Реферат: Проект NESSIE
Реферат: Проект NESSIE
Краткий обзор
Несмотря на более чем 25 лет открытых исследований в области криптографических алгоритмов, большая часть приложений до сих пор используют небезопасные криптографические алгоритмы. Данный материал пытается объяснить эту проблему и то почему требуется непрерывное исследование в этой области. Так же будет обсуждаться статус проекта NESSIE (New European Schemes for Signature, Integrity and Encryption), этого 40 – месячного исследовательского проекта (2000 – 2003), который собирается предложить новое поколение криптографических алгоритмов полученных после открытого конкурса и открытого процесса оценки.
1. Введение
Криптографические алгоритмы играю ключевую роль в информационном обществе. Когда мы пользуемся банкоматами или кредитными картами, звоним кому – то на мобильный телефон, пользуемся услугами здравоохранения или покупает что – либо через интернет, криптографические алгоритмы активно используются для защиты наших персональных данных. Эти алгоритмы гарантируют, что ни кто не сможет украсть деньги с нашего банковского счета, позвонить за наш счет, подслушать наши телефонные разговоры или получить несанкционированный доступ к важным для нас данным. Очевидно, что информационные технологии распространяются все больше: в ближайшей перспективе мы ожидаем увидеть более развитое электронное правительство, электронное голосование и электронную коммерцию. В этих новых условиях возникают новые вызовы в области безопасности, и здесь нет сомнений, что криптографические алгоритмы и протоколы станут частью решения.
До тех пор пока криптография является важным компонентом в нашей жизни, ее значимость сложно переоценить. И действительно, ответственность за провал в системах безопасности часто возлагается на другие факторы, нежели на криптографическую часть (см. пример Anderson [1]). Тем не менее, криптографические алгоритмы являются частью основы системы безопасности, при том, что любая система безопасности со слабой основой – рухнет. Таким образом, нет смысла использовать слабые криптографические алгоритмы. Тем не менее, слабые криптографические алгоритмы, мы встречаем чаще, чем хотелось бы, и это обуславливается несколькими причинами:
- Криптография является интересной дисциплиной, которая имеет тенденцию притягивать "самостоятельных" людей, не знающих о научных разработках предыдущих 25 лет. Их самодельные алгоритмы взламываются экспертом в течение нескольких минут.
- Использование короткого ключа, от части, по причине экспортного контроля (главный образом в США, где доминирует рынок программного обеспечения) который ограничивает длину ключа до 40 бит (или 56 бит) для симметричных шифров, 512 бит для систем, основанных на факторинге (RSA) и дискретного логарифма по модулю большого простого числа (Diffie–Hellman). Экспортные ограничения в большей степени были сняты в январе и октябре 2000 года (подробнее см. Koops [15]). В странах, где такие ограничения все еще действуют, проходит много времени, прежде чем изменения алгоритмов вступают в силу.
- Открытое научное исследование криптоанализа стартовало в середине 1970 годов. Криптография сейчас – это учрежденная дисциплина академических исследований, и IACR (Международная ассоциация криптографических исследований) включает в себя более 1000 сотрудников, вследствие чего, разрабатываются все новые и новые методы взлома криптосистем, в то время как их стойкость так же растет.
- Развитие вычислительных мощностей компьютера: Закон Мура сформулированный в 1965 году, прогнозирует удвоение числа транзисторов каждые 18 месяцев. Эмпирические наблюдения доказали его правоту (по крайней мере для плотности данных) и эксперты верят, что закон будет работать по крайней мере еще 15 лет. Вследствие закона Гордона Мура становится ясно, что вычислительная мощность компьютера удваивается каждые 18 месяцев при той же стоимости производства. Это обстоятельство означает, что найти ключ для симметричного алгоритма через 15 лет будет 1000 раз дешевле (при этом возникает необходимость увеличить длину ключа на 10 бит, чтобы его безопасность осталась на прежнем уровне). Еще большая угроза исходит от новых типов компьютеров: если квантовый компьютер будет создан, разложение на множители станет очень легкой задачей (результат Shor 1994 [27]). В то время как первые эксперименты выглядят многообещающими, эксперты разделились во мнении по вопросу создания мощных квантовых компьютеров в течение следующих 15 лет. Для криптографии с симметричными шифрами, квантовые компьютеры являются меньшей угрозой: квантовые компьютеры могут уменьшить время для поиска 2n-bit ключа на время поиска n-bit ключа (используя алгоритм Гровера [11]). Отсюда следует, что удвоение длинны ключа, позволит поддержать уровень защиты на том же уровне.
Результатом перечисленных выше причин становится то, что небезопасные криптографические алгоритмы распространены больше, чем этого хотелось бы. Для решения этих проблем, адекватные механизмы контроля должны быть установлены на нескольких уровнях:
- Должен пройти длительный период оценки, прежде чем алгоритм будет использоваться. Эксперты пришли к мнению, что потребуется период от 3 до 5 лет между первой публикацией и использованием.
- Во время использования примитива требуется непрерывный контроль для проверки на стойкость. Особенно для примитивов с публичным ключом, являющихся параметрируемыми, где строгий контроль необходим для определения минимальной длинный ключа.
- Соответствующие процедуры должны быть предсказаны для того чтобы вывести алгоритм из строя или улучшить его. Одиночный DES это типичный пример алгоритма, который был использован за пределами своей жизни (для большинства приложений 56 битный ключ не был адекватным уже в 1990 годах). Другой пример это алгоритм GSM шифрования A5/1: эксперты сошлись во мнении, что этот алгоритм не так безопасен, как предполагалось (см. Бирюков и др. [4]), но так же тяжел в обновлении.
На последнюю проблему нужно обратить особое внимание: в целях аутентификации данных, слабые места системы безопасности которые были обнаружены, обычно не чувствительны к старым событиям и долгосрочная безопасность может быть достигнута при помощи таких методов как повторное подписание. Тем не менее, для конфиденциальности данная проблема является гораздо более существенной: невозможно предотвратить доступ к информации противника, имеющего зашифрованный текст, в то время как, в некоторых случаях (например, медицинские бумаги) секретность в 50 – 100 лет является необходимой. Это означает, что алгоритм шифрования, используемый сейчас должен противостоять атакам до 2075 года. Легко представить, как надежно должна была быть спроектирована система шифрования в 1925, чтобы быть надежной в течение 75 лет. Нет ни каких оснований полагать, что эта задача была проще в начале 21 века.
Оставшаяся часть работы организована следующим образом: раздел 2 объясняет, как криптографические задачи могут быть решены и какова роль сложных исследовательских проектов. Раздел 3 вводит в основы проекта NESSIE. В разделе 4 обсуждается статус алгоритмов входящих в проект NESSIE за 6 месяцев до окончания проект, и в разделе 5 будут представлены сделанные выводы.
2. Решение проблемы криптографии
Следующие элементы имеют особое значение для решения криптографической проблемы: стандартизация, исследование и открытый процесс оценки.
Первым элементом является использование открытых механизмов стандартизации, которые основаны на научной оценке, без влияния коммерческого давления. Очевидно, что алгоритмы должны быть включены в стандарты, только если они были внимательно исследованы. Кроме того, органу по стандартизации следует создать адекватные механизмы обслуживания, с тем, чтобы своевременно отозвать алгоритм или обновить параметры.
Одной из проблем является наличие большого количества органов по стандартизации, каждый из которых имеет свой подход (EESSI, ETSI, IEEE, IETF, ISO, NIST, ANSI,...). Как стандартные процедуры обслуживания - механизмы отзыва алгоритмов, как правило слишком медленны и имеют широкие временные рамки. Примером успешных усилий стандартизации можно считать процесс отбора NIST для Advanced Encryption Standard, процесс длился 4 года, результатом чего стала публикация FIPS 197 в ноябре 2001 года [9].
В течение последних 25 лет, криптографические исследования достигли существенного прогресса и можно честно сказать, что криптография прошла большой путь, начав как "искусство" и закончив научной дисциплиной. Некоторые из наиболее важных событий, были сделаны под влиянием теоретической компьютерной науки: были разработаны строгие определения безопасности (данный процесс может занимать многие годы), и был введен редукционистский подход так же известный как "доказуемая безопасность".
Предполагается, что представлено формальное подтверждение того, что слабость криптографических примитивов будет означать возможность решения сложной проблемы. Следует так же отметить, что это значительно улучшает состояние самого искусства, но не решает ключевой вопрос: какие проблемы трудно решить?
Доказать, что проблема является тяжелой, как известно, трудно. Джеймс Л. Месси говорил: "Трудной проблемой является проблема, над которой ни кто не работает". Как следствие, современная криптография открытого ключа, которая зависит от ограниченного набора задач, считается сложной. Большинство из этих задач происходят из алгебраической теории чисел, наиболее популярные из которых представлены в виде продуктов больших простых чисел и вычислений дискретного логарифма по модулю большого простого числа.
Дискретный логарифм в других алгебраических структурах (определяется при помощи эллиптических и гиперэллиптических кривых) также заслуживает внимания. Однако существует явная необходимость выполнения дополнительных исследований трудных проблем, и построения новых схем других классов трудных задач. В области симметричной криптографии, подобный редукционистской подход используется в настоящее время. Однако в этом случае сложные проблемы, как правило, не являются общими математическими проблемами. Безопасность основана на "специальных" решениях, которые были разработаны на основе многолетнего опыта и на основе оценки в отношении существующих и вновь создаваемых общих и специфических атак.
В этой области очень важна скорость работы. Существует потребность в новых, подвергшихся существенной оценке безопасности, алгоритмах (потоковые и блочных шифры, односторонние функции), которые имеют более высокий уровень безопасности и предоставляют более высокую производительность в новых условиях (64-разрядные процессоры, смарт-карты, приложения ультра-низкой мощности).
Для того чтобы гарантировать успех стандартизации механизмов – независимый и открытый процесс оценки, необходимо преодолеть разрыв между академическим сообществом исследований и требованиями приложений. Есть несколько причин необходимости таких усилий:
- Академические исследования в большей мере сфокусированы на предоставлении широкого спектра решений с различными свойствами, нежели на предоставлении единого решения.
- Научные исследования не всегда могут полностью указать все детали алгоритма, а сосредоточить внимание на общих подходах к проектированию.
- Научные исследования часто игнорируют определенные "малые" кажущиеся "тривиальными" проблемы, которые необходимо решать в приложениях и стандартах. Однако такие мелкие детали могут иметь существенные последствия для безопасности. Хорошим примером является механизм, который указывает, какая хэш-функция была использована вместе со схемой подписи, см. Калински [12].
- Органы стандартизации не всегда в курсе самых последних учебных событий.
Успешные стандарты требуют ограниченного числа полностью заданных алгоритмов, что требуется для функциональной совместимости. Однако алгоритм является полезным только при наличии достаточного доверия, получаемого после проведения тщательной оценки безопасности. Она может включать проверку статистических и очевидных уязвимостей, применяя известные атаки, оценку безопасности от новых атак и тщательную проверку всех доказательств безопасности (необходимость в этом может быть проиллюстрирована, ошибка найдена Шоапом в 7-летний OAEP доказательство безопасности [28], ошибка была исправлена для RSA-OAEP Фуджисаки и др. [10]).
Процедура отбора для алгоритмов требует тщательного сравнения безопасности (на какой проблеме основан примитив, для какой модели требовалось доказать безопасность), производительности в различных условиях и другие вопросы, такие как интеллектуальная собственность. Обычно, органы по стандартизации не имеют ресурсов для такого тщательного сравнения и осмотра, и в связи с этим появляется явная необходимость во взаимодействии между научным сообществом и органами по стандартизации.
3. Проект NESSIE
Проект NESSIE (New European Schemes for Signature, Integrity, and Encryption) – Новые европейские Схемы для электронной подписи, целостности и шифрования – является научно-исследовательским проектом в рамках технологий информационного общества (IST) Программы Европейской Комиссии. Участники проекта: Католический университет Левена (Бельгия), координатор, Ecole Normale Sup'erieure (Франция), Royal Holloway, Лондонский университет (Великобритания), Siemens Aktiengesellschaft (Германия), Technion - Израильский технологический институт (Израиль), католический университет Лувена (Бельгия), и университет Берген (Норвегия). NESSIE является 40-месячным проектом, начавшегося 1 января 2000 года. Подробная и актуальная информация о проекте NESSIE доступна на http://cryptonessie.org/.
Далее мы обсудим открытый конкурс NESSIE и процедуру оценки, которая включает в себя как оценку безопасности, так и оценку эффективности. Мы также кратко обсудим программные средства, использовавшиеся в ходе оценки.
3.1 Конкурс NESSIE
В первый год проекта, был открыт конкурс на представление криптографических алгоритмов, а также был запущен процесс оценки методологии таких алгоритмов. Рамки этого конкурса были определены совместно с советом проекта промышленности (PIB); конкурс был объявлен в феврале 2000 года. Последним сроком подачи заявок было 29 сентября 2000 года. В ответ на этот конкурс NESSIE получил 40 предложений, каждое из которых было сопоставлено с предъявляемыми требованиями.
Конкурс NESSIE включает в себя запрос широкого круга алгоритмов, обеспечивающих конфиденциальность данных, аутентификацию данных, а также аутентификацию объектов. Эти алгоритмы включают блочные шифры, потоковые шифры, хеш-функции, MAC-алгоритмы, цифровые схемы подписи, шифрование открытого ключа и схемы идентификации (описание этих алгоритмов, см. [18]). Кроме того, конкурс NESSIE принимает методологии оценки для этих алгоритмов. Хотя ключевые протоколы создания также очень важны, было принято решение, что они должны быть исключены из конкурса, так как рамки конкурса и так достаточно широки.
Рамки конкурса NESSIE были гораздо шире, чем у конкурса AES запущенного NIST [20], который был ограничен лишь 128-битовыми блочными шифрами. Проект NESSIE так же сопоставим с проектом RACE (Research and Development in Advanced Communications Technologies in Europe) – RIPE (RACE Integrity Primitives Evaluation, 1988 – 1992) [26] (алгоритмы конфиденциальности были исключены из RIPE по политическим причинам), и японским проектом CRYPTREC [6] (который также включает в себя протоколы образования ключа и поколение псевдослучайных чисел). Другим отличием проекта NESSIE является то, что AES и CRYPTREC намерены производить алгоритмы для государственных стандартов. Результаты проекта NESSIE не будут приняты каким-либо правительством или Европейской комиссией. Тем не менее, планируется, что соответствующие органы по стандартизации примут эти результаты. Как, например алгоритмы цифровой подписи и хэш-функции могут быть включены в документы стандартизации EESSI, которые определяют алгоритмы, рекомендуемые для директивы европейской электронной подписи.
Конкурсом также определяются основные критерии отбора, которые будут использоваться для оценки поданных работ. Эти критерии являются критериями долгосрочной безопасности, требований рынка, эффективности и гибкости. Примитивы могут быть направлены на достижение специфических задач (например 8-битных смарт-карт или современных 64-разрядных процессоров), так же явным преимуществом будет являться широкая гибкость в использовании. Безопасность выдвигается как наиболее важный критерий, так как безопасность криптографического алгоритма имеет существенное значение для достижения доверия и консенсуса.
Страницы: 1, 2
