Асимметричные криптосистемы

Несмотря на достижения в области симметричной криптографии, к середине 1970-х годов стала остро осознаваться проблема неприменимости данных методов для решения целого ряда задач. Попытка решить проблемы симметричной криптографии, такие как взаимное доверие сторон при использовании общего секретного ключа и необходимость предварительного распределения ключей между сторонами информационного обмена, привела к созданию принципиально новых криптографических систем с открытым ключом.

Эти системы базируются на формализме однонаправленных функций с секретом и характеризуются тем, что для шифрования и для расшифрования используются разные ключи, связанные между собой некоторой зависимостью.

Асимметричные криптосистемы решают задачу распределения ключей, однако имеют низкую производительность, что затрудняет их использование для шифрования сообщений в режиме реального времени. Поэтому шифрование с открытыми ключами в чистом виде обычно не применяется, а используются смешанные (гибридные) схемы, сочетающие достоинства криптосистем обоих типов. Для каждого сеанса связи аутентификация сторон и защищенная передача секретного ключа производится с помощью асимметричных криптосистем, а для шифрования сообщений применяются симметричные шифры, в конце сеанса связи секретный ключ уничтожается.

Шифрование производится открытым ключом получателя (N, e), при этом шифруемое сообщение представляется в виде последовательности чисел M < N. Криптограмма C получается как C = Me mod N. Чтобы расшифровать полученную криптограмму получатель применяет свой личный ключ d: M = Cd mod N.

Криптосистема RSA может быть использована и для подписания сообщений.

Цифровая подпись. Задачи обеспечения целостности информации, обеспечения аутентификации сообщений и абонентов, обеспечения невозможности отказа сторон от авторства легко решаются в асимметричных криптосистемах с помощью технологии цифровой подписи (ЭЦП). Под электронной (цифровой) подписью понимается цифровой аналог собственноручной подписи абонента.

Цифровая подпись обеспечивает те же свойства, что и обычная подпись автора сообщения, то есть гарантирует аутентичность, неотрекаемость и целостность документа (сообщения).

Возможно совместное применение шифрования и подписывания сообщения. Подписывать длинные сообщения не слишком удобно, поэтому личным ключом отправителя обычно заверяется не само сообщение, а некоторое контрольное значение, однозначно характеризующее это сообщение. Для вычисления таких значений используются бесключевые хэш-функции.

Для любого сообщения может быть легко вычислен его хэш-код, однако по известному хэшу определить, каково было исходное сообщение, невозможно. Кроме того, даже незначительное изменение исходного документа должно приводить к значительному изменению его хэш-кода.

Российский стандарт функции хэширования ГОСТ Р 34.11-2012 определяет две хэш-функции с выходными значениями длиной 256 и 512 бит. Входное сообщение разделяется на блоки, которые последовательно обрабатываются итерационной конструкцией с помощью функции сжатия. В качестве функции сжатия используется 12-рандовый симметричный блочный шифр на SP-сети. Входом функции сжатия является очередной обрабатываемый блок сообщения, а в качестве ключа алгоритма выступает результат обработки предыдущего блока.

Российский стандарт цифровой подписи ГОСТ Р 34.10-2012 использует криптосистему, отличную от RSA, и фактически реализует вариант цифровой подписи Эль-Гамаля на эллиптических кривых (ECDSA). Стандарт определяет два варианта подписи с 256- или 512-битовой хэш-функцией по стандарту ГОСТ Р 34.11-2012.

Для создания надежной линии передачи сообщений методами асимметричной криптографии между отправителем и получателем необходимо обеспечить доверенную передачу открытых ключей, поскольку в противном случае возможна реализация классической сетевой атаки «человек посередине». Подменив передаваемые ключи, злоумышленник-посредник может представить себя как отправителем подписанных данных, так и получателем зашифрованных сообщений. Для предотвращения подобных проблем применяются методы цифровой сертификации.

Для управления жизненным циклом цифровых сертификатов и обеспечения взаимодействия с пользователями должна быть развернута организационно-техническая структура, получившая название инфраструктуры открытых ключей (PKI, Public Key Infrastructure), основу которой составляют доверенные центры сертификации.