Наука изучающая способы защиты информации

Для чего нужна криптография и как она работает: основные понятия

Мы ежедневно сталкиваемся с криптографией — когда хотим что-то оплатить в интернете, авторизоваться на сайте или подписать электронные документы. Криптографические методы помогают защитить персональные данные и обеспечивают безопасную передачу информации в сети.

Без криптографии современную жизнь нельзя было бы представить в том виде, который нам известен. Перестали бы выполняться банковские транзакции, остановилась бы передача интернет-трафика, а сотовые телефоны не смогли бы работать. Все конфиденциальные сведения оказались бы общедоступными и могли бы попасть к злоумышленникам.

Криптография предотвращает подобные угрозы и поддерживает безопасность. Разбираем, как устроены её методы и можно ли им доверять. Перечисляем сферы, где она применяется и как регулируется государством.

Что такое криптография

Криптография — это наука о способах и методах шифрования информации. Она защищает передаваемые сообщения и использует опробованные в открытых средах алгоритмы, которые позволяют быстро обнаруживать и устранять любые уязвимости.

К основным принципам работы криптографической системы относят:

• Конфиденциальность — информация никогда не раскрывается не авторизованным пользователям.
• Идентификацию и аутентификацию — перед обменом данными отправитель и получатель идентифицируются, а затем проходят авторизацию.
• Целостность — информация не изменяется и не перемещается.
• Предотвращение отказа — нельзя отказаться от создания или передачи сообщения, что обеспечивает цифровую легитимность и отслеживание транзакций.

Для продолжения изучения криптографии важно разобраться с её основными терминами:

Шифр — совокупность способов преобразования исходного секретного сообщения для его защиты.

Открытый текст — исходное сообщение, которое нужно преобразовать.

Символ — любой знак, который используется для кодирования информации.

Алфавит — множество символов.

Шифрованное сообщение — сообщение, полученное после преобразования с использованием шифра.

Зашифрование — преобразование открытого текста в криптограмму.

Ключ — информация, которая необходима для шифрования и расшифрования сообщений.

Как работает шифрование

Рассмотрим типичную схему обмена сообщениями между абонентами, которые хотят защитить передаваемые данные от посторонних:

1. Абонент передаёт открытое сообщение.
2. Криптографические методы преобразуют данные в шифрованное сообщение.
3. Адресат получает сообщение и расшифровывает его с помощью ключа.

Зачем нужна криптография

Цель криптографии — защита информационной системы от атак злоумышленников.

Криптография решает несколько задач:

• защищает данные от несанкционированного доступа — зашифрованную информацию может прочитать только законный пользователь, обладающий ключом;
• проверяет подлинность сообщений — получатель всегда может проверить источник сообщения;
• проверяет целостность передаваемых данных — получатель может проверить, не было ли сообщение изменено в процессе пересылки;
• гарантирует отправку и получение сообщения — ни получатель, ни отправитель не могут отказаться от факта передачи.

Где используется криптография

Почти все важные аспекты нашей жизни зависят от информационных технологий и гаджетов, поэтому криптография используется повсеместно.

Вот сферы, где она применяется наиболее активно:

• банки — для обслуживания карт и счетов;
• веб-сайты с аутентификацией — для хранения и обработки паролей в сети;
• бухучёт — для сдачи бухгалтерских и иных отчётов через удалённые каналы связи;
• информационная безопасность — для защиты от несанкционированного доступа к данным;
• онлайн-продажи — для шифрования данных, номера карты или телефона, адреса, email при передаче по открытым каналам.

То есть, криптография есть везде, где фигурируют информационные технологии и присутствует цифровизация. Это довольно перспективное направление для обучения.

Примеры использования криптографии

Если вы рядовой пользователь , криптография помогает обеспечить приватность. Зная, как работает определённый шифр или протокол, в чем его плюсы и минусы, вы сможете осознанно выбирать инструменты для работы и общения в сети, избежать утечки данных.

Если вы программист или специалист по информационной безопасности , криптография помогает в создании крупных проектов. Неважно, что конкретно вы разрабатываете: контентный сервер, мессенджер или мобильное приложение, везде есть данные, которые нужно защищать от перехвата. Криптография защищает каждую операцию специальными протоколами и исключает попадание информации к злоумышленникам.

Также криптографические методы используют при проведении электронных голосований, жеребьёвках, разделении секретов, когда конфиденциальная информация делится между несколькими субъектами, чтобы они могли воспользоваться ею только вместе.

Виды криптографических методов

Есть разные способы классификации криптографических методов, но наиболее распространённый вариант деления — по количеству ключей.

Выделяют следующие виды:

• бесключевые методы , в которых не используются ключи;
• одноключевые или симметричные методы , в который используется дополнительный ключевой параметр — секретный ключ;
• двухключевые или асимметричные методы , в которых используется два ключа — секретный и открытый.

Классификация криптографических методов

Разберём наиболее часто используемые криптографические методы: симметричное шифрование, асимметричное шифрование и хэширование.

Симметричное шифрование

Симметричное шифрование подразумевает, что при передаче зашифрованной информации адресат должен заранее получить ключ для расшифровки информации.

• единственная схема шифровки, обладающая абсолютной теоретической стойкостью, — все попытки расшифровать её бесполезны.

• в случае утечки информации невозможно доказать, от кого она произошла;
• помимо секретного ключа нужен открытый канал для его передачи.

У асимметричного шифрования таких проблем нет, поскольку открытый ключ можно свободно передавать по сети. Обычно асимметричное и симметричное шифрование используют в паре, чтобы передать ключ симметричного шифрования, на котором шифруется основной объем данных.

Асимметричное шифрование

Основы асимметричного шифрования были выдвинуты американскими криптографами Уитфилдом Диффи и Мартином Хеллманом. Они предположили, что ключи можно использовать парами — ключ шифрования и ключ дешифрования. При этом один ключ нельзя получить из другого. Поэтому суть метода заключается в том, что зашифрованная при помощи секретного ключа информация может быть расшифрована только при помощи открытого и наоборот. Ключи создаются парами и соответствуют друг другу.

Основная особенность асимметричного шифрования — секретный ключ известен лишь одному человеку. При симметричном шифровании он должен быть известен двоим.

• не нужно создавать защищённый канал для передачи секретного ключа — все взаимодействия происходят в открытом канале;
• наличие единственной копии ключа уменьшает шансы его утраты и позволяет установить персональную ответственность за сохранение тайны;
• наличие двух ключей позволяет использовать шифрование в двух режимах — секретной связи и цифровой подписи.

• возможность подмены открытого ключа,
• медленная скорость шифрования.

Большинство безопасных алгоритмов с открытыми ключами построены на необратимых функциях. Простейший пример — алгоритм RSA. Он используется для защиты программного обеспечения и в схемах цифровой подписи.

Хэширование

Хэширование — преобразование данных произвольной длины в битовую строку фиксированной длины. Вы можете взять любой текст, скажем, повесть Пушкина «Капитанская дочка» и зашифровать её при помощи специального алгоритма.

Всякий раз алгоритм будет преобразовывать текст в один и тот же хэш. Например, такой.

Но если в исходном тексте потеряется хотя бы одна запятая, хэш полностью изменится.

Единственный доступный способ расшифровать хэш — перебор. Чтобы найти верный вариант, нужно перебрать тысячи комбинаций.

• для криптоустойчивой хэш-функции нельзя вычислить по хэшу исходные данные или подобрать другие данные с таким же хэшем;
• по значению ключа можно расшифровать данные за одну операцию;
• после вычисления хэш может передаваться и существовать отдельно от данных, его можно вычислить повторно.

• нельзя провести операцию, обратную хэшированию, и восстановить исходные данные;
• вас могут взломать с помощью перебора, если хэш-функция не криптоустойчива.

К хэшированию обращаются для хранения паролей. Когда пользователь регистрируется в системе, его данные хранятся не в чистом виде, а в виде хэша. И всякий раз, когда он вводит пароль, тот хэшируется снова и только потом сравнивается с имеющимся в базе. То есть, даже если база будет украдена, никто не сможет узнать реальные пароли. Благодаря этому свойству хэширование активно применяют в блокчейне

Как криптография используется в блокчейне

Криптография используется в блокчейне как средство защиты пользователей. Она помогает обеспечить безопасность транзакций сохранить личную информацию.

Блок — единица кода, которая выполняет функцию хранилища данных обо всех действиях.

Сформированный блок проверяется участниками сети и, если все согласны, то его присоединяют к цепочке, из-за чего изменить информацию в нем невозможно. Особенность каждого блока в том, что он не только захэширован, но и хранит информацию о предыдущем блоке.

Блокчейн — постоянно увеличивающаяся цепочка таких блоков.

Если мы внесём изменения во вторую запись, её хэш станет совсем другим и перестанет совпадать с тем, что был записан в третью. То есть блокчейн позволяет создавать записи, которые невозможно изменить незаметно.

Блокчейн активно используется в криптовалюте, например, BitCoin. Если кто-то захочет украсть её, ему придётся одновременно изменять блоки на всех компьютерах. Также блокчейн используют при хранении ставок, при проведении выборов, чтобы избежать фальсификации и при заверении документов

Важно понимать, что система не надёжна на 100%. В программном обеспечении могут возникать ошибки, позволяющие воровать данные до того, как они будут захэшированы.

Как криптография регулируется государством

Деятельность, связанная с криптографическим шифрованием, ограничена на территории России. Основной уполномоченный орган — Федеральная служба безопасности. ФСБ вправе осуществлять государственный контроль за организацией и функционированием криптографической безопасности. За органами ФСБ закреплена функция регулирования разработки, производства, реализации, эксплуатации, ввоза и вывоза шифровальных средств.

Также есть нормативные правовые акты, регулирующие криптографию в России:

Закон	Что делает
Указ Президента №334 от 03.04.1995	запрещает госорганам и предприятиям использовать несертифицированные средства шифрования запрещает банкам применять несертифицированные средства шифрования и обязует Банк России следить за соблюдением этого запрета запрещает разрабатывать и эксплуатировать шифровальные средства без лицензии
ГОСТ Р 34.10-2012	определяет общую схему электронной цифровой подписи
ГОСТ Р 34.11-2012	определяет разрешенные функции хэширования с длинами хэш-кода 256 и 512 бит
Положение ПКЗ-2005	регулирует отношения при разработке, производстве, реализации и эксплуатации шифровальных средств
ФЗ РФ от 06.04.2011 «Об электронной подписи»	регулирует использование электронных подписей при оформлении сделок, оказании государственных и муниципальных услуг
ФЗ РФ от 04.05.2011 №99 «О лицензировании отдельных видов деятельности»	определяет, какие органы власти, отвечают за лицензирование утверждает порядок предоставления документов утверждает типовые формы лицензии контролирует лицензирование
Постановление Правительства РФ от 16.04.2012 №313	определяет разработку, производство, модернизацию, монтаж, установку, ремонт и сервисное обслуживание шифровальных средств

Заключение

Это только малая часть того, что можно узнать по теме криптографии. Если вы просто хотели понять, что это такое, надеемся, вы удовлетворили интерес. Если хотите изучить тему глубже, советуем пройти онлайн-курсы из нашей подборки. На них вы подробно разберёте тему кибербезопасности и сможете освоить востребованную профессию.

Источник

Криптография

Криптогра́фия (от др.-греч. κρυπτός — скрытый и γράφω — пишу) — наука о методах обеспечения конфиденциальности (невозможности прочтения информации посторонним) и аутентичности (целостности и подлинности авторства, а также невозможности отказа от авторства) информации.

Изначально криптография изучала методы шифрования информации — обратимого преобразования открытого (исходного) текста на основе секретного алгоритма и/или ключа в шифрованный текст (шифротекст). Традиционная криптография образует раздел симметричных криптосистем, в которых зашифрование и расшифрование проводится с использованием одного и того же секретного ключа. Помимо этого раздела современная криптография включает в себя асимметричные криптосистемы, системы электронной цифровой подписи (ЭЦП), хеш-функции, управление ключами, получение скрытой информации, квантовую криптографию.

Криптография не занимается: защитой от обмана, подкупа или шантажа законных абонентов, кражи ключей и других угроз информации, возникающих в защищенных системах передачи данных.

Криптография — одна из старейших наук, её история насчитывает несколько тысяч лет.

Содержание

Терминология

• Открытый (исходный) текст — данные (не обязательно текстовые), передаваемые без использования криптографии.
• Шифротекст, шифрованный (закрытый) текст — данные, полученные после применения криптосистемы (обычно — с некоторым указанным ключом).
• Ключ — параметр шифра, определяющий выбор конкретного преобразования данного текста. В современных шифрах криптографическая стойкость шифра целиком определяется секретностью ключа (Принцип Керкгоффса).
• Шифр, криптосистема — семейство обратимых преобразований открытого текста в шифрованный.
• Шифрование — процесс нормального применения криптографического преобразования открытого текста на основе алгоритма и ключа, в результате которого возникает шифрованный текст.
• Расшифровывание — процесс нормального применения криптографического преобразования шифрованного текста в открытый.
• Асимметричный шифр, двухключевой шифр, шифр с открытым ключом — шифр, в котором используются два ключа, шифрующий и расшифровывающий. При этом, зная ключ зашифровывания, нельзя расшифровать сообщение, и наоборот.
• Открытый ключ — тот из двух ключей асимметричной системы, который свободно распространяется. Шифрующий для секретной переписки и расшифровывающий — для электронной подписи.
• Секретный ключ, закрытый ключ — тот из двух ключей асимметричной системы, который хранится в секрете.

• Криптоанализ — наука, изучающая математические методы нарушения конфиденциальности и целостности информации.
• Криптоаналитик — человек, создающий и применяющий методы криптоанализа.
• Криптография и криптоанализ составляют криптологию, как единую науку о создании и взломе шифров (такое деление привнесено с запада, до этого в СССР и России не применялось специального деления).
• Криптографическая атака — попытка криптоаналитика вызвать отклонения в атакуемой защищенной системе обмена информацией. Успешную криптографическую атаку называют взлом или вскрытие.
• Дешифрование (дешифровка) — процесс извлечения открытого текста без знания криптографического ключа на основе известного шифрованного. Термин дешифрование обычно применяют по отношению к процессу криптоанализа шифротекста (криптоанализ сам по себе, вообще говоря, может заключаться и в анализе шифросистемы, а не только зашифрованного ею открытого сообщения).
• Криптографическая стойкость — способность криптографического алгоритма противостоять криптоанализу.

• Имитозащита — защита от навязывания ложной информации. Другими словами, текст остаётся открытым, но появляется возможность проверить, что его не изменяли, ни случайно, ни намеренно. Имитозащита достигается обычно за счет включения в пакет передаваемых данных имитовставки.
• Имитовставка — блок информации, применяемый для имитозащиты, зависящий от ключа и данных.
• Электронная цифровая подпись, или электронная подпись — асимметричная имитовставка (ключ защиты отличается от ключа проверки). Другими словами, такая имитовставка, которую проверяющий не может подделать.
• Центр сертификации — сторона, чья честность неоспорима, а открытый ключ широко известен. Электронная подпись центра сертификации подтверждает подлинность открытого ключа.

• Хеш-функция — функция, которая преобразует сообщение произвольной длины в число («свёртку») фиксированной длины. Для криптографической хеш-функции (в отличие от хеш-функции общего назначения) сложно вычислить обратную и даже найти два сообщения с общей хеш-функцией.

История

История криптографии насчитывает около 4 тысяч лет. В качестве основного критерия периодизации криптографии возможно использовать технологические характеристики используемых методов шифрования.

Первый период (приблизительно с 3-го тысячелетия до н. э.) характеризуется господством моноалфавитных шифров (основной принцип — замена алфавита исходного текста другим алфавитом через замену букв другими буквами или символами). Второй период (хронологические рамки — с IX века на Ближнем Востоке (Ал-Кинди) и с XV века в Европе (Леон Баттиста Альберти) — до начала XX века) ознаменовался введением в обиход полиалфавитных шифров. Третий период (с начала и до середины XX века) характеризуется внедрением электромеханических устройств в работу шифровальщиков. При этом продолжалось использование полиалфавитных шифров.

Четвертый период — с середины до 70-х годов XX века — период перехода к математической криптографии. В работе Шеннона появляются строгие математические определения количества информации, передачи данных, энтропии, функций шифрования. Обязательным этапом создания шифра считается изучение его уязвимости к различным известным атакам — линейному и дифференциальному криптоанализам. Однако, до 1975 года криптография оставалась «классической», или же, более корректно, криптографией с секретным ключом.

Современный период развития криптографии (с конца 1970-х годов по настоящее время) отличается зарождением и развитием нового направления — криптография с открытым ключом. Её появление знаменуется не только новыми техническими возможностями, но и сравнительно широким распространением криптографии для использования частными лицами (в предыдущие эпохи использование криптографии было исключительной прерогативой государства). Правовое регулирование использования криптографии частными лицами в разных странах сильно различается — от разрешения до полного запрета.

Современная криптография образует отдельное научное направление на стыке математики и информатики — работы в этой области публикуются в научных журналах, организуются регулярные конференции. Практическое применение криптографии стало неотъемлемой частью жизни современного общества — её используют в таких отраслях как электронная коммерция, электронный документооборот (включая цифровые подписи), телекоммуникации и других.

Современная криптография

Для современной криптографии характерно использование открытых алгоритмов шифрования, предполагающих использование вычислительных средств. Известно более десятка проверенных алгоритмов шифрования, которые при использовании ключа достаточной длины и корректной реализации алгоритма криптографически стойки. Распространенные алгоритмы:

Во многих странах приняты национальные стандарты шифрования. В 2001 году в США принят стандарт симметричного шифрования AES на основе алгоритма Rijndael с длиной ключа 128, 192 и 256 бит. Алгоритм AES пришёл на смену прежнему алгоритму DES, который теперь рекомендовано использовать только в режиме Triple DES. В Российской Федерации действует стандарт ГОСТ 28147-89, описывающий алгоритм блочного шифрования с длиной ключа 256 бит, а также алгоритм цифровой подписи ГОСТ Р 34.10-2001.

Криптография с симметричным ключом

Криптография с открытым ключом

Криптоанализ

Криптографические примитивы

Построение криптостойких систем может быть осуществлено путём многократного применения относительно простых криптографических преобразований (примитивов). В качестве таких примитивов Клод Шеннон предложил использовать подстановки (substitution) и перестановки (permutation). Схемы, реализующие эти преобразования, называются SP-сетями. Часто используемыми криптографическими примитивами являются также преобразования типа циклический сдвиг или гаммирование.

Криптографические протоколы

Управление ключами

Государство, законодательство, философия и криптография

Эта статья или раздел описывает ситуацию применительно лишь к одному региону.

Запреты

В Российской Федерации коммерческая деятельность, связанная с использованием криптографических средств, подлежит обязательному лицензированию. С 22 января 2008 года действует Постановление Правительства РФ от 29 декабря 2007 N 957 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами», которым приняты Положения о лицензировании деятельности по:

• распространению шифровальных (криптографических) средств
• техническому обслуживанию шифровальных (криптографических) средств
• предоставлению услуг в области шифрования информации
• разработке, производству шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем

Следует отметить, что приложения к данному Постановлению содержат жёсткие требования к лицу-соискателю лицензии, включая его образование, квалификацию, стаж, требования к помещению, охране, информационной и эксплуатационной безопасности при разработке и реализации средств. К примеру, требуется «наличие в штате у соискателя … следующего квалифицированного персонала: руководитель и (или) лицо, уполномоченное руководить работами по лицензируемой деятельности, имеющие высшее профессиональное образование и (или) профессиональную подготовку в области информационной безопасности, а также стаж работы в этой области не менее 5 лет; инженерно-технические работники, имеющие высшее профессиональное образование или прошедшие переподготовку … в области информационной безопасности с получением специализации, необходимой для работы с шифровальными (криптографическими) средствами».

В настоящее время действует также Приказ ФСБ России от 9 февраля 2005 г. N 66 «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (положение пкз-2005)» [2] , который определяет порядок разработки и эксплуатации криптографических средств.

В частности, согласно приказу, средства криптографии реализуются «юридическим лицом или индивидуальным предпринимателем, имеющим право на осуществление данного вида деятельности, связанного с шифровальными (криптографическими) средствами … вместе с правилами пользования ими, согласованными с ФСБ России».

Ранее был издан Указ Президента РФ от 3 апреля 1995 N 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации», постановивший «Запретить использование государственными организациями и предприятиями в информационно-телекоммуникационных системах шифровальных средств, включая криптографические средства обеспечения подлинности информации (электронная подпись), и защищенных технических средств хранения, обработки и передачи информации, не имеющих сертификата Федерального агентства правительственной связи и информации при Президенте Российской Федерации, а также размещение государственных заказов на предприятиях, в организациях, использующих указанные технические и шифровальные средства, не имеющие сертификата Федерального агентства правительственной связи и информации при Президенте Российской Федерации» [3] .

Относительно юридических лиц и предпринимателей, желающих разрабатывать либо реализовывать криптосистемы, существуют п. 5―11 ст. 17 Федерального Закона от 08.08.2001 N 128-ФЗ «О лицензировании отдельных видов деятельности»

5) деятельность по распространению шифровальных (криптографических) средств;
6) деятельность по техническому обслуживанию шифровальных (криптографических) средств;
7) предоставление услуг в области шифрования информации;
8) разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;
10) деятельность по разработке и (или) производству средств защиты конфиденциальной информации;
11) деятельность по технической защите конфиденциальной информации;

Постановление Правительства РФ от 16 апреля 2012 г. №313 «Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)» отменяет действие постановления Правительства Российской Федерации от 29 декабря 2007 г. № 957 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами» и вводит новые ограничения [4] .

Источник