Комбинация криптографических алгоритмов с симметричными и асимметричными ключами

Симметричные алгоритмы используются для шифрования и проверки целостности ин­формации. Асимметричные алгоритмы используются для обмена ключами и создания элек­тронной цифровой подписи.

Особенность комбинирования криптографических алгоритмов с симметричными и асим­метричными ключами заключается в том, что шифрование информации происходит на комби­нации симметричного ключа, созданного администратором УКЦ, и ключа, созданного на основе асимметричных ключей, создаваемых пользователями.

Такая схема позволяет ограничить доступ к информации со стороны администратора безопасности, которому известны все симметричные ключи в сети, но неизвестны асимметрич­ные ключи пользователей.

В технологии ViPNet используются следующие симметричные алгоритмы: ГОСТ 28147- 89 (256 бит), DES (56 бит), 3DES (168 бит), RC6 (256 бит), AES (256 бит).

В асимметричном алгоритме ГОСТ Р 34.10-2001 для распределения ключей используются открытый и закрытый ключи длиной 256 бит и 512 бит.

Когда говорят, что какой-то объект (это может быть сеть, сетевой объект, коллектив, або­нент) имеет асимметричный ключ, то это означает, что данный объект сам создал АСК (как случайную комбинацию путем использования ДСЧ) и хранит этот АСК в секрете наравне с ос­тальными ключами. Кроме того, этот объект создает соответствующий АОК и помещает его в справочник. В системе ViPNet реализована строгая рассылка справочников открытых ключей. Во-первых, эти справочники рассылаются под защитой симметричных ключей, во-вторых, они рассылаются только тем, с кем разрешены связи. Это обеспечивает значительно более высокий уровень защиты справочников от подмены, по сравнению с системами, допускающими свобод­ный доступ к справочникам открытых ключей.

Имеются два типа асимметричных ключей (АК) - асимметричные ключи подписи (АКП) и асимметричные ключи шифрования (АКШ).

Использование асимметричных ключей шифрования предполагает определенный прото­кол, в результате которого на основе открытого распределения ключей вырабатывается симмет­ричный ключ обмена. В системе ViPNet этот протокол выполняется на прикладном уровне. По­лученный в результате протокола симметричный ключ, свернутый с соответствующим ключом обмена коллективов, передается Драйверу ViPNet для использования на сетевом уровне при создании VPN и приложениям для использования на прикладном уровне, например Деловой почте. В системе ViPNet используется алгоритм Диффи-Хелмана, и в целом этот протокол вы­глядит следующим образом.

Пусть (АСКШ1, АОКШ1) - асимметричная пара первого объекта и (АСКШ2, АОКШ2) - асимметричная пара второго объекта. Первый объект формирует значение L12 = АОКШ2 ** АСКШ1 (mod Р), второй объект формирует значение L21 = АОКШ1 ** АСКШ2 (mod Р). В силу природы открытых ключей имеем L12 = L21. Величины Lij имеют размерность модуля, т.е. 1024 бита. Симметричный ключ из данных величин получается следующим образом: вектор Lij делится на четыре подвектора размера 256 бит каждый и затем эти подвекторы складываются поразрядно по модулю 2. Получившееся значение (32 байта) используется для создания произ­водного симметричного ключа шифрования (путем криптографической свертки с симметрич­ным ключом, созданным вУКЦ).

Таким образом, в системе ViPNet ключ обмена - это свертка двух ключей, один из кото­рых есть элемент симметричной матрицы ключей, второй получается из открытого распределе­ния ключей посредством описанного выше протокола.

В системе ViPNet имеются свои особенности в использовании открытых ключей ЭЦП. А именно, нет необходимости использовать систему рассылки или организации доступа к спра­вочникам для АОКП (сертификатам ЭЦП). Каждый АОКП прикрепляется к подписанной ин­формации, хранится и рассылается вместе с ней, что значительно упрощает контроль сроков действия подписи. В отношении генерации ключей ЭЦП предусмотрены две возможности: централизованное изготовление этих ключей в УКЦ и изготовление этих ключей самими поль­зователями.

Для реализации процедуры сертификации открытых ключей введено понятие «Админист­ратор УКЦ» (Уполномоченное лицо или в версии 2.* Главный абонент). Главных абонентов в сети может быть один или несколько и им доверяется сертифицировать (подписывать) АОКП абонентов своей сети.

АОКШ сертифицируются опосредованно: эти ключи подписываются абонентами (пользо­вателями) их сформировавшими, подпись которых сертифицирована УЛ. Выпуск сертификатов ЭЦП осуществляет УКЦ ViPNet.

На схеме 2 показана процедура формирования симметричных ключей шифрования в УКЦ.

 

Роль сертификационного центра выполняет Удостоверяющий Ключевой Центр (УКЦ). Открытые асимметричные ключи подписи Уполномоченных лиц сети помещаются на ключе­вые дискеты (КД) пользователей, на которые помещается индивидуальная ключевая информа­ция пользователя (подробно о формировании и составе КД смотри ниже). На схеме 3 представ­лена процедура сертификации ЭЦП пользователя.

Открытые асимметричные ключи шифрования сертифицируются опосредованно: эти ключи подписываются пользователями их сформировавшими, подпись которых сертифициро­вана УЛ».