Компьютерная безопасность и криптография

Основной вопрос идентификации заключается в следующем: если потенциальный пользователь (крипто) системы обращается к услугам компьютера (либо в том случае, когда он, например, захочет воспользоваться автоматическим кассиром, либо тогда, когда такому кассиру понадобится получить доступ к центральному компьютеру банка), то каким образом при каждом таком обращении этот центральный компьютер сможет удостовериться, что тот, кто к нему обращается, является именно тем абонентом, за которого он себя выдает? Классическое решение этой проблемы заключается в использовании паролей. Предполагая, что пользователь и компьютер распределили между собой некоторую конфиденциальную часть информации, последний может потребовать эту информацию от обратившегося к нему в том случае, когда его подлинность сомнительна. Ясно, что ценность такой схемы решающим образом зависит от ее способности сохранять пароли в секрете, что указывает на два потенциально слабых звена: существование где-то в памяти компьютера таблицы паролей и угрозу перехвата сообщений до их попадания в него.
Сам факт, что пароли находятся в какой-то области памяти компьютера, является очень опасным. Вне зависимости от того, насколько они хорошо спрятаны и защищены, искусный противник всегда найдет их, где бы они ни были (предпочтительно, но совсем не обязательно, если он имеет физический доступ к этому компьютеру, его оперативной памяти и файлу подкачки операционной системы). Более того, в составе персонала, обслуживающего работу большинства компьютеров, существует по крайней мере один человек, так называемый администратор системы, то есть тот ее (самый) привилегированный пользователь, который обладает всеми правами легального доступа к директории, где хранятся пароли. Сколь большим доверием другие пользователи могут облечь такого человека? Очевидно, что в самом крайнем случае в разных системах предусмотрительные пользователи должны использовать различные пароли.
Рассмотренная выше угроза может быть легко предотвращена на практике. Ключевая мысль заключается в том, что компьютеру в такой ситуации совершенно не обязательно знать действительные пароли пользователей — для него необходима лишь способность подтверждения данных паролей. Это может быть реализовано посредством использования однонаправленных функций. Компьютеру достаточно хранить лишь образы пользовательских паролей (хеши), являющиеся результатами вычисления некоторой фиксированной однонаправленной функции от каждого пароля как аргумента. Поскольку функция однонаправленна, то хранить в секрете ее саму совершенно не обязательно. Тогда всякий раз, как только какой-нибудь пользователь захочет доказать свою подлинность, он сообщает свой истинный пароль, а компьютер сразу же вычисляет от него значение этой однонаправленной функции. Затем результат вычислений сверяется с хранящейся в компьютере таблицей. Очевидно, что в данном случае противник в силу своей неспособности вычислять прообразы значений соответствующей однонаправленной функции будет вынужден признать бесполезным для определения истинных паролей пользователей распечатку такой преобразованной таблицы.
Эта схема может оказаться довольно слабой, если пользователи склонны употреблять пароли, которые можно легко угадать. В такой ситуации с помощью кого-то, кто имеет доступ к таблице (преобразованных) паролей и к алгоритму вычисления однонаправленной функции, может, зачастую довольно успешно, применяться следующая атака. Задавшись, скажем, тысячью предположительно наиболее употребимых паролей и вычислив значения однонаправленной функции от них, этот «кто-то» может затем эффективно сравнить полученные результаты с преобразованной таблицей паролей (используя при этом технику хеширования или сортировки). Тогда каждое такое успешное сравнение предоставит ему в распоряжение некоторый истинный пользовательский пароль. Ясно, что подобная атака не позволяет нарушителю раскрыть все пароли, которые он хотел бы узнать, но тем не менее она очень продуктивна в нахождении некоторых из них.
Подробнее »

Несмотря на то, что схема аутентификации позволяет Бобу достичь большой уверенности в том, что сообщение, которое он получил, исходило именно от Алисы, эта схема не позволяет ему убедить кого бы то ни было еще в том, что Алиса и в самом деле посылала полученное им сообщение. Таким образом, аутентификационные схемы могут использоваться в отношениях между двумя доверяющими друг другу сторонами, но они не способны обеспечивать улаживание возникающих между ними разногласий. Такая возможность предоставляется только благодаря существованию однонаправленных функций с потайным ходом и основанного на них более сильного понятия цифровой, или электронной, подписи.

Подробнее »

Очень часто разговаривая о аутентификации имеют ввиду лишь понятие пассивного криптоаналитика, то есть того, чья цель заключается только в прослушивании канала связи. Активный криптоаналитик (называемый также фальсификатором) идет дальше: не удовлетворяясь прослушиванием канала связи, он может также вводить свои собственные сообщения в надежде на то, что получатель при их расшифровке может поверить, что они были посланы кем-то другим. Излишне говорить, что, например, финансовые сделки должны быть защищены в первую очередь именно от подобной фальсификации, чем быть непременно засекреченными.

Подробнее »