиденциальная, секретная) информация (например, финансовые справки и т.д.)

Раньше доступ к закрытой информации осуществлялся с использованием классической схемы — вход по логину/паролю — и всецело контролировался администратором системы.

Развитие рынка информационных услуг требует придания юридической значимости действиям пользователей, совершаемым в автоматизированной системе. Кроме этого важно обеспечить безопасную передачу информации по каналам связи и надежное разграничение доступа к данным. Эти задачи решаются с помощью технологии электронной цифровой подписи (ЭЦП). Использование в комплексе программных продуктов Trusted TLS («Цифровые технологии») и «КриптоПро CSP» («КРИПТО-ПРО») позволяет работать с ЭЦП в российском правовом пространстве.

Для хранения закрытого ключа пользователи могут использовать «Рутокен» (решает задачи безопасного хранения паролей, ключей шифрования, цифровых сертификатов, данных пользователей). Так, в комплексе СКЗИ «КриптоПро CSP» «Рутокен» способен хранить закрытый ключ клиента и подтверждающий его сертификат, содержащий открытый ключ. «Рутокен» представляет собой средство аутентификации пользователя, которому вместо запоминания множества паролей доступа достаточно иметь такой брелок и помнить PIN-код к нему (так называемая двухфакторная аутентификация по факту наличия ключа и по знанию PIN-кода).

Подробнее о назначении ПО «Trusted Java»

При работе с банковскими клиент-серверными системами, корпоративными порталами и другими бизнес-приложениями, написанными на Java, требуется поддержка шифрования, электронной цифровой подписи, строгой аутентификации в соответствии с положениями российского законодательства. Trusted Java позволяет использовать российские криптоалгоритмы в Java-среде для обеспечения работы с цифровыми сертификатами, создания и проверки корректности электронной цифровой подписи и шифрования данных.

Кроме того, Trusted Java обеспечивает поддержку защищенного взаимодействия по протоколу TLS с использованием российских криптографических алгоритмов. Это даёт возможность устанавливать безопасные интернет-соединения и обеспечивать защиту канала передачи данных (шифрование данных, аутентификация “клиента” и “сервера” и целостность сообщений) при выполнении криптографических операций.

Эксперты

сомневаются в утверждениях России о совпадении криптографической ошибки

Изображение: Westend61 / Getty Images

Ведущие эксперты в области криптографии считают, что разработанный в России алгоритм, представленный международной организации по стандартизации, содержит недостаток, который потенциально может подорвать безопасность зашифрованных данных. Российская делегация, разработавшая алгоритм, считает, что недостаток является случайным, но несколько человек, решающих, должен ли алгоритм стать стандартом, не убеждены.

Алгоритм обсуждался на встрече в Тель-Авиве в апреле рабочей группы Международной организации по стандартизации (ISO), организации, которая одобряет или отрицает страны, надеющиеся закрепить свои криптографические алгоритмы в качестве стандартов.По словам доктора Томера Ашура, исследователя из Университета Левена, который представлял бельгийскую делегацию, на встрече российские официальные лица были не очень довольны.

Прежде чем одобрить алгоритм, эксперты ISO заявили, что они хотели бы подождать еще шесть месяцев, чтобы лучше понять последствия для безопасности недавно обнаруженной проблемы в алгоритме. Задержка возникает из-за того, что в январе исследователь Лео Перрен опубликовал статью о двух российских алгоритмах, в том числе рассматриваемом, которые имеют общий компонент, называемый «S-Box» в криптографии.Перрен является аффилированным лицом с Inria, французским национальным институтом цифровых наук.

Это S-Box часть алгоритма, для изучения которого эксперты ISO хотели получить дополнительное время, сказал Ашур.

«Это не то, что вы можете сразу использовать для атаки, но это может привести к атаке», — добавил он.

Знаете ли вы что-нибудь еще об этом деле? +44 20 8133 5190, Wickr на josephcox, чат OTR на jfcox @ jabber.ccc.de или по электронной почте [email protected] .

В ходе исследования началась дискуссия о том, был ли недостаток в этом компоненте намеренным или нет. Во время встречи российские криптографы утверждали, что структура была случайностью, рассказали Motherboard Ашур и Паскаль Пайе, еще один эксперт, присутствовавший на встрече.

«Но большинство экспертов ISO не убеждены в этом аргументе», — написал Пайе в электронном письме для Motherboard.

Когда криптографический алгоритм становится международным стандартом, как и другие знаки одобрения ISO, потребители «могут быть уверены, что […] продукты безопасны, надежны и хорошего качества», — говорится на веб-сайте ISO.

Хотя последствия для безопасности являются только потенциальными, а не немедленными или даже полностью понятыми, диалог вокруг реализации алгоритма по-прежнему подчеркивает озабоченность, беспокойство и паранойю вокруг криптографии и происходит вскоре после гораздо более серьезного эпизода, в котором Служба национальной безопасности США Агентство пыталось заставить ISO утвердить собственное шифрование.

***

Дебаты связаны с S-Box, используемым Streebog и Kuznyechik, двумя российскими алгоритмами, последний из которых российские делегаты надеются утвердить в ISO.Streebog уже является стандартом ISO и был разработан Центром защиты информации и специальных коммуникаций Федеральной службы безопасности, главным агентством безопасности России. Он используется для хеширования информации; то есть создать, надеюсь, необратимое и безопасное криптографическое представление этого. Кузнечик используется для шифрования текста, который может включать сообщения.

«Модули S-Box обладают множеством свойств, которые имеют решающее значение для безопасности шифра, и поэтому мы ожидаем, что дизайнеры тщательно объяснят свой выбор», — сказал Материнской плате в электронном письме Перрин, исследователь январской статьи. Тем более беспокоит то, что эти свойства напоминают те, которые, как известно, позволяют вставлять бэкдоры в блочные шифры.Они разные, но похожи ».

Как Ашур, так и Пайе заявили, что в случае использования проблема потенциально может позволить сторонним лицам получить доступ к зашифрованному материалу. Исследование «показало, что российские стандарты могут содержать что-то похожее на бэкдор, который, если он будет подтвержден, позволит России нарушить конфиденциальность сообщений», — сказал Пайе.

Доктор Стефан Кренн, ученый из Австрийского технологического института, сообщил Motherboard в электронном письме, что многие эксперты ISO не уверены в русском объяснении, потому что «очень маловероятно», что в итоге получится проблемная структура.

«Мы, криптографы, параноики».

Ашур не считает, что проблема связана с бэкдором, но добавил: «Некоторые люди, в том числе и я, думают, что не имеет значения, является ли это бэкдором; это все еще вызывает беспокойство ».

«Если бы я угадал, через полгода никто не найдет уязвимости, и мы просто двинемся дальше», — сказал он.

Для ясности, реальные риски этой структуры неизвестны. Василий Шишкин, Глава российской делегации сообщил Motherboard в электронном письме, что исследование «не привело к новым методам криптоанализа и не выявило никаких уязвимостей.

«Это [] довольно распространенная ситуация для любого криптографического алгоритма — наиболее ярким примером является AES», — сказал Шишкин, связанный с российской ИТ-компанией ЗАО «НПК« Криптонит », имея в виду широко распространенное Advanced Encryption. Стандартный алгоритм.

Ашур добавил: «Одно из замечаний русских на встрече заключалось в том, что другие алгоритмы используются еще более широко — у нас также есть проблемы аналогичного типа, но мы не думаем, что мы следует прекратить их использовать.И в этом они правы ».

Шишкин перечислил несколько причин, по которым его делегация хотела получить одобрение ISO. Один из них, по его словам, заключался в том, что «если какой-либо иностранный гражданин, компания или правительственная структура хотят сотрудничать с российскими информационными службами, они должны внедрить эти алгоритмы. Мы надеемся, что международная стандартизация облегчит эту реализацию ».

«В России блестящая криптовалютная академия, и у нас есть несколько криптографических решений, которыми мы гордимся. Мы очень надеемся, что эти решения обогатят мировое сообщество », — добавил Шишкин.

Хиротака Йошида, заместитель председателя встречи в Тель-Авиве, отказался от комментариев, поскольку процесс стандартизации продолжается.

Что касается того, что произойдет между настоящим моментом и шестимесячным продлением, Ашур сказал, что его команда будет работать над попыткой использовать эту проблему; Он добавил, что это интересно с исследовательской точки зрения. По его словам, российская делегация, вероятно, предоставит больше информации и ожидает, что они появятся в ближайшее время.

«Мы, криптографы, параноики», — сказал Ашур.

Исправление: В этой статье ранее говорилось, что Перрен был исследователем в Люксембургском университете. С тех пор он переехал в Инрию. Материал был обновлен, чтобы отразить это.

Обновлено: эта статья также была обновлена, чтобы добавить информацию о принадлежности Ашура к университету Левена К.У., а также добавить дополнительный комментарий и контекст от Шишкина.

Подпишитесь на наш новый подкаст о кибербезопасности CYBER.

nist — Существуют ли какие-либо неамериканские шифры?

Ответ: да , неамериканские шифры существуют и на самом деле очень популярны.На самом деле, некоторые, кто ищет альтернативы, выбирают шифры, отличные от NSA / NIST, например Salsa / ChaCha от DJB (который является гражданином США). В ЕС и Японии разработано множество шифров. Китай определенно разработал шифры для собственного использования, как и многие другие страны.


Но длинный развернутый ответ:

Почему США так популярны в криптографии?

США представляют большую часть мирового рынка высокотехнологичной продукции и ноу-хау, а также представляют значительную часть высокотехнологичных рабочих мест.Кроме того, в США довольно мало лучших технических университетов (все входят в пятерку лучших). Уже из этого можно было бы ожидать, что в США будет проведено много исследований по всем областям высоких технологий. В том числе, конечно, криптография.

Люди из США создали многие из самых популярных криптографических алгоритмов. Хорошим примером являются семейства SHA-1/2, разработанные NSA. На сегодняшний день это самые широко используемые хеш-алгоритмы.

Ожидается, что США лидируют в области криптографических ноу-хау и аналитических навыков за пределами общедоступной информации (т. е. что АНБ знает, а другие нет). В США используется множество секретных шифров и других криптографических алгоритмов, которые неизвестны за пределами США, для некоторых см. NSA Suite A Cryptography. Алгоритмы включают как минимум: MEDLEY, SHILLELAGH, BATON, SAVILLE, WALBURN, JOSEKI-1 (согласно той статье в Википедии). Алгоритмы, не входящие в комплект A, включают, например, СКИПДЖЕК, FASTHASH, JUNIPER.

Однако, чтобы быть последним семейством хэшей, одобренным NIST, SHA-3 (Keccak), а также шифр AES были в основном созданы европейскими криптографами.Большинство их изобретателей — бельгийцы, в Кечаке участвует Италия. Конкурс проводился в США (NIST). Таким образом, я бы сказал, что на самом деле большая часть работы по изобретению шифров в академическом мире уже перенесена в другое место. Фактически, во многих случаях речь идет о международном сотрудничестве с людьми из США и из-за границы.

В то время как США в последнее время были сильны в криптографии, это, по крайней мере, подтверждает правильность реализации. Во всем мире проверка FIPS 140-2 признана одной из самых важных проверок, которые может получить криптографический модуль, и довольно многие правительства привыкли рассматривать ее как одобрение.

Недавние шпионские спекуляции АНБ очень сильно подорвали доверие к США и NIST.

Это заставило людей начать искать где-нибудь еще и не доверять вещам, изобретенным в США, особенно тем, которые были изобретены АНБ, например, некоторым из развернутых в настоящее время кривых ECC. Альтернативы включают алгоритмы из США, но от сторон, не имеющих отношения к АНБ и NIST, таких как Дэн Дж. Бернстайн.

Для алгоритмов, изобретенных в США и не одобренных NIST, вы можете посмотреть ECRYPT.Там можно встретить, например, Камелию (Япония), Кролика (Дания).

Криптографические алгоритмы в Иране и Китае? Во-первых, важно признать, что криптография ограничена в обеих этих странах. Это означает, что постороннему человеку непросто знать очень много. Исследования и ноу-хау больше сосредоточены на правительстве, чем, например, по ЕС.

Шифр

SMS4 был использован в WAPI (китайский стандарт для беспроводных локальных сетей).

Для получения информации об Иране см. Ответ Хабиба, который очень хорошо охватывает эту область.

Обзор криптографических алгоритмов — согласно NIST

Криптографическая защита системы от атак и злонамеренного проникновения зависит от двух измерений: (1) сила ключей и эффективность механизмов и протоколов, связанных с ключами; и (2) защита ключей посредством управления ключами (безопасное создание, хранение, распространение, использование и уничтожение ключей).

Сильные алгоритмы в сочетании с плохим управлением ключами с такой же вероятностью потерпят неудачу, как и плохие алгоритмы, встроенные в надежный контекст управления ключами.

В этой статье делается попытка пролить свет на криптографические алгоритмы (механизмы и протоколы, связанные с ключами), а также дать краткое изложение того, что следует учитывать при выборе криптографических алгоритмов для защиты системы. Наша структура основана на специальной публикации NIST 800-57, часть 1, редакция 4 — «Рекомендации по управлению ключами, часть 1». Первоначально написанная как руководство по применению в государственных учреждениях США для защиты конфиденциальной несекретной информации, работа NIST представляет собой ценный синтез передовых практик.

Сужение пула алгоритмов

Согласно NIST, криптографические алгоритмы, одобренные FIPS или рекомендованные NIST, должны использоваться, если требуются криптографические услуги. Эти алгоритмы прошли тщательный анализ безопасности и постоянно тестируются, чтобы гарантировать адекватную безопасность. В криптографических алгоритмах обычно используются криптографические ключи, и когда эти алгоритмы необходимо усилить, это часто можно сделать с помощью ключей большего размера.

Классы криптографических алгоритмов

Существует три общих класса криптографических алгоритмов, одобренных NIST, которые определяются количеством или типами криптографических ключей, используемых с каждым из них.

Хэш-функции

Криптографическая хеш-функция не использует ключи для своей основной операции. Эта функция создает небольшой дайджест или «хеш-значение» из часто больших объемов данных посредством одностороннего процесса. Хеш-функции обычно используются для создания строительных блоков, которые используются при управлении ключами и предоставляют такие услуги безопасности, как:

  • Предоставление услуг аутентификации источника и целостности путем генерации кодов аутентификации сообщений (MAC)
  • Сжатие сообщений для создания и проверки цифровых подписей
  • Получение ключей в алгоритмах создания ключей
  • Генерация детерминированных случайных чисел

Алгоритмы с симметричным ключом

Также называемый алгоритмом с секретным ключом, алгоритм с симметричным ключом преобразует данные, чтобы сделать их чрезвычайно трудными для просмотра без наличия секретного ключа.

Ключ считается симметричным, поскольку он используется как для шифрования, так и для дешифрования. Эти ключи обычно известны одному или нескольким уполномоченным лицам. Алгоритмы с симметричным ключом используются для:

  • Обеспечение конфиденциальности данных за счет использования одного и того же ключа для шифрования и дешифрования данных.
  • Предоставление кодов аутентификации сообщений (MAC) для служб аутентификации источника и целостности. Ключ используется для создания MAC, а затем для его проверки.
  • Установление ключей в процессе создания ключей
  • Генерация детерминированных случайных чисел

Алгоритмы с асимметричным ключом

Также называемые алгоритмами с открытым ключом, алгоритмы с асимметричным ключом используют парные ключи (открытый и закрытый ключ) при выполнении своей функции.Открытый ключ известен всем, но закрытый ключ контролируется исключительно владельцем этой пары ключей. Закрытый ключ нельзя вычислить математически с помощью открытого ключа, даже если они связаны криптографически. Асимметричные алгоритмы используются для:

  • Вычисление цифровых подписей
  • Создание материала для криптографического ключа
  • Управление идентификацией

Услуги безопасности, предоставляемые криптографическими алгоритмами

Определенные услуги безопасности могут быть достигнуты с помощью различных криптографических алгоритмов.Часто один алгоритм может использоваться для нескольких служб.

Хеш-функции

Хеш-функция часто является компонентом многих криптографических алгоритмов и схем, в том числе алгоритмов цифровой подписи, кодов аутентификации сообщений с хеш-кодом (HMAC), функций / методов получения ключей и генераторов случайных чисел. Хеш-функция работает, принимая произвольный, но ограниченный по длине вход и генерируя выходной файл фиксированной длины. Этот вывод часто называют хеш-значением, хеш-значением, дайджестом сообщения или цифровым отпечатком.FIPS180 (стандарт безопасного хеширования) и FIPS202 (алгоритм безопасного хеширования-3) определяют утвержденные хеш-функции.

Алгоритмы симметричного ключа для шифрования и дешифрования

Encryption обеспечивает конфиденциальность данных путем преобразования «открытого текста» в «зашифрованный текст». Расшифровка преобразует зашифрованный текст обратно в открытый текст. AES и 3DES — это утвержденные алгоритмы с симметричным ключом, используемые для служб шифрования / дешифрования. Скорее всего, в ближайшее время 3DES будет выведена из эксплуатации.

Расширенный стандарт шифрования (AES)

AES основан на алгоритме Rijndael, который был изобретен предыдущим главным криптографом Cryptomathic Винсентом Рейменом вместе со своим коллегой-исследователем Джоан Дэемен.

AES шифрует и дешифрует данные с использованием 128/192/256-битных ключей в 128-битные блоки.

3DES / тройной DEA (TDEA)

3DES — это блочный шифр с симметричным ключом, который применяет алгоритм шифрования DES три раза к каждому блоку данных. Официальное название, используемое NIST, — это алгоритм тройного шифрования данных (TDEA).

TDEA шифрует и расшифровывает данные с помощью трех 56-битных ключей в 64-битные блоки. TDEA имеет два дополнительных варианта:

Двухклавишный TDEA (2TDEA) с использованием 3-х клавиш, однако клавиша 1 и клавиша 3 идентичны.Это приводит к 112 эффективным битам.

Трехключевой TDEA использует 3 разных ключа, что приводит к 168 битам. 2TDEA широко используется в индустрии платежных карт, поскольку обеспечивает хороший компромисс между безопасностью и временем вычислений.

Однако развивающиеся технологии сделали его непригодным для защиты от атак. С 21 декабря 2015 года 2TDEA можно использовать только для дешифрования.

Сравнительное исследование (Alanazi et al., 2010) показало, что даже 3DES (также называемый 3TDEA) уязвим для дифференциального криптоанализа.

Advanced Encryption Standard (AES) оказался намного безопаснее, так как он устойчив против дифференциального криптоанализа, но также и против усеченного дифференциального или линейного криптоанализа, а также против интерполяции и атак с квадратами.

Режимы работы для приложений AES и TDEA

Криптографические режимы работы — это алгоритмы, которые криптографически преобразуют данные с использованием алгоритмов блочного шифрования с симметричным ключом, в данном случае AES и TDEA.Режимы работы решают проблемы, возникающие при шифровании блочного шифра: когда несколько блоков шифруются отдельно в сообщении, это может позволить злоумышленнику заменять отдельные блоки, часто без обнаружения. Чтобы облегчить это, NIST предписывает комбинацию применяемого алгоритма с

.
  • переменные вектора инициализации (специальные блоки данных, используемые на начальном этапе шифрования и в последующем и соответствующем дешифровании сообщения) и / или
  • — обратная связь с информацией, полученной в результате криптографической операции.

Коды аутентификации сообщений (MAC)

MAC-адреса

могут использоваться для аутентификации источника / источника и целостности сообщений. Этот криптографический механизм решает проблему изменения сообщений злоумышленниками путем создания ключа MAC, который используется как отправителем сообщения, так и получателем.

MAC, использующие алгоритмы блочного шифрования

Этот алгоритм использует утвержденный алгоритм блочного шифрования, например AES или TDEA, для дополнительной защиты MAC.

MAC, использующие хэш-функции

Утвержденная хеш-функция также может использоваться для вычисления MAC.

Алгоритмы цифровой подписи

Цифровые подписи используются с хэш-функциями для обеспечения аутентификации источника, аутентификации целостности и поддержки неотказуемости. Алгоритм цифровой подписи (DSA), алгоритм RSA и алгоритм ECDSA одобрены FIPS 186 для использования при создании цифровых подписей.

Ключевые схемы создания

Транспортировка ключей и согласование ключей — это два типа схем автоматического установления ключей, которые используются для создания ключей, которые будут использоваться между взаимодействующими объектами.Отправляющий объект шифрует ключевой материал, который затем дешифруется принимающим объектом.

Схемы согласования ключей на основе дискретного логарифма

Алгоритмы с открытым ключом, основанные на дискретном логарифме, основываются на схемах, которые используют математику конечных полей или математику эллиптических кривых. Эфемерный, статический или оба ключа могут использоваться в одной транзакции согласования ключей.

Создание ключей с использованием схем целочисленной факторизации

Алгоритмы открытых ключей на основе целочисленной факторизации используются для схем установления ключей, в которых одна сторона всегда имеет и использует статическую пару ключей, а другая сторона может использовать или не использовать пару ключей.

Свойства безопасности схем установления ключа

Для обеих сторон не всегда практично использовать как статические, так и временные ключи с определенными приложениями, даже несмотря на то, что использование обоих типов ключей в схемах создания ключей обеспечивает большую безопасность, чем схемы, использующие меньшее количество ключей.

Шифрование ключей и упаковка ключей

Key encryption дополнительно повышает конфиденциальность и защиту ключа за счет шифрования указанного ключа. Затем процесс разворачивания ключа расшифровывает ключ зашифрованного текста и обеспечивает проверку целостности.

Подтверждение ключа

Подтверждение ключа обеспечивает уверенность между двумя сторонами в процессе создания ключа, что были установлены общие материалы для ключей.

Ключевые протоколы создания

Протоколы для создания ключа определяют обработку, необходимую для создания ключа, а также его поток сообщений и формат.

ГСЧ (генераторы случайных чисел)

ГСЧ необходимы для генерации ключевого материала и подразделяются на две категории: детерминированные и недетерминированные.

Заключительные мысли

Понимание трех классов криптографических алгоритмов (хэш-функций, асимметричных алгоритмов, симметричных алгоритмов) в контексте их области применения поможет вам правильно структурировать запланированное решение в соответствии с вашими конкретными потребностями.

Не следует пренебрегать подходящим управлением ключами, чтобы избежать открытых флангов в вашей системе.

Хорошая новость заключается в том, что в большинстве стран мира описанные алгоритмы принимаются (если не принимать во внимание некоторые политически мотивированные отклонения, такие как алгоритм ГОСТ в России).Однако набор разрешенных алгоритмов может быть сужен, или окружающие структуры могут стать обязательными, например, если реализация должна соответствовать определенному европейскому регламенту или стандарту.

Международная перспектива дизайна становится важной, особенно когда компания или учреждение хочет вести безопасную связь в глобальном контексте.

Особая благодарность Асиму Мехмуду за его правки и предложения.

Ссылки и дополнительная информация

  • Избранные статьи по управлению ключами (2012–2016 гг. ), Ашик Дж. А., Чак Исттом, Дон М.Тернер, Гийом Форгет, Джеймс Х. Рейнхольм, Мэтт Лэндрок, Питер Лэндрок, Стив Маршалл, Торбен Педерсен, Мария Стоукс, Джон Транкеншу и другие
  • Специальная публикация NIST 800-57, часть 1, редакция 4, Рекомендация по управлению ключами, часть 1: Общие (2016), Элейн Баркер, Лаборатория информационных технологий отдела компьютерной безопасности, Национальный институт стандартов и технологий
  • Критерии оценки доверенных компьютерных систем («Оранжевая книга») (1985), The U.С. Министерство обороны
  • Исследование глобальных тенденций в области шифрования, 2017 г. (апрель 2017 г.)
  • Прогнозы на 2017 год: предприятия, одержимые клиентами, запускают второе десятилетие облачных технологий (ноябрь 2016 г.)
  • «Что случилось с инцидентами, связанными с кибербезопасностью». (2016), Управление персонала США.

Изображение: «Хэш-тег», любезно предоставлено Майклом Когланом (CC BY-SA 2.0)

Большая, лучшая, русская загадка — криптография

Мэтью Гу (когорта 2014)

Ядерный потенциал Советского Союза и Соединенных Штатов во время холодной войны был большим вопросом.Теоретически одиночная атака может перерасти в разрушительную ядерную войну; миллионы, если не миллиарды, могут умереть. Поэтому секретность имела первостепенное значение. По обе стороны «железного занавеса» возникла острая необходимость в безопасных каналах связи. Российским военным требовалось шифрование, которое могло бы сравниться с Enigma, невероятно сложной шифровальной машиной, которую немцы использовали во время Второй мировой войны. Но к концу Второй мировой войны Enigma была взломана криптоаналитиками союзников. Более безопасный преемник, немецкие шифровальные машины Лоренца, также был взломан секретными компьютерами British Colossus.Требовалось новое, более надежное шифрование.

Входит Фиалка. Этот аппарат использовался в основном в 1960-х и 1970-х годах и использовался российскими военными для связи с другими странами Советского Союза и Варшавского договора. О Фиалке известно немного, так как она была рассекречена совсем недавно, в 2005 году. В переводе с русского означает «пурпурный», Фиалка действовала примерно так же, как предыдущие машины Enigma. Шифрование осуществлялось посредством электромеханического процесса, который пропускал ток через набор роторов, соединенных электрическими контактами с внутренней проводкой, чтобы зашифровать каждую букву.Связи, по сути, создавали конкретный шифралфавит подстановки, зашифрованный вывод, который соответствовал алфавиту открытого текста или незашифрованному вводу. (Сингх, 1999)

Фиалка, Дэйв Клаузен, Википедия, общественное достояние Можно увидеть стойку из десяти роторов, а также механизмы набора текста и печати

Традиционные шифры имеют одну «зашифрованную букву», назначенную каждой букве открытого текста, создавая другой «выходной алфавит» или шифралфавит. Шифры вроде Enigma пошли еще дальше.Взломать Enigma было так сложно, потому что после ввода каждой буквы первый ротор переходил к следующему вращению и выдавал совершенно новый шифралфавит. Дальнейшее шифрование может быть создано путем изменения начального положения и расположения ротора. Однако у Enigma было всего три ротора, а компьютеры British bombe , разработанные для нахождения этих начальных настроек ротора, вскоре были способны расшифровать перехваченный открытый текст в течение дня. (Сингх, 1999)

В то время как у Enigma было три ротора (четыре к концу войны), у Фиалки было десять .Кроме того, каждый ротор имел 30 электрических контактов, соответствующих 30 русским буквам. Хотя конструкция машины означала, что было сложнее переставлять роторы, как у Enigma, огромное количество возможных настроек ротора компенсировало этот недостаток. Внутренние провода внутри каждого ротора также были съемными и могли перемещаться в любом из тридцати оборотов внутри внешнего кольца на роторе, а также назад, создавая 60 возможных вариантов расположения. Дополнительная безопасность обеспечивается сложным приводным механизмом, который заставлял чередующиеся роторы вращаться в противоположных направлениях. (Хамер, Перера, 2005)

Помимо того, что Fialka была намного безопаснее, чем Enigma, ее было проще использовать. Немецкие машины Enigma часто требовали двух операторов, поскольку буквы выводились с помощью световой доски наверху машины. Пока один оператор печатал обычный текст или полученное зашифрованное сообщение, другой должен был записывать сигналы световой панели. Это было достаточно медленно, чтобы печатать вслепую было невозможно.

Fialka, с другой стороны, использовал принтер с выводом на бумажную ленту, чтобы облегчить быстрое шифрование и дешифрование сообщений одним оператором.Кроме того, машина печатала и принимала бумажные перфокарты. Однако одно преимущество Enigma перед Фиалкой заключалось в том, что она была почти вдвое легче Фиалки. Изготовленная из преимущественно металлического корпуса и компонентов, Фиалка весила почти 50 фунтов! Конечно, холодная война не была традиционной войной с большим количеством боевых действий и маневрированием на поле боя, поэтому необходимости в переносимости не было. (Хамер, Перера, 2005)

Крекинговая Фиалка

Криптоанализ Фиалки был трудным, но не невозможным.Десять роторов с 30 позициями символов каждый и двумя способами установки ротора (вперед и назад) дали огромное количество начальных конфигураций, более 604 квадриллионов возможностей! Добавление более поздней модернизации ротора со сменными проводками дает еще 403 гептиллиона, или 403 триллионов триллионов возможностей. Как и в Enigma, сами роторы можно переставить еще десятью факториалами, или 3,6 миллионами способов. Наконец, ключ дня может быть введен на перфокарте, которая меняет местами определенные буквы, действуя как коммутационная панель Enigma.Умножая, мы видим, что даже без ключа дня количество возможных начальных конфигураций составляет 8,7, за которыми следуют пятьдесят нулей (Reuvers, Simons, 2009).

Анализ некоторых привычек операторов и собранной информации, такой как ежедневные ключевые книги, может значительно уменьшить это число. Например, хотя вращать роторы было просто, вынуть все десять и переставить их было довольно сложно, поскольку конструкция не позволяла снимать отдельный ротор. И, как всегда, с роторными машинами проблема распределения ключей от высшего командования к операторам была постоянной проблемой.

Еще более полезным оказалось внедрение более совершенных программируемых цифровых компьютеров. По сравнению с британскими бомбами во время Второй мировой войны, использовавшимися для поиска настроек ротора для Enigma, цифровые компьютеры не были физически ограничены механизмами и могли быть запрограммированы для выполнения множества задач. Кроме того, электронная схема работает намного быстрее с меньшей вероятностью поломки, чем строго механическое решение. Действительно, когда АНБ разработало более мощные компьютеры, США смогли относительно легко расшифровать трафик Fialka к 1970-м годам (Courtois, 2012).

Возрастающая сложность электромеханических шифров, использующих роторную технологию, имела свои ограничения. Израиль захватил машину во время Шестидневной войны в 1967 году, а АНБ построило компьютер для довольно простой расшифровки трафика Fialka (Courtois, 2012). Дело в том, что роторные шифры стали использоваться настолько часто, что поиск метода криптоанализа вряд ли был чем-то новым. Роторные машины и электромеханические шифры уже начали подходить к концу, когда цифровые вычисления нанесли смертельный удар.

Следующая волна криптографии

Требовались новые методы шифрования, как для обновления безопасности, так и для того, чтобы идти в ногу с эпохой цифровых технологий. Клод Шеннон, американский математик, написал эссе «Математическая теория коммуникации» (Шеннон, 1948). Это была главная искра, которая положила начало развитию математической криптографии, использующей функции и алгоритмы вместо шифралфавитов. Это привело к появлению стандартов шифрования, таких как стандарт шифрования данных и шифрование RSA, на которых сегодня основывается большая часть нашего онлайн-общения.

Фиалка, несомненно, была впечатляющей технологией. Возможно, это была одна из самых совершенных роторных машин из когда-либо построенных. Однако он пострадал из-за несвоевременности. Роторные машины существовали некоторое время. Первоначально они были безопасными, но чем больше времени проходило, тем более знакомыми становились криптоаналитики методы дешифрования. Компьютеры просто ускорили этот конец. Фиалка была краеугольным камнем эпохи электромеханических шифров, но она также была предвестником грядущих времен. Когда мир переживал цифровую революцию, криптография попала в ход, а Фиалка осталась позади.

Этот пост является частью серии эссе по истории криптографии, подготовленных студентами Университета Вандербильта в честь выпуска The Imitation Game , главного фильма о жизни британского взломщика кодов и математика Алана Тьюринга. Студенты написали эти эссе для задания на письменном семинаре первого года, который проводил преподаватель математики Дерек Бруфф. Для получения дополнительной информации о семинаре по криптографии см. Блог курса .А для получения дополнительной информации о фильме The Imitation Game , который открывается в США 28 ноября 2014 года, посетите веб-сайт фильма .

Источники:

Куртуа, Н. (2012, 28 декабря). Криптоанализ ГОСТ. 29 th Chaos Communications Congress. Лекция проводится в Конгресс-центре CCH, Гамбург, Германия.

Хамер Д. и Перера Т. (2005, 1 января). Русская Фиалка эпохи холодной войны Шифровальные машины. Получено 13 октября 2014 г. с сайта http: // w1tp.ru / enigma / mfialka.htm

Reuvers, P., & Simons, M. (24 октября 2009 г.). Фиалка. Проверено 28 октября, 2014.

.

Шеннон, К. (1948). Математическая теория коммуникации. Обзор мобильных вычислений и коммуникаций ACM SIGMOBILE, 3-3.

Сингх С. (1999). Кодовая книга: эволюция секретности от Марии, королевы Шотландии, к квантовой криптографии . Нью-Йорк: Даблдэй.

axelkenzo / libakrypt-0.x: Программный модуль шифрования для пользовательского пространства

Libakrypt — это бесплатная библиотека с открытым исходным кодом (программный модуль шифрования), распространяемая под Лицензия MIT.Эта библиотека написана на C99 и предоставляет некоторые интерфейсы для управление ключами, шифрование данных, проверка целостности, подписывание сообщений и проверка цифровых подписей. Основная цель Libakrypt — внедрение большого количества русскоязычных криптографические механизмы, описанные национальными стандартами и методическими рекомендациями в соответствии с Р 1323565.1.012-2017 «Основные принципы создания и модернизации криптомодулей».

У нас есть реализация:

  1. ГОСТ Р 34.12-2015 блочные шифры «Магма» и «Кузнечик» с размером блока 64 и 128 бит соответственно, см. здесь и RFC 7801;
  2. ГОСТ Р 34.13-2015 режимы для блочных шифров, включая алгоритм CMAC;
  3. режим шифрования ACPKM, описанный в R 1323565.1.017-2018 и RFC 8645;
  4. режим XTS, описанный IEEE 1619-2007;
  5. Режимы шифрования с аутентификацией, включая MGM (многолинейный режим Галуа), описанный в R 1323565.026-2019, см. также здесь, и гораздо более быстрый режим XTSMAC, разработан авторами библиотеки;
  6. ГОСТ Р 34.11-2012 хэш-функции из семейства Streebog, см. RFC-6986;
  7. R 50.1.113-2016 криптоалгоритмы, такие как HMAC;
  8. Функция получения ключа на основе пароля (PBKDF2), описанная в Р 50.1.111-2016;
  9. Некоторый набор генераторов псевдослучайных чисел для различных операционных систем, включая механизм R 1323565.1.006-2017;
  10. Арифметика Монтгомери для полей простых чисел;
  11. Групповые операции над эллиптическими кривыми в коротких формах Вейерштрасса и скрученных формах Эдвардса для все эллиптические кривые, описанные в R 1323565.024-2019;
  12. ГОСТ Р 34.10-2012 алгоритмы генерации и проверки цифровой подписи, см. ИСО / МЭК 14888-3: 2016;
  13. ASN низкого уровня. 1 процедуры кодирования данных с поддержкой форматов DER и PEM;
  14. Управление сертификатами
  15. x509, включая форматы открытых ключей, описанные в R 1323565.023-2018;
  16. Схема Рольфа Блома для генерации симметричных ключей.

Библиотека может быть скомпилирована многими компиляторами, например gcc , clang , Microsoft Visual C , TinyCC и icc . Система сборки — cmake.

Библиотека

может успешно использоваться в операционных системах Linux , Windows , FreeBSD и MacOS .Также у нас есть положительные результаты на ReactOS и мобильных устройствах под Sailfish OS.

Мы поддерживаем различные архитектуры, такие как x86 , x64 , arm32v7 , arm32v7eb , mips32r2 и mips64r2 .

Внимание

Поскольку эта версия все еще находится в разработке, мы не рекомендуем ее использовать. в реальных приложениях безопасности.

Часы тикают для шифрования

В обвинительном заключении, приведшем к высылке 10 российских шпионов из У.Прошлым летом ФБР заявило, что получило доступ к их зашифрованным сообщениям после того, как тайком проникло в один из домов шпионов, где агенты обнаружили лист бумаги с 27-символьным паролем.

По сути, ФБР сочло более продуктивным ограбить дом, чем взломать 216-битный код, несмотря на то, что за этим стояли вычислительные ресурсы правительства США. Это потому, что современная криптография при правильном использовании очень сильна. Взлом зашифрованного сообщения может занять невероятно много времени.

«Весь коммерческий мир исходит из предположения, что шифрование надежно и невозможно взломать», — говорит Джо Мурконес, вице-президент SafeNet, поставщика средств защиты информации из Белкампа, штат Мэриленд.

Так обстоит дело сегодня. Но в обозримом будущем взлом этих же кодов может стать тривиальным делом благодаря квантовым вычислениям.

Прежде чем узнать об угрозе квантовых вычислений, это помогает понять текущее состояние шифрования.По словам Муркона, для обеспечения безопасности связи на уровне предприятия используются два типа алгоритмов шифрования: симметричные и асимметричные. Симметричные алгоритмы обычно используются для отправки фактической информации, тогда как асимметричные алгоритмы используются для отправки как информации, так и ключей.

Симметричное шифрование требует, чтобы отправитель и получатель использовали один и тот же алгоритм и один и тот же ключ шифрования. Расшифровка — это просто процесс, обратный процессу шифрования — отсюда и «симметричная» метка.

Существует множество симметричных алгоритмов, но большинство предприятий используют Advanced Encryption Standard (AES), опубликованный в 2001 году Национальным институтом стандартов и технологий после пяти лет тестирования. Он заменил стандарт шифрования данных (DES), дебютировавший в 1976 году и использующий 56-битный ключ.

По словам Муркона, AES, который обычно использует ключи длиной 128 или 256 бит, никогда не был взломан, в то время как DES теперь можно взломать за несколько часов.Он добавляет, что AES одобрена для конфиденциальной информации правительства США, которая не является секретной.

Что касается секретной информации, то алгоритмы ее защиты, конечно, сами засекречены. «Они почти такие же — они добавляют больше наворотов, чтобы их было труднее взломать», — говорит аналитик IDC Чарльз Колоджи. Он говорит, что они используют несколько алгоритмов.

Истинная слабость AES — и любой симметричной системы — в том, что отправитель должен получить ключ от получателя.Если этот ключ перехватывается, передачи становятся открытой книгой. Вот где пригодятся асимметричные алгоритмы.

Мурконс объясняет, что асимметричные системы также называют криптографией с открытым ключом, потому что они используют открытый ключ для шифрования, но они используют другой закрытый ключ для дешифрования. «Вы можете опубликовать свой открытый ключ в каталоге, указав свое имя рядом с ним, и я могу использовать его, чтобы зашифровать сообщение для вас, но вы единственный человек, у которого есть свой закрытый ключ, поэтому вы единственный человек, который может его расшифровать .»

Наиболее распространенный асимметричный алгоритм — RSA (названный в честь изобретателей Рона Ривеста, Ади Шамира и Лена Адлемана). Он основан на сложности факторизации больших чисел, из которых получаются два ключа.

Но сообщения RSA с ключами длиной в 768 битов были взломаны, говорит Пол Кочер, глава охранной фирмы Cryptography Research в Сан-Франциско. «Я предполагаю, что через пять лет даже 1024 бита будут сломаны», — говорит он.

Мурконс добавляет: «Вы часто видите 2048-битные ключи RSA, используемые для защиты 256-битных ключей AES.»

Помимо создания более длинных ключей RSA, пользователи также обращаются к алгоритмам эллиптической кривой (EC), основанным на математике, используемой для описания кривых, причем безопасность снова увеличивается с размером ключа. По словам Муркона, EC может предложить такую ​​же безопасность, сложность вычислений в четыре раза меньше, чем у RSA. Однако шифрование EC длиной до 109 бит было взломано, отмечает Кохер.

По словам Кохера, RSA остается популярным среди разработчиков, поскольку для его реализации требуются только процедуры умножения, что приводит к упрощению программирования и повышению пропускной способности.Кроме того, истек срок действия всех действующих патентов. Со своей стороны, EC лучше, когда есть ограничения пропускной способности или памяти, добавляет он.

Квантовый скачок

Но этот аккуратный мир криптографии может быть серьезно нарушен появлением квантовых компьютеров.

«За последние несколько лет в технологии квантовых компьютеров произошел колоссальный прогресс», — говорит Мишель Моска, заместитель директора Института квантовых вычислений Университета Ватерлоо в Онтарио. Моска отмечает, что за последние 15 лет мы перешли от игры с квантовыми битами к созданию квантовых логических вентилей. При таких темпах, по его мнению, квантовый компьютер будет у нас через 20 лет.

«Это меняет правила игры», — говорит Моска, объясняя, что это изменение связано не с увеличением тактовой частоты компьютера, а с астрономическим сокращением количества шагов, необходимых для выполнения определенных вычислений.

По сути, объясняет Моска, квантовый компьютер должен уметь использовать свойства квантовой механики для исследования закономерностей в огромном числе без необходимости проверять каждую цифру в этом числе.Взлом как шифров RSA, так и EC включает в себя именно эту задачу — поиск закономерностей в огромных количествах.

Моска объясняет, что на обычном компьютере поиск шаблона для шифра EC с числом битов в ключе N потребует нескольких шагов, равных 2, увеличенных до половины N. В качестве примера, для 100 бит (скромное число ) потребуется 250 (1,125 квадриллиона) шагов.

По его словам, для квантового компьютера потребуется около 50 шагов, а это означает, что взлом кода будет не более требовательным с вычислительной точки зрения, чем исходный процесс шифрования.

По словам Моска, с RSA определение количества шагов, необходимых для решения с помощью обычных вычислений, сложнее, чем с использованием шифрования EC, но масштаб сокращения с помощью квантовых вычислений должен быть аналогичным.

По словам Моска, с симметричным шифрованием ситуация менее ужасна. Нарушение симметричного кода, такого как AES, заключается в поиске всех возможных комбинаций клавиш для той, которая работает. Для 128-битного ключа существует 2128 возможных комбинаций.Но благодаря способности квантового компьютера исследовать большие числа необходимо исследовать только квадратный корень из числа комбинаций — в данном случае 264. Это все еще огромное число, и AES должен оставаться безопасным с увеличенными размерами ключей, Моска говорит.

Проблемы с синхронизацией

Когда квантовые вычисления угрожают статус-кво? «Мы не знаем», — говорит Моска. Многим кажется, что 20 лет — это долгий путь, но в мире кибербезопасности это не за горами.«Это приемлемый риск? Я так не думаю. Поэтому нам нужно начать выяснять, какие альтернативы развертывать, поскольку на изменение инфраструктуры уходит много лет», — говорит Моска.

Компания SafeNet Moorcones с этим не согласна. «DES просуществовал 30 лет, а AES — еще 20 или 30 лет», — говорит он. Он отмечает, что увеличению вычислительной мощности можно противодействовать, меняя ключи чаще — с каждым новым сообщением, если необходимо, — поскольку многие предприятия в настоящее время меняют свои ключи только раз в 90 дней.Конечно, каждый ключ требует новых усилий для взлома, так как любой успех с одним ключом не применим к следующему.

Когда дело доходит до шифрования, эмпирическое правило состоит в том, что «вы хотите, чтобы ваши сообщения обеспечивали безопасность в течение 20 или более лет, поэтому вы хотите, чтобы любое используемое вами шифрование оставалось надежным через 20 лет», — говорит Колоджи из IDC.

На данный момент «взлом кода сегодня — это игра с завершающим этапом — все дело в захвате машины пользователя», — говорит Колоджи. «В наши дни, если вы вытащите что-то из воздуха, вы не сможете это расшифровать.»

Но самая большая проблема с шифрованием — убедиться, что оно действительно используется.

«Все критически важные для бизнеса данные должны быть зашифрованы при хранении, особенно данные кредитных карт, — говорит Ричард Стиеннон из IT-Harvest, исследовательской компании по ИТ-безопасности в Бирмингеме, штат Мичиган. — Совет по стандартам безопасности индустрии платежных карт требует, чтобы продавцы зашифровывали их — — или, что еще лучше, не хранить их вообще. А законы об уведомлении о взломе данных не требуют, чтобы вы раскрывали потерянные данные, если они были зашифрованы.»

И, конечно же, оставлять ключи шифрования на листках бумаги тоже может оказаться плохой идеей.

Вуд — писатель-фрилансер из Сан-Антонио.

Эта версия этой истории была первоначально опубликована в печатном издании Computerworld . Он был адаптирован из статьи, опубликованной ранее на сайте Computerworld.com.

Авторские права © 2011 IDG Communications, Inc.

алгоритмов шифрования

алгоритмов шифрования
AES (Rijndael)

Алгоритм был изобретен Джоан Дэемен и Винсентом Рейменом. Национальный институт стандартов и технологий (http://www.nist.gov) выбрал алгоритм как Advanced Encryption Standard (AES).

Шифр имеет переменную длину блока и длину ключа. Авторы алгоритма в настоящее время укажите, как использовать ключи длиной 128, 192 или 256 бит для шифрования блоков с длиной 128 бит.

BestCrypt использует Rijndael с 256-битным ключом в режимах LRW и XTS.

Чтобы получить дополнительную информацию об алгоритме, посетите вики-страницу: Расширенный стандарт шифрования.


Blowfish

Blowfish — это быстрый алгоритм шифрования, разработанный Брюсом Шнайером. Брюс Шнайер хорошо известен как президент Counterpane Systems, консалтинговой фирмы по вопросам безопасности, и автор книги «Прикладная криптография: протоколы, алгоритмы и исходный код».

Алгоритм шифрования Blowfish был специально разработан для шифрования данных на 32-битных микропроцессорах.Blowfish значительно быстрее DES и ГОСТ при реализации на 32-битной платформе. микропроцессоры, такие как Pentium или Power PC.

Оригинальная статья о Blowfish была представлена ​​на Первом мероприятии по быстрому программному шифрованию. семинар в Кембридже, Великобритания (труды опубликованы Springer-Verlag, Lecture Notes in Computer Science # 809, 1994) и в апрельском выпуске журнала Dr. Dobbs за 1994 г. Журнал. Кроме того, «Blowfish — One Year Later» появился в сентябре 1995 года. выпуск журнала доктора Добба.

BestCrypt использует Blowfish с длиной ключа 448 бит, 16 раундов и 128-битные блоки в режиме LRW.


CAST

CAST-128 (описан в документе RFC-2144 http://www.faqs.org/rfcs/rfc2144.html) — популярный 64-битный блочный шифр, позволяющий использовать ключи размером до 128 бит. Название CAST стоит для Карлайла Адамса и Стаффорда Тавареса, изобретателей CAST.

BestCrypt использует CAST со 128-битным ключом в режиме LRW.


ГОСТ 28147-89

Госстандарт СССР 28147-89. Криптографическая защита для защиты данных. Системы, похоже, сыграли свою роль в бывшем Советском Союзе (не только в России). по сравнению со стандартом шифрования данных США (FIPS 46).При выпуске ГОСТ имел минимальную классификации «для служебного пользования», но теперь говорят, что она широко доступна в программном обеспечении как в бывший Советский Союз и другие страны. Введение в ГОСТ 28147-89 содержит интригующий обратите внимание, что алгоритм криптографического преобразования «не накладывает никаких ограничений на уровень секретности защищаемой информации ».

Стандарт ГОСТ 28147-89 включает режимы работы с обратной связью по выходу и шифрованной обратной связью, оба ограничены 64-битными блоками и режимом для создания кодов аутентификации сообщений.

BestCrypt использует ГОСТ 28147-89 с 256-битным ключом в режиме LRW.


RC-6

Блочный шифр RC6 был разработан Роном Ривестом в сотрудничестве с Мэттом Робшоу, Рэй Сидни и Ицюнь Лиза Инь из лабораторий RSA. Алгоритм шифрования RSA RC6 был выбран среди других финалистов, чтобы стать новым федеральным Advanced Encryption Стандартный (AES). Посетите Википедию (Шифр Ривеста 6) чтобы получить больше информации об алгоритме.

BestCrypt использует RC6 с 256-битным ключом и 128-битными блоками в LRW и XTS. режимы.


Змей

Serpent — это блочный шифр, разработанный Россом Андерсоном, Эли Бихамом и Ларсом Кнудсеном. Змей может работать с разными комбинациями длин ключей. Змей был также выбран среди других пяти финалисты, которые станут новым федеральным стандартом Advanced Encryption Standard (AES).

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *