ЧАСТЬ IV. ОСНОВНЫЕ АСПЕКТЫ ЗАЩИТЫ ДАННЫХ

В этой части книги собран материал, относящийся к обеспечению безопасности данных. Следующие четыре главы рассказывают о приемах и ошибках в обеспечении секретности, о возможных подходах к реализации систем управления цифровыми правами и применении стеганографии для зашиты данных. Также приводится анализ причин появления ненадежных средств защиты.

Глава 15. Обеспечение секретности

Практически всегда под защитой данных понимается наложение ограничений на доступ к информации. Эти ограничения, как правило, бывают трех типов:

Пользователь может взаимодействовать с данными двумя основными способами: локально и удаленно. При удаленном (сетевом) доступе пользователь сначала проходит процедуры идентификации и аутентификации, а потом запрашивает у сервера необходимую ему информацию. Сервер выполняет все необходимые проверки и принимает решение либо о предоставлении доступа, либо об отказе. Для зашиты удаленных данных разработаны формальные модели разграничения доступа, описание которых можно найти в любом хорошем учебнике по сетевой безопасности.

Мы же будем рассматривать ситуации, когда все проверки реализуются локально. То есть пользователь (или противник) теоретически может полностью контролировать все шаги, которые та или иная программа выполняет для получения доступа к данным.

В условиях локальности проверок ограничивать, например, период доступа гораздо сложнее, чем при выполнении контроля на сервере. Но для простого обеспечения секретности, по идее, нет никаких препятствий — достаточно спросить у пользователя пароль или получить от него какую-то другую аутентифицирующую информацию, при помощи хорошей хэш-функции вычислить ключ шифрования и зашифровать на нем защищаемые данные при помощи стойкого криптографического алгоритма. Однако в практических реализациях этой простейшей последовательности действий разработчики ухитряются допускать самые разнообразные ошибки, значительно снижающие уровень защищенности информации, а иногда и вовсе сводят его к нулю.

Защита данных может осуществляться в совершенно разных условиях, и, соответственно, в каждом случае необходимо использовать свои приемы защиты.

15.1. Архивация с шифрованием

Многие современные программы упаковки данных (архиваторы) имеют встроенную поддержку шифрования. Если пользователь пожелает защитить от чужих глаз информацию, находящуюся в архиве, ему надо при упаковке ввести пароль, а архиватор сам выполнит все остальные действия. При попытке извлечения зашифрованного файла архиватор запросит у пользователя пароль и распакует файл только в том случае, если пароль верен.

Стоит отметить, что зашифрование всегда выполняется после компрессии, т. к. зашифрованные данные должны быть неотличимы от случайной последовательности, и, следовательно, архиватор не сможет найти в них избыточность, за счет удаления которой и происходит упаковка.

15.1.1. ZIP

Свойства алгоритма шифрования, использованного в архивном формате ZIP, уже многократно обсуждались в этой книге.

Не повторяя детали, вспомним, что алгоритм шифрования уязвим к атаке на основе открытого текста и достаточно знать 12 незашифрованных байт (после компрессии), чтобы расшифровать весь файл за приемлемое время.

Для архивов, содержащих 5 и более файлов и созданных архиваторами, основанными на библиотеке InfoZIP, возможна атака, использующая в качестве открытого текста данные из заголовков зашифрованных файлов. Этой атаке были подвержены файлы, созданные при помощи WinZIP, но в последних версиях этого архиватора проблема была исправлена.

Еще в июле 2002 года компания PKWARE, Inc. выпустила версию архиватора PKZIP, поддерживающего более стойкие алгоритмы шифрования. Но, видимо, по той причине, что PK.ZIP позиционируется как продукт для корпоративных пользователей, новое шифрование не получило широкого распространения.

15.1.2. ARJ

Популярный во времена DOS, но довольно редко используемый в настоящее время архиватор, разработанный Робертом Янгом (Robert Jung), использовал следующий алгоритм шифрования.

Из пароля по очень простому обратимому алгоритму получалась гамма, равная по длине паролю. Эта гамма накладывалась на шифруемые данные путем сложения по модулю 2 (операция XOR). Таким образом, наличие открытого текста, равного по длине паролю, позволяло моментально определить гамму и использованный пароль.

Более того, в самом начале упакованных данных содержалась информация компрессора, такая как таблицы Хаффмана (Huffman tables), и часть этой информации могла быть предсказана, что позволяло значительно повысить скорость поиска пароля перебором.

Начиная с версии 2.60 (ноябрь 1997 года) ARJ поддерживает шифрование по алгоритму ГОСТ 28147-89 (см. разд. 6.1).

15.1.3. RAR

Архиватор, разработанный Евгением Рошалем (Eugene Roshal), является неплохим примером того, как можно подходить к шифрованию данных.

В алгоритме шифрования, используемом в RAR версии 1.5, есть некоторые недочеты. Так эффективная длина ключа шифрования составляет всего 64 бита, т. е. перебором 264 вариантов ключа можно гарантированно расшифровать пароль. Более того, наличие открытого текста позволяет уменьшить множество перебираемых вариантов до 240. Следовательно, атака может быть успешно выполнена даже на одном компьютере. Скорость перебора на компьютере с процессором Intel Pentium III 333 МГц составляет примерно 600 000 паролей в секунду.

При переходе к версии 2.0, видимо, была проведена серьезная работа над ошибками. Во всяком случае, взлом нового алгоритма шифрования перебором требует примерно 21023 операций, что намного больше, чем может быть выполнено на современной технике. Об эффективных атаках, использующих открытый текст, ничего не известно. Скорость перебора паролей снизилась примерно до 2000 штук в секунду (в 300 раз).

Но разработчики RAR решили не останавливаться на достигнутом. В версии 3.0, появившейся в мае 2002 года, для шифрования стал использоваться алгоритм AES (Rijndael) с ключом длиной 128 бит. Такое решение выглядит вполне разумным как минимум по двум причинам. Во-первых, безопаснее использовать проверенный и хорошо зарекомендовавший себя алгоритм, чем нечто самодельное, и у AES здесь нет конкурентов. А во-вторых, у AES скорость шифрования выше, чем у алгоритма, использованного в RAR 2.O.

Кроме замены алгоритма шифрования, в RAR 3.0 используется и другая процедура получения ключа шифрования из пароля. Эта процедура требует вычисления хэш-функции SHA1 262 144 раза, что позволяет перебирать около 3-х паролей в секунду, т. е. в 600 раз меньше, чем для RAR 2.O.