Криптодиски

Криптодиски

С помощью криптодисков можно защитить финансовую информацию в случае кражи (или конфискации) компьютера или жесткого диска, на котором размещена база данных.

Существует множество программ для создания криптодисков. Принцип работы всех этих программ одинаков и очень прост: они создают логический диск, с которым вы сможете работать, как с любым другим диском. Физически же диск представляет собой файл с произвольным именем. Причем этот файл-диск вы сможете перенести и открыть на любом другом компьютере после установки на него программы, создавшей криптодиск. Таким образом, файл является шифрованным образом диска, или, как его еще называют, контейнером. Когда данные считываются с такого диска, программа автоматически дешифрует их перед загрузкой в память. Когда данные вновь записываются на диск, они автоматически зашифровываются. Другими словами, процесс шифрования-дешифрования происходит «на лету» целиком «прозрачно» для пользователя и для прикладных программ, которые запускаются или загружают файлы с шифрованного диска. Это значит, что пользователю в процессе работы не нужно выполнять какие-либо специфические операции шифрования-дешифрования.

Для шифрования используются проверенные временем алгоритмы с открытыми исходными текстами, что обеспечивает надежность защиты. Получить доступ к защищенной информации не смогут ни хакеры, ни спецслужбы. Для защиты вы можете использовать пароль, файл-ключ или электронный USB-ключ. Возможна произвольная комбинация этих методов, например, использование файл-ключа и пароля. Такая комбинация повышает степень защиты, поскольку владение только одним элементом - файл-ключом или паролем не дает доступа к информации. Файл-ключ можно записать на дискету и носить с собой. Но следует быть осторожным: при потере файл-ключа или пароля никто, включая разработчиков программы, не сможет гарантированно восстановить ваши данные.

Основыкриптографиииразличныекриптоалгоритмы

Вкриптографии исходная информация называется открытым текстом. Чтобы скрыть смысл такого текста от посторонних, используется специальный процесс маскировки, называемый шифрованием. Шифрованная информация, в отличие от открытого текста, называется шифртекстом. Процедура обратного преобразования шифртекста в открытый текст называется

дешифрованием.

Для шифрования и дешифрования информации используется криптографический алгоритм, называемый также шифром, представляющий собой математическую функцию. Обычно используются две связанные функции: одна для шифрования, а другая - для дешифрования.

Вбольшинстве случаев информация зашифровывается и расшифровывается при помощи ключа, который может быть любым значением, выбранным из большого множества. Существуют два основных вида алгоритмов, основанных на использовании ключей: симметричные и асимметричные или, как их чаще называют, алгоритмы с открытым ключом.

Всимметричных алгоритмах ключи шифрования и дешифрования либо одинаковы, либо ключ дешифрования может быть вычислен из ключа шифрования и наоборот. Такие алгоритмы называются также алгоритмами с секретным ключом. В случае шифрования сообщения, отправляемого по электронной почте, необходимо, чтобы отправитель и получатель перед началом передачи конфиденциальных сообщений согласовали используемый ключ, передав его по надежному каналу, то есть так, чтобы он не стал доступен посторонним лицам. При отсутствии надежного канала передачи ключа использовать симметричное шифрование невозможно. Защита, которую обеспечивают симметричные алгоритмы, определяется ключом. Если ключ будет раскрыт, то зашифровывать и расшифровывать сообщения сможет любой злоумышленник, владеющий ключом. До тех пор, пока ключ хранится в секрете, передаваемая информация остается тайной.

Васимметричных алгоритмах ключ, используемый для дешифрования, отличается от ключа

1

шифрования, и один ключ не может быть вычислен из другого. Такие алгоритмы называются также алгоритмами с открытым ключом, так как ключ шифрования может быть открытым. Это значит, что кто угодно может воспользоваться этим ключом для шифрования сообщения. Но расшифровать сообщение сможет только человек, знающий ключ дешифрования. В таких алгоритмах ключ шифрования часто называют открытым ключом, а ключ дешифрования - закрытым ключом. Зашифровать данные можно не только открытым, но и закрытым ключом. Тогда расшифровать их нужно открытым ключом из той же пары. При использовании алгоритма шифрования с открытым ключом надежный канал для передачи открытого ключа не требуется. Ключ можно передавать по ненадежному каналу.

Перечисленные алгоритмы шифрования использовались еще задолго до появления компьютерной криптографии.

В криптографии считается аксиомой, что алгоритм шифрования может считаться безопасным только в том случае, если он не засекречен. Секретным должен быть ключ, но не алгоритм. Только опубликованные исходные алгоритмы и тексты программ могут считаться надежными и безопасными, если при этом программа долгое время находится в эксплуатации и выдержала многочисленные попытки взлома разработчиками аналогичных криптографических программ. Как уже указывалось, криптодиск представляет собой файл, в котором хранится шифрованный образ диска. Для кодирования данных на защищенном диске используются различные алгоритмы шифрования: Triple DES, AES, Blowfish, Blowfish-448, SAFER, CAST-128, GOST28147-89, Twofish, Rijndael.

Для шифрования весь исходный текст разбивается на блоки, длиной 64, 128, 192 или 256 бит. На вход алгоритма поступает блок открытого текста, а на выходе получается блок шифртекста такой же длины. Исходный текст зашифровывается с помощью ключа, который может быть длиной 64, 128, 192, 256, 448 и даже 1344 бит. Надежность шифрования всецело определяется длиной ключа.

DES (Data Encryption Standard - Стандарт шифрования данных) - симметричный алгоритм, в котором для шифрования и дешифрования используется единый ключ размером 56 бит. Это - самый распространенный компьютерный алгоритм, принятый в качестве американского и международного стандарта. По некоторым причинам этот стандарт устарел, и в 2001 году был принят новый стандарт AES (Advanced Encryption Standard - Улучшенный стандарт шифрования).

Blowfish - алгоритм, разработанный Брюсом Шнайером. Алгоритм специально оптимизирован для 32-битных процессоров, таких, как Pentium. Считается достаточно надежным и быстрым. При его использовании опасаться нужно лишь солидной спецслужбы, имеющей высокоскоростной вычислительный комплекс и огромный период времени для криптоатаки.

CAST-128 - относительно новый высокопроизводительный симметричный алгоритм, разработанный канадской компанией ENTRUST. Производительность этого алгоритма в несколько раз выше, чем у остальных, однако в настоящее время его криптостойкость исследована недостаточно хорошо. По мнению ряда экспертов, через некоторое время этот алгоритм станет одним из наиболее распространенных алгоритмов кодирования в мире.

GOST28147-89 - криптоалгоритм, разработанный в России. Алгоритмически близок к DES.

Rijndael - алгоритм, разработанный Риджмэном и Дэимоном. Этот алгоритм выбран Национальным институтом стандартов и технологий (NIST) в числе пяти алгоритмов расширенного стандарта шифрования (AES), заменившего устаревший DES. Алгоритм использует переменный размер блока и длину ключа. Авторы определили способы использования ключей длиной 128, 192 и 256 бит для шифрования блоков 128, 192 и 256 бит. Возможны все 9 комбинаций длины ключа и блока.

При выборе алгоритма кодирования существенное значение имеет продолжительность его использования, поскольку со временем шансы на обнаружение эффективного алгоритма вскрытия кода уменьшаются. В этом смысле проверенный Triple DES предпочтительнее совсем неплохого алгоритма Blowfish и нового алгоритма CAST-128, однако, по мнению

2

экспертов, уступает AES.

Для взломщика доступ к данным, закодированным с помощью любого из перечисленных выше алгоритмов, представляет собой чрезвычайно трудоемкую вычислительную задачу, решаемую, как правило, методом полного перебора. Целью перебора является подбор ключа. Если длина ключа достаточно велика, объемы необходимых вычислений будут огромны. Чтобы осуществить такой перебор, могут потребоваться месяцы работы суперкомпьютера или многих параллельно работающих в сети компьютеров.

Является ли полный перебор единственным методом раскрытия кодов Triple DES, CAST-128, SAFER, Blowfish и других? Сегодня ни для одного из этих алгоритмов не известны эффективные методы поиска ключей. Но в то же время не доказано, что таких методов не существует. Следовательно, нельзя исключить, что рано или поздно будут открыты и опубликованы методы быстрого раскрытия кодов, созданных с помощью одного из используемых вами алгоритмов. При этом алгоритм потеряет криптографическую стойкость, и продолжать пользоваться им будет бессмысленно. В подобной ситуации вы сможете заменить его другим алгоритмом, реализованным в используемой вами программе. Если бы программами поддерживался только один алгоритм кодирования, то в случае его дискредитации ваши данные оставались бы незащищенными до выхода очередной ее версии.

При работе с защищенным диском кодирование и декодирование данных выполняется «на лету», во время их записи и чтения, соответственно. Поэтому производительность алгоритма кодирования в данном случае имеет существенное значение. Использование медленного алгоритма кодирования приведет к тому, что приложения, обращающиеся к данным, находящимся на защищенном диске, будут работать очень медленно. Известно, что наиболее производительные алгоритмы обеспечивают наименьшую криптографическую стойкость, и наоборот. В этой ситуации разумным компромиссом было бы использование для кодирования данных на диске достаточно производительного алгоритма, а для кодирования ключа - достаточно криптографически стойкого.

Информация об используемом алгоритме кодирования обычно тоже закодирована, что осложняет работу взломщика.

3