Отличие симметричного и асимметричного шифрования. Как устроено шифрование в интернете (алгоритм Диффи-Хеллмана, RSA, сертификаты, цифровая подпись, хеширование, Tor, i2p). Криптографические алгоритмы, применяемые для обеспечения информационной безопаснос

Мало кто знает как именно работает асимметричное шифрование. К примеру есть люди которые не считают протокол https какой-либо адекватной защитой передаваемых данных. И как правило на попытку убедить в обратном, они отвечают что-то в духе «если мы передаем зашифрованные данные, то мы должны сказать как их расшифровывать, а эту информацию можно перехватить и, следовательно, расшифровать данные». А на аргументы, что это не так и в основу положено асимметричное шифрование, поступает ответ «Ну и что?».

Ладно, я понимаю, знать все тонкости реализации асимметричного шифрования нужно далеко не всем. Но общий принцип работы, я считаю, должен знать каждый, кто как-либо связан с компьютерами.

Хочу вынести суть данного поста в эту аннотацию: Запомните, асимметричное шифрование безопасно , естественно при выполнении всех условий. И чтобы доказать это я попробую описать алгоритм понятным языком, чтобы каждый смог понять, что он безопасен. Встречайте Алису, Боба и Еву и передачу их секретного сообщения под катом.

Кстати почему Алиса и Боб? Об этом есть кратенькая статья на википедии: Алиса, Боб и Ева . Чтобы было понятнее, Алиса и Боб хотят обменяться сообщениями, а Ева пытается эти сообщения перехватить и прочесть.

Немного истории

Криптография прошлых веков имела одну огромную проблему — проблема передачи ключей. В те времена существовали только так называемые «симметричные» шифры — шифры при котором данные шифруются и расшифровываются одним и тем же ключом.

К примеру, Алиса зашифровала некоторое сообщение и хочет отправить его Бобу. Естественно, чтобы Боб его прочитал, ему нужен ключ которым было зашифровано данное сообщение. И тут возникает проблема, как передать ключ чтобы его никто не смог перехватить. Пытливые умы предложат — пусть передают при личной встрече, а потом общаются сколько захотят. Да, не спорю, выход. А теперь представьте на секунду, что ваша интернет почта, перед тем как вы авторизируетесь в ней, потребует вашей поездки до физического местоположения сервера с почтой. Удобно? Пожалуй не очень.

Конечно ключ можно передавать по другому каналу связи. Но криптография рассматривает все незащищенные каналы связи как небезопасные. То есть передача ключа Бобу по телефону, например, считается небезопасной так, как ничто не мешает Еве прослушивать и телефон в том числе.

До 70-ых годов, эта проблема настолько стала привычной, что считался аксиомой тот факт, что для передачи сообщения нужно передавать и ключ которым сообщение зашифровано (причем некоторых люди до сих пор считают именно так). Но в 76 году Диффи и Хеллман предложили свой «метод экспоненциального обмена ключей». С этих годов и началось развитие асимметричных криптосистем.

Немножко реальной жизни

Прежде чем изучать какой либо алгоритм, нужно представить как он работает. И самый простой способ — это сравнить его с работой чего-то в реальности.

Представим что Алиса и Боб живут в стране, в которой вся почтовая система абсолютно аморальна и почтовые служащие читают всю незащищенную корреспонденцию. Алиса, девочка не глупая, прежде чем отправить сообщение Бобу, взяла железный ящик и, положив внутрь письмо и закрыв его на свой замок, отправляет этот ящик Бобу.

Естественно на почте прочитать это письмо не могут, но его не может прочитать и сам Боб, так как у него нет ключа которым закрыт замок. Алиса, конечно, может взять еще один железный ящик, положить в него ключ от предыдущего, и отправить его Бобу, но его Боб тоже не сможет открыть…

Единственный путь это все же сделать дубликат ключа и дать его Бобу при личной встрече…

И вот начинает казаться что обмен ключами является неизбежной частью шифрования — или все-таки нет?

Представим другую картину. Распишу пошагово:

1. Алиса кладет свое письмо в железный ящик и, заперев его на замок, отправляет Бобу.
2. Боб при получении ящика, (внимание!) берет свой замок и, дополнительно заперев им ящик, отправляет обратно.
3. Алисе ящик приходит уже с двумя замками (напомню с первым замком Алисы от которого у нее есть ключ, и со вторым — Боба, от которого ключ есть есть только у Боба).
4. Алиса снимает свой замок, и отправляет ящик обратно Бобу
5. Бобу приходит ящик с уже одним его замком от которого у него есть ключ
6. Боб отпирает оставшийся его замок своим ключом, и читает сообщение

Значение этой кратенькой истории огромно. Она показывает что два человека могут передавать секретное сообщение без обмена ключами. Вдумайтесь! Эта история фактически рушит все аксиомы на которых была построена тогдашняя криптография. Да мы получаем некоторое усложнение процесса (ящик пришлось пересылать три раза), но результат…

Вернемся к криптографии

Казалось бы решение найдено. Отправитель и принимающий шифруют свое сообщение, и затем собеседники поочередно снимают свой шифр.


Но суть в том что не существуют таких шифров, которые бы позволили снять шифр из под другого шифра. То есть этап где Алиса снимает свой шифр невозможен:


К сожалению, все имеющиеся алгоритмы до сих пор требуют снятия шифров в той очереди в которой они были применены. Боюсь назвать это аксиомой (так как история уже знает случаи когда такие аксиомы разбивались в пух и прах), но это так до сих пор.

Вернемся к математике

Идея с ящиком, о которой я описывал выше, вдохновили Диффи и Хеллмана искать способ передачи сообщения. В конце концов они пришли к использованию односторонних функций.

Что такое односторонняя функция? К примеру есть функция удвоение, т.е удвоить(4)=8 , она двухсторонняя, т.к. из результата 8 легко получить исходное значение 4. Односторонняя функция — та функция после применения которой практически невозможно получить исходное значение. К примеру смешивание желтой и синей краски — пример односторонней функции. Смешать их легко , а вот получить обратно исходные компоненты — невозможно . Одна из таких функций в математике — вычисление по модулю .

За основу алгоритма Хеллман предложил функцию Y x (mod P) . Обратное преобразование для такой функции очень сложно, и можно сказать что, по сути, заключается в полном переборе исходных значений.

К примеру вам сказали, что 5 x (mod 7) = 2 , попробуйте найдите x , а? Нашли? А теперь представьте что за Y и P взяты числа порядка 10 300 .

Кстати сказать, для повышения стойкости, число P должно являться простым числом, а Y — являться первообразным корнем по модулю P . Но так как мы все же пытаемся понять теорию, то смысла заморачиваться на этом я не вижу.

Алгоритм Диффи-Хеллмана

И вот однажды Хеллмана осенило и он смог разработать рабочий алгоритм обмена ключами. Для работы по этому алгоритму нужно выполнять шаги на обоих сторонах, поэтому я зарисую это в таблице:

	Алиса	Боб
Этап 1	Оба участника договариваются о значениях Y и P для общей односторонней функции. Эта информация не является секретной. Допустим были выбраны значения 7 и 11 . Общая функция будет выглядеть следующим образом: 7 x (mod 11)
Этап 2	Алиса выбирает случайное число, например 3 A	Боб выбирает случайное число, например 6 , хранит его в секрете, обозначим его как число B
Этап 3	Алиса подставляет число A 7 3 (mod 11) = 343 (mod 11) = 2 a	Боб подставляет число B в общую функцию и вычисляет результат 7 6 (mod 11) = 117649 (mod 11) = 4 , обозначает результат этого вычисления как число b
Этап 4	Алиса передает число a Бобу	Боб передает число b Алисе
Этап 5	Алиса получает b от Боба, и вычисляет значение b A (mod 11) = 4 3 (mod 11) = 64 (mod 11) = 9	Боб получает a от Алисы, и вычисляет значение a B (mod 11) = 2 6 (mod 11) = 64 (mod 11) = 9
Этап 6	Оба участника в итоге получили число 9 . Это и будет являться ключом.

Магия? Не спорю, с первого взгляда непонятно. Но после вчитывания и вдумывания в эту таблицу становится понятно как это работает. Впрочем если понятно не стало, то пролистайте до конца главы, там я выложил поясняющее видео.

Причем обратите внимание, что для получения ключа в конечной формуле, любому человеку нужно иметь три значения:

• Значения a и P , и секретное число Боба B
• или значения b и P , и секретное число Алисы A

Но секретные числа по каналу не передаются! Еве не получится восстановить ключ, не имея чьего-нибудь секретного числа. Почему — я писал выше, данная функция является односторонней. Попробуйте решите уравнение 4 x (mod 11) = 2 y (mod 11) найдя x и y .

Чтобы было понятнее, как работает схема Хеллмана, представьте шифр, в котором в качестве ключа каким-то образом используется цвет:

Допустим вначале, что у всех, включая Алису, Боба и Еву, имеется трехлитровая банка, в которую налит один литр желтой краски. Если Алиса и Боб хотят договориться о секретном ключе, они добавляют в свои банки по одному литру своей собственной секретной краски.

Алиса может добавить краску фиолетового оттенка, а Боб — малинового. После этого каждый из них посылает свою банку с перемешанным содержимым другому.

И наконец, Алиса берет смесь Боба и подливает в нее один литр своей секретной краски, а Боб берет смесь Алисы и добавляет в нее один литр своей секретной краски. Краска в обеих банках теперь станет одного цвета, поскольку в каждой находится по одному литру желтой, фиолетовой и малиновой краски.

Именно этот цвет, полученный при добавлении дважды в банки красок, и будет использоваться как ключ. Алиса понятия не имеет, какую краску добавил Боб, а Боб также не представляет, какую краску налила Алиса, но оба они достигли одного и того же результата.

Между тем Ева в ярости. Даже если она и сумеет перехватить банки с промежуточным продуктом, ей не удастся определить конечный цвет, который и будет согласованным ключом. Ева может видеть цвет краски, полученной при перемешивании желтой краски и секретной краски Алисы в банке, отправленной Бобу, и она может видеть цвет краски, полученной при перемешивании желтой краски и секретной краски Боба в банке, отправленной Алисе, но чтобы найти ключ, ей, на самом деле, необходимо знать цвета исходных секретных красок Алисы и Боба. Однако, рассматривая банки с перемешанными красками, Ева не сможет определить секретные краски Алисы и Боба. Даже если она возьмет образец одной из смешанных красок, ей не удастся разделить ее на исходные краски, чтобы найти секретную, поскольку смешивание краски является односторонней функцией.

Все равно непонятно? Тогда смотрим видео:

Что же, надеюсь, вы поняли, что существует вполне реальный способ безопасного обмена ключами. Но прошу заметить, назвать этот алгоритм асимметричным шифром пока нельзя, так как по сути это всего лишь алгоритм обмена ключами.

Асимметричное шифрование

асимметричный алгоритм предполагает под собой наличие двух ключей — публичного и приватного. То есть сообщение шифруется публичным ключом, а расшифровывается приватным и ни как иначе. Собственно именно эту концепцию сформулировал Диффи.

В общем суть данного алгоритма заключается в том, что принимающая сторона перед приемкой сообщения генерирует пару ключей на основе алгоритма модульной арифметики (принцип такой же как и в алгоритме Диффи-Хеллмана), собственно приватный и публичный ключ. Отправитель перед отправкой получает публичный ключ и шифрует сообщение данным ключом, после чего данное сообщение можно расшифровать только приватным ключом, который хранится в секрете у принимающей стороны.


Если вернуться к аналогии с замками, то шифрование с открытым ключом можно представить себе следующим образом:

Любой способен запереть замок, просто защелкнув его, чтобы он закрылся, но отпереть его может только тот, у кого есть ключ. Запереть замок (зашифровывание) легко, почти все могут это сделать, но открыть его (расшифровывание) имеет возможность только владелец ключа. Понимание того, как защелкнуть замок, чтобы он закрылся, ничего не скажет вам, как его отпереть.

Можно провести и более глубокую аналогию.

Представьте, что Алиса проектирует замок и ключ. Она бдительно охраняет ключ, но при этом изготавливает тысячи дубликатов замков и рассылает их по почтовым отделениям по всему миру. Если Боб хочет послать сообщение, он кладет его в коробку, идет на местный почтамт, просит «замок Алисы» и запирает им коробку. Теперь уже ему не удастся открыть коробку, но когда коробку получит Алиса, она сможет открыть ее своим единственным ключом.

Замок и защелкивание его, чтобы он закрылся, эквивалентны общему ключу для зашифровывания, поскольку все имеют доступ к замкам и все могут воспользоваться замком, чтобы закрыть сообщение в коробке. Ключ от замка эквивалентен секретному ключу для расшифровывания, потому что он имеется только у Алисы, только она сможет открыть замок, и только она сможет получить доступ к находящемуся в коробке сообщению.

Есть несколько алгоритмов реализующих асимметричное шифрование. Самый известный из них — RSA. Расписывать его я не вижу смысла, так как понять как он работает с ходу все равно не получится, да и лучше чем написано на википедии я написать все равно не смогу.

Заключение

Что же, надеюсь что, поняв как работает асимметричное шифрование изнутри, вы станете больше ему доверять и соответственно чаще пользоваться SSL =)

Использовались материалы из книги Сингх Саймон — Книга шифров. Кстати, самая лучшая книга для тех кто хочет хотя бы чуточку разбираться в криптографии. Всем советую прочитать.

1. tv

   Подбор такого ключа у вас займет времени ну оооочень много. Чуть больше чем существует вселенная. Даже на очень мощных компьютерах.

2. Игорь

   Для чего нужна эта ахинея с открытыми ключами? Симметричные надёжней.
   Добрый день!
   Хороший сайт, понятно изложен материал, огромное спасибо автору. Попал сюда случайно в сентябре, когда искал информацию по практическому шифрованию.
   Пишу потому, что хочу спросить: Есть желающие узнать как найти числа для симметричного шифрования? Могу научить на пальцах как быстро проверить число Р на простоту (без поиска числа g) — но это вряд ли будет интересно. Самое интересное:
   Найти число Р любой длины и число g к нему. Никакие 2 в степени n плюс один (или минус один) при этом не использую. Естественно, это бесплатно. Есть даже сайт, где я выложил свою работу.

Уася Петровичъ

Понимаю что прошло много времени, но все же отвечу для таких же как я новых читателей.

Это не сработает, т.к. после действий 2 и 3 мы видим разницу, на которую изменилось число каждого из блоков, следовательно нам становится очевидно секретное число Боба и нам остается только перехватить сообщение после 4-го действия (т.е. уже без шифра Алисы) и воспользоваться уже известным нам числом Боба.

Евгений

Огромное спасибо за статью!
После прочтения почти все легло на свои полочки, обрело структуру, которую легко наращивать.
Имея такую структуру легко генерировать правильные вопросы (полочка для атак MiTM, отдельное спасибо Михаилу:)).

С точки зрения педагогики Вы сделали все идеально. Думаю Вы правы, что не добавили в эту статью атаки MiTM иначе был бы перегруз информационный.

Видео прелестное, особенно учитывая его возраст.

PS: использование метафор для объяснения «сложных» систем честно говоря трудно переоценить. Еще раз спасибо!

dbzix

Из этой статьи я не уловил момент перехода от алгоритма Диффи-Хеллмана, где два абонента для получения секретного ключа обмениваются публичными данными и промежуточными результатами вычислений (в примере получилось целых 6 этапов) к тому этапу, где для шифрования используется некий публичный ключ, который затем дешифруется при помощи приватного (я здесь насчитываю всего 2 этапа передачи данных — отправка публичного ключа и отправка зашифрованного этим ключом сообщения).
Т.е. я понимаю, что где-то между двумя этими объяснениями наверняка кроется много математики, и в итоге объяснение сводится к «это работает именно так, просто поверь». Но было бы наверное проще понять этот внезапный переход, если бы аналогию с красками распространили на объяснение сути шифрования публичным ключом с последующим дешифрованием приватным. А пока получается какое-то «Б работает потому-что А», в то время как между А и Б чёткой связи не прослеживается. По крайней мере для меня.
Уважаемый автор, не будете ли вы так любезны пояснить мне сей мистический прыжок от А к Б? :) Спасибо!

Евгений

Добрый день,

Дано: есть формула Y^x (mod P).
пример в статье основывается на формуле 7^x (mod 11)

я взял для своего примера 4^x (mod 7)
и у меня не получилось прийти к общему ключу.
Вопрос: почему алгоритм в примере работает для 7^x (mod 11) и не работает для 4^x (mod 7)?

Jessi-jane

Андрей

Спасибо, статья отличная!
Только вот чуть не разобрался в алгоритме, в том, как высчитывать через модуль.
Не подскажите, как высчитывать число В, если число А меньше модуля?
Ну например:
3(mod 13) = ?

Я знаю, что если, например, нужно высчитать 625(mod 13), нужно 625/13, а потом наибольший возможный целый делитель (48) умножить на модуль (что здесь будет равняться 624), и наконец 625-624 = 1
Числа 625 и 1 сравнимы по модулю 13, так как 624 делится на 13.
Вот это я понимаю. А вот как быть если модуль больше числа а?

Yellow Horror

1. Атака «человек посередине», это серьёзная проблема. Насколько я могу судить, в рамках одной только криптографии она в принципе не решается: если принять, что Ева способна перехватить и незаметно подменить ВСЕ данные, поступающие к Алисе или исходящие от неё по ЛЮБЫМ каналам связи, никакое шифрование не поможет. Как минимум один сертификат должен быть получен Алисой из абсолютно надёжного источника. Но в случае, если злоумышленник может только прослушивать канал связи, а не менять данные в нём, асимметричное шифрование вполне надёжно.
2. Что касается возможности снимать один «слой шифра» из-под другого, этим свойством обладает банальная функция XOR, широко используемая в криптографии с древнейших времён по сей день. Не думаю, что её можно запатентовать:(

1. Дмитрий Амиров Автор

   Да вы правы, атака mitm на сегодняшний день не решается никак если быть абсолютным параноиком. Если же им не быть то возня с сертификатами и подписями обеспечивают «необходимую и достаточную» защиту.

   Что касается функиции XOR — ее сложно назвать шифром, т.к. им она по своей сути не является.

   1. Yellow Horror

      Да ладно? Погуглите про «Шифр Вернама». Это система передачи сообщений с абсолютной криптоустойчивостью. И основана она именно на XOR. Если оставить в стороне некоторые организационные сложности (создание истинно случайных ключей с равномерным распределением, сохранение тайны шифроблокнота в недружелюбном окружении и надёжное уничтожение использованных ключей), ничего проще и надёжнее человечество ещё не придумало.

   2. Yellow Horror

      Хотя, по здравом размышлении, я понял, что метод с двойным обратимым шифрованием не работает, если злоумышленник знает алгоритм шифрования. Рассмотрим на примере идеи Михаила:

      1. Разбиваем шифруемую информацию на блоки. Каждый блок представлен числом. Размер блока (кол-во бит) определяет кол-во возможных значений блока и (соответственно?) стойкость шифрования.
      2. Алиса для шифрования сообщения выбирает секретное число (которое никому не отправляет), которое прибавляет к каждому из чисел в блоках и отправляет зашифрованное таким образом сообщение Бобу.

      Пока всё в порядке: Ева не может прочесть сообщение Алисы, т.к. не знает число-ключ. Если блоки достаточно велики, восстановить сообщение Алисы сложно, а если блок длиннее сообщения и ключ не имеет уязвимостей — невозможно. Но Ева может скопировать шифрограмму Алисы и делает это.

      3. Боб принимает зашифрованное сообщение, выбирает своё секретное число (которое также никому не отправляет), прибавляет это число к каждому из чисел в блоках зашифрованного Алисой сообщения и отправляет это двукратно зашифрованное сообщение Алисе.

      А вот тут уже начинаются проблемы: Ева всё ещё не может прочесть сообщение Алисы, но, располагая копией полученной Бобом шифрограммы и отправленной им двойной шифровкой, без проблем восстанавливает ключ Боба.

      4. Алиса вычитает своё секретное число из каждого числа в блоках этого двукратно зашифрованного сообщения и отправляет получившееся сообщение Бобу.

      Алиса сняла свой «слой» шифра и теперь пересылает Бобу своё письмо, зашифрованное только ключом Боба. Который у Евы уже есть! Ева расшифровывает письмо и читает его, а также на всякий случай может восстановить ключ Алисы, пользуясь расшифрованным текстом письма и первой перехваченной ею шифрограммой.

Dmitriy

Здравствуйте. Хорошая статья, но я тоже не понял некоторые моменты, которые описали выше.
Именно переход от алгоритма получения секретного ключа обоими собеседниками (Алиса и Боб) (без их выкладывания в публичный доступ) к асимметричному шифрованию.
У вас написано, что сообщение кодируется на стороне Алисы публичным ключем, полученным от Боба. Но если мы зашифруем публичным ключём, то Ева сможет легко его получить и сама расшифровать, верно?
Ещё для меня осталось непонятным, как можно зашифровать публичным ключём и расшифровать только секретным на стороне Боба. То есть зашифровали словом «Дом» , а расшифровали словом «Мир» . Для меня это какая-то несуразица.
Исходя из этих очевидных пробелов (или у вас, или у меня) , я сделал вывод, что тут схема должна быть посложнее, чем на картинке. Скорее всего под стрелочкой от публичного ключа Боба к Алисе имеется в виду другое, а именно вся последовательность действий по получению «Y» и «P», получению промежуточных результатов и тд. Иными словами, я думаю, что при шифровке исходного сообщения якобы публичным ключем, на самом деле шифруется не публичным, а уже секретным, который вычисляется на каждой стороне по отдельности.

Ещё у меня возник вопрос о расшифровки дважды зашифрованного сообщения. Если взять,допустим, шифр Цезаря, где каждая буква шифруется другой буквой, стоящей, скажем, на 3 позиции дальше. Если Алиса зашифрует букву А в сообщении буквой Б, а потом Боб зашифрует эту букву Б буквой Г, то получить букву А из Г будет просто, причём в любом порядке. Правда это скорее всего будет работать только в тех случаях, если оба знают тип шифрации собеседника и при достаточно простых типах шифрации (моноалфавитные/полиалфавитные). Я тоже новичок в криптографии, так что это моё имхо;)

1. Dmitriy

   Забыл ещё спросить.
   В чём разница между симметричным и асимметричным способами?
   

   1. Dmitriy

      Я почитал, более менее как-то всё сгрупировал в уме.
      Отвечу на вопросы мною написаные, возможно, помогая тем самым другим читателям.
      1. По поводу

      У вас написано, что сообщение кодируется на стороне Алисы публичным ключем, полученным от Боба. Но если мы зашифруем публичным ключём, то Ева сможет легко его получить и сама расшифровать, верно?
      Ещё для меня осталось непонятным, как можно зашифровать публичным ключём и расшифровать только секретным на стороне Боба. То есть зашифровали словом «Дом» , а расшифровали словом «Мир» . Для меня это какая-то несуразица.

      В этой статье упомянут алгоритм RSA. Алгоритм симметричного шифрования. В нём действительно используется следующий алгоритм:
      1) Опираясь на некую одностороннюю функцию шифрования (функция, которую легко посчитать в одну сторону, но очень трудно в другую. А) мы создаём на получателе пару {открытый ключ;закрытый ключ}. Эта пара уникальна, то есть каждому открытому ключу соответствует уникальный закрытый ключ под эту одностороннюю функцию.
      
      3)Отправитель шифрует сообщение
      4)Передаёт получателю
      

      Как видите, отправитель не знает закрытого ключа и он не в состоянии сам расшифровать своё же зашифрованное сообщение. Потому он и называется асимметричным, что у одного есть все ключи, а у другого только лишь часть, необходимая для шифрации.

      В чём разница между симметричным и асимметричным способами?
      Если я воспользовался алгоритмом Диффи и Хеллмана для передачи секретного ключа, а потом смог безопасно передать зашифрованное сообщение, то будет ли этот способ симметричным?

      Алгоритм Дэффи-Хелмана, который служит для обмена ключами и дальнейшим симметричным шифрованием . То есть его суть в том, что сначала оба получают полный ключ для шифрации и дешифрации и потом уже начинают самое обычное симметричное шифрование.

      Асимметричный способ — у одного узла есть вся информация для шифр./дешифр., а у другого, как правило, только для шифрации

      Симметричный — оба узла знают всю информацию для шифр./дешифр.

      Надеюсь, что кому-то помог;3

      1. Dmitriy

         В этой статье упомянут алгоритм RSA. Алгоритм Асимметричного шифрования Опечатался.

      2. Дмитрий Амиров Автор

         Гм… только сейчас заметил ваши комментарии. Приношу свои извинения.

         Все вроде верно. Есть одно но по вашему последнему абзацу, а конкретно термины:

         • Алгоритм Дэффи-Хелмана — является алгоритмом позволяющим получить один общий секретный ключ и не более того
         • Ассиметричное/симметричное шифрование — в целом у Вас все верно
         • RSA — алгоритм являющий собой совокупность этих вещей. На пальцах: с помощью ассимтричного шифрования по протоколу Деффи-Хелмена устанавливается секретный ключ с помощью которого уже методом симметричного шифрования шифруются сообщения между собеседниками.
      3. Дмитрий

         Я все равно не понял утверждение:
         2)Открытый ключ передаётся отправителю.
         3) Отправитель шифрует сообщение
         4)Передаёт получателю
         5)Получатель дешифрует с помощью закрытого ключа. Это сообщение нельзя дешифровать с помощью открытого ключа.

         Получается то, что Вы и мели ввиду с самого начала. Шифруем словом Дом, а дешифруем словом Мир. Означет ли это, что присутствует еще один алгоритм связующий Мир и Дом между собой?

Роберт

Спасибо огромное!!!

Роман

Спасибо. Решил наконец разобраться, как это работает и понял из этой статьи. Только, я считаю, если сообщники знают друг друга и есть возможность обменяться безопасно открытыми ключами, то так и стоит сделать. Чтобы исключить пагубное воздействие возможного появления человека посередине при обмене ключами, который будет прикидываться А как Б и Б как А подменяя ключи на свои и просматривая в итоге всю информацию.

А в видео, думаю, зря они используют вот это вот 3^(24*54), т.к. вообще не очевидно откуда оно взялось, или пояснили бы, что это условно.

RinswinD

Спасибо за статью. Всё очень доступно разъясняется.

grigory

Ну раздражает ведь всех эта неграмотность правописания — «одностороняя» , «примененны», «длинна», как будто уж в 5-м классе. А так, неплохо для понимания основ.

grigory

Бывает, что вопрос стоит просто. Вирусы-шифровальщики используют закрытый ключ. Есть оригинальный файл, есть файл зашифрованный. Задача: найти алгоритм, сказать так, который ищет алгоритм преобразования первого файла во второй…

Allexys

Благодарю за понятную и нескучную статью! Наконец-то я врубился в основы:).

Ярослав

К сожалению, все имеющиеся алгоритмы до сих пор требуют снятия шифров в той очереди в которой они были применены.

Это не совсем так. приведу пример:
— предположим что каждой букве соответствует цифровой код А = 1, Б = 2, В = 3 и т.д.;
— предположим что Алиса отправляет Бобу письмо, состоящее из единственной буквы А (для упрощения примера);

Алиса: накладывает свой шифр А + 2 = В

Боб: накладывает свой шифр В + 3 = Е
Боб: отправляет письмо Алисе
Алиса: снимает свой шифр Е — 2 = Г
Алиса: отправляет письмо Бобу
Боб: снимает свой шифр Г — 3 = А

Здесь число 2 — секретный ключ Алисы, 3 — секретный ключ Боба. Причем он может быть и не односимвольным. В принципе его длина ничем не ограничена.

Дмитрий

Я долго обходил стороной теоретические основы ассиметричного шифрования. Знал поверхностно — есть открытый ключ, которым шифруются данные, и есть закрытый, которым эти данные дешифруются. Но меня всегда напрягала мысль о реализации подобного шифрования.
Ваша статья во многом помогла, за это огромное вам спасибо!
Только к ее концу я опять увидел эту несуразицу — «шифруется открытым ключом». Ведь, строго говоря, шифруется сообщение не открытым ключом, а ключом, полученным на основе закрытого ключа отправителя и открытого ключа получателя (который, в свою очередь, был сгенерирован на основе закрытого ключа получателя). Ведь в таблице про Алису и Боба — они и только они смогли получить один и тот же ключ «9» — он и используется для шифрации и дешифрации сообщения. А вот получить этот ключ можно только на основе пары ключей — секретного (Алисы/Боба) и публичного(Боба/Алисы).
Образно — да, сообщение шифруется всегда секретным ключом отправителя (он, грубо говоря, постоянен) и публичным ключом получателя (он зависит от конкретного получателя), поэтому в описании шифрация «секретным» ключом опускается — и это опущение ломает всю стройность рассуждений.

кларксон

прочел статью и не очень всеравно понял, хоть и лучше чем на вики. Но одно мне не понимается только. если ктот может ответить правильно — помогите.

если я всем посылаю вопрос «сколько будет 2+2?», рассказываю как зашифровать ответ мне (рассказываю всем публичный ключ), и все мне направят ответ на вопрос, как я узнаю того, от кого именно я жду ответа, тобиш того с кем я хотел установить связь на самом деле?

1. Дмитрий Амиров Автор

   Тут вы немного неправильно ставите вопрос.

   Если вам надо с кем то установить связь, то нужно идти от обратного. Вы подключаетесь к собеседнику, и уже он вам предоставляет свой публичный ключ, а не вы ему.

   UPD: написал статью про , я думаю это будет правильный ответ на ваш вопрос.

   1. кларксон

      с моей тупостью придется повоевать. тема расжевана в коментариях и в вашей статье, кажется все обьяснили.

      все же. зачем мне его публик ключ? скажите если я не правильно понимаю.
      я инициатор (мне нужны ответы, в примере я — принимающая сторона), значит генерирую пару. это ему, отвечающему (отправитель в вашем примере) нужен мой публик

      Отправитель перед отправкой получает публичный ключ и шифрует сообщение данным ключем, после чего данное сообщение можно расшифровать только приватным ключем, который хранится в секрете у принимающей стороны.

Beshot

Несколько раз перечитал эту статью и другие по теме, непонятен алгоритм использования ЭЦП в эл. документах. Если так как здесь: https://ru.wikipedia.org/wiki/Электронная_подпись , то возникают расхождения. Так все таки шифруем с помощью закрытого ключа или открытого?

1. Дмитрий Амиров Автор

   Если мы что то подписываем, то подпись формируем на основе нашего закрытого ключа. А наш публичный ключ должен быть у получателя, с помощью него он сможет эту подпись расшифровать.

   Если подпись «расшифровалась», то значит публичный ключ соответствует закрытому, а т.к. закрытый ключ априори имеется только у отправителя, то значит подписал документ именно отправитель.

   1. Beshot

      Дмитрий, мне очень помогла ваша статья, у вас хороший стиль. Но есть непонятный момент, вы утверждаете, что асимметричный алгоритм предполагает под собой наличие двух ключей – публичного и приватного. То есть сообщение шифруется публичным ключем, а расшифровывается приватным и ни как иначе.

      Может быть дело в исходных задачи, например получателю нужно аутентифицировать посланника.
      Тогда не представляю как эта схема может помочь?

      1. Дмитрий Амиров Автор

         То есть сообщение шифруется публичным ключем, а расшифровывается приватным и ни как иначе.

         Не совсем верно. Сообщение шифруется одним ключом, а расшифровывается другим. Т.е. вполне можно зашифровать приватным, а расшифровать публичным.

         Давайте рассмотрим на примере. Вы хотите мне прислать сообщение, я хочу убедится что прислали его мне именно вы. Поэтапно:
         1) Вы шифруете сообщение закрытым ключом
         2) Присылаете его мне
         3) Я обращаюсь к вам, и получаю от вас Ваш публичный ключ
         4) Полученное сообщение расшифровываю Вашим публичным ключом
         5) Если сообщение расшифровалось — значит послали его именно вы

         Никто другой не сможет послать это сообщение, представившись вами, потому что приватный ключ есть только у вас.

         1. Beshot

            Ок, но как быть если требуется скрыть от любопытных глаз сообщение?

Аня

Добрый день! Статья понравилась, но остались вопросы (даже нашлась пара похожих в комментариях, но без ответов).
Если во второй части статьи всеже перейти к аналогии с Алисой и Бобом, в частности к числам А, В, а, в, Р и к полученному в примере числу 9, что из них будет закрытым ключом, а что открытым? Заранее спасибо за ответ!

1. Аня

   Не понятно, отправился мой комментарий или нет:(

2. Дмитрий Амиров Автор

   Правильнее будет сказать что в процессе обмена данными Алиса и Боб получают общий ключ 9 , который в дальнейшем могут использовать для шифрования своих сообщений. По сути в статье я описывал не само ассиметричное шифрование как таковое, а протокол обмена ключами, который дал толчок к развитию ассиметричного шифрования.
   Алгоритм генерации пары приватный/публичный ключ на самом деле немного сложнее, хотя и похож на выше изложенный алгоритм, но все таки наверное стоит отдельной статьи. В комментарии я не распишу тут сходу, ибо могу много чего напутать.

Григорий

Чтобы обмениваться посланиями и скрыть содержание от третьих лиц, применяют шифрование. Оно используется там, где необходим повышенный уровень защиты. Есть две схемы шифрования: симметричная и асимметричная.

Что такое шифрование

Шифрование будет полезно тогда, когда нужно скрыть некоторую информацию от посторонних лиц и предоставить секретные данные авторизованным пользователям.

Особенностью такого вида передачи данных является использование ключа.

Есть три состояния безопасности:

• скрытие информации от посторонних;
• предотвращение изменений;
• сохранение целостности информации;
• идентификация отправителя.

Для чтения информации, кроме ключа, требуется дешифратор. Именно это обеспечивает невозможность получения данных злоумышленниками, ведь перехватив данные, но не имея ключа, прочесть их невозможно.

Бывают два вида шифрования: симметричный и асимметричный.

Главной целью шифрования является хранение информации. Это позволяет работать с некоторыми данными из ненадежных источников, передавать сообщения по незащищенным каналам. Отправка информации происходит так:

• отправитель шифрует данные;
• получатель расшифровывает.

Каждое преобразование реализуется с помощью алгоритмов, для решения которых используются ключи. Симметричные и асимметричные методы шифрования отличаются криптостойкостью.

Криптостойкость

Симметричные и асимметричные системы шифрования имеют такую характеристику, которая отвечает за сложность получения несанкционированного доступа.

Существует 2 основных типа криптостойкости системы шифрования.

Абсолютно стойкая система не может быть раскрыта, даже при наличии бесконечно больших вычислительных ресурсов. Характеризуется тем, что для каждого сообщения генерируется свой отдельный ключ. Его длина равна или больше длины сообщения.

Достаточно стойкие системы применяются в криптографической системе гражданского назначения. Такой алгоритм сложно расшифровать, но при наличии соответствующих ресурсов это становится возможным.

Сравнение криптостойкости некоторых систем шифрования

Максимальный размер ключа RSA — 4096 бит.

Он используется для шифрования и подписи. Криптостойкость можно описать как 2,7.1028 для ключа 1300 Бит. Схема применяется во многих стандартах, принцип шифрования RSA один из первых асимметричных алгоритмов.

Размер ключа схемы Эль-Гамаля равен RSA — 4096 Бит. Он используется и для шифрования, и для цифровой подписи. Криптостойкость этой системы не отличается от RSA при одинаковом размере ключа.

В методе DSA используется значительно меньшей ключ — 1024 бита. Применяется он исключительно для цифровой подписи.

Симметричное и асимметричное шифрование

Эти два вида шифрования отличаются количеством ключей и уровнем устойчивости к взлому.

Если для кодирования и раскодирования используется один ключ, то это шифрование симметричное. Асимметричное шифрование подразумевает использование одного ключа для каждого алгоритма.

Открытым ключом шифруется некоторый код, который представляет собой определенное послание. Ключ известен обеим сторонам, он передается по незащищенному каналу, может быть перехвачен. Важнейшей задачей сохранения информации является защита ключа от перехвата.

Закрытый используется для расшифровывания. Известен только одной стороне. Не может быть перехвачен, так как все время находится у одного собеседника.

Цель шифрования определяет метод сохранения конфиденциальности. Одним из первых было симметричное, асиметричное шифрование изобретено позже для обеспечения большей надежности.

Особенности симметричного шифрования

Симметричная система защита имеет следующие достоинства.

Высокая скорость и простота реализации.

Для обеспечения стойкости шифра используется малая длина ключа.

К недостаткам относится следующее:

• сложность управления ключами в большой сети;
• сложность обмена ключами;
• потребность в поиске надежного канала для передачи ключа сторонам;
• невозможность использования для цифровой подписи, сертификатов.

Для компенсации недостатков используется комбинированная схема, в которой с помощью асимметричного шифрования передается ключ, используемый для дешифровки. Он передается при помощи симметричного шифрования.

Особенности асимметричного шифрования

Применение пары открытый-закрытый ключ можно использовать как:

• самостоятельное средство защиты информации;
• средство распределения ключей;
• средства аутентификации пользователей.

Имеет такие преимущества:

• сохранение секретного ключа в надежном месте, вместо которого по открытому каналу передается открытый;
• ключ дешифрования известен только одной стороне;
• в большой асимметричной системе используйте меньшее количество ключей в отличие от симметричной.

В таких алгоритмах сложно внести какие-либо изменения. Подобная система имеет длинные ключи. Если симметричный ключ имеет размер 128 Бит, то ключ RSA — 2304 Бит. Из-за этого страдает скорость расшифровывания — она в 2-3 раза медленнее. Для расшифровки требуются большие вычислительные ресурсы.

Существует очень много примеров симметричной и асимметричной систем шифрования.

Симметричное шифрование — как выглядит?

Пример симметричного шифрования и схема реализации ниже.

Есть два собеседника, которые планируют обменяться конфиденциальной информацией.

Первый собеседник генерирует ключ d, алгоритмы шифрования E и дешифрования D. Затем посылает эту информацию второму собеседнику.

Сообщение дешифруется ключом d.

Главным недостатком является невозможность установить подлинность текста. В случае перехвата ключа злоумышленник расшифрует секретную информацию.

Существуют классические методы.

Простая и двойная перестановка.

Магический квадрат.

Одиночная перестановка.

Первый метод является одним из простейших, в схеме которого не используется ключ. Отправитель и получатель договариваются о некотором ключе, представленным в виде размера таблицы. Передаваемое сообщение записывается в столбцы таблицы, но считывается по строкам. Зная размер таблицы, получатель расшифровывает сообщение.

Для обеспечения большей скрытности используется двойная перестановка. Таким образом происходит шифрование ранее зашифрованного текста. Для этого таблицы должны отличаться количеством строк и столбцов. Они заполняются вертикально, горизонтально, змейкой, по спирали. Этот способ не усиливает шифрование, но процесс взлома становится более длительным.

“Магический квадрат” — более сложная структура, которая представляет собой матрицу. В клетки вписываются натуральные числа таким образом, чтобы сумма чисел по каждому столбцу, строке, диагонали была одинаковой. Каждое число соответствует букве сообщения. Полученный текст выписывается в строку, сопоставляя числа и символы.

Примеры асимметричного шифрования

В данном случае открытый ключ отправляется по открытому каналу и теоретически может быть перехвачен злоумышленниками.

В отличие от симметричных, асимметричные ключи шифрования разные. Для шифровки применяется открытый ключ, для расшифровки послания — закрытый. Использование двух ключей решает проблему возможности перехвата, которая была в симметричном методе. Реализуется так.

Первый собеседник выбирает алгоритмы шифрования и дешифрования, пару ключей. Открытый ключ посылает второму собеседнику.

Второй собеседник шифрует информацию с помощью полученного ключа. Отправляет информацию первому собеседнику, который расшифровывает сообщение с помощью закрытого ключа.

Существует такие основные методы асинхронного шифрования.

Шифр Эль-Гамаля.

RSA

RSA — первый криптографический алгоритм, используемый и для шифрования, и для цифровой подписи.

Описывается так.

Выбирается два простых числа, например, 3 и 7.

Вычисляется модуль n — произведение двух чисел. Получается 21.

Вычисляется функция Эйлера φ=(p-1)×(q-1)=2×6=12.

Вычисляется любое простое число e меньше φ и простое с φ. Доступные варианты: 5, 7, 11.

Пара чисел e, n (5, 21) — открытый ключ. Теперь вычисляются числа d и n закрытого ключа. Число d удовлетворяет условие (d×е) mod φ=1 и равняется 17. В итоге вторая пара чисел 17 и 21 — закрытый ключ. Шифрование выполняется следующим образом: сообщение возводится в степень e, берется остаток от деления на n, при этом результат должен быть меньше числа n. Получается 10 — это будут закодированные данные. Для раскодировки e возводится в степень d, вычисляется остаток от деления на n.

DSA

DSA (в отличие от RSA) используется только для цифровой подписи, но не для шифрования. Заданная подпись может быть проверена публично. Есть два алгоритма для создания подписи и проверки. Шифруется именно хеш-сообщение, которое представляет текст в цифровом виде. Поэтому для избежания коллизий выбирается сложная хэш-функция. Построение цифровой подписи состоит из следующих шагов.

Выбор криптографической хэш-функции H(x).

Битность простого числа q должна равняться значению хэш-функции H(x).

Подбор такого простого числа p, чтобы p-1 делился без остатка на q.

Вычисление числа g = h (p-1)/q mod p. h должно быть произвольным числом в диапазоне от 1 до p-1.

Выбирается случайное число k от 0 до q.

Вычисляется r = (gk mod p) mod q.

Затем s = k-1(H(m) + xr)) mod q.

Если r=0 или s=0, выбирается другое число k.

Схема Эль-Гамаля

Шифрование по схеме Эль-Гамаля используется для цифровых подписей. Является продолжением алгоритма Диффи-Хеллмана.

При работе по этой схеме важно учитывать следующую особенность. Шифрование Эль-Гамаля не является алгоритмом цифровой подписи по схеме с одноименным названием. При шифровке текст преобразовывается в шифр, который длиннее исходного сообщения в 2 раза.

Генерация ключей происходит следующим образом.

Выбирается случайное простое число p.

Число g должно быть первообразным корнем p.

Число x должно быть больше 1 и меньше p-1. Это будет закрытый ключ.

Затем вычисляется открытый ключ y по формуле g^x mod p.

При шифровании текста M выбирается системный ключ K. Он больше единицы и меньше p-1. Затем вычисляются числа a и b, которые являются шифротекстом, a = g^k mod p и b = y^k M mod p.

Асимметричные криптографические системы были разработаны в 1970-х годах. Принципиальное отличие асимметричной криптосистемы от криптосистемы симметричного шифрования состоит в том, что для шифрования информации и ее последующего расшифрования используются различные ключи:

открытый ключ K: используется для шифрования информации, вычисляется из секретного ключа k;

секретный ключ k: используется для расшифрования информации, зашифрованной с помощью парного ему открытого ключа K.

Эти ключи различаются таким образом, что с помощью вычислений нельзя вывести секретный ключ k из открытого ключа K . Поэтому открытый ключ K может свободно передаваться по каналам связи.

Асимметричные системы называют еще двухключевыми криптографическими системами или криптосистемами с открытым ключом.

Обобщенная схема асимметричной криптосистемы шифрования

Для криптографического закрытия и последующего расшифрования передаваемой информации используются открытый и секретный ключи получателя В сообщения. В качестве ключа зашифрования должен использоваться открытый ключ получателя, а в качестве ключа расшифрования – его секретный ключ.

Секретный и открытый ключи генерируются попарно. Секретный ключ должен оставаться у его владельца; он должен быть надежно защищен от несанкционированного доступа (аналогично ключу шифрования в симметричных алгоритмах). Копия открытого ключа должна иметься у каждого абонента криптографической сети, с которым обменивается информацией владелец секретного ключа.

Процесс шифрования и передачи сообщения

Процесс передачи зашифрованной информации в асимметричной криптосистеме осуществляется следующим образом:

1.Подготовительный этап.

Абонент В генерирует пару ключей: секретный ключ k B и открытый ключ К в . Открытый ключ К в посылается абоненту А и остальным абонентам (или делается доступным, например, на разделяемом ресурсе).

2.Использование - обмен информацией между абонентами А и В.

Абонент А зашифровывает сообщение с помощью открытого ключа К В абонента В и отправляет шифротекст абоненту В . Абонент В расшифровывает сообщение с помощью своего секретного ключа k B . Никто другой (в том числе абонент А ) не может расшифровать данное сообщение, так как не имеет секретного ключа абонента В . Защита информации в асимметричной криптосистеме основана на секретности ключа k B получателя сообщения

Односторонние функции

Асимметричные алгоритмы основаны на использовании односторонних функций.

Функция F:X→Y называется односторонней, если выполняются следующие два условия:

существует эффективный алгоритм, вычисляющий F(x) для любого x ∈ X ;

не существует эффективного алгоритма инвертирования функции F , т.е. алгоритма, позволяющего определить значение x по значению F(x) .

«Эффективным» называется полиномиальный алгоритм, т.е. алгоритм, который для получения результата для входа длины n тратит не более P(n) шагов, где P - некоторый полином.

Не любая односторонняя функция не может быть использована для шифрования. Действительно, если преобразовать открытый текст t с помощью односторонней функции: c = F(t) , то расшифровать полученный текст, то есть по c восстановить t , не сможет уже никто, в том числе и законный получатель. Для использования в криптографии необходимо, чтобы задача инвертирования шифрующего преобразования (т.е. вычисления t по F(t) ) была разрешима за приемлемое время, но сделать это мог только тот, кто знает секретный ключ. Такие функции называются односторонними функциями с секретом

Односторонняя функция с секретом - это функция F k : X → Y , зависящая от параметра k ∈ K (этот параметр называется секретом), для которой выполняются следующие условия:

при любом k ∈ K существует эффективный алгоритм, вычисляющий F k (x ) для любого x ∈ X ;

при неизвестном k не существует эффективного алгоритма инвертирования функции F k ;

при известном k существует эффективный алгоритм инвертирования функции F k .

Алгоритм RSA

В криптографической системе с открытым ключом каждый участник располагает как открытым ключом, так и закрытым ключом. В криптографической системе RSA каждый ключ состоит из пары целых чисел. Каждый участник создаёт свой открытый и закрытый ключ самостоятельно. Закрытый ключ каждый из них держит в секрете, а открытые ключи можно сообщать кому угодно или даже публиковать их.

Взаимно простыми числами называются такие числа, которые не имеют ни одного общего делителя, кроме 1.

Функция Эйлера  (p ) от натурального p есть количество чисел, меньших p и взаимно простых с n (число 1 взаимно просто с любым числом).

Если p - простое число, то  (p ) = p - 1.

Если p - простое, a - натуральное число, то  (p a ) = p a - p a -1 .

Если p и q взаимно простые, то  (pq ) =  (p )  (q )

Генерация ключей выполняется по следующему алгоритму:

1. Выбираются два больших простых числа p, q (на сегодняшний день обычно выбирают числа, содержащие от 200 до 400 знаков)

2. вычисляется их произведение n , которое не может быть разложено на множители за разумное время. Данное произведение называется модулем

3 . Вычисляется значение функции Эйлера

φ(n) = φ(pq ) = (p − 1)(q − 1).

4. Выбирается целое число e (1< e <  (n )) , взаимно простое со значением  (n ) . Обычно в качестве e берут простые числа, содержащие небольшое количество единичных бит в двоичной записи, например, простые числа Ферма 17, 257 или 65537. Число e называется открытой экспонентой

5. Вычисляется число d , удовлетворяющее условию:

de 1(mod (n ))

или в другом виде:

de=1+k (n )

Число d называется секретной экспонентой

6. Пара P = (e , n ) публикуется в качестве открытого ключа системы RSA.

7. Пара S = (d , n ) называется секретным ключом RSA и держится в тайне.

1. Шифрование сообщения

Чтобы зашифровать данные по известному ключу P = (e,n) необходимо разбить шифруемый текст на боки, каждый из которых может быть представлен в виде числа M(i) = 0, 1, … , n-1. Далее текст шифруется как последовательность чисел M(i), преобразованных по следующей формуле:

C(i) = M(i)emod(n)

2. Расшифровка сообщения

Чтобы расшифровать сообщение используя секретный ключ P=(d,n) необходимо каждое число из последовательности в зашифрованном сообщении преобразовать по формуле:

M(i) = C(i)dmod(n)

В результате будет получено множество чисел M(i), которое представляет собой исходный текст.

Симметричное шифрование

Шифрование, в котором как для шифровки, так и для расшифровки, используется один и тот же пароль. В противоположность асимметричному шифрованию, в котором для шифровки и расшифровки используются два разных ключа: «открытый» и «закрытый».

Основное преимущество симметричного шифрования перед асимметричным: оно гораздо быстрее (в 1000 раз). Часто используются «гибридные схемы шифрования», когда управляющее соединение создаётся асимметричным шифрованием, а уже по этому каналу стороны договариваются друг с другом, какой симметричный алгоритм шифрования выбрать и каким будет ключ шифрования (сеансовый ключ). Симметричный канал в такой схеме обычно пересоздаётся заново через некоторое время во избежание подбора симметричного пароля (если бы симметричный канал существовал, скажем, несколько лет, то при недостаточно надёжном алгоритме шифрования взломщик вполне мог бы подобрать пароль за это время на каком-нибудь кластере суперкомпьютеров).

Большинство симметричных шифров используют сложную комбинацию большого количества подстановок и перестановок. Многие такие шифры исполняются в несколько (иногда до 80) проходов, используя на каждом проходе «ключ прохода». Множество «ключей прохода» для всех проходов называется «расписанием ключей» (key schedule). Как правило, оно создается из ключа выполнением над ним неких операций, в том числе перестановок и подстановок.

Зачастую стойкость алгоритма, особенно к дифференциальному криптоанализу, зависит от выбора значений в таблицах подстановки (S-блоках). Как минимум считается нежелательным наличие неподвижных элементов S(x) = x, а также отсутствие влияния какого-то бита входного байта на какой-то бит результата — то есть случаи, когда бит результата одинаков для всех пар входных слов, отличающихся только в данном бите.

«Блочные» шифры обрабатывают информацию блоками определённой длины (обычно 64, 128 бит), применяя к блоку ключ в установленном порядке, как правило, несколькими циклами перемешивания и подстановки, называемыми «раундами». Результатом повторения «раундов» является «лавинный эффект» — нарастающая потеря соответствия битов между блоками открытых и зашифрованных данных.

Примеры симметричных алгоритмов шифрования: AES, Twofish.

Алгоритм Диффи-Хеллмана

Вся криптография, построенная даже на самых надёжных симметричных алгоритмах шифрования, имеет одну фундаментальную неразрешимую задачу — задачу первоначального обмена "секретным ключом", которым будет осуществляться симметричное шифрование данных. То есть, для того, чтобы общаться с помощью симметрично-шифрованных каналов придётся сначала встретиться где-то лично и придумать общий "секретный ключ", а потом уже с помощью этого ключа можно будет безопасно общаться друг с другом по сети, используя симметричное шифрование.

Но встречаться лично с каждым, в современном быстронесущемся мире — это физически невозможно.

Эта задача первоначального обмена секретным ключом оставалась нерешённой, пока Диффи и Хеллман не опубликовали свою статью в 1976 году.

Понять идею алгоритма Диффи-Хеллмана можно, посмотрев этот ролик:

Математическое обоснование

Математическое обоснование алгоритма Диффи-Хеллмана использует два вспомогательных тождества.

X mod y — это по определению «остаток от деления x на y». Первое тождество: (x mod y)^z mod y = x^z mod y. Это тождество можно доказать, просто разложив x = a * y + b:

((a * y + b) mod y)^z mod y = b^z mod y

X^z mod y = (a * y + b)^z mod y = b^z mod y, так как скобка разложится по биному Ньютона и все остальные слагаемые с y дадут 0 в остатке от деления на y.

Второе вспомогательное тождество — (x^y)^z = x^(yz) — основано на свойстве перемножения степеней, и легко доказывается простым разложением степени на множители: (x^y)^z = (x, перемноженное y раз), перемноженное z раз = x, перемноженное у*z раз = x^(yz).

Теперь непосредственно описание алгоритма Диффи-Хеллмана. Предположим, есть два абонента: Алиса и Боб. Они соединяются друг с другом по нешифрованному каналу и пересылают друг друга случайно взятые два числа g и p, которые не являются секретными и могут быть подсмотрены кем угодно. Для того, чтобы теперь создать неизвестный более никому секретный ключ, оба абонента генерируют большие случайные числа: Алиса — число a, Боб — число b. Затем Алиса вычисляет значение A = g^a mod p и пересылает его Бобу, а Боб вычисляет B = g^b mod p и передаёт его Алисе. Эти числа так же передаются по нешифрованному каналу, и могут быть подсмотрены кем угодно.

Далее Алиса вычисляет значение B^a mod p = (g^b mod p)^a mod p = g^(ab) mod p, а Боб — вычисляет значение A^b mod p = (g^a mod p)^b mod p = g^(ab) mod p, и это и будет их общий секретный ключ K, который можно использовать для создания симметричного шифрованного канала. Даже если злоумышленник перехватит все передаваемые числа (A, B, g, p), то при достаточно больших выбранных числах p, a и b, он не сможет за разумное время вычислить секретный ключ K по A = g^a mod p и B = g^b mod p.

Требования, предъявляемые к генерируемым числам, таковы (пояснения ниже):

P — достаточно большое простое число
(p - 1) / 2 — тоже простое число
g — первообразный корень по модулю p

(простое число — это чисто, которое не раскладывается на целые множители)

"g — первообразный корень по модулю p" означает, что при всевозможных n выражение g^n mod p образует полный набор чисел от 1 до p - 1, и поэтому (секретный) сеансовый ключ, который вычислят Алиса и Боб, может быть каким угодно: от 1 до p - 1, и подслушивающему придётся перебирать все числа от 1 до p - 1, а это по условию задачи нереально сделать за разумный срок.

Требование простоты числа p выдвинуто потому, что доказано, что для всякого простого числа p существует первообразный корень по модулю p, поэтому для сеанса связи можно выбрать любое случайное простое число.

Требование величины числа p выдвинуто затем, чтобы полный набор чисел от 1 до p - 1 был настолько огромным, чтобы подслушивающий не мог физически их все перебрать в разумный срок.

Требование "(p - 1) / 2 — тоже простое число" введено для повышения безопасности шифрования, так как существует алгоритм дискретного логарифмирования , позволяющий подслушивающему вычислить (секретный) сеансовый ключ за "полиномиальное" время (то есть, "за разумное время") при условии, что число p - 1 раскладывается на небольшие простые множители. Поэтому введено дополнительное требование, чтобы существовало такое простое число q, что p - 1 = 2q, и тогда q будет очень большим простым числом (того же порядка, что и p), и алгоритм вычисления (секретного) сеансового ключа будет выполняться так же "неразумно долго".

Обычно секретные ключи a и b имеют порядок 10^100, а число p — порядок 10^300. Число g не обязано быть большим и обычно имеет значение в пределах десяти.

Стойкость ко взлому алгоритма Диффи-Хеллмана основывается целиком и полностью на не найденности на текущее время разумно быстрого алгоритма .

Алгоритм Диффи-Хеллмана используется для установки соединения в HTTPS (SSL/TLS), VPN и во многих протоколах. В интернете есть слухи о том, что Агентство Национальной Безопасности США нашло эффективный способ взлома этого алгоритма.

Уязвимость

Открытие Диффи и Хеллмана произвело настоящую революцию в криптографии, так как единственная неразрешимая задача была, казалось бы, полностью решена. Однако выяснилось, что такой алгоритм обмена секретным ключом подвержен уязвимости «посредника» (man in the middle): злоумышленник может просто вклиниться в канал передачи данных между Алисой и Бобом и притвориться для Алисы — Бобом, а для Боба — Алисой. При такой схеме злоумышленник создаст два шифрованных канала (с каждым из абонентов), а абоненты будут думать, что есть только один шифрованный канал — между ними двумя. И злоумышленник будет видеть все данные, передаваемые между абонентами, в расшифрованном виде.

Поэтому в дополнение к алгоритму Диффи-Хеллмана требуется некий способ надёжного подтверждения личности обоих абонентов (Алиса должна удостовериться в том, что она установила соединение именно с Бобом, а Боб, в свою очередь, должен удостовериться в том, что на другом конце провода — именно Алиса). Решается эта уязвимость "алгоритмом подписи RSA" и "центрами сертификации".

Асимметричное шифрование

Асимметричным шифрованием называется схема, при которой есть два ключа: один из них «открытый» (он общедоступен), а другой — «закрытый» (он хранится в тайне его обладателем). Например, каждому человеку на Земле, можно выдать личную пару ключей: открытый и закрытый. Открытые ключи всех людей в таком случае будут общедоступны, а свой закрытый ключ каждый человек будет хранить в тайне.

Возникает вопрос: зачем нужна такая схема, и чем она лучше схемы с одним ключом. А особенна эта схема тем, что зашифровать сообщение, предназначенное условному Александру, может любой желающий, просто взяв общедоступный открытый ключ Александра, но уже расшифровать такое сообщение может только сам Александр, потому что расшифровать сообщение, зашифрованное открытым ключом, может только обладатель парного закрытого ключа.

На первый взгляд, какая-то магия. Однако, никакой магии — это просто замечательное математическое открытие.

Диффи-Хеллман для асимметричного шифрования

Алгоритм Диффи-Хеллмана можно немного изменить, и получить некое подобие асимметричного алгоритма шифрования данных (но тем не менее, Диффи-Хеллман создавался не для этого, и он не предназначен для асимметричного шифрования данных).

В этом случае Алиса и Боб не устанавливают канал связи. Вместо этого Алиса выбирает себе значения p и g, вычисляет на их основе своё A, и публикует эти три числа в открытом доступе, называя это своим "открытым ключом". Боб, на основе этих трёх чисел, в точности как в алгоритме Диффи-Хеллмана, вычисляет секретный ключ K, после чего шифрует сообщение любым симметричным алгоритмом, используя K в качестве ключа, и передает шифротекст Алисе вместе со своим значением B. Алиса же, имея B, g и p, также вычисляет секретный ключ K, и может расшифровать и прочесть сообщение, которое ей отправил Боб.

Получилось, что зашифровать сообщение, предназначенное Алисе, может любой желающий, а расшифровать такое сообщение могут только два человека — сам отправитель сообщения (который его и так знает) и получатель сообщения (Алиса).

Получилась такое подобие асимметричного шифрования данных на коленке. В реальности, конечно, лучше доверить асимметричное шифрование данных тому протоколу, который был разработан именно для этой цели. Первым таким протоколом стал RSA.

Алгоритм асимметричного шифрования RSA был изобретён в 1977-ом году тремя учёными из MIT"а. После работы над более чем 40 возможными вариантами, им удалось найти алгоритм, основанный на различии в том, насколько легко находить большие простые числа и насколько сложно раскладывать на множители произведение двух больших простых чисел.

Выбираются два больших простых числа p и q (например, по 2048 битов каждое)
Вычисляется их произведение n = p * q
Вычисляется функция Эйлера φ(n) = (p - 1)(q - 1)
Выбирается целое e (1 < e < φ(n)), взаимно простое с φ(n). Обычно в качестве e берут простые числа, содержащие небольшое количество единичных бит в двоичной записи, например, простые числа Ферма 17, 257 или 65537. Такой трюк позволяет возводить любое число в степень e очень быстро в двоичной системе исчисления (n^(2^k) = ((((n^2)^2)^2)^...)
Вычисляется число d, "мультипликативно обратное" к числу e по модулю φ(n): ed mod φ(n) = 1
Пара (e, n) — это открытый ключ, а d — это закрытый ключ

Теперь Алиса может зашифровать сообщение (число) m, предназначенное Бобу, используя открытый ключ Боба (e, n): c = m^e mod n. И только Боб теперь сможет расшифровать это сообщение m, адресованное ему Алисой: c^d mod n = (m^e mod n)^d mod n = m^(ed) mod n = m (математики говорят, что всё сходится).

Можно заметить, что схема с возведением в степень и делением по модулю здесь очень напоминает алгоритм Диффи-Хеллмана. Важное отличие состоит в том, что вся цепочка операций в алгоритме RSA сохраняет всю первоначальную информацию шифруемого сообщения m. Поэтому алгоритм RSA может использоваться для шифровки и расшифровки сообщений. Алгоритм Диффи-Хеллмана, в свою очередь, не ставит своей задачей сохранение всей исходной информации в ходе цепочки вычислений, и поэтому умеет передавать только производное значение некоего вычисления, имея которое уже можно на местах вычислить единый (сеансовый) ключ шифрования K, который уже в дальнейшем используется каким-нибудь симметричным алгоритмом шифрования для передачи непосредственно сообщений.

Стойкость ко взлому алгоритма RSA основывается целиком и полностью на не найденности на текущее время разумно быстрого алгоритма "факторизации" (разложения целого числа на простые множители).

RSA или Диффи-Хеллман

Можно зашифровать случайно выбранный ключ симметричного шифрования алгоритмом RSA, и послать его на другой конец провода, где его расшифруют, и получится защищённый канал передачи данных.

Можно использовать алгоритм Диффи-Хеллмана для обмена ключом симметричного шифрования, и получится точно такой же защищённый канал передачи данных.

По вычислительной сложности оба алгоритма сравнимы друг с другом.

Цифровая подпись (ЭЦП)

Выше был рассмотрен "алгоритм асимметричного шифрования RSA". Помимо этого алгоритма, под словом "RSA" часто также имеют ввиду другой алгоритм — "алгоритм цифровой подписи RSA", который используется не для шифрования данных, а для их подписи.

Изменим немного рассмотренную выше схему. Пусть Боб, вместо того, чтобы зашифровать сообщение m, предназначенное Алисе, открытым ключом Алисы, зашифрует это сообщение своим закрытым ключом: s(m) = m^d mod n, и отправит это зашифрованное сообщение Алисе. В этом случае Алиса, воспользовавшись открытым ключом Боба, сможет проверить подлинность полученного от него сообщения: m" = s(m)^e mod n (m" и m должны совпадать). Таким образом Алиса может удостовериться, что сообщение отправлено именно Бобом, и не подделано.

Алгоритм цифровой подписи RSA используется в протоколе TLS (он же HTTPS, он же SSL) в связке с алгоритмом обмена ключами Диффи-Хеллмана и алгоритмом симметричного шифрования (например, AES). В этой схеме Диффи-Хеллман служит для безопасного обмена секретным ключом симметричного шифрования передаваемых данных (например, AES), а алгоритм подписи RSA служит для удостоверения личности обоих абонентов во время установки соединения.

На практике, подпись большого объёма данных алгоритмом цифровой подписи RSA — медленная операция, поэтому для оптимизации вычислительных расходов "цифровую подпись" можно брать немного другим образом: сначала от сообщения берётся некий "слепок", называемый "хешем" сообщения, который по своим размерам не превышает заданного количества байтов, и затем уже этот "слепок" ("хеш") полноценно шифруется алгоритмом RSA, и это происходит быстро, т.к. "слепок" ("хеш") очень мал.

В таком случае в полученном шифротексте теряется информация исходного сообщения, и поэтому полученный "слепок" ("хеш") передают адресату вместе с текстом исходного сообщения (в открытом виде, потому что по условиям задачи нет необходимости скрывать от прослушки текст исходного сообщения, и в этом сообщении нет ничего секретного).

Далее, получатель сообщения берёт от него точно таким же способом "слепок" ("хеш"), и сравнивает свой полученный "слепок" ("хеш") с расшифрованным "слепком" ("хешем"), шифротекст которого он получил вместе с текстом сообщения. Если оба "слепка" ("хеша") совпадают — значит, с вероятностью, стремящейся ко 100%, полученное сообщение подлинное: получено именно от того отправителя, и содержит именно тот текст, который написал отправитель.

В ином случае — сразу будет засечено, что кто-то пытался подделать сообщение, и у злоумышленника не получится обмануть получателя. Таким образом, цифровая подпись обеспечивает как подлинность автора сообщения, так и целостность этого сообщения. Только сам автор сообщения может его подписать, и при этом любой желающий может проверить подлинность этой подписи.

Надёжность такой цифровой подписи таким образом зависит как от надёжности алгоритма асимметричного шифрования, так и от надёжности алгоритма взятия "слепка" ("хеша") (и ещё от достоверности открытых ключей).

Хеш — это некоторый массив данных определённой длины, полученной при пропускании исходных данных через алгоритм хеширования. Можно сравнить хеш со слепком или отпечатком информации, с той разницей, что у хеша задача противоположная: чтобы по хешу было невозможно сделать какие-либо выводы о том, какой была исходная информация. Для этого хорошие функции хеширования должны удовлетворять требованию о полной утрате всех статистических закономерностей исходного сообщения. Для этого алгоритм хеширования должен иметь «эффект лавины» — должно происходить сильное изменение хеша при 1-битном изменении входных данных (в идеале должны меняться значения половины всех бит хеша).

С помощью хеша можно проверить целостность данных: если хотя бы один бит данных был изменён (в результате какого-то сетевого сбоя, сбоя дискового хранилища или намеренно злоумышленником), то хеш, взятый от изменённых данных, будет уже совсем другим, и таким образом сразу можно узнать, что данные либо случайно испорчены, либо кто-то пытался их подменить.

Примеры алгоритмов хеширования: SHA, Twofish, Whirlpool.

Сертификаты

Когда Алиса соединяется с кем-то по асимметрично шифрованному каналу, ей нужно каким-то образом быть полностью уверенной в том, что вторая сторона — именно та, за какую себя выдаёт. То есть, если Алиса соединяется с Бобом, то ей нужно каким-то образом по открытому ключу, полученному в ответ (от якобы Боба), быть полностью уверенной в том, что этот открытый ключ принадлежит именно Бобу (что он подлинный).

Такую возможность предоставляет электронная подпись. Есть некое авторитетное лицо, которому все доверяют, и чей открытый ключ у всех где-то изначально записан, и этот записанный ключ точно 100% подлинный и не подвергается сомнению. И далее уже это авторитетное лицо выдаёт «сертификаты» всем желающим, подписывая эти «сертификаты» своим закрытым ключом. Авторитетному лицу все доверяют в том смысле, что оно идеально честное (не обманет), и хранит свой закрытый ключ в идеальной защищённости (и поэтому он не может быть выкран злоумышленниками для подписывания своих "левых" сертификатов).

Выдаваемый абоненту (и подписанный авторитетным лицом) сертификат (X.509) содержит в себе открытый ключ абонента и подробные данные об абоненте (владельце этого открытого ключа): кто этот абонент такой, его адрес электронной почты, когда ключ создан, для какого алгоритма предназначен ключ, когда истекает срок действия ключа и т.д.). Наряду с подписанным сертификатом, абонент получает в пару свой "закрытый ключ", который он будет использовать для электронной подписи и шифрования передаваемых данных.

Авторитетные лица в этой системе называются «доверенными центрами сертификации» («удостоверяющими центрами»). Таких доверенных центров на данное время около 60-ти, и их открытые ключи вшиты во все современные операционные системы и обозреватели интернета (для проверки подлинности электронной подписи сертификатов, получаемых при соединении с сайтами).

Например, когда пользователь соединяется с сайтом https://google.com ("по SSL", он же "TLS"), в ответ ему приходит сертификат ("SSL сертификат"), подписанный каким-либо «доверенным центром сертификации», и полученный сертификат сразу можно проверить на подлинность, проверив его цифровую подпись (обозреватель делает это автоматически). В случае, если сертификат подлинный, и "домен" (google.com), указанный в сертификате, совпадает с тем "доменом" (адресом), на который пользователь пытается зайти, то всё верно, и обозреватель показывает пользователю эту интернет страницу (и в адресной строке появляется значок "защищённого подключения"; обычно это зелёный замок). Если же сертификат не проходит проверку подписи, или если "домен", указанный в сертификате, не совпадает с тем "доменом" (адресом), на который пользователь пытается зайти, то обозреватель не покажет эту интернет страницу, и вместо неё выведет предупреждение о том, что подключение может быть небезопасным, и что возможно злоумышленники пытаются обмануть пользователя.

Поэтому в случае хождения по интернету пользователь обезопасен настолько, насколько подлинными являются его обозреватель интернета и его операционная система: для обхода этой защиты злоумышленнику придётся либо обманом заставить пользователя установить себе в систему обозреватель, в котором либо выключена функциональность подтверждения сайтов (или в который вшит "левый" якобы доверенный сертификат), либо несанкционированно установить в операционной системе пользователя свой "левый" якобы доверенный сертификат.

Стать доверенным центром может любая компания, однако для этого ей придётся ежегодно проходить строгие проверки на безопасность (WebTrust). Основные участники рынка сертификации на ноябрь 2012-ого:

Symantec (владеющая VeriSign"ом, Thawte и Geotrust"ом) с долей в 42.9% рынка
Comodo с долей в 26%
GoDaddy с долей в 14%
GlobalSign с долей в 7.7%

Самым первым центром сертификации была «RSA Data Security», основанная изобретателями алгоритма RSA (хорошо заработали, наверное).

Для того, чтобы получить сертификат для своего сайта ("домена"), требуется пройти скурпулёзную проверку в центре сертификации на предмет того, действительно ли вы являетесь настоящим владельцем этого сайта ("домена").

Если злоумышленникам удастся завладеть вашим закрытым ключом, то ваш сертификат более не сможет обеспечивать вашу подлинность при установке соединения, и об этом следует уведомить организацию, выдавшую вам сертификат. После уведомления, сертификат будет помещён в список недействительных сертификатов (Certificate Revocation Lists, Authority Revocation Lists). Далее обозреватели каждый раз при соединении с сайтом по протоколу HTTPS делают запрос по протоколу Online Certificate Status Protocol для проверки того, не находится ли этот сертификат в списке недействительных сертификатов. Если обнаружится, что этот сертификат более недействителен, то соединение не будет установлено.

Hash-based Message Authentication Code — способ цифровой подписи сообщения "для бедных": не требует наличия сертификатов и интенсивных вычислений. Может использоваться в каких-то простейших случаях, когда использование ЭЦП не целесообразно.

При этом подходе так же вместе с сообщением передаётся "слепок" ("хеш") этого сообщения, который потом проверяется принимающей стороной. В отличие от асимметричного шифрования здесь используется симметричное шифрование, то есть обе стороны заранее знают некий секретный пароль s.

Текст сообщения m смешивается с паролем s по схеме, которую концептуально можно выразить как hash(s + hash(s + m)). При таком подходе достигается наилучшая (на текущее время) криптостойкость подписи.

Шифрование на эллиптических кривых

Через несколько лет после того, как появились на свет алгоритмы Диффи-Хеллмана и RSA, работающие над пространством целых чисел, математики предложили альтернативное пространство чисел для шифрования — эллиптические кривые .

Эллиптической кривой (не имеет никакого отношения к "эллипсу") называется множество всех (точек кривой) решений уравнения:

y^2 + a xy + c y = x^3 + b x^2 + d x + f

Например, для пространства всех действительных (вещественных) x и y можно ввести операцию сложения точек на эллиптической кривой, согласно которой для любых двух точек эллиптической кривой P и Q существует единственная точка R", которую можно найти, проведя через точки P и Q прямую, и отметив точку R" пересечения этой прямой с эллиптической кривой. Также вводится "точка в бесконечности 0", такая, что P + Q + R" = 0. Точка R, симметричная точке R" относительно оси Ox, и будет искомой суммой P + Q.

Введя подобные операции сложения и умножения точек эллиптической кривой, можно получать конечные подмножества точек, лежащих на этой кривой, которые будут образовывать "конечные поля" . В криптографии на эллиптических кривых используются два таких конечных поля: "простые поля нечётной характеристики" и "поля характеристики 2", что бы это ни означало.

Соответственно, поскольку определены операции сложения и умножения, то, как и в случае с обычным пространством целых чисел, можно найти такие алгебраические операции, которые легко производить в одну сторону (как, например, перемножение двух больших простых чисел в алгоритме RSA) и невероятно сложно производить в обратную сторону (как, например, разложение большого числа на произведение двух простых чисел в алгоритме RSA). И используя такие алгебраические операции можно построить полные аналоги уже существующих алгоритмов асимметричного шифрования (RSA, Диффи-Хеллман), но уже исключительно на эллиптических кривых.

Зачем с этим заморочились: на эллиптических кривых пока ещё не нашли алгоритмов "дискретного логарифмирования" (с помощью которых можно взломать шифрование), которые давали бы решение менее чем за "экспоненциальное" время. Поэтому в случае с алгоритмами шифрования на эллиптических кривых можно безопасно использовать ключи шифрования гораздо меньшей длины, чем на тех же самых алгоритмах на пространстве целых чисел, что даёт большую экономию вычислительных ресурсов.

Tor — это способ анонимного доступа к сетевым ресурсам. Можно ходить анонимно в интернет, можно также ходить по ".onion" сайтам, которые анонимно хостятся и доступны только внутри сети Tor"а.

Распространяется Tor в связке с обозревателем Mozilla Firefox, который можно скачать с официального сайта и установить в операционной системе, после чего вся работа через этот "Tor браузер" будет анонимной (по этой причине не следует пользоваться Tor браузером для раскрытия своей настоящей личности: не следует входить через него в свои настоящие учётные записи в социальных сетях, проверять свою настоящую почту и т.п. — оставляйте своё настоящее Я за пределами Tor браузера).

Способ достижения анонимности Tor"а таков. Пользователь устанавливает соединение с Tor сетью, и после этого набирает себе цепочку из трёх случайных промежуточных узлов (называемых "нодами"). Цепочка набирается таким образом, что второй узел выбирается уже после установки соединения с первым выбранным узлом, поэтому дальше первого (входного) узла цепочки настоящий IP-адрес пользователя не просачивается. При этом первый (входной) узел цепочки не имеет никакой возможности определить, что он является именно первым (входным): для него пользователь выглядит точно так же, как и любой другой узел сети Tor"а. Поэтому только последний (выходной) узел цепочки знает, что он выходной, а все остальные узлы цепочки — ничего не знают о своём положении в этой цепочке (за исключением того, что они не являются выходными).

По мере набора цепочки, пользователь и каждый новый узел цепочки генерируют секретный ключ по алгоритму Диффи-Хеллмана. Этот ключ будет использоваться в дальнейшем для симметричного шифрования/расшифровки данных по алгоритму AES на этом узле цепочки. После того, как туннель построен, у пользователя с каждым из узлов цепочки имеется свой секретный ключ симметричного шифрования/расшифровки трафика, который далее я буду называть просто "ключом".

При отправке данных через туннель, пользователь шифрует свой исходящий сетевой трафик три раза: сначала трафик шифруется ключом третьего (выходного) узла цепочки, потом всё это шифруется ключом второго (среднего) узла цепочки, и затем всё это снова шифруется ключом первого (входного) узла цепочки.

Получается подобие луковицы, или матрёшки, когда сердцевина (трафик) обёрнута в несколько слоёв шифрования. Поэтому Tor называют "луковицей" или "луковичной маршрутизацией".

Когда трафик попадает на первый (входной) узел цепочки, этот узел снимает свой (наружный) слой шифрования — расшифровывает полученные данные с помощью своего ключа. Полученные расшифрованные данные всё ещё зашифрованы двумя другими слоями шифрования, которые этот первый (входной) узел цепочки расшифровать не может, так как у него нет соответствующих ключей.

Даже если первый (входной) узел цепочки смог установить личность пользователя по его настоящему IP-адресу, то у этого узла нет никакой возможности узнать ни какие данные пользователь передаёт в сеть, ни на какой адрес в интернете пользователь заходит. К тому же, поскольку с точки зрения любого узла сети Tor нет никакого способа определить, кто с ним соединяется — пользователь или другой такой же узел — то в этом случае первый (входной) узел сам не может знать, что он является первым (входным) узлом, и что это именно данный пользователь заходит на какой-то веб сайт, а не просто его машина выполняет роль такого же обычного узла цепочки для передачи данных какого-то совсем другого пользователя.

Далее, первый (входной) узел цепочки отправляет данные, с которых снят первый слой шифрования, на второй (средний) узел цепочки. Второй (средний) узел цепочки так же снимает свой слой шифрования с трафика, но до сих пор не знает, что там внутри, и теперь уже не знает настоящего IP-адреса пользователя.

Далее, второй (средний) узел цепочки отправляет данные, с которых снят второй слой шифрования, на последний третий (выходной) узел цепочки. Третий (выходной) узел цепочки полностью расшифровывает трафик, снимая с него последний слой шифрования, и направляет этот трафик на нужный сетевой адрес (в интернете или внутри.onion сети). Получается, что третий (выходной) узел, который ещё называется "exit node", может полностью прослушивать трафик, и видит все данные, которые передаются, но при этом он ничего не знает о настоящем IP-адресе пользователя, поэтому не имеет возможности отследить поток трафика обратно к пользователю.

При получении ответа от сайта (в интернете или в.onion сети) весь процесс идёт в обратном направлении: полученный ответ идёт обратно по узлам цепочки, на каждом шаге оборачиваясь слоем шифрования текущего узла. Когда пользователь получает свой ответ от первого (входного) узла, то этот ответ обёрнут теми же самыми слоями шифрования, как и при отправке сообщения, в том же порядке. Пользователь, имея нужные ключи, снимает поочерёдно все слои шифрования с полученного ответа, и видит те данные, которые он запрашивал (из интернета или из.onion сети).

Для повышения безопасности пользователя Tor периодически полностью меняет цепочку узлов (раз в десять минут, если нет активных соединений). Также Tor старается сделать так, чтобы узлы цепочки находились в разных странах, таким образом затрудняя полиции доступ к этим узлам (разные юрисдикции разных стран, бюрократические согласования и т.п.).

Стать узлом ("node") может любой желающий энтузиаст, увеличивая таким образом скорость работы и качество всей сети Tor. Узел может выполнять работу как просто "relay node" (промежуточного узла), так и "exit node" (выходного узла, который непосредственно взаимодействует с интернетом, и за это теоретически могут посадить , как за соучастие в преступлении). На текущее время в сети Tor имеется около 7 000 узлов , 1 000 из которых являются выходными ("exit node").

Для тех, кто хочет закопаться глубоко, есть .

Изначально, концепция "луковой маршрутизации" была придумана в 90-ых годах в лаборатории ВМФ США для обеспечения безопасности сотрудников разведки США, передающих разведданные по интернету. DARPA, явившая миру интернет, тоже впоследствии приложила руку. В начале 2000-ных появилась первая рабочая версия Tor"а, и через пару лет ВМФ США отдали Tor в Open Source, и с тех пор Tor спонсируется всеми желающими как некоммерческая организация (основная часть пожертвований, тем не менее, продолжает идти со стороны правительственных структур США).

Tor через VPN

Те пользователи, которые опасаются случайно попасть на такую цепочку промежуточных узлов, каждый из которых запущен полицией (что дало бы полиции возможность видеть весь трафик в расшифрованном виде, а также узнать настоящий IP-адрес пользователя), могут ходить в Tor сеть через VPN. В таком случае всё, что сможет сделать полиция — это видеть весь трафик и узнать IP-адрес VPN сервера. Если VPN сервис подпадает под юрисдикцию полиции (большинство стран), то он обязан по закону хранить информацию о том, кто и когда к нему подключался, и на какие сайты заходил. Если же VPN сервис расположен в одной из немногих стран, где по каким-то причинам не приняты жёсткие законы о содействии следствию, то такой VPN сервис не обязан (и не будет) хранить информацию о том, кто и когда к нему подключался, и на какие сайты заходил. Более того, полиция может просто не иметь возможности по закону чего-то потребовать от такого VPN сервиса, не сможет установить там свою прослушку и т.п..

Tor hidden services (.onion сайты)

Любой желающий может запустить свой web-сайт в сети Tor. Такие web-сайты называются "скрытыми сервисами" (hidden service) , по той причине, что владелец web-сайта остаётся анонимным (другими словами, теоретически нет возможности узнать настоящий IP-адрес машины, на которой запущен данный web-сайт; гипотетически можно попробовать как-нибудь угадать, анализируя потоки трафика, но это уже вопрос к специалистам по этой теме).

Работает это так: машина, на которой запущен web-сайт, периодически соединяется со случайно выбранными узлами (introduction points) через случайные цепочки промежуточных узлов, и передаёт этим узлам (introduction points) открытый ключ данного web-сайта. Таким образом web-сайт заявляет о своём существовании в сети Tor, и далее всё взаимодействие пользователей с этим web-сайтом можно просто пустить через эти временные узлы (introduction points) по построенным временным цепочкам, и никто не сможет узнать ничьего настоящего IP-адреса.

Как пользователи узнают о существовании web-сайта, и о том, через какие временные узлы (introduction points) можно попасть на этот сайт? В сети Tor запущена распределённая база данных (Distributed Hash Table) , то есть такая общая база данных, которая равномерно размазана по всем узлам сети Tor. В этой базе данных Tor браузер и будет искать, существует ли в сети Tor запрошенный пользователем web-сайт, и если существует, то через какие временные узлы на этот сайт можно попасть.

Кто кладёт эту информацию в распределённую базу данных? Сам этот web-сайт: после того, как он заявил о своём существовании, и соединился со временными узлами, он составляет список этих узлов, и кладёт его в распределённую базу данных, подписав этот список своим закрытым ключом, и приложив рядом свой открытый ключ (для проверки подписи пользователями).

В описанную выше схему добавляют ещё немного безопасности, вводя отдельный тип узлов (rendezvous points) для пересылки трафика на web-сайт и получения трафика с web-сайта. Эти узлы трафика (rendezvous points), в отличие от временных узлов (introduction points), ничего не знают о том, к какому именно web-сайту относится перегоняемый трафик, тем самым внося ещё немного анонимности и защищённости (как пользователей, так и владельцев web-сайтов).

Узел трафика выбирается пользователем случайно, и информация об этом выбранном узле трафика (зашифрованная открытым ключом web-сайта, с добавлением случайно сгенерированного "пароля") пересылается через временные узлы (introduction points) web-сайту. Далее пользователь и web-сайт устанавливают соединение (стандартную цепочку Tor) с этим узлом трафика, и уже потом через него пересылают друг-другу трафик (после проверки пользователем того самого случайно сгенерированного "пароля", отправляемого web-сайтом обратно пользователю — в подтверждение того, что это именно тот web-сайт, а не подделка, потому что расшифровать ранее отправленный пользователем "пароль" может только сам этот web-сайт). В итоге получается объединённая цепочка из 3 + 3 = 6 узлов.

Можно обратить внимание на то, что у web-сайтов.onion "некрасивые" и странные адреса. Сделано это, как и всё другое в сети Tor, для безопасности пользователя. Для того, чтобы получить DNS имя для сайта, нужно сгенерировать себе пару из открытого и закрытого ключа, и дальше с помощью открытого ключа подписать название сайта. Например, можно взять слово "facebook", подписать его своим открытым ключом, и получится доменное имя "facebookcorewwwi.onion", где "corewwwi" — это подпись слова "facebook" открытым ключом данного сайта.

Таким образом, любой посетитель сайта, устанавливающий соединение с сайтом "facebookcorewwwi.onion", при получении открытого ключа сайта в ходе установки соединения сможет самостоятельно убедиться в том, что этот сайт — действительно тот самый, "настоящий", не поддельный, и соответствует именно этому.onion адресу. Поэтому для.onion сайтов в сети Tor нет необходимости в каком-то Едином Центре Сертификации (как делается в обычном интернете для сертификатов SSL), что входило бы в противоречие с изначальным замыслом сети Tor — децентрализация и безопасность.

I2p ("айтупи") — это анонимная сеть, чем-то похожая на Tor. Если основной задачей Tor"а является предоставление анонимного доступа в интернет, то основной задачей i2p является построение полностью независимой от интернета распределённой анонимной сети со своими "скрытыми" сайтами.

Считается, что уровень анонимности в сети i2p выше уровня анонимности в сети Tor.

Существуют две методологии криптографической обработки информации с использованием ключей – симметричная и асимметричная.

Симметричная (секретная) методология, гдеи для шифрования, и для расшифровки, отправителем и получателем применяется один и тот же ключ, об использовании которого они договорились до начала взаимодействия (риc. 2.1). Если ключ не был скомпрометирован, то при расшифровании автоматически выполняется аутентификация отправителя, так как только отправитель имеет ключ, с помощью которого можно зашифровать информацию, и только получатель имеет ключ, с помощью которого можно расшифровать информацию. Так как отправитель и получатель – единственные люди, которые знают этот симметричный ключ, при компрометации ключа будет скомпрометировано только взаимодействие этих двух пользователей.

Рис. 2.1

Алгоритмы симметричного шифрования используют ключи не очень большой длины и могут быстро шифровать большие объемы данных.

Доступными сегодня средствами, в которых используется симметричная методология, являются, например, сети банкоматов. Эти системы являются оригинальными разработками владеющих ими банков и не продаются.

Из симметричных алгоритмов шифрования широкое использование получил алгоритм шифрования DES (изобретенный фирмой IBM), который рекомендован в открытых секторах экономики США. Этот алгоритм был изначально обречен на лимитированную продолжительность жизни вследствие ограничения длинны ключа до 56 битов.

В начале 1997 г. алгоритму DES, имеющему ключ в 56 бит, был брошен вызов. 17 июня 1997 г., через 140 дней ключ был расшифрован. Это означало фактическую смерть DES как стандарта шифрования. И действительно, когда в начале 1998 г., следующее соревнование по нахождению ключа DES привело к успеху всего за 39 дней, национальный институт стандартов США (NIST) объявил конкурс на утверждение нового стандарта AES (Advanced Encryption Standard). AES стал полностью открытым симметричным алгоритмом с ключом размером 128, 192, 256 бит.

Положение усугубляется тем, что по законодательству США к экспорту в качестве программных продуктов разрешены системы шифрования с ключом не более 128 бит. То есть, покупая шифросистему с ключом 1024 или 2048 и более бит, надо знать, что при смене ключа активной (изменяющейся) частью будет часть ключа в 128 бит. Симметричные системы шифрования имеют один общий недостаток, состоящий в сложности рассылки ключей. При перехвате ключа третьей стороной такая система криптозащиты будет скомпроментирована. Так при замене ключа его надо конфиденциально переправить участникам процедур шифрования. Очевидно, что этот метод не годится в том случае, когда нужно установить защищенные соединения с тысячами и более абонентов Интернет. Основная проблема состоит в том, как сгенерировать и безопасно передать ключи участникам взаимодействия. Как установить безопасный канал передачи информации между участниками взаимодействия для передачи ключей по незащищенным каналам связи? Отсутствие безопасного метода обмена ключами ограничивает распространение симметричной методики шифрования в Интернет.

Эту проблему постарались разрешить, разработав асимметричную (открытую) методологию шифрования. Она шифрует документ одним ключом, а расшифровывает другим. Каждый из участников передачи информации самостоятельно генерирует два случайных числа (секретный и открытый ключи).

Открытый ключ передается по открытым каналам связи другому участнику процесса криптозащиты, но секретный ключ хранится в секрете.

Отправитель шифрует сообщение открытым ключом получателя , а расшифровать его может только владелец секретного ключа (рис. 2.2).

Рис. 2.2

Открытый ключ не нужно прятать. Неважно кому известен данный ключ, поскольку он предназначен только для шифрования данных. Этот метод пригоден для широкого применения. Если присвоить каждому пользователю в Интернет свою пару ключей и опубликовать открытые ключи как номера в телефонной книге, то практически все смогут обмениваться друг с другом шифрованными сообщениями. Это похоже на коробку с двумя дверцами с разных сторон. Каждая такая дверца имеет свой замок. В коробку кладут документ, запирают, отпирают с другой стороны ключом получателя. При этом используется теория простых чисел. Такой алгоритм криптографической защиты получил название RSA.

Все асимметричные криптосистемы являются объектом атак путем прямого перебора ключей, и поэтому в них должны использоваться гораздо более длинные ключи, чем те, которые используются в симметричных криптосистемах, для обеспечения эквивалентного уровня защиты. Это сразу же сказывается на вычислительных ресурсах, требуемых для шифрования. RSA превратился в промышленный стандарт алгоритма с асимметричными ключами, используемый в бизнесе для цифровой подписи и шифрования.

Симметричные и асимметричные системы шифрования имеют каждая свои достоинства и недостатки. Недостатки симметричной системы шифрования заключаются в сложности замены скомпрометированного ключа, а недостатки асимметричной системы – в относительно низкой скорости работы. По криптостойкости длине ключа в 128 бит симметричной системы соответствует ключ в 2304 бита асимметричной.

В настоящее время распространение получили системы шифрования, использующие комбинированный алгоритм, позволяющий при высокой скорости шифрования, присущей AES использовать открытую пересылку ключей шифрования (как в RSA).

Для того чтобы избежать низкой скорости алгоритмов асимметричного шифрования, генерируется временный симметричный ключ для каждого сообщения. Сообщение шифруется с использованием этого временного симметричного сеансового ключа. Затем этот сеансовый ключ шифруется с помощью открытого асимметричного ключа получателя и асимметричного алгоритма шифрования. Поскольку сеансовый ключ гораздо короче самого сообщения время его шифрования будет сравнительно небольшим. После этого этот зашифрованный сеансовый ключ вместе с зашифрованным сообщением передается получателю (рис. 2.3).

Рис. 2.3

Получатель использует тот же самый асимметричный алгоритм шифрования и свой секретный ключ для расшифровки сеансового ключа, а полученный сеансовый ключ используется для расшифровки самого сообщения (рис. 2.4).

Рис. 2.4

Криптографические системы с открытым ключом в настоящее время широко применяются в различных сетевых протоколах, в частности, в протоколах TLS и его предшественнике SSL (лежащих в основе HTTPS), в SSH. Также используется в PGP, S/MIME.