Криптосистема с депонируемыми ключами шифрования В апреле 1993 г. правительство США выступило с новой инициативой, направленной на повышение криптографической защиты связи и информации в интересах национальной и общественной безопасности, а также учитывающей определенные требования правоохранительных органов. Практически эту инициативу предлагалось реализовать с применением специального крипточипа Сliррег и криптосистемы с депонируемыми ключами шифрования Кеу Еscгоw Sуstеm (КЕS). Каждому крипточипу Сliррег при его производстве присваивается уникальный ключ (Dеviсе uniquе kеу). Одновременно этот ключ разделяется на две части, которые зашифровываются и передаются для хранения двум правительственным агентствам. При соединении этих частей восстанавливается ключ крипточипа и, пользуясь им, можно расшифровать сообщения, зашифрованные данным крипточипом. Правоохранительные органы при необходимости могут получить компоненты ключа по решению суда для прослушивания телефонных и радиопереговоров подозреваемых преступных элементов. Эти компоненты объединяются в специальном процессоре, выдающем ключ крипточипа. В феврале 1994 г. правительство США объявило о введении в действие стандарта на криптосистему с депонируемыми ключами шифрования ЕЕS (Еscгоwеd Еnсгурtion Stаndагt), предлагаемого как стандарт добровольного применения для защиты от перехвата несекретных, но важных, передаваемых по коммутируемым телефонным линиям сообщений (включая переговоры, факсы, данные). Многие организации и отдельные лица США принимали участие или заявили о своем намерении принять участие в разработке, оценке и практическом применении стандарта ЕЕS, а также поддержке криптосистемы с депонированием ключей шифрования КЕS. К ним относятся: министерство юстиции, являющееся спонсором этой системы. Национальный институт стандартов и технологий (NISI), Агентство национальной безопасности (АНБ), считающееся разработчиком системы, отдел автоматизированных систем министерства финансов (Dерагtmеnt оf thе Тгеаsuге Аutоmatеd Sуstеms Divisiоn), Федеральное бюро расследований (ФБР), как основной представитель правоохранительных органов, и различные организации, выступающие как внешние эксперты по криптотехнологиям. Общее руководство программой разработки КЕS осуществлял представитель NISI М. Смид (М. Smit). В качестве внешнего эксперта была привлечена известный специалист по криптологии Д. Деннинг (Dогоthу Dеnning), одна из авторов данной статьи. Стандарт ЕЕS предусматривает применение разработанного АНБ криптоалгоритма SКIРJАСК с ключом шифрования длиной 80 бит и специальным полем доступа для правоохранительных органов ЕЕАР (Law Епfогсеmеnt Ассеss Fild). Этот криптоалгоритм реализуется в защищенных от подделки крипточипах Сlipрег или криптоприборах другой формы. Стандарт также устанавливает, что каждый крипточип или другой криптоприбор имеет свой индивидуальный идентификатор прибора UID (Dеviсе Uniquе Identifier), ключ прибора КU (Dеviсе Uniquе Кеу) длиной 80 бит и обший ключ серии приборов КF (Fаmilу Кеу) длиной 80 бит. Идентификатор UID и все ключи прибора программируются в крипточипе после его изготовления, но до встраивания его в продукты безопасности. Хотя ключ прибора КU не используется для зашифрования сообщений, он вместе с полем LЕАF и ключом КF дает возможность уполномоченным правительством лицам получить секретный ключ шифрования и доступ к зашифрованным сообщениям. Методы формирования алгоритма SКIРJАСК и поля LЕАF являются секретными. Криптоалгоритм SКIРJАСК преобразует входные блоки открытого текста длиной 64 бит в выходные блоки шифротекста такой же длины с использованием секретного ключа шифрования длиной 80 бит. Поскольку этот же ключ используется для расшифрования блоков шифротекста, алгоритм SКIРJАСК относится к одноключевым криптоалгоритмам. Длина шифруемых блоков сообщений по алгоритму SКIРJАСК такая же, как и шифруемых по алгоритму DЕS, но ключ шифрования длиннее на 24 бита. Алгоритм SКIРJАСК может быть использован в одном или нескольких режимах шифрования по алгоритму DЕS: прямого шифроваяия (ЕСВ), сцепления блоков шифротекста (СВС), обратной связи от выходного блока шифротекста (ОFВ) и обрвтной связи от 1, 8, 16, 32 или 64 бит шифротекста (СFВ). Криптоалгоритм SКIРJАСК разработан АНБ и засекречен для того, чтобы исключить возможность его реализации в аппаратном или программном варианте без соблюдения требований депонирования ключей шифрования. Это повышает криптостойкость правительственного алгоритма, но вместе с тем снижает защищенность зашифрованных сообщений от действий правительственных правоохранительных органов. Кроме того, если бы методы формирования криптоалгоритма, ключа КF и поля LЕАF были известны, то можно было бы сконструировать приборы, способные взаимодействовать в реальном времени с приборами, реализуюшими принцип депонирования ключей. Ввиду секретности криптоалгоритма SКIРJАСК он недоступен для открытого анализа, как криптоалгоритм DЕS. Чтобы усилить доверие деловых и общественных кругов к новому криптоалгоритму, правительство пригласило нескольких внешних криптографов провести его всесторонний анализ и опубликовать результаты экспертизы. Группа экспертов пришла к выводу, что опасения, связанные с возможным наличием в алгоритме некоторых "ловушек", не вызывают большого риска, а раскрытие его известными методами невозможно, Поле правоохранительных органов LЕАF передается с каждым зашифрованным сообщением и представляет собой механизм передачи использованного сеансового ключа шифрования КS (Sеssiоn Кеу), так что правительственный орган, имеющий соответствующие полномочия (и только такой орган), может получить этот ключ и расшифровать сообшение. Хотя KS передается в поле ЕЕАР, последнее используется только правоохранительными органами и не является способом распределения этих ключей. Крипточип принимающей стороны не может извлечь КS из поля LЕАF. LЕАF вычисляется как функция ключа КS, идентификатора прибора UID и ключа прибора КU. Получающийся в результате блок содержит КS, зашифрованный на ключе КU (80 бит), идентификатор прибора UID (32 бита) и аутентификатор держателей депонированных частей ключа ЕА (Еsсгоw Authentificator, все зашифрованные на ключе КF. Таким образом, КS защищен двумя уровнями шифрования и поэтому не может быть получен из LЕАF без знания КF и КU. Назначение аутентификатора ЕА состоит в защите LЕАF от подделок, которые могли бы воспрепятствовать получение ключа КS официальными правительственными органами. Для того чтобы два лица могли использовать стандарт ЕЕS для эасекречивания своих телефонных переговоров, каждый из них должен иметь защищенный от несанкционированного использования телефонный аппарат со встроенным крипточипом системы КЕS. Установление соединения должно выполняться в соответствии с протоколом, обеспечивающим образование защищенного канала, переговоры о принятии секретного ключа КS или получение его от органа распределения ключей. Эти функции выполняет, например, прибор эасекречивания телефонной связи (Теlерhоnе Sесuritу Dеviсе) ТSD 3600 фирмы АТ&Т. Он включается в телефонную линию между микротелефонной трубкой и основным телефонным аппаратом и приводится в действие нажатием кнопки. После опрелеления ключа КS для выполнения операций шифрования крипточипом начинается формирование поля LЕАF с использованием КS и вектора инициализации IV, который может генерироваться крипточипом. Сформированное поле LЕАF передается затем вместе с IV в крипточип на приемном конце линии для синхронизвции аппаратов и проверки LЕАF. После синхрониэации обоих крипточипов может быть начат обмен сообщениями, зашифрованными на ключе КS. Речевые сообщения предварительно преобразуются в цифровую форму. Первая партия крипточипов системы КЕS была иэготовлена фирмой VLSI Тесhnоlоgу, а их программирование выполнила фирма Мykоtгоnх. Готовые крипточипы МYК-78Т фирмы Муkоtгоnх используются в приборах засекречивания телефонной связи ТSD-3600 фирмы АТ&Т. Эти приборы работают со скоростью 21 Мбит/с. Более совершенный крипточип системы КЕS, получивший название Сарstоnе, содержит все компоненты крипточипа Сliррег и, кроме того, компоненты, реализующие алгоритмы открытого обмена ключами КЕА (Кеу Ехсhаngе Algоrithm), формирования цифровой подписи DSА (Digital Signаtuге Аlgоrithm), хэширования SНА (Sесuге Наshing Аlgоrithm), высокоскоростного возведения в степень, а также генератор случайных чисел с источником чистого шума. Крипточип Сарstоnе выполняет все криптографические функции, необходимые для защиты коммерческой информации и других применений в рамках национальной информационной инфраструктуры (National Iпfоrmаtiоn Infrastuсtuге). Этот крипточип был впервые применен в интеллектуальных карточках РСМСIА (первоначальное название Теssега), предназначенных для использования в электронной почте системы обмена сообщениями МО США (Dеfеnsе Меssаging Sуstеm). Криптопродукты системы КЕS могут экспортироваться большинству конечных пользователей после предварительного рассмотрения их заказов. Эти продукты относятся к категории, требующей специальных лицензий на экспорт. Криптосистема КЕS дает возможность правительственным органам при наличии законного разрешения расшифровывать сообщения, зашифрованные конкретным прибором этой системы. Но она эффективно защищает от несанкционированного доступа к этим сообщениям. Программа реализации криптосистемы КЕS состоит из четырех фаз. Первая фаза включает период от сентября 1993 г. до апреля 1994 г. В течение этой фазы первые крипточипы были запрограммированы в опытном устройстве программированим и депонируемые части их ключей шифрования записывались на гибкие диски и хранились в сейфах. В то время не было доступного для правоохранительных органов процессора расшифрования для извлечения компонент ключа, поэтому применялись ручные процедуры их доставки. Начало второй фазы относится к маю 1994 г. На этом этапе криптосистема доводится до стадии промежуточной системы, в которой применяются комбинации ручных и автоматических операций. К системе добавляются опытный процессор расшифрования и простая программа извлечения компонентов ключа шифрования, записанных на гибких дисках. Крипчочипы Сliррег и Сaрstоnе системы КЕS программируются партиями в безопасных условиях. При этом присутствуют представители обоих агентств, являющихся держателями депонируемых компонентов ключа, и представитель организации, выполняющий программирование. Перед началом каждого сеанса программирования представители депонирующих агентств по отдельности выбирают номер ключа и случайное начальное заполнение, используемые в этом сеансе. Эти величины генерируются персональным компьютером с использованием системы доступа по интеллектуальным карточкам NISТ. Аналогично, перед началом первого сеанса каждый уполномоченный по ключам серии приборов (Fаmilу Кеу) генерирует свою долговременную составляющую этого ключа. Случайные величины, генерируемые представителями депонирующих агентств и уполномоченными по ключам серии приборов, загружаются в рабочую станцию в начале сеанса программирования. Составляющие ключа серии приборов объединяются для образования этого ключа, а номера ключей - ключа шифрования компонентов ключа КСК (Кеу Соmроnеnt Еnсiрhеring Кеу). Случайные начальные заполнения объединяются с дополнительно вводимой случайной величиной для генерации случайного ключа КU крипточипов. Каждый ключ КU программируется в крипточип вместе с индивидуальным идентификатором прибора UID и ключом серии приборов КF. При генерировании ключа КU образуются два его компонента (КС1 и КС2). Объединение этих компонентов методом суммированиа по mod2 и образует ключ КU. Компоненты КС1 и КС2 зашифровываются на ключе КСК и записываются на гибкие диски. Один компонент из числа всех компонентов передается представителю каждого депонирующего агентства для секретного хранения. Зашифрованные компоненты ключа шифрования (Еnсrурtеd Кеу Соmроnеnts) ЕЕС1 и ЕКС2 выдаются официальным правительственным агентам, как правило, правоохранительным органам, при наличии законных полномочий на прослушивание линий связи отдельных лиц, пользующихся аппаратами со встроенными крипточипами, содержащими ключ КU. Когда сотрудник правоохранительного органа обнаруживает интересующие его перехваченные зашифрованные сообщения, он передает их в процессор расшифрования систем КЕS, который расшифровывает LЕАF и извлекает идентификатор крипточипа UID, передавшего сообщения. Затем UID представляется депонирующим агентствам вместе с разрешением властей на проведение прослушивания. Во всех случаях государственный прокурор, участвующий в расследовании, должен подтверлить законность проводимого перехвата. В каждом из депонирующих агентств при обращении к ним правоохранительных органов производится поиск записанных на дисках компонентов ключа крипточипа (ЕКС1 и ЕКС2), и эти компоненты вместе с соответствующими номерами ключей передаются правоохранительному органу. Там эти величины вводятся в процессор расшифрования, который объединяет номера ключей для образования ключа КСК. Компоненты ЕКС1 и ЕКС2 расшифровываются с использованием этого ключа и объединяются для образования ключа КU крипточипа. Этот ключ дает возможность расшифрования сеансового ключа КS, который и используется для раскрытия всех сообщений, передаваемых в течение данного сеанса. В конце разрешенного периода перехвата сообщений правоохранительный орган должен стереть ключ КU в памяти процессора расшифрования и сообщить об зтом депонирующим агентствам. В системе КFS ведутся подробные записи в контрольном журнале, на основании которых можно установить, что ключи использовались только по законным разрешениям и не задерживались. Криптосистема КFS в завершенном виде будет максимально автоматизированной, с минимальным участием оператора. Ее повышенная безопасность будет достигнута благодаря применению проверенных аппаратных компонентов и программного обеспечения. В ее состав будут входить более совершенные устройство программирования крипточипов, процессор расшифрования и рабочие станции депонирующих агентств, а также новые приборы засекречивания информации КID (INFОSЕС Кеу Еsсгоw Dеviсе). Компоненты ключей шифрования будут храниться в рабочих станциях депонирующих агентств, Эти станции осуществляют электронный обмен ключевыми данными с устройством программирования крипточипов и процессором расшифрования. Передаваемая информация зашищается в каждом депонирующем агентстве прибором КID. Приборы КID реализуют алгоритмы шифрования SКIРJАСК, цифровой подписи и открытый обмен ключами по алгоритму с открытым ключом. Рабочие станции депонирующих агентств будут иметь автоматические средства регистрации и управления доступом, а также другие механизмы зашиты, обеспечиваюшие безопасное и надежное долговременное хранение компонентов ключей. Криптосистема КЕS в законченном виде дает возможность правоохранительным органам расшифровывать интересующие их сообщения, зашифрованные по алгоритму этой системы, спустя 2 ч после представления официального разрешения на это каждому из депонирующих агентств. Для криптосистемы КЕS могут представлять опасность угрозы двух типов: несанкционированное раскрытие эасекреченных данных и отказ в обслуживании эаконных пользователей. В этой системе приняты меры по предотвращению несанкционированного доступа к эасекреченным данным. Некоторые данные, используемые в системе КЕS, такие, как алгоритм SKIРJАСК и метод формирования поля LЕАF, имеют гриф "Секретно", а другие - ключи UК, компоненты ключей, их номера, случайные начальные заполнения - относятся к категории несекретных, но важных. Система КЕS защищает все важные данные, как секретные, так и несекретные. Система КЕS рассчитана также на противодействие попыткам нарушить ее нормальное функционирование. К таким попыткам относятся намеренное раэрушение данных, от которых зависит работа системы. Она защищает от подобных действий как со стороны внешних, так и внутренних злоумышленников. Внутренним элоумышленником может стать любой сотрудник, имеющий полномочия на пользование любой частью системы. Поскольку внутренние элоумышленники имеют больше возможностей доступа к системе, чем внешние, против них направлено большинство защитных мер. К таким мерам относятся: строгое разграничение обязанностей и полномочий; сохранение секретности ключей (исключение возможности вывода ключей системы в удобочитаемой форме); разделение на части некоторых важных величин для хранения их несколькими лицами; управление наиболее важными операциями, выполняемыми системой, двумя лицами; резервирование всех важных элементов системы; физическая безопасность; криптографическая защита, контроль; управление конфигурацией и др. В соответствии с принципом разграничения обязанносчай и полномочий представители депонируюших агентств присутствуют при программировании крипточипов, но не участвуют непосредственно в этом процессе. Точно так же, они могут вставлять диски с записанными на них компонентами ключа в процессор расшифрования, но им не раэрешается использовать этот процессор для расшифрования сообщений или иметь такой процессор в своем распоряжении. Лица, участвующие в программировании чипов, не могут выполнять функции представителей депонируюших агентств или сотрудников правоохранительных органов. Разделение наиболее критичных величин, используемых в системе КЕS, между двумя или более лицами применяется для защиты наиболее важных ключей. Если одна из частей такого разделенного ключа будет скомпрометирована, это не приведет к раскрытию ключа. Принцип разделения секретов используется также в физических устройствах управления доступом к засекреченным данным. Обязательное участие двух лиц в управлении наиболее важными операциями применяется при программироваиии крипточипов, транспортировке ключевых данных (записанных на дисках) и др. Резервирование всех важных элементов системы КЕS является обязательным требованием для защиты от случайных и намеренных отказов от обслуживания законных пользователей. Применяется реэервное копирование записи компонентов ключа на гибкие диски (представитель каждого депонирующего агентства получает четыре такие копии). Строгие меры физической защиты обеспечивают беэопасность устройства программирования крипточипов, процессора расшифрования, дисков с записанными компонентами ключа, самих крипточипов и рабочих станций депонирующих агентств. Программирование крипточипов производится в специально оборудованном помещении, защищенном в соответствии с самыми строгими требованиями безопасности. Криптографическая защита всех наиболее важных данных системы КЕS применяется для предотвращения несанкционированного их использования и доступа к ним. Все криптографические приборы должны иметь физический ключ с шифром, разрешающим пользование этими приборами. Компьютеры защищаются от применениа в них вредоносных программ. Контроль в системе КЕS охватывает все наиболее важные процессы в ней. Обязательно регистрируются процессы генерирования ключевой информации, ее хранения и доступа к ней, эапросы на компоненты ключей, подтверждение разрешений на использование ключей, сообщения о стирании ключа UК в памяти процессора расшифрования после разрешенного его использования. Журналы регистрации хранятся в сейфах, защищающих их от хищения, уничтожения и подделок. В депонирующих агентствах доступ к контрольным журналам и записи в них контролируются одновременно двумя лицами. Министерство юстиции США периодически осуществляет контроль системы КЕS с целью проверки правильности выдачи разрешений правоохранительным органам на использование ключей. Управление конфигурацией системы КЕS является важной мерой обеспечения ее безопасной и надежной работы. Эта мера защищает от несанкционированных модификаций программного обеспечения. Для иэменений программного обеспечения требуется разрешение органа, управляющего конфигурацией системы. Компоненты криптоключа не могут быть выданы до того, как соответствующие программы будут введены под контролем органа управления конфигурацией. Далее в статье дано подробное описание работы действующей криптосистемы КЕS по ее состоянию на июнь 1994 г. Оно включает вопросы генерации ключей UК, их компоненчов и случайных ключевых переменных, программирования крипточипов, хранения и выдачи ключей и их компонентов, процедур принятия решений о выдаче этих компонентов правоохранительным органам, расшифрования перехваченных сообщений, действий по окончании срока раэрешения на прослушивание и др. IЕЕЕ Соmmuniсаtiоn Маgazinе.- 1994 .- 32, М 9 .- Р. 58-68.