stringtranslate.com

Криптография

Шифровальная машина Лоренца с двенадцатироторным механизмом
Шифровальная машина Лоренца , использовавшаяся во время Второй мировой войны для шифрования сообщений немецкого верховного командования .

Криптография , или криптология (от древнегреческого : κρυπτός , романизированногоkryptós «скрытый, секретный»; и γράφειν graphein , «писать», или -λογία -logia , «изучение», соответственно [1] ), — это практика и изучение методов безопасной связи в условиях враждебного поведения. [2] В более общем смысле, криптография заключается в построении и анализе протоколов , которые не позволяют третьим лицам или общественности читать личные сообщения. [3] Современная криптография существует на стыке таких дисциплин, как математика, компьютерные науки , информационная безопасность , электротехника , цифровая обработка сигналов , физика и другие. [4] Основные концепции, связанные с информационной безопасностью ( конфиденциальность данных , целостность данных , аутентификация и неотказуемость ), также являются центральными для криптографии. [5] Практические приложения криптографии включают электронную коммерцию , платежные карты на основе чипов , цифровые валюты , компьютерные пароли и военную связь .

Криптография до современной эпохи была фактически синонимом шифрования , преобразуя читаемую информацию ( открытый текст ) в непонятный бессмысленный текст ( зашифрованный текст ), который можно прочитать только путем обратного процесса ( расшифровки ). Отправитель зашифрованного (кодированного) сообщения делится техникой расшифровки (декодирования) только с предполагаемыми получателями, чтобы исключить доступ со стороны противников. В литературе по криптографии часто используются имена «Алиса» (или «А») для отправителя, «Боб» (или «Б») для предполагаемого получателя и «Ева» (или «Е») для подслушивающего противника. [6] С момента разработки роторных шифровальных машин во время Первой мировой войны и появления компьютеров во Второй мировой войне методы криптографии стали все более сложными, а их применение — более разнообразным.

Современная криптография в значительной степени основана на математической теории и практике компьютерной науки; криптографические алгоритмы разрабатываются на основе предположений о вычислительной сложности , что делает такие алгоритмы трудновзламываемыми на практике любым противником. Хотя теоретически возможно взломать хорошо спроектированную систему, на практике это сделать невозможно. Такие схемы, если они хорошо спроектированы, поэтому называются «вычислительно безопасными». Теоретические достижения (например, улучшения в алгоритмах факторизации целых чисел ) и более быстрые вычислительные технологии требуют, чтобы эти конструкции постоянно переоценивались и, при необходимости, адаптировались. Информационно-теоретически безопасные схемы, которые, как доказано, не могут быть взломаны даже при неограниченной вычислительной мощности, такие как одноразовый блокнот , гораздо сложнее использовать на практике, чем лучшие теоретически взламываемые, но вычислительно безопасные схемы.

Развитие криптографических технологий подняло ряд правовых вопросов в Информационную эпоху . Потенциал использования криптографии в качестве инструмента для шпионажа и подстрекательства к мятежу привел к тому, что многие правительства классифицировали ее как оружие и ограничили или даже запретили ее использование и экспорт. [7] В некоторых юрисдикциях, где использование криптографии является законным, законы разрешают следователям требовать раскрытия ключей шифрования для документов, имеющих отношение к расследованию. [8] [9] Криптография также играет важную роль в управлении цифровыми правами и спорах о нарушении авторских прав в отношении цифровых медиа . [10]

Терминология

диаграмма, показывающая сдвиг трех букв алфавита D становится A, а E становится B
Считается, что шифры со сдвигом алфавита использовались Юлием Цезарем более 2000 лет назад. [6] Это пример с k = 3. Другими словами, буквы в алфавите сдвигаются на три в одном направлении для шифрования и на три в другом направлении для расшифровки.

Первое использование термина «криптограф» (в отличие от « криптограммы ») относится к XIX веку и происходит от « Золотого жука », рассказа Эдгара Аллана По . [11] [12]

До недавнего времени криптография относилась почти исключительно к «шифрованию», то есть процессу преобразования обычной информации (называемой открытым текстом ) в непонятную форму (называемую шифротекстом ). [13] Расшифровка — это обратный процесс, другими словами, переход от непонятного шифротекста обратно к открытому тексту. Шифр ​​(или шифр) — это пара алгоритмов, которые выполняют шифрование и обратное дешифрование. Подробная работа шифра контролируется как алгоритмом, так и, в каждом случае, «ключом». Ключ — это секрет (в идеале известный только коммуникаторам), обычно строка символов (в идеале короткая, чтобы ее мог запомнить пользователь), которая необходима для расшифровки шифротекста. В формальных математических терминах « криптосистема » — это упорядоченный список элементов конечных возможных открытых текстов, конечных возможных шифротекстов, конечных возможных ключей и алгоритмов шифрования и дешифрования, которые соответствуют каждому ключу. Ключи важны как формально, так и на практике, поскольку шифры без переменных ключей могут быть легко взломаны, имея только знание используемого шифра, и поэтому бесполезны (или даже контрпродуктивны) для большинства целей. Исторически шифры часто использовались напрямую для шифрования или дешифрования без дополнительных процедур, таких как аутентификация или проверки целостности.

Существует два основных типа криптосистем: симметричные и асимметричные . В симметричных системах, единственных известных до 1970-х годов, один и тот же секретный ключ шифрует и расшифровывает сообщение. Манипулирование данными в симметричных системах происходит значительно быстрее, чем в асимметричных системах. Асимметричные системы используют «открытый ключ» для шифрования сообщения и связанный с ним «закрытый ключ» для его расшифровки. Преимущество асимметричных систем заключается в том, что открытый ключ может быть свободно опубликован, что позволяет сторонам устанавливать безопасную связь без наличия общего секретного ключа. На практике асимметричные системы используются для того, чтобы сначала обмениваться секретным ключом, а затем безопасная связь продолжается через более эффективную симметричную систему с использованием этого ключа. [14] Примерами асимметричных систем являются обмен ключами Диффи–Хеллмана , RSA ( Rivest–Shamir–Adleman ), ECC ( Elliptic Curve Cryptography ) и постквантовая криптография . Безопасные симметричные алгоритмы включают в себя широко используемый AES ( Advanced Encryption Standard ), который заменил старый DES ( Data Encryption Standard ). [15] Небезопасные симметричные алгоритмы включают в себя детские схемы запутывания языка, такие как Pig Latin или другой жаргон , и все исторические криптографические схемы, как бы серьезно они ни задумывались, до изобретения одноразового блокнота в начале 20-го века.

В разговорной речи термин « код » часто используется для обозначения любого метода шифрования или сокрытия смысла. Однако в криптографии код имеет более конкретное значение: замена единицы открытого текста (т. е. осмысленного слова или фразы) кодовым словом (например, «валлаби» заменяет «атака на рассвете»). Шифр, напротив, представляет собой схему изменения или замены элемента ниже такого уровня (буквы, слога или пары букв и т. д.) для получения шифротекста.

Криптоанализ — это термин, используемый для изучения методов получения смысла зашифрованной информации без доступа к ключу, который обычно требуется для этого; то есть это изучение того, как «взламывать» алгоритмы шифрования или их реализации.

Некоторые используют термины «криптография» и «криптология» взаимозаменяемо в английском языке, [16] в то время как другие (включая военную практику США в целом) используют «криптографию» для обозначения использования и практики криптографических методов, а «криптологию» — для обозначения комбинированного изучения криптографии и криптоанализа. [17] [18] Английский язык более гибок, чем несколько других языков, в которых «криптология» (используемая криптологами) всегда используется во втором значении, указанном выше. RFC  2828 рекомендует иногда включать стеганографию в криптологию. [19]

Изучение характеристик языков, которые имеют некоторое применение в криптографии или криптологии (например, данные о частоте, комбинации букв, универсальные шаблоны и т. д.), называется криптолингвистикой. Криптолингвистика особенно используется в военных разведывательных приложениях для расшифровки иностранных сообщений. [20] [21]

История

До современной эпохи криптография фокусировалась на конфиденциальности сообщений (т. е. шифровании) — преобразовании сообщений из понятной формы в непонятную и обратно на другом конце, делая их нечитаемыми для перехватчиков или подслушивателей без секретных знаний (а именно ключа, необходимого для расшифровки этого сообщения). Шифрование пыталось обеспечить секретность в коммуникациях, таких как сообщения шпионов , военачальников и дипломатов. В последние десятилетия эта область вышла за рамки проблем конфиденциальности, включив в себя методы проверки целостности сообщений, аутентификации личности отправителя/получателя, цифровых подписей , интерактивных доказательств и безопасных вычислений , среди прочего.

Классическая криптография

Палочка Скайтала с полоской бумаги, обмотанной вокруг нее в виде спирали
Реконструированная древнегреческая скитала , раннее шифровальное устройство

Основными классическими типами шифров являются шифры перестановки , которые переставляют порядок букв в сообщении (например, «hello world» становится «ehlol owrdl» в тривиально простой схеме перестановки), и шифры замены , которые систематически заменяют буквы или группы букв другими буквами или группами букв (например, «fly at once» становится «gmz bu podf», заменяя каждую букву следующей за ней в латинском алфавите ). [22] Простые версии любого из них никогда не предлагали большой конфиденциальности от предприимчивых оппонентов. Ранним шифром замены был шифр Цезаря , в котором каждая буква в открытом тексте заменялась буквой на некоторое фиксированное количество позиций дальше по алфавиту. Светоний сообщает, что Юлий Цезарь использовал его со сдвигом на три для связи со своими генералами. Атбаш является примером раннего еврейского шифра. Самым ранним известным случаем использования криптографии является высеченный на камне зашифрованный текст в Египте ( около  1900 г. до н. э. ), но это могло быть сделано скорее для развлечения грамотных наблюдателей, чем как способ сокрытия информации.

Говорят, что греки классических времен знали о шифрах (например, шифр перестановки скиталы , который, как утверждается, использовался спартанскими военными ). [23] Стеганография (то есть сокрытие даже существования сообщения, чтобы сохранить его конфиденциальность) также была впервые разработана в древние времена. Ранним примером, от Геродота , было сообщение, вытатуированное на бритой голове раба и скрытое под отросшими волосами. [13] Другие методы стеганографии включают «сокрытие на виду», например, использование музыкального шифра для маскировки зашифрованного сообщения в обычном фрагменте нот. Более современные примеры стеганографии включают использование невидимых чернил , микроточек и цифровых водяных знаков для сокрытия информации.

В Индии 2000-летняя Камасутра Ватьсьяяны говорит о двух различных видах шифров, называемых Каутилиям и Мулаведия . В Каутилиям замены букв шифра основаны на фонетических отношениях, таких как гласные становятся согласными. В Мулаведии алфавит шифра состоит из парных букв и использования обратных. [13]

По словам мусульманского автора Ибн ан-Надима , в Сасанидской Персии существовало два секретных шрифта : шах-дабирийа (буквально «царский шрифт»), который использовался для официальной переписки, и раз-сахарийа , который использовался для передачи секретных сообщений другим странам. [24]

Дэвид Кан отмечает в «Взломщиках кодов» , что современная криптология зародилась среди арабов , первых людей, которые систематически документировали криптоаналитические методы. [25] Аль-Халиль (717–786) написал « Книгу криптографических сообщений» , в которой впервые используются перестановки и комбинации для перечисления всех возможных арабских слов с гласными и без них. [26]

Арабский текст книги Аль-Кинди
Первая страница книги Аль-Кинди , в которой обсуждается шифрование сообщений.

Шифротексты, созданные классическим шифром (и некоторыми современными шифрами), раскроют статистическую информацию об открытом тексте, и эта информация часто может быть использована для взлома шифра. После открытия частотного анализа почти все такие шифры могли быть взломаны информированным злоумышленником. Такие классические шифры по-прежнему пользуются популярностью сегодня, хотя в основном как головоломки (см. криптограмму ). Арабский математик и эрудит Аль-Кинди написал книгу по криптографии под названием «Рисалах фи Истихрадж аль-Муамма » ( Рукопись для расшифровки криптографических сообщений ), в которой описывалось первое известное использование методов частотного анализа криптоанализа. [27] [28]

металлическая машина размером с книгу с большим циферблатом на левой странице и девятнадцатью маленькими циферблатами на правой странице
Французская шифровальная машина XVI века в форме книги с гербом Генриха II Французского
рукопись Габриэля де Лютца д'Арамона в переплете
Зашифрованное письмо Габриэля де Люэтца д'Арамона , французского посла в Османской империи , после 1546 года, с частичной расшифровкой

Частоты букв языка могут мало помочь некоторым расширенным историческим методам шифрования, таким как омофонический шифр , который имеет тенденцию выравнивать распределение частот. Для этих шифров частоты групп букв языка (или n-грамм) могут обеспечить атаку.

По сути, все шифры оставались уязвимыми для криптоанализа с использованием техники частотного анализа до разработки полиалфавитного шифра , наиболее ясно изложенной Леоном Баттистой Альберти около 1467 года, хотя есть некоторые указания на то, что она уже была известна Аль-Кинди. [28] Инновация Альберти заключалась в использовании различных шифров (т. е. алфавитов подстановки) для различных частей сообщения (возможно, для каждой последующей буквы открытого текста в пределе). Он также изобрел то, что, вероятно, было первым автоматическим шифровальным устройством , колесо, которое реализовало частичную реализацию его изобретения. В шифре Виженера , полиалфавитном шифре , шифрование использует ключевое слово , которое управляет заменой букв в зависимости от того, какая буква ключевого слова используется. В середине 19 века Чарльз Бэббидж показал, что шифр Виженера уязвим для проверки Касиски , но это было впервые опубликовано примерно десять лет спустя Фридрихом Касиски . [29]

Хотя частотный анализ может быть мощным и общим методом против многих шифров, шифрование все еще часто оказывалось эффективным на практике, поскольку многие потенциальные криптоаналитики не знали об этом методе. Взлом сообщения без использования частотного анализа по сути требовал знания используемого шифра и, возможно, ключа, что делало шпионаж, взяточничество, кражу со взломом, дезертирство и т. д. более привлекательными подходами для неосведомленных в криптоанализе людей. В конце концов, в 19 веке было явно признано, что секретность алгоритма шифра не является ни разумной, ни практичной гарантией безопасности сообщения; на самом деле, было также осознано, что любая адекватная криптографическая схема (включая шифры) должна оставаться безопасной, даже если противник полностью понимает сам алгоритм шифра. Безопасность используемого ключа должна быть сама по себе достаточной для того, чтобы хороший шифр сохранял конфиденциальность при атаке. Этот фундаментальный принцип был впервые явно сформулирован в 1883 году Огюстом Керкхоффсом и обычно называется принципом Керкхоффса ; Альтернативно и более прямолинейно это было сформулировано Клодом Шенноном , изобретателем теории информации и основ теоретической криптографии, в виде афоризма Шеннона — «враг знает систему».

Для помощи в шифрах использовались различные физические устройства и вспомогательные средства. Одним из самых ранних, возможно, была сцитала Древней Греции, стержень, предположительно использовавшийся спартанцами в качестве вспомогательного средства для транспозиционного шифра. В средние века были изобретены другие вспомогательные средства, такие как решетка шифра , которая также использовалась для своего рода стеганографии. С изобретением полиалфавитных шифров появились более сложные вспомогательные средства, такие как собственный шифровальный диск Альберти , схема tabula recta Иоганна Тритемия и колесный шифр Томаса Джефферсона ( неизвестный широкой публике и независимо изобретенный Базери около 1900 года). Многие механические устройства шифрования/дешифрования были изобретены в начале 20-го века, и несколько запатентованы, среди них роторные машины — известная машина Enigma, использовавшаяся немецким правительством и военными с конца 1920-х годов и во время Второй мировой войны . [30] Шифры, реализованные с помощью более качественных образцов этих машинных конструкций, привели к существенному увеличению сложности криптоанализа после Первой мировой войны. [31]

Криптография ранней компьютерной эры

Криптоанализ новых механических шифровальных устройств оказался и сложным, и трудоемким. В Соединенном Королевстве криптоаналитические усилия в Блетчли-парке во время Второй мировой войны подстегнули разработку более эффективных средств для выполнения повторяющихся задач, таких как взлом военных кодов (дешифрование) . Это привело к разработке Colossus , первого в мире полностью электронного, цифрового, программируемого компьютера, который помогал в дешифровании шифров, созданных немецкой армейской машиной Lorenz SZ40/42 .

Обширные открытые академические исследования в области криптографии начались относительно недавно, в середине 1970-х годов. В начале 1970-х годов сотрудники IBM разработали алгоритм Data Encryption Standard (DES), который стал первым федеральным правительственным стандартом криптографии в Соединенных Штатах. [32] В 1976 году Уитфилд Диффи и Мартин Хеллман опубликовали алгоритм обмена ключами Диффи–Хеллмана. [33] В 1977 году алгоритм RSA был опубликован в колонке Мартина Гарднера в Scientific American . [34] С тех пор криптография стала широко используемым инструментом в коммуникациях, компьютерных сетях и компьютерной безопасности в целом.

Некоторые современные криптографические методы могут хранить свои ключи в секрете, только если определенные математические проблемы неразрешимы , такие как факторизация целых чисел или проблемы дискретного логарифма , поэтому существуют глубокие связи с абстрактной математикой . Существует очень мало криптосистем, которые доказано являются безусловно безопасными. Одноразовый блокнот является одной из них, и это было доказано Клодом Шенноном. Существует несколько важных алгоритмов, безопасность которых была доказана при определенных предположениях. Например, невозможность факторизации чрезвычайно больших целых чисел является основой для убеждения, что RSA является безопасным, и некоторые другие системы, но даже в этом случае доказательство невзламываемости недоступно, поскольку лежащая в основе математическая проблема остается открытой. На практике они широко используются, и большинство компетентных наблюдателей считают их невзламываемыми на практике. Существуют системы, похожие на RSA, например, система Майкла О. Рабина , которые доказуемо безопасны при условии, что факторизация n = pq невозможна; на практике она совершенно непригодна. Проблема дискретного логарифма является основой для убеждения, что некоторые другие криптосистемы являются безопасными, и опять же, существуют связанные, менее практичные системы, которые являются доказуемо безопасными относительно разрешимости или неразрешимости проблемы дискретного логарифма. [35]

Помимо знания истории криптографии, разработчики криптографических алгоритмов и систем должны также разумно учитывать возможные будущие разработки при работе над своими проектами. Например, постоянное улучшение вычислительной мощности компьютеров увеличило масштаб атак методом перебора , поэтому при указании длины ключей требуемые длины ключей также увеличиваются. [36] Потенциальное влияние квантовых вычислений уже рассматривается некоторыми разработчиками криптографических систем, разрабатывающими постквантовую криптографию. [ когда? ] Объявленная неизбежность небольших реализаций этих машин может сделать необходимость в упреждающей осторожности более чем просто спекулятивной. [5]

Современная криптография

До начала 20-го века криптография в основном занималась лингвистическими и лексикографическими шаблонами. С тех пор криптография расширила сферу применения и теперь широко использует математические субдисциплины, включая теорию информации , вычислительную сложность , статистику, комбинаторику , абстрактную алгебру , теорию чисел и конечную математику . [37] Криптография также является отраслью инженерии, но необычной, поскольку она имеет дело с активным, разумным и злонамеренным противодействием; другие виды инженерии (например, гражданское или химическое машиностроение) должны иметь дело только с нейтральными природными силами. Также ведутся активные исследования, изучающие связь между криптографическими проблемами и квантовой физикой .

Так же, как развитие цифровых компьютеров и электроники помогло в криптоанализе, оно сделало возможным гораздо более сложные шифры. Более того, компьютеры позволили шифровать любые данные, представимые в любом двоичном формате, в отличие от классических шифров, которые шифровали только тексты письменного языка; это было новым и значительным. Таким образом, использование компьютеров вытеснило лингвистическую криптографию, как для проектирования шифров, так и для криптоанализа. Многие компьютерные шифры можно охарактеризовать как работу с двоичными последовательностями битов (иногда группами или блоками), в отличие от классических и механических схем, которые обычно напрямую манипулируют традиционными символами (то есть буквами и цифрами). Однако компьютеры также помогли криптоанализу, что в некоторой степени компенсировало возросшую сложность шифра. Тем не менее, хорошие современные шифры опережают криптоанализ; Как правило, использование качественного шифра очень эффективно (т. е. быстро и требует мало ресурсов, таких как память или возможности ЦП), в то время как его взлом требует усилий на много порядков больше и значительно больше, чем требуется для любого классического шифра, что делает криптоанализ настолько неэффективным и непрактичным, что фактически становится невозможным.

Симметричная криптография

Диаграмма, показывающая процесс шифрования и дешифрования с помощью ключа
Симметричная криптография, где один ключ используется как для шифрования, так и для дешифрования.

Симметричная криптография относится к методам шифрования, в которых отправитель и получатель используют один и тот же ключ (или, реже, их ключи различны, но связаны легко вычислимым образом). Это был единственный тип шифрования, известный общественности до июня 1976 года. [33]

Логическая схема, показывающая процесс шифрования международного алгоритма шифрования данных
Один раунд (из 8,5) шифра IDEA , используемый в большинстве версий PGP и OpenPGP-совместимого программного обеспечения для эффективного по времени шифрования сообщений

Симметричные шифры реализуются как блочные шифры или потоковые шифры . Блочный шифр шифрует входные данные блоками открытого текста, а не отдельными символами, входная форма которых используется потоковым шифром.

Стандарт шифрования данных (DES) и Расширенный стандарт шифрования (AES) — это проекты блочных шифров, которые были назначены стандартами криптографии правительством США (хотя назначение DES было окончательно отменено после принятия AES). [38] Несмотря на его устаревание в качестве официального стандарта, DES (особенно его все еще одобренный и гораздо более безопасный вариант triple-DES ) остается довольно популярным; он используется в широком спектре приложений, от шифрования банкоматов [39] до конфиденциальности электронной почты [40] и безопасного удаленного доступа . [41] Было разработано и выпущено множество других блочных шифров, со значительными различиями в качестве. Многие, даже некоторые, разработанные способными практиками, были полностью взломаны, например FEAL . [5] [42]

Поточные шифры, в отличие от типа «блок», создают произвольно длинный поток ключевого материала, который объединяется с открытым текстом побитно или посимвольно, что-то вроде одноразового блокнота . В потоковом шифре выходной поток создается на основе скрытого внутреннего состояния, которое изменяется по мере работы шифра. Это внутреннее состояние изначально устанавливается с использованием секретного ключевого материала. RC4 — широко используемый потоковый шифр. [5] Блочные шифры могут использоваться как потоковые шифры путем генерации блоков ключевого потока (вместо генератора псевдослучайных чисел ) и применения операции XOR к каждому биту открытого текста с каждым битом ключевого потока. [43]

Коды аутентификации сообщений (MAC) во многом похожи на криптографические хэш-функции , за исключением того, что для аутентификации значения хэша при получении может использоваться секретный ключ; [5] [44] это дополнительное усложнение блокирует схему атаки против голых алгоритмов дайджеста , и поэтому было сочтено стоящим усилий. Криптографические хэш-функции являются третьим типом криптографических алгоритмов. Они принимают сообщение любой длины в качестве входных данных и выводят короткий хэш фиксированной длины , который может использоваться (например) в цифровой подписи. Для хороших хэш-функций злоумышленник не может найти два сообщения, которые создают один и тот же хэш. MD4 — это давно используемая хэш-функция, которая теперь взломана; MD5 , усиленный вариант MD4, также широко используется, но взломан на практике. Агентство национальной безопасности США разработало серию хэш-функций Secure Hash Algorithm, подобных MD5: SHA-0 был несовершенным алгоритмом, который агентство отозвало; SHA-1 широко используется и более безопасен, чем MD5, но криптоаналитики выявили атаки на него; семейство SHA-2 улучшает SHA-1, но уязвимо для конфликтов по состоянию на 2011 год; и орган по стандартам США посчитал «разумным» с точки зрения безопасности разработать новый стандарт, чтобы «значительно улучшить надежность всего инструментария алгоритма хэширования NIST ». [45] Таким образом, конкурс на разработку хэш-функции должен был выбрать новый национальный стандарт США, который должен был называться SHA-3 , к 2012 году. Конкурс завершился 2 октября 2012 года, когда NIST объявил, что Keccak станет новым алгоритмом хэширования SHA-3. [46] В отличие от блочных и потоковых шифров, которые являются обратимыми, криптографические хэш-функции создают хэшированный вывод, который нельзя использовать для извлечения исходных входных данных. Криптографические хеш-функции используются для проверки подлинности данных, полученных из ненадежного источника, или для добавления дополнительного уровня безопасности.

Криптография с открытым ключом

диаграмма криптографии с открытым ключом, показывающая открытый ключ и закрытый ключ
Криптография с открытым ключом, где для шифрования и дешифрования используются разные ключи.

Симметричные криптосистемы используют один и тот же ключ для шифрования и дешифрования сообщения, хотя сообщение или группа сообщений могут иметь другой ключ, чем другие. Существенным недостатком симметричных шифров является управление ключами, необходимое для их безопасного использования. Каждая отдельная пара взаимодействующих сторон должна, в идеале, совместно использовать другой ключ, и, возможно, также для каждого обмениваемого шифротекста. Количество требуемых ключей увеличивается как квадрат количества участников сети, что очень быстро требует сложных схем управления ключами, чтобы поддерживать их согласованность и секретность.

Портреты Уитфилда Диффи и Мартина Хеллмана
Уитфилд Диффи и Мартин Хеллман , авторы первой опубликованной статьи по криптографии с открытым ключом.

В новаторской статье 1976 года Уитфилд Диффи и Мартин Хеллман предложили понятие криптографии с открытым ключом (также, в более общем смысле, называемой асимметричным ключом ), в которой используются два разных, но математически связанных ключа — открытый ключ и закрытый ключ. [47] Система с открытым ключом построена таким образом, что вычисление одного ключа («закрытого ключа») вычислительно невозможно из другого («открытого ключа»), даже если они обязательно связаны. Вместо этого оба ключа генерируются тайно, как взаимосвязанная пара. [48] Историк Дэвид Кан описал криптографию с открытым ключом как «самую революционную новую концепцию в этой области с тех пор, как в эпоху Возрождения появилась полиалфавитная подстановка». [49]

В криптосистемах с открытым ключом открытый ключ может свободно распространяться, в то время как его парный закрытый ключ должен оставаться секретным. В системе шифрования с открытым ключом открытый ключ используется для шифрования, в то время как закрытый или секретный ключ используется для расшифровки. Хотя Диффи и Хеллман не смогли найти такую ​​систему, они показали, что криптография с открытым ключом действительно возможна, представив протокол обмена ключами Диффи–Хеллмана , решение, которое в настоящее время широко используется в защищенных коммуникациях, чтобы позволить двум сторонам тайно договориться об общем ключе шифрования . [33] Стандарт X.509 определяет наиболее часто используемый формат для сертификатов открытых ключей . [50]

Публикация Диффи и Хеллмана вызвала широкомасштабные академические усилия по поиску практической системы шифрования с открытым ключом. Эта гонка была окончательно выиграна в 1978 году Рональдом Ривестом , Ади Шамиром и Леном Адлеманом , чье решение с тех пор стало известно как алгоритм RSA . [51]

Алгоритмы Диффи–Хеллмана и RSA , помимо того, что являются первыми публично известными примерами высококачественных алгоритмов с открытым ключом, относятся к числу наиболее широко используемых. Другие алгоритмы с асимметричным ключом включают криптосистему Крамера–Шоупа , шифрование Эль-Гамаля и различные методы эллиптических кривых .

Документ, опубликованный в 1997 году британской разведывательной организацией Government Communications Headquarters ( GCHQ ), показал, что криптографы GCHQ предвосхитили несколько академических разработок. [52] Как сообщается, около 1970 года Джеймс Х. Эллис задумал принципы асимметричной криптографии. В 1973 году Клиффорд Кокс изобрел решение, которое было очень похоже по обоснованию конструкции на RSA. [52] [53] В 1974 году Малкольм Дж. Уильямсон, как утверждается, разработал обмен ключами Диффи-Хеллмана. [54]

В этом примере сообщение только подписано, но не зашифровано. 1) Алиса подписывает сообщение своим закрытым ключом. 2) Боб может проверить, что Алиса отправила сообщение и что сообщение не было изменено.

Криптография с открытым ключом также используется для реализации схем цифровой подписи . Цифровая подпись напоминает обычную подпись; обе они имеют характеристику того, что их легко создать пользователю, но трудно подделать кому-либо другому . Цифровые подписи также могут быть постоянно привязаны к содержанию подписываемого сообщения; затем их нельзя «переместить» из одного документа в другой, поскольку любая попытка будет обнаружена. В схемах цифровой подписи есть два алгоритма: один для подписи , в котором секретный ключ используется для обработки сообщения (или хэш сообщения, или и то, и другое), и один для проверки , в котором соответствующий открытый ключ используется с сообщением для проверки действительности подписи. RSA и DSA являются двумя из самых популярных схем цифровой подписи. Цифровые подписи играют центральную роль в работе инфраструктур открытых ключей и многих схем сетевой безопасности (например, SSL/TLS , многие VPN и т. д.). [42]

Алгоритмы с открытым ключом чаще всего основаны на вычислительной сложности «трудных» проблем, часто из теории чисел . Например, сложность RSA связана с проблемой факторизации целых чисел , в то время как Диффи–Хеллмана и DSA связаны с проблемой дискретного логарифмирования . Безопасность криптографии на эллиптических кривых основана на задачах теории чисел, связанных с эллиптическими кривыми . Из-за сложности базовых проблем большинство алгоритмов с открытым ключом включают такие операции, как модульное умножение и возведение в степень, которые намного более затратны в вычислительном отношении, чем методы, используемые в большинстве блочных шифров, особенно с типичными размерами ключей. В результате криптосистемы с открытым ключом обычно являются гибридными криптосистемами , в которых быстрый высококачественный алгоритм шифрования с симметричным ключом используется для самого сообщения, в то время как соответствующий симметричный ключ отправляется с сообщением, но шифруется с использованием алгоритма с открытым ключом. Аналогично часто используются гибридные схемы подписи, в которых вычисляется криптографическая хэш-функция, и только результирующий хэш подписывается цифровой подписью. [5]

Криптографические хэш-функции

Криптографические хэш-функции — это функции, которые принимают входные данные переменной длины и возвращают выходные данные фиксированной длины, которые можно использовать, например, в цифровой подписи. Чтобы хэш-функция была безопасной, должно быть сложно вычислить два входных данных, которые хэшируются с одним и тем же значением ( устойчивость к коллизиям ), и вычислить входные данные, которые хэшируются с заданным выходным значением ( устойчивость к прообразу ). MD4 — это давно используемая хэш-функция, которая сейчас взломана; MD5 , усиленный вариант MD4, также широко используется, но на практике взломан. Агентство национальной безопасности США разработало серию хэш-функций Secure Hash Algorithm, подобных MD5: SHA-0 был несовершенным алгоритмом, который агентство отозвало; SHA-1 широко используется и более безопасен, чем MD5, но криптоаналитики выявили атаки на него; семейство SHA-2 улучшает SHA-1, но уязвимо для конфликтов по состоянию на 2011 год; и орган по стандартам США посчитал «разумным» с точки зрения безопасности разработать новый стандарт для «значительного повышения надежности общего инструментария алгоритма хэширования NIST». [ 45] Таким образом, конкурс на разработку хэш-функции должен был выбрать новый национальный стандарт США, который должен был называться SHA-3 , к 2012 году. Конкурс завершился 2 октября 2012 года, когда NIST объявил, что Keccak станет новым алгоритмом хэширования SHA-3. [46] В отличие от блочных и потоковых шифров, которые являются обратимыми, криптографические хэш-функции создают хэшированный вывод, который нельзя использовать для получения исходных входных данных. Криптографические хэш-функции используются для проверки подлинности данных, полученных из ненадежного источника, или для добавления уровня безопасности.

Криптоанализ

Клавиатура пишущей машинки Enigma на многих роторах в деревянном ящике
Варианты машины Enigma , использовавшиеся военными и гражданскими властями Германии с конца 1920-х годов до Второй мировой войны , реализовали сложный электромеханический полиалфавитный шифр . Взлом и чтение шифра Enigma в Польском бюро шифров в течение 7 лет до войны и последующая расшифровка в Блетчли-парке имели важное значение для победы союзников. [13]

Цель криптоанализа — найти слабые места или ненадежные места в криптографической схеме, что позволит осуществить ее подрыв или обход.

Распространено заблуждение, что любой метод шифрования может быть взломан. В связи со своей работой во время Второй мировой войны в Bell Labs Клод Шеннон доказал, что шифр одноразового шифрблокнота не поддается взлому при условии, что ключевой материал действительно случаен , никогда не используется повторно, хранится в секрете от всех возможных злоумышленников и имеет длину, равную или большую, чем сообщение. [55] Большинство шифров , за исключением одноразового шифрблокнота, могут быть взломаны с достаточными вычислительными усилиями методом грубой силы , но количество необходимых усилий может экспоненциально зависеть от размера ключа по сравнению с усилиями, необходимыми для использования шифра. В таких случаях эффективная безопасность может быть достигнута, если будет доказано, что требуемые усилия (т. е. «фактор работы», в терминах Шеннона) выходят за рамки возможностей любого противника. Это означает, что необходимо показать, что не может быть найдено эффективного метода (в отличие от трудоемкого метода грубой силы) для взлома шифра. Поскольку на сегодняшний день не найдено никаких доказательств, одноразовый блокнот остается единственным теоретически невзламываемым шифром. Хотя хорошо реализованное шифрование одноразовым блокнотом не может быть взломано, анализ трафика все еще возможен.

Существует большое разнообразие криптоаналитических атак, и их можно классифицировать несколькими способами. Общее различие заключается в том, что знает Ева (злоумышленник) и какие возможности доступны. В атаке только на шифротекст Ева имеет доступ только к шифротексту (хорошие современные криптосистемы обычно эффективно защищены от атак только на шифротекст). В атаке с известным открытым текстом Ева имеет доступ к шифротексту и соответствующему ему открытому тексту (или ко многим таким парам). В атаке с выбранным открытым текстом Ева может выбрать открытый текст и узнать соответствующий ему шифротекст (возможно, много раз); примером является садоводство , использовавшееся британцами во время Второй мировой войны. В атаке с выбранным шифротекстом Ева может выбрать шифротексты и узнать соответствующие им открытые тексты. [5] Наконец, в атаке «человек посередине» Ева встает между Алисой (отправителем) и Бобом (получателем), получает доступ и изменяет трафик, а затем пересылает его получателю. [56] Также важными, часто даже подавляющими, являются ошибки (обычно при разработке или использовании одного из задействованных протоколов ).

Криптоанализ симметричных шифров обычно включает в себя поиск атак против блочных шифров или потоковых шифров, которые более эффективны, чем любая атака, которая могла бы быть против совершенного шифра. Например, простая атака грубой силы против DES требует одного известного открытого текста и 2 55 расшифровок, пробуя примерно половину возможных ключей, чтобы достичь точки, в которой шансы лучше, чем даже то, что искомый ключ будет найден. Но этого может быть недостаточно; линейная атака криптоанализа против DES требует 2 43 известных открытых текста (с соответствующими им шифртекстами) и примерно 2 43 операций DES. [57] Это значительное улучшение по сравнению с атаками грубой силы.

Алгоритмы с открытым ключом основаны на вычислительной сложности различных задач. Наиболее известными из них являются сложность факторизации целых чисел полупростых чисел и сложность вычисления дискретных логарифмов , обе из которых пока не доказано решаемы за полиномиальное время ( P ) с использованием только классического Тьюринг-полного компьютера. Большая часть криптоанализа с открытым ключом касается разработки алгоритмов в P , которые могут решать эти задачи, или использования других технологий, таких как квантовые компьютеры . Например, самые известные алгоритмы для решения версии дискретного логарифма на основе эллиптической кривой требуют гораздо больше времени, чем самые известные алгоритмы факторизации, по крайней мере, для задач более или менее эквивалентного размера. Таким образом, для достижения эквивалентной стойкости шифрования методы, которые зависят от сложности факторизации больших составных чисел, такие как криптосистема RSA, требуют больших ключей, чем методы эллиптических кривых. По этой причине криптосистемы с открытым ключом, основанные на эллиптических кривых, стали популярными с момента их изобретения в середине 1990-х годов.

В то время как чистый криптоанализ использует слабые стороны самих алгоритмов, другие атаки на криптосистемы основаны на реальном использовании алгоритмов в реальных устройствах и называются атаками по сторонним каналам . Если криптоаналитик имеет доступ, например, к количеству времени, которое потребовалось устройству для шифрования ряда открытых текстов или сообщения об ошибке в пароле или символе PIN-кода, он может использовать атаку по времени, чтобы взломать шифр, который в противном случае устойчив к анализу. Злоумышленник может также изучить шаблон и длину сообщений, чтобы получить ценную информацию; это известно как анализ трафика [58] и может быть весьма полезно для бдительного противника. Плохое администрирование криптосистемы, например, разрешение слишком коротких ключей, сделает любую систему уязвимой, независимо от других достоинств. Социальная инженерия и другие атаки против людей (например, взяточничество, вымогательство , шантаж , шпионаж, криптоанализ с использованием резинового шланга или пытки) обычно применяются из-за того, что они более эффективны с точки зрения затрат и осуществимы в разумные сроки по сравнению с чистым криптоанализом с большим отрывом.

Криптографические примитивы

Большая часть теоретической работы в криптографии касается криптографических примитивов — алгоритмов с базовыми криптографическими свойствами — и их связи с другими криптографическими проблемами. Затем из этих базовых примитивов строятся более сложные криптографические инструменты. Эти примитивы обеспечивают фундаментальные свойства, которые используются для разработки более сложных инструментов, называемых криптосистемами или криптографическими протоколами , которые гарантируют одно или несколько свойств безопасности высокого уровня. Обратите внимание, однако, что различие между криптографическими примитивами и криптосистемами довольно произвольно; например, алгоритм RSA иногда считается криптосистемой, а иногда примитивом. Типичные примеры криптографических примитивов включают псевдослучайные функции , односторонние функции и т. д.

Криптосистемы

Один или несколько криптографических примитивов часто используются для разработки более сложного алгоритма, называемого криптографической системой или криптосистемой . Криптосистемы (например, шифрование Эль-Гамаля ) предназначены для предоставления определенной функциональности (например, шифрование с открытым ключом), гарантируя при этом определенные свойства безопасности (например, безопасность атаки с выбранным открытым текстом (CPA) в модели случайного оракула ). Криптосистемы используют свойства базовых криптографических примитивов для поддержки свойств безопасности системы. Поскольку различие между примитивами и криптосистемами несколько условно, сложная криптосистема может быть получена из комбинации нескольких более примитивных криптосистем. Во многих случаях структура криптосистемы включает прямую и обратную связь между двумя или более сторонами в пространстве (например, между отправителем защищенного сообщения и его получателем) или во времени (например, криптографически защищенные резервные данные). Такие криптосистемы иногда называют криптографическими протоколами .

Некоторые широко известные криптосистемы включают RSA, подпись Шнорра , шифрование Эль-Гамаля и Pretty Good Privacy (PGP). Более сложные криптосистемы включают электронные денежные системы [59] , системы шифрования подписей и т. д. Некоторые более «теоретические» [ требуется разъяснение ] криптосистемы включают интерактивные системы доказательств [ 60] (например, доказательства с нулевым разглашением ) [61] и системы для обмена секретами . [62] [63]

Облегченная криптография

Облегченная криптография (LWC) касается криптографических алгоритмов, разработанных для строго ограниченной среды. Рост Интернета вещей (IoT) подстегнул исследования в области разработки облегченных алгоритмов, которые лучше подходят для среды. Среда IoT требует строгих ограничений по энергопотреблению, вычислительной мощности и безопасности. [64] Такие алгоритмы, как PRESENT, AES и SPECK, являются примерами многих алгоритмов LWC, которые были разработаны для достижения стандарта, установленного Национальным институтом стандартов и технологий . [65]

Приложения

Криптография широко используется в Интернете для защиты пользовательских данных и предотвращения подслушивания. Чтобы обеспечить секретность во время передачи, многие системы используют криптографию с закрытым ключом для защиты передаваемой информации. С системами с открытым ключом можно поддерживать секретность без главного ключа или большого количества ключей. [66] Но некоторые алгоритмы, такие как BitLocker и VeraCrypt , как правило, не являются криптографией с закрытым и открытым ключом. Например, Veracrypt использует хэш пароля для генерации одного закрытого ключа. Однако его можно настроить для работы в системах с открытым и закрытым ключом. Библиотека шифрования с открытым исходным кодом C++ OpenSSL предоставляет бесплатное и открытое программное обеспечение и инструменты для шифрования. Наиболее часто используемым набором шифров является AES , [67] поскольку он имеет аппаратное ускорение для всех процессоров на базе x86 , которые имеют AES-NI . Близким соперником является ChaCha20-Poly1305 , который является потоковым шифром , однако он обычно используется для мобильных устройств, поскольку они основаны на ARM , который не имеет расширения набора инструкций AES-NI.

Кибербезопасность

Криптография может использоваться для защиты коммуникаций путем их шифрования. Веб-сайты используют шифрование через HTTPS . [68] «Сквозное» шифрование, при котором только отправитель и получатель могут читать сообщения, реализовано для электронной почты в Pretty Good Privacy и для безопасного обмена сообщениями в целом в WhatsApp , Signal и Telegram . [68]

Операционные системы используют шифрование для сохранения паролей в секрете, сокрытия частей системы и обеспечения того, что обновления программного обеспечения действительно исходят от производителя системы. [68] Вместо хранения паролей в виде открытого текста компьютерные системы хранят их хэши; затем, когда пользователь входит в систему, система пропускает заданный пароль через криптографическую хэш-функцию и сравнивает его с хэшированным значением в файле. Таким образом, ни система, ни злоумышленник не имеют в какой-либо момент доступа к паролю в виде открытого текста. [68]

Шифрование иногда используется для шифрования всего диска. Например, Университетский колледж Лондона внедрил BitLocker (программу от Microsoft), чтобы сделать данные на диске непрозрачными без входа пользователя в систему. [68]

Криптовалюты и криптоэкономика

Криптографические методы позволяют использовать криптовалютные технологии, такие как технологии распределенного реестра (например, блокчейны ), которые финансируют приложения криптоэкономики, такие как децентрализованные финансы (DeFi) . Ключевые криптографические методы, которые позволяют использовать криптовалюты и криптоэкономику, включают, помимо прочего: криптографические ключи , криптографическую хэш-функцию, асимметричное (открытый ключ) шифрование , многофакторную аутентификацию (MFA) , сквозное шифрование (E2EE) и доказательства с нулевым разглашением (ZKP) .

Правовые вопросы

Запреты

Криптография давно представляет интерес для разведывательных служб и правоохранительных органов . [9] Секретные коммуникации могут быть преступными или даже изменническими . [ требуется ссылка ] Из-за ее содействия конфиденциальности и уменьшения конфиденциальности, сопутствующего ее запрету, криптография также представляет значительный интерес для сторонников гражданских прав. Соответственно, существует история спорных правовых вопросов, связанных с криптографией, особенно с тех пор, как появление недорогих компьютеров сделало возможным широкий доступ к высококачественной криптографии.

В некоторых странах даже внутреннее использование криптографии ограничено или было ограничено. До 1999 года Франция значительно ограничивала использование криптографии внутри страны, хотя с тех пор она смягчила многие из этих правил. В Китае и Иране для использования криптографии по-прежнему требуется лицензия. [7] Во многих странах существуют жесткие ограничения на использование криптографии. Среди наиболее строгих — законы в Беларуси , Казахстане , Монголии , Пакистане , Сингапуре, Тунисе и Вьетнаме . [69]

В Соединенных Штатах криптография является законной для внутреннего использования, но было много конфликтов по юридическим вопросам, связанным с криптографией. [9] Одной из особенно важных проблем был экспорт криптографии и криптографического программного и аппаратного обеспечения. Вероятно, из-за важности криптоанализа во Второй мировой войне и ожидания, что криптография будет продолжать быть важной для национальной безопасности, многие западные правительства в какой-то момент строго регулировали экспорт криптографии. После Второй мировой войны в США было незаконно продавать или распространять технологию шифрования за рубежом; фактически, шифрование было обозначено как вспомогательное военное оборудование и включено в Список боеприпасов США . [70] До развития персональных компьютеров, алгоритмов асимметричного ключа (т. е. методов открытого ключа) и Интернета это не было особенно проблематичным. Однако по мере роста Интернета и более широкой доступности компьютеров высококачественные методы шифрования стали широко известны во всем мире.

Экспортный контроль

В 1990-х годах существовало несколько проблем с экспортным регулированием криптографии в США. После того, как исходный код программы шифрования Pretty Good Privacy (PGP) Филиппа Циммермана попал в Интернет в июне 1991 года, жалоба RSA Security (тогда называвшейся RSA Data Security, Inc.) привела к длительному уголовному расследованию Циммермана Таможенной службой США и ФБР , хотя никаких обвинений предъявлено не было. [71] [72] Дэниел Дж. Бернстайн , тогда аспирант Калифорнийского университета в Беркли , подал иск против правительства США, оспаривая некоторые аспекты ограничений, основанных на свободе слова . Дело 1995 года Бернстайн против Соединенных Штатов в конечном итоге привело к решению 1999 года о том, что напечатанный исходный код криптографических алгоритмов и систем защищен как свобода слова Конституцией Соединенных Штатов. [73]

В 1996 году тридцать девять стран подписали Вассенаарское соглашение , договор о контроле над вооружениями, который касается экспорта оружия и технологий «двойного назначения», таких как криптография. Договор предусматривал, что использование криптографии с короткими длинами ключей (56 бит для симметричного шифрования, 512 бит для RSA) больше не будет контролироваться экспортом. [74] Экспорт криптографии из США стал менее строго регулироваться в результате значительного смягчения в 2000 году; [75] больше нет очень многих ограничений на размеры ключей в экспортируемом США программном обеспечении для массового рынка. С этого смягчения экспортных ограничений США и с учетом того, что большинство персональных компьютеров, подключенных к Интернету, включают веб-браузеры американского происхождения, такие как Firefox или Internet Explorer , почти каждый пользователь Интернета во всем мире имеет потенциальный доступ к качественной криптографии через свои браузеры (например, через Transport Layer Security ). Клиентские программы Mozilla Thunderbird и Microsoft Outlook E-mail также могут передавать и получать электронные письма через TLS, а также отправлять и получать электронные письма, зашифрованные с помощью S/MIME . Многие пользователи Интернета не осознают, что их базовое прикладное программное обеспечение содержит такие обширные криптосистемы . Эти браузеры и программы электронной почты настолько вездесущи, что даже правительства, намеренные регулировать гражданское использование криптографии, как правило, не считают целесообразным делать что-либо для контроля распространения или использования криптографии такого качества, поэтому даже когда такие законы действуют, фактическое исполнение часто фактически невозможно. [ необходима цитата ]

Участие АНБ

Штаб-квартира АНБ в Форт-Миде, штат Мэриленд

Другим спорным вопросом, связанным с криптографией в Соединенных Штатах, является влияние Агентства национальной безопасности на разработку и политику шифров. [9] АНБ принимало участие в разработке DES во время его разработки в IBM и его рассмотрения Национальным бюро стандартов в качестве возможного федерального стандарта криптографии. [76] DES был разработан с целью обеспечения устойчивости к дифференциальному криптоанализу , [77] мощному и общему криптоаналитическому методу, известному АНБ и IBM, который стал публично известен только после его повторного открытия в конце 1980-х годов. [78] По словам Стивена Леви , IBM открыла дифференциальный криптоанализ, [72] но держала этот метод в секрете по просьбе АНБ. Этот метод стал публично известен только после того, как Бихам и Шамир повторно открыли его и объявили о нем несколько лет спустя. Все это дело иллюстрирует сложность определения того, какими ресурсами и знаниями на самом деле может обладать злоумышленник.

Другим примером участия АНБ было дело 1993 года о чипе Clipper , шифровальном микрочипе, который должен был стать частью инициативы Capstone по контролю за криптографией. Clipper широко критиковался криптографами по двум причинам. Алгоритм шифрования (называемый Skipjack ) был затем засекречен (рассекречен в 1998 году, спустя долгое время после того, как инициатива Clipper прекратила свое существование). Засекреченный шифр вызвал опасения, что АНБ намеренно сделало шифр слабым, чтобы помочь своим разведывательным усилиям. Вся инициатива также подверглась критике из-за нарушения ею принципа Керкхоффса , поскольку схема включала специальный депонированный ключ, хранящийся правительством для использования правоохранительными органами (т. е. для прослушивания телефонных разговоров ). [72]

Управление цифровыми правами

Криптография занимает центральное место в управлении цифровыми правами (DRM), группе методов технологического контроля использования защищенных авторским правом материалов, которые широко внедряются и разворачиваются по просьбе некоторых владельцев авторских прав. В 1998 году президент США Билл Клинтон подписал Закон об авторском праве в цифровую эпоху (DMCA), который криминализировал любое производство, распространение и использование определенных криптоаналитических методов и технологий (теперь известных или обнаруженных позже); в частности, тех, которые могут быть использованы для обхода технологических схем DRM. [79] Это оказало заметное влияние на сообщество исследователей криптографии, поскольку можно утверждать, что любое криптоаналитическое исследование нарушает DMCA. С тех пор аналогичные законы были приняты в нескольких странах и регионах, включая реализацию в Директиве ЕС об авторском праве . Аналогичные ограничения предусмотрены договорами, подписанными государствами-членами Всемирной организации интеллектуальной собственности .

Министерство юстиции США и ФБР не применяли DMCA так строго, как опасались некоторые, но закон, тем не менее, остается спорным. Нильс Фергюсон , уважаемый исследователь криптографии, публично заявил, что не опубликует некоторые из своих исследований в области безопасности Intel из-за страха преследования в соответствии с DMCA. [80] Криптолог Брюс Шнайер утверждал, что DMCA поощряет привязку к поставщику , одновременно препятствуя фактическим мерам по обеспечению кибербезопасности. [81] И Алан Кокс (давний разработчик ядра Linux ), и Эдвард Фелтен (и некоторые из его студентов в Принстоне) столкнулись с проблемами, связанными с этим законом. Дмитрий Скляров был арестован во время визита в США из России и приговорен к пяти месяцам тюрьмы в ожидании суда за предполагаемые нарушения DMCA, вытекающие из его работы, выполненной в России, где эта работа была законной. В 2007 году были обнаружены и опубликованы в Интернете криптографические ключи, ответственные за скремблирование контента Blu-ray и HD DVD . В обоих случаях Американская ассоциация кинокомпаний разослала многочисленные уведомления об удалении DMCA, и в Интернете возникла массовая негативная реакция [10], вызванная предполагаемым влиянием таких уведомлений на добросовестное использование и свободу слова .

Принудительное раскрытие ключей шифрования

В Соединенном Королевстве Закон о регулировании следственных полномочий дает полиции Великобритании полномочия заставлять подозреваемых расшифровывать файлы или передавать пароли, защищающие ключи шифрования. Невыполнение этого требования является правонарушением само по себе, наказуемым в случае осуждения тюремным заключением сроком на два года или до пяти лет в случаях, связанных с национальной безопасностью. [8] В соответствии с Законом имели место успешные судебные преследования; первое, в 2009 году, [82] привело к тюремному заключению сроком на 13 месяцев. [83] Аналогичные законы о принудительном раскрытии информации в Австралии, Финляндии, Франции и Индии обязывают отдельных подозреваемых, находящихся под следствием, передавать ключи шифрования или пароли во время уголовного расследования.

В Соединенных Штатах в федеральном уголовном деле « Соединенные Штаты против Фрикосу» рассматривался вопрос о том, может ли ордер на обыск заставить человека раскрыть пароль шифрования или пароль. [84] Фонд электронных рубежей (EFF) утверждал, что это является нарушением защиты от самооговора, предоставленной Пятой поправкой . [85] В 2012 году суд постановил, что в соответствии с Законом обо всех исковых заявлениях ответчик должен был предоставить суду незашифрованный жесткий диск. [86]

Во многих юрисдикциях правовой статус принудительного раскрытия информации остается неясным.

Спор между ФБР и Apple по поводу шифрования, возникший в 2016 году, касается возможности судов в США принуждать производителей содействовать разблокировке сотовых телефонов, содержимое которых защищено криптографически.

В качестве потенциальной меры противодействия принудительному раскрытию информации некоторые криптографические программы поддерживают правдоподобное отрицание , при котором зашифрованные данные неотличимы от неиспользуемых случайных данных (например, данных с диска, с которого была произведена надежная очистка ).

Смотрите также

Ссылки

  1. ^ Лидделл, Генри Джордж ; Скотт, Роберт; Джонс, Генри Стюарт ; Маккензи, Родерик (1984). Греко-английский лексикон . Oxford University Press .
  2. ^ Ривест, Рональд Л. (1990). «Криптография». В J. Van Leeuwen (ред.). Справочник по теоретической информатике . Т. 1. Elsevier.
  3. ^ Белларе, Михир; Рогауэй, Филипп (21 сентября 2005 г.). "Введение". Введение в современную криптографию . п. 10.
  4. ^ Садхан, Саттар Б. (декабрь 2013 г.). «Основная лекция по междисциплинарным вопросам в области криптологии и информационной безопасности». Международная конференция по электросвязи, вычислительной технике, энергетике и технике управления 2013 г. (ICECCPCE) . стр. 1–2. doi :10.1109/ICECCPCE.2013.6998773. ISBN 978-1-4799-5633-3. S2CID  22378547. Архивировано из оригинала 27 августа 2022 г. . Получено 20 сентября 2022 г. .
  5. ^ abcdefg Менезес, А. Дж.; ван Ооршот, П. К.; Ванстоун, С. А. (1997). Справочник по прикладной криптографии. Тейлор и Фрэнсис. ISBN 978-0-8493-8523-0.
  6. ^ ab Biggs, Norman (2008). Коды: введение в информационную связь и криптографию . Springer. стр. 171.
  7. ^ ab "Обзор по странам". Обзор крипто-законодательства . Февраль 2013 г. Архивировано из оригинала 1 января 2013 г. Получено 26 марта 2015 г.
  8. ^ ab "Закон о раскрытии шифрования данных в Великобритании вступил в силу". PC World . 1 октября 2007 г. Архивировано из оригинала 20 января 2012 г. Получено 26 марта 2015 г.
  9. ^ abcd Рейнджер, Стив (24 марта 2015 г.). «Тайная война с вашими интернет-секретами: как онлайн-наблюдение подорвало наше доверие к сети». TechRepublic. Архивировано из оригинала 12 июня 2016 г. Получено 12 июня 2016 г.
  10. ^ ab Doctorow, Cory (2 мая 2007 г.). «Пользователи Digg восстают из-за ключа AACS». Boing Boing . Архивировано из оригинала 12 мая 2015 г. . Получено 26 марта 2015 г. .
  11. ^ Уэйлен, Теренс (1994). «Код золота: Эдгар Аллан По и криптография». Представления . 46 (46). Издательство Калифорнийского университета: 35–57. doi : 10.2307/2928778. JSTOR  2928778.
  12. ^ Розенхайм, Шон (1997). Криптографическое воображение: тайнопись от Эдгара По до Интернета. Издательство Университета Джонса Хопкинса. стр. 20. ISBN 978-0801853319.
  13. ^ abcd Кан, Дэвид (1967). Взломщики кодов . ISBN 978-0-684-83130-5.
  14. ^ "Введение в современные криптосистемы". Архивировано из оригинала 17 ноября 2015 г. Получено 12 октября 2015 г.
  15. ^ Sharbaf, MS (1 ноября 2011 г.). «Квантовая криптография: новая технология в сетевой безопасности». Международная конференция IEEE 2011 года по технологиям для внутренней безопасности (HST) . стр. 13–19. doi :10.1109/THS.2011.6107841. ISBN 978-1-4577-1376-7. S2CID  17915038.
  16. ^ "криптология | Britannica". www.britannica.com . Архивировано из оригинала 10 июля 2022 г. Получено 22 июня 2022 г.
  17. ^ Одед Голдрайх , Основы криптографии, Том 1: Основные инструменты , Cambridge University Press, 2001, ISBN 0-521-79172-3 
  18. ^ "Криптология (определение)". Merriam-Webster's Collegiate Dictionary (11-е изд.). Merriam-Webster . Получено 26 марта 2015 г. .
  19. ^ Ширей, Роб (май 2000 г.). "Глоссарий безопасности Интернета". Internet Engineering Task Force . doi :10.17487/RFC2828. RFC 2828 . Архивировано из оригинала 18 апреля 2015 г. . Получено 26 марта 2015 г. . 
  20. ^ Military.com (13 мая 2021 г.). «Что такое лингвист-криптолог?». Military.com . Получено 17 июля 2023 г. .
  21. ^ Джеймс Д. Бенсон; Майкл Дж. Каммингс; Уильям С. Гривз, ред. (январь 1988 г.). Лингвистика в системной перспективе . Издательская компания Джона Бенджамина. стр. 38. ISBN 9789027278760.
  22. ^ Saltzman, Benjamin A. (1 октября 2018 г.). «Vt hkskdkxt: Ранняя средневековая криптография, текстовые ошибки и переписное агентство». Speculum . 93 (4): 975–1009. doi :10.1086/698861. ISSN  0038-7134. S2CID  165362817. Архивировано из оригинала 26 февраля 2022 г. . Получено 26 февраля 2022 г. .
  23. ^ И︠А︡щенко, В.В. (2002). Криптография: введение. AMS Bookstore. С. 6. ISBN 978-0-8218-2986-8.
  24. ^ electricpulp.com. "CODES – Encyclopaedia Iranica". www.iranicaonline.org . Архивировано из оригинала 5 марта 2017 г. . Получено 4 марта 2017 г. .
  25. ^ Кан, Дэвид (1996). Взломщики кодов: всеобъемлющая история секретной связи с древних времен до Интернета. Саймон и Шустер. ISBN 978-1439103555. Архивировано из оригинала 1 июля 2023 г. . Получено 16 октября 2020 г. .
  26. ^ Бромелинг, Лайл Д. (1 ноября 2011 г.). «Отчет о раннем статистическом выводе в арабской криптологии». The American Statistician . 65 (4): 255–257. doi :10.1198/tas.2011.10191. S2CID  123537702.
  27. ^ Сингх, Саймон (2000). Книга кодов . Нью-Йорк: Anchor Books . С. 14–20. ISBN 978-0-385-49532-5.
  28. ^ ab Al-Kadi, Ibrahim A. (апрель 1992 г.). «Истоки криптологии: арабский вклад». Cryptologia . 16 (2): 97–126. doi :10.1080/0161-119291866801.
  29. ^ Шрёдель, Тобиас (октябрь 2008 г.). «Breaking Short Vigenère Ciphers». Cryptologia . 32 (4): 334–337. doi :10.1080/01611190802336097. S2CID  21812933.
  30. ^ Хаким, Джой (1995). История США: Война, мир и весь этот джаз . Нью-Йорк: Oxford University Press . ISBN 978-0-19-509514-2.
  31. ^ Ганнон, Джеймс (2001). Кража секретов, ложь: как шпионы и дешифровальщики помогли сформировать двадцатый век. Вашингтон, округ Колумбия: Brassey's. ISBN 978-1-57488-367-1.
  32. ^ "The Legacy of DES – Schneier on Security". www.schneier.com . Архивировано из оригинала 23 февраля 2022 г. . Получено 26 января 2022 г. .
  33. ^ abc Диффи, Уитфилд ; Хеллман, Мартин (ноябрь 1976 г.). "Новые направления в криптографии" (PDF) . IEEE Transactions on Information Theory . IT-22 (6): 644–654. CiteSeerX 10.1.1.37.9720 . doi :10.1109/tit.1976.1055638. Архивировано (PDF) из оригинала 3 декабря 2017 г. . Получено 16 ноября 2015 г. . 
  34. ^ Сингх, Саймон (1999). Книга кодов: Наука секретности от Древнего Египта до квантовой криптографии (Первое издание Anchor Books). Нью-Йорк: Anchor Books. С. 278. ISBN 978-0-385-49532-5.
  35. ^ Криптография: теория и практика , третье издание (дискретная математика и ее приложения), 2005, Дуглас Р. Стинсон, Чепмен и Холл/CRC
  36. ^ Blaze, Matt ; Diffie, Whitefield ; Rivest, Ronald L. ; Schneier, Bruce ; Shimomura, Tsutomu ; Thompson, Eric ; Wiener, Michael (январь 1996 г.). "Минимальная длина ключей для симметричных шифров для обеспечения адекватной коммерческой безопасности". Fortify . Архивировано из оригинала 24 сентября 2015 г. . Получено 26 марта 2015 г. .
  37. ^ Diffie, W.; Hellman, M. (1 сентября 2006 г.). «Новые направления в криптографии». IEEE Transactions on Information Theory . 22 (6): 644–654. doi :10.1109/TIT.1976.1055638. Архивировано из оригинала 19 апреля 2022 г. Получено 19 апреля 2022 г.
  38. ^ "FIPS PUB 197: The official Advanced Encryption Standard" (PDF) . Центр ресурсов по компьютерной безопасности . Национальный институт стандартов и технологий . Архивировано из оригинала (PDF) 7 апреля 2015 г. . Получено 26 марта 2015 г. .
  39. ^ "Письмо NCUA кредитным союзам" (PDF) . Национальная администрация кредитных союзов . Июль 2004 г. Архивировано (PDF) из оригинала 12 сентября 2014 г. . Получено 26 марта 2015 г. .
  40. ^ Финни, Хэл; Тайер, Родни Л.; Доннерхаке, Лутц; Каллас, Джон (ноябрь 1998 г.). "Открытый формат сообщений PGP". Internet Engineering Task Force . doi :10.17487/RFC2440. RFC 2440 . Архивировано из оригинала 15 марта 2015 г. . Получено 26 марта 2015 г. . 
  41. ^ Golen, Pawel (19 июля 2002 г.). "SSH". WindowSecurity . Архивировано из оригинала 29 октября 2009 г. . Получено 26 марта 2015 г. .
  42. ^ ab Schneier, Bruce (1996). Прикладная криптография (2-е изд.). Wiley . ISBN 978-0-471-11709-4.
  43. ^ Paar, Christof (2009). Понимание криптографии: учебник для студентов и практиков. Ян Пельцль. Берлин: Springer. стр. 123. ISBN 978-3-642-04101-3. OCLC  567365751.
  44. ^ Бернстайн, Дэниел Дж.; Ланге, Таня (14 сентября 2017 г.). «Постквантовая криптография». Nature . 549 (7671): 188–194. Bibcode :2017Natur.549..188B. doi :10.1038/nature23461. ISSN  0028-0836. PMID  28905891. S2CID  4446249. Архивировано из оригинала 10 июля 2022 г. Получено 26 августа 2022 г.
  45. ^ ab "Объявление о запросе на выдвижение кандидатур на новый алгоритм криптографического хэширования (SHA–3)" (PDF) . Федеральный реестр . 72 (212). 2 ноября 2007 г. Архивировано (PDF) из оригинала 28 февраля 2008 г.
  46. ^ ab "NIST выбирает победителя конкурса Secure Hash Algorithm (SHA-3)". NIST . Национальный институт стандартов и технологий . 2 октября 2012 г. Архивировано из оригинала 2 апреля 2015 г. Получено 26 марта 2015 г.
  47. ^ Диффи, Уитфилд ; Хеллман, Мартин (8 июня 1976 г.). «Многопользовательские криптографические методы». Труды AFIPS . 45 : 109–112. doi :10.1145/1499799.1499815. S2CID  13210741.
  48. ^ Ральф Меркл в то время работал над похожими идеями и столкнулся с задержками публикации, и Хеллман предложил использовать термин «криптография с асимметричным ключом Диффи–Хеллмана–Меркла».
  49. ^ Кан, Дэвид (осень 1979 г.). «Криптология становится публичной». Foreign Affairs . 58 (1): 141–159. doi :10.2307/20040343. JSTOR  20040343.
  50. ^ "Использование аутентификации на основе клиентского сертификата с NGINX в Ubuntu". SSLTrust . Архивировано из оригинала 26 августа 2019 г. Получено 13 июня 2019 г.
  51. ^ Rivest, Ronald L. ; Shamir, A.; Adleman, L. (1978). "Метод получения цифровых подписей и криптосистем с открытым ключом" (PDF) . Communications of the ACM . 21 (2): 120–126. CiteSeerX 10.1.1.607.2677 . doi :10.1145/359340.359342. S2CID  2873616. Архивировано из оригинала (PDF) 16 ноября 2001 г. Ранее выпущено в апреле 1977 года в качестве «Технической записки» Массачусетского технологического института и опубликовано в колонке «Математические развлечения » журнала Scientific American Мартина Гарднера .
  52. ^ ab Wayner, Peter (24 декабря 1997 г.). «British Document Outlines Early Encryption Discovery». The New York Times . Архивировано из оригинала 27 июня 2017 г. Получено 26 марта 2015 г.
  53. ^ Кокс, Клиффорд (20 ноября 1973 г.). «Заметка о „несекретном шифровании“» (PDF) . Исследовательский отчет CESG . Архивировано (PDF) из оригинала 27 июля 2011 г. . Получено 22 июля 2009 г. .
  54. ^ Сингх, Саймон (1999). Книга кодов . Doubleday . стр. 279–292. ISBN 9780385495318.
  55. ^ Шеннон, Клод; Уивер, Уоррен (1963). Математическая теория связи . Издательство Иллинойсского университета . ISBN 978-0-252-72548-7.
  56. ^ "Пример атаки типа "человек посередине" против SSL-сессий с аутентификацией на сервере" (PDF) . Архивировано (PDF) из оригинала 3 июня 2016 г. . Получено 13 октября 2015 г. .
  57. ^ Junod, Pascal (2001). «О сложности атаки Мацуи». Избранные области криптографии (PDF) . Конспект лекций по информатике. Том 2259. С. 199–211. doi :10.1007/3-540-45537-X_16. ISBN 978-3-540-43066-7.
  58. ^ Сонг, Дон; Вагнер, Дэвид А .; Тянь, Сюцин (2001). "Анализ времени нажатия клавиш и атаки по времени на SSH" (PDF) . Десятый симпозиум по безопасности USENIX .
  59. ^ Брэндс, С. (1994). «Неотслеживаемые офлайновые наличные в кошельке с наблюдателями». Достижения в криптологии – CRYPTO' 93. Конспект лекций по информатике. Том 773. С. 302–318. doi :10.1007/3-540-48329-2_26. ISBN 978-3-540-57766-9. Архивировано из оригинала 26 июля 2011 года.
  60. ^ Бабай, Ласло (1985). «Теория торговых групп для случайности». Труды семнадцатого ежегодного симпозиума ACM по теории вычислений – STOC '85. стр. 421–429. CiteSeerX 10.1.1.130.3397 . doi :10.1145/22145.22192. ISBN  978-0-89791-151-1. S2CID  17981195.
  61. ^ Goldwasser, S. ; Micali, S. ; Rackoff, C. (1989). «Сложность знаний интерактивных систем доказательств». SIAM Journal on Computing . 18 (1): 186–208. CiteSeerX 10.1.1.397.4002 . doi :10.1137/0218012. 
  62. ^ Блейкли, Г. (июнь 1979 г.). «Защита криптографических ключей». Труды AFIPS 1979 г. 48 : 313–317.
  63. ^ Шамир, А. (1979). «Как поделиться секретом». Сообщения ACM . 22 (11): 612–613. doi : 10.1145/359168.359176 . S2CID  16321225.
  64. ^ Gunathilake, Nilupulee A.; Al-Dubai, Ahmed; Buchana, William J. (2 ноября 2020 г.). «Последние достижения и тенденции в области облегченной криптографии для безопасности Интернета вещей». 16-я Международная конференция по управлению сетями и услугами (CNSM) 2020 г. Измир, Турция: IEEE. стр. 1–5. doi : 10.23919/CNSM50824.2020.9269083. ISBN 978-3-903176-31-7. S2CID  227277538. Архивировано из оригинала 24 апреля 2021 г. . Получено 24 апреля 2021 г. .
  65. ^ Thakor, Vishal A.; Razzaque, Mohammad Abdur; Khandaker, Muhammad RA (2021). «Легковесные алгоритмы криптографии для устройств IoT с ограниченными ресурсами: обзор, сравнение и возможности исследования». IEEE Access . 9 : 28177–28193. Bibcode : 2021IEEEA...928177T. doi : 10.1109/ACCESS.2021.3052867 . ISSN  2169-3536. S2CID  232042514.
  66. ^ Коэн, Фред (1995). "2.4 – Приложения криптографии". all.net . Архивировано из оригинала 24 августа 1999 года . Получено 21 декабря 2021 года .
  67. ^ "4 распространенных метода шифрования для защиты конфиденциальных данных от посторонних глаз". GetApp . Архивировано из оригинала 14 мая 2022 г. Получено 14 мая 2022 г.
  68. ^ abcde Чемберлен, Остин (12 марта 2017 г.). «Применение криптографии | UCL Risky Business». blogs.ucl.ac.uk . Архивировано из оригинала 26 февраля 2018 г. . Получено 21 декабря 2021 г. .
  69. ^ "6.5.1 Каковы криптографические политики некоторых стран?". RSA Laboratories . Архивировано из оригинала 16 апреля 2015 г. Получено 26 марта 2015 г.
  70. ^ Rosenoer, Jonathan (1995). "Криптография и речь". CyberLaw . Архивировано из оригинала 1 декабря 2005 года . Получено 23 июня 2006 года .
  71. ^ «Дело закрыто по расследованию PGP Циммермана». Технический комитет по безопасности и конфиденциальности IEEE Computer Society . 14 февраля 1996 г. Архивировано из оригинала 11 июня 2010 г. Получено 26 марта 2015 г.
  72. ^ abc Леви, Стивен (2001). Крипто: как код бунтует против правительства – сохранение конфиденциальности в цифровую эпоху . Penguin Books . стр. 56. ISBN 978-0-14-024432-8. OCLC  244148644.
  73. ^ "Bernstein v USDOJ". Electronic Privacy Information Center . United States Court of Appeals for the Ninth District . 6 мая 1999 г. Архивировано из оригинала 13 августа 2009 г. Получено 26 марта 2015 г.
  74. ^ "Список двойного назначения – Категория 5 – Часть 2 – "Информационная безопасность"" (PDF) . Вассенаарские соглашения . Архивировано из оригинала 26 сентября 2018 года . Получено 26 марта 2015 года .
  75. ^ ".4 Законы США об экспорте/импорте криптографии". RSA Laboratories . Архивировано из оригинала 31 марта 2015 г. Получено 26 марта 2015 г.
  76. ^ Шнайер, Брюс (15 июня 2000 г.). «Стандарт шифрования данных (DES)». Crypto-Gram . Архивировано из оригинала 2 января 2010 г. Получено 26 марта 2015 г.
  77. ^ Копперсмит, Д. (май 1994 г.). «Стандарт шифрования данных (DES) и его устойчивость к атакам» (PDF) . IBM Journal of Research and Development . 38 (3): 243–250. doi :10.1147/rd.383.0243. Архивировано из оригинала 4 марта 2016 г. Получено 26 марта 2015 г.
  78. ^ Бихам, Э.; Шамир, А. (1991). «Дифференциальный криптоанализ криптосистем типа DES». Журнал криптологии . 4 (1): 3–72. doi :10.1007/bf00630563. S2CID  206783462.
  79. ^ "Закон об авторском праве в цифровую эпоху 1998 года" (PDF) . Бюро регистрации авторских прав США . Архивировано (PDF) из оригинала 8 августа 2007 года . Получено 26 марта 2015 года .
  80. ^ Фергюсон, Нильс (15 августа 2001 г.). «Цензура в действии: почему я не публикую свои результаты HDCP». Архивировано из оригинала 1 декабря 2001 г. Получено 16 февраля 2009 г.
  81. ^ Шнайер, Брюс (6 августа 2001 г.). «Арест исследователя компьютеров — это арест прав, предусмотренных Первой поправкой». InternetWeek. Архивировано из оригинала 7 марта 2017 г. Получено 7 марта 2017 г.
  82. ^ Уильямс, Кристофер (11 августа 2009 г.). «Двое осуждены за отказ расшифровать данные». The Register . Архивировано из оригинала 17 марта 2015 г. Получено 26 марта 2015 г.
  83. ^ Уильямс, Кристофер (24 ноября 2009 г.). «Великобритания сажает шизофреника в тюрьму за отказ расшифровать файлы». The Register . Архивировано из оригинала 26 марта 2015 г. Получено 26 марта 2015 г.
  84. ^ Ингольд, Джон (4 января 2012 г.). «Дело о пароле переосмысливает права Пятой поправки в контексте цифрового мира». The Denver Post . Архивировано из оригинала 2 апреля 2015 г. Получено 26 марта 2015 г.
  85. ^ Лейден, Джон (13 июля 2011 г.). «Тест суда США на право не передавать криптоключи». The Register . Архивировано из оригинала 24 октября 2014 г. Получено 26 марта 2015 г.
  86. ^ «Приказ о предоставлении разрешения на ходатайство в соответствии с Законом обо всех судебных приказах, требующий от ответчика Фрикосу оказать содействие в исполнении ранее выданных ордеров на обыск» (PDF) . Окружной суд Соединенных Штатов по округу Колорадо . Архивировано (PDF) из оригинала 9 июня 2021 г. . Получено 26 марта 2015 г.

Дальнейшее чтение

Внешние ссылки