Информатика и криптография: основы цифровой безопасности

Роль криптографии в информатике

Криптография — одна из фундаментальных и критически важных областей информатики. Она происходит от греческих слов «криптос» (тайный) и «графейн» (писать). Потребность в защите информации была основной потребностью человека с древних времён, но современная криптография, родившаяся на стыке математики и информатики, представляет собой совершенно другую дисциплину. Сегодня каждый онлайн-банкинг, каждое отправленное нами письмо и каждая используемая нами цифровая подпись зависят от криптографических алгоритмов.

В 1949 году статья Клода Шеннона «Теория связи секретных систем» стала поворотным моментом в преобразовании криптографии из спекулятивного искусства в математическую науку. Применяя концепции теории информации к системам шифрования, Шеннон определил понятие абсолютной секретности. Он продемонстрировал, что метод одноразового блока (одноразового шифровального блока) обеспечивает эту характеристику, но его практическая применимость ограничена из-за проблем с распределением ключей. Работа Шеннона также ввела два фундаментальных принципа современной криптографии: замешательство и распространение. Замешательство усложняет связь между ключом и зашифрованным текстом, а распространение распределяет статистические паттерны открытого текста по всему шифротексту.

В этой статье мы углубимся в исторические истоки криптографии, охватывая симметричные и асимметричные алгоритмы шифрования, хэш-функции, механизмы цифровых подписей, структуры инфраструктуры открытых ключей (PKI), протоколы TLS/SSL, приложения блокчейна и подходы постквантовой криптографии, разработанные для противодействия квантовым угрозам.

Историческая перспектива: От Цезаря до Энигмы

Одними из самых ранних известных примеров криптографии являются практики замены иероглифических символов в Древнем Египте примерно в 1900 году до н.э. Однако систематическое шифрование начинается с шифра Цезаря, названного так в честь Юлия Цезаря. В этом методе каждая буква смещается на фиксированное количество позиций в алфавите. Математически это выражается как: E(x) = (x + k) mod 26, где k — величина смещения. Шифр Цезаря — это моноалфавитный подстановочный шифр, имеющий всего 25 возможных ключей, что делает его чрезвычайно уязвимым для атак методом грубой силы.

В IX веке арабский математик Аль-Кинди определил технику частотного анализа в своей работе «Рисала фи Истикхадж аль-Му’амма». Этот метод основан на том факте, что каждый символ в любом языке имеет определённую частоту использования. Например, в турецком языке буквы «a» и «e» относятся к наиболее часто используемым. Частотный анализ по-прежнему является фундаментальным методом для взлома моноалфавитных заменочных шифров и поныне.

В XV веке развитие Леон Баттиста Альберти полиалфавитного шифрования и последующий шифр Виженера — названный так в честь Блеза де Виженера — стало значительным достижением, которое значительно усложнило частотный анализ. Шифр Виженера применяет к каждой букве разный сдвиг, используя ключевое слово. В течение веков его считали не поддающимся взлому; однако в 1863 году Фридрих Касисский и независимо от него Чарльз Бэббидж разработали метод его взлома, определив длину ключа.

Самым драматичным эпизодом в истории криптографии XX века, без сомнения, является история с машиной Энигма. Машина Энигма, используемая нацистской Германией, могла генерировать астрономическое количество возможных настроек благодаря сочетанию роторов, отражателя и штифтового поля — примерно 158 квинтиллионов (158 × 10^18) различных конфигураций. Пионерные работы польских математиков Мариана Реевского, Ежи Ружицкого и Генрика Зигальского, а затем машина «Бомба», созданная командой Алана Тьюринга в Блетчли-Парке, сделали взлом Энигмы возможным. Историки оценивают, что взлом Энигмы сократил войну примерно на два года. Работа Тьюринга не только изменила ход войны, но и заложила основы современной компьютерной науки и теории алгоритмов.

Симметричное шифрование: один и тот же ключ для шифрования и дешифрования

Симметричное шифрование — это метод, при котором для шифрования и дешифрования используется один и тот же секретный ключ. Благодаря своей скорости он предпочтителен для шифрования больших объемов данных. Он делится на две основные категории: блоковые шифры и поточные шифры. Блоковые шифры работают с блоками данных фиксированного размера, в то время как поточные шифры шифруют данные на уровне бит или байт. ChaCha20, разработанный Дэниелом Бернштейном, является современным поточным шифром, используемым в качестве альтернативы AES, особенно на мобильных устройствах.

Стандарт шифрования данных (DES) и Тройной стандарт шифрования данных (3DES)

Стандарт шифрования данных (DES) был принят НИСТ (тогда известным как NBS) в качестве федерального стандарта в 1977 году. Он был разработан на основе алгоритма Люцифер Хорстом Фейстелем в IBM. DES работает с блоками размером 64 бита, используя ключ длиной 56 бит, и использует структуру 16-раундовой сети Фейстеля. В каждом раунде блок данных разделяется на две части, подвергается расширению перестановки, смешиванию ключа, подстановке в S-боксах и операциям перестановки. С ростом вычислительной мощности в 1990-х годах длина ключа в 56 бит стала недостаточной. В 1998 году Электронный фонд границ (EFF) продемонстрировал уязвимость алгоритма, взломав ключ DES за 56 часов с помощью специального оборудования, называемого DES Cracker. В качестве временного решения был разработан Тройной DES (3DES), который применяет DES последовательно три раза (режим шифрования-дешифрования-шифрования, режим EDE), чтобы эффективно увеличить длину ключа до 112 бит. Однако 3DES имеет низкую производительность, и НИСТ не рекомендует его использование после 2023 года.

Стандарт шифрования Advanced Encryption Standard (AES): золотой стандарт сегодняшнего дня

AES (Стандарт расширенного шифрования) был принят NIST в 2001 году (FIPS 197) в качестве замены DES. После открытого конкурса, в котором участвовали 15 алгоритмов со всего мира, алгоритм Rijndael, разработанный Жаном Дейменом и Винсентом Рийменом, был выбран победителем. Вместо структуры Фейстеля AES использует сеть подстановки-перестановки (СПН). Он работает с размером блока 128 бит и поддерживает длины ключей 128, 192 или 256 бит. Каждый раунд состоит из четырех основных операций: SubBytes (подстановка байтов над галисским полем GF(2^8)), ShiftRows (перемещение строк), MixColumns (смешивание столбцов — матричное умножение в галисском поле) и AddRoundKey (добавление раунда ключа). Количество раундов составляет 10, 12 или 14 в зависимости от длины ключа.

Безопасность AES основана на его устойчивости к любым известным практическим атакам. Хотя теоретические работы, такие как атака бикликом, могут давать несколько лучшие результаты, чем грубая сила, они непрактичны в реализации. AES-256 одобрен АНБ для шифрования информации высшего уровня секретности. Инструкции аппаратного ускорения в современных процессорах, такие как AES-NI, позволяют выполнять операции шифрования/дешифрования AES со скоростью гигабайт в секунду. В нашей повседневной жизни все безопасность Wi-Fi (WPA2/WPA3), шифрование дисков (BitLocker, FileVault, LUKS), VPN-туннели и соединения HTTPS используют AES.

Режимы работы

Блочные шифры шифровают только фиксированные блоки данных по отдельности. В реальных приложениях используются различные режимы работы. Режим ECB (Электронная книга кодов) является самым простым, но имеет существенную уязвимость в плане безопасности из-за генерации одинаковых зашифрованных блоков для одинаковых открытых блоков, как показано на знаменитом примере «пингвина ECB», где узоры в зашифрованном изображении раскрывают исходное изображение. Режим CBC (Цепной блок) решает эту проблему, выполняя операцию XOR каждого блока с предыдущим зашифрованным блоком, но не может быть параллельным и может быть уязвимым для атак, таких как POODLE. Режим CTR (Счетчик) использует блочный шифр как потоковый шифр и позволяет параллелизацию. Режим GCM (Галис/Счетчик) — это современный выбор, обеспечивающий как конфиденциальность, так и аутентификацию (аутентифицированное шифрование с ассоциированными данными — АШАД). Он определен в стандарте NIST SP 800-38D и является режимом по умолчанию в TLS 1.3.

Асимметричное шифрование: революция открытых ключей

В 1976 году статья Уитфилда Диффи и Мартина Хеллмана «Новые направления в криптографии» стала революционной работой в истории криптографии. В статье был представлен протокол обмена ключами Диффи-Хеллмана, который продемонстрировал, что две стороны могут договориться о секретном ключе по незашифрованному каналу связи. Протокол основан на вычислительной сложности задачи дискретного логарифмирования. Интересно отметить, что аналогичный метод был открыт ранее Джеймсом Эллисом, Клиффом Коксом и Малкольмом Уильямсоном из британской разведывательной службы GCHQ, но не был опубликован из-за соображений секретности.

Алгоритм RSA

Разработанный в 1978 году Роном Ривестом, Ади Шамиром и Леонардом Адлеманом, RSA — это первая практическая система шифрования с открытым ключом и цифровой подписью. Безопасность RSA основана на вычислительной сложности факторизации больших целых чисел (факторизация целых). Процесс генерации ключей выглядит следующим образом: выбираются два больших простых числа p и q, вычисляется n = p × q, рассчитывается функция Эйлера φ(n) = (p-1)(q-1), выбирается открытый показатель e такой, что нод(e, φ(n)) = 1 (обычно 65537), а закрытый показатель d вычисляется как d ≡ e^-1 (mod φ(n)). Открытый ключ — это пара (e, n), а закрытый ключ — (d, n). Шифрование: c = m^e mod n; дешифрование: m = c^d mod n. Сегодня рекомендуется длина ключа не менее 2048 бит; для высокозащитных приложений предпочтительна длина 4096 бит. NIST отметил, что 2048 бит может быть недостаточно после 2030 года.

Эллиптическая криптография (ЭКК)

Независимо предложенная в 1985 году Нелом Коблицем и Виктором Миллером, ЭКК основана на задаче дискретного логарифмирования над эллиптическими кривыми и обеспечивает тот же уровень безопасности при значительно более коротких длинах ключей. Ключ ЭКК длиной 256 бит обеспечивает безопасность, эквивалентную примерно 3072-битному ключу RSA. Эта эффективность делает ЭКК предпочтительным выбором в ресурсоограниченных средах, таких как мобильные устройства и ИТ. Курвы, рекомендованные NIST, включают P-256, P-384 и P-521, хотя возможное влияние АНБ на параметры этих кривых остается предметом дебатов. Curve25519, разработанная Дэниелом Бернштейном, быстро стала широко использоваться в современных приложениях благодаря высокой производительности, возможности реализации с постоянным временем и устойчивости к сторонним каналам атак. Протокол Signal, VPN WireGuard, SSH (Ed25519) и TLS 1.3 поддерживают эту кривую.

Хеш-функции и целостность данных

Криптографические хэш-функции — это функции-однородки, преобразующие входные данные любой длины в выходные данные фиксированной длины (хэш-значение). Криптографическая хэш-функция должна обладать тремя основными свойствами для обеспечения безопасности: устойчивость к предобразу — вычислительно невозможно восстановить входные данные по выходным; устойчивость ко второму предобразу — невозможно найти другой входной набор данных, который даст тот же результат, зная один входной набор; и устойчивость к коллизиям — невозможно найти два разных набора входных данных, которые дают одно и то же хэш-значение. Из-за парадокса дня рождения для нахождения коллизий в хэш-функции с n-битным выходом требуется примерно 2^n/2 попыток.

MD5 (128-битный хэш, разработанный Роном Ривестом в 1991 году) и SHA-1 (160-битный хэш, разработанный АНБ) больше не считаются безопасными. В 2004 году Сяоюн Ван и её команда обнаружили практические коллизии для MD5; в 2017 году Google и CWI Амстердам продемонстрировали первую практическую коллизию для SHA-1 в рамках проекта SHAttered (требовавшего примерно 9 квинтиллионов вычислений SHA-1). Сегодня семья алгоритмов SHA-2 (SHA-256, SHA-384, SHA-512) является стандартом, широко используемым в индустрии. Алгоритм SHA-256 лежит в основе майнинга биткоинов. Стандартизированный NIST в 2015 году SHA-3 (Keccak, разработанный Гвидо Бертони и его командой) имеет совершенно иную внутреннюю структуру — спонгированную конструкцию — и готов выступить в качестве резервного варианта на случай обнаружения уязвимостей в SHA-2.

Хеш-функции используются в различных областях, таких как хранение паролей (с функциями производных ключей, такими как bcrypt, scrypt, Argon2 — использование простых хеш-функций делает их уязвимыми для атак с помощью «радужных таблиц»), проверка целостности файлов, цифровые подписи, Меркл-деревья в блокчейнах, HMAC (хеш-код для аутентификации сообщений, RFC 2104) и HKDF (функция производных ключей на основе HMAC).

Цифровые подписи и инфраструктура открытых ключей (PKI)

Цифровые подписи обеспечивают аутентификацию, целостность и отрицание сообщения или документа с помощью криптографических механизмов. Они являются цифровым эквивалентом рукописных подписей, но предлагают гораздо более надежные гарантии безопасности. Процесс подписания работает следующим образом: рассчитывается хэш-значение сообщения, это хэш-значение шифруется с использованием закрытого ключа отправителя, а полученная подпись отправляется вместе с сообщением. Получатель проверяет подпись с помощью открытого ключа отправителя и сравнивает хэш-значения.

К распространенным алгоритмам цифровых подписей относятся RSA-PSS (вероятностная схема подписи — более безопасна, чем детерминированная PKCS#1 v1.5), DSA (алгоритм цифровой подписи, определенный в NIST FIPS 186), ECDSA (эллиптическая кривая DSA, используемая в Bitcoin и Ethereum) и EdDSA (алгоритм цифровой подписи на основе кривой Эдвардса, в частности Ed25519). EdDSA менее подвержен уязвимостям, связанным с генераторами случайных чисел, благодаря своей детерминированной природе — ошибка в генерации случайных чисел в реализации ECDSA на консоли Sony PlayStation 3 привела к компрометации закрытого ключа в 2010 году. По этой причине для повышения безопасности предпочтение отдается EdDSA перед ECDSA.

Инфраструктура открытых ключей (PKI) — это инфраструктура доверия, которая связывает открытые ключи с идентификаторами через цифровые сертификаты. Цифровые сертификаты, определённые стандартом X.509 (ITU-T, RFC 5280), подписываются центром сертификации (CA). Цепочки сертификатов создают иерархическую модель доверия, простирающуюся от корневого CA через промежуточные CA до сертификатов конечных пользователей. Браузеры и операционные системы поставляются с предварительно установленными доверенными корневыми сертификатами CA. Бесплатные услуги CA, такие как Let's Encrypt (работающие под управлением группы исследований интернет-безопасности), позволяют автоматизировать выдачу и обновление сертификатов через протокол ACME, революционизируя распространение HTTPS. По состоянию на 2024 год более 95% веб-трафика осуществляется по HTTPS. Журналы Прозрачности сертификатов (CT) обеспечивают открытый механизм аудита для обнаружения выдачи мошеннических сертификатов, направленный на предотвращение повторения таких инцидентов, как нарушение безопасности CA DigiNotar в 2011 году.

Протокол Transport Layer Security (TLS): основа безопасности Интернета

TLS (Transport Layer Security) — это основной протокол, обеспечивающий шифрование коммуникаций в интернете. Преемник SSL (Secure Sockets Layer), разработанный компанией Netscape, TLS начал свою историю с версии 1.0 (RFC 2246) в 1999 году и получил значительные улучшения в TLS 1.3 (RFC 8446), опубликованной в 2018 году. Поддержка TLS 1.0 и 1.1 была прекращена всеми основными браузерами в 2020 году; хотя TLS 1.2 по-прежнему широко используется, переход на TLS 1.3 ускоряется.

TLS 1.3 вносит несколько улучшений по сравнению с предыдущими версиями: процесс рукопожатия был сокращен до одного времени кругового обмена (RTT) с двух RTT. В режиме 0-RTT (ранние данные) данные могут быть немедленно отправлены ранее подключенным серверам (с риском повторных атак). Слабые наборы шифров (режим CBC, RC4, 3DES, статический обмен ключами RSA, MD5 и подписи на основе SHA-1) были полностью удалены. Поддерживаются только режимы шифрования AEAD (аутентифицированное шифрование с ассоциированными данными): AES-128-GCM, AES-256-GCM и ChaCha20-Poly1305. Абсолютная секретность передачи стала обязательной — используется только эфемерный обмен ключами Диффи-Хеллмана или ECDHE. Таким образом, даже если приватный ключ сервера будет скомпрометирован, прошлые сеансы данных не смогут быть расшифрованы.

Типичный рукопожатие TLS 1.3 над соединением HTTPS включает следующие шаги: клиент отправляет поддерживаемые пакеты шифрования и параметры обмена ключами (ClientHello). Сервер предоставляет свой сертификат, завершает обмен ключами и безопасно завершает рукопожатие (ServerHello, EncryptedExtensions, Certificate, CertificateVerify, Finished). Клиент проверяет сертификат и инициирует передачу зашифрованных данных приложения. Весь этот процесс завершается в течение одного сетевого кругового запроса.

Блокчейн и криптография

Технология блокчейна объединила множество компонентов криптографии, предоставив практическую область для конкретизации криптографических концепций. Эта структура, определённая Сатоши Накамото в его статье 2008 года о Биткоине, опирается на несколько криптографических элементов: функцию хеширования SHA-256, используемую для связывания блоков и механизм доказательства работы (Proof of Work, PoW) — майнеры находят значение нонса, которое делает хэш блока начинающимся с определённого количества нулей после выполнения триллионов расчётов SHA-256. Эллиптическая криптография с открытым ключом (ECDSA) с использованием кривой secp256k1 применяется для цифровой подписи транзакций. Деревья Меркла позволяют проверять целостность всех транзакций внутри блока с помощью одного значения корневого хеша, что даёт возможность лёгким клиентам (узлам SPV) подтверждать транзакции без загрузки всего блокчейна.

Этереум использует хэш-функцию Keccak-256 и, благодаря смарт-контрактам, делает криптографические протоколы программируемыми. Технологии доказательств нулевой раскрытости — в частности, zk-SNARKs (сокращённые неинтерактивные доказательства знания нулевой раскрытости) и zk-STARKs (масштабируемые прозрачные аргументы знания) — позволяют подтверждать истинность информации без раскрытия самой информации. Эта технология используется в криптовалютах, ориентированных на конфиденциальность, таких как Zcash, а также в решениях для масштабируемости Этереума (zk-rollups: zkSync, StarkNet, Polygon zkEVM).

Квантовые вычисления и постквантовая криптография

Квантовые компьютеры обладают потенциалом подорвать основы современной криптографии. Алгоритм Шора, разработанный Питером Шором в 1994 году, может разлагать большие числа на простые множители и решать задачу дискретного логарифма за полиномиальное время на квантовых компьютерах. Это означает, что алгоритмы RSA, DSA, ECDSA, Diffie-Hellman и все алгоритмы, основанные на эллиптических кривых, станут уязвимыми для квантовых компьютеров. Алгоритм Гровера также снижает безопасность симметричного шифрования и хэш-функций в квадратный корень, делая AES-256 эквивалентным AES-128 в эпоху квантовых вычислений. Для симметричных алгоритмов решение простое: увеличение длины ключа в два раза достаточно. Однако для асимметричных алгоритмов требуются совершенно новые математические структуры.

Для противодействия этой угрозе NIST проводит процесс стандартизации постквантовой криптографии с 2016 года. После длительной оценки, в которой участвовали 82 кандидата, первые стандарты были опубликованы в 2024 году:

• ML-КЭМ (CRYSTALS-Kyber, FIPS 203): Механизм обёртывания ключей на основе модульных решёток. Его безопасность основана на сложности задачи Обучения с Ошибками (LWE). Он заменит RSA/ECDH в TLS и других протоколах обмена ключами.
• ML-DSA (CRYSTALS-Dilithium, FIPS 204): Алгоритм цифровой подписи на основе модульных решеток. Рекомендуется для общего использования цифровой подписи.
• SLH-DSA (SPHINCS+, ФИПС 205): Алгоритм цифровой подписи на основе хеширования, разработанный в качестве резервного варианта на случай обнаружения в будущем потенциальных уязвимостей в алгоритмах на основе решеток. Его безопасность основана исключительно на надежности функций хеширования.

Угроза квантовых вычислений пока не реализовалась, но из-за стратегии «собрать сейчас, расшифровать позже» меры необходимо принять уже сегодня. Государственные актеры могут хранить зашифрованный трафик, захваченный сегодня, чтобы расшифровать эти данные, когда станут доступными достаточно мощные квантовые компьютеры (криптографически значимые квантовые компьютеры). В своем руководстве CNSA 2.0 2022 года НСА предписала федеральным системам перейти на постквантовые алгоритмы к 2035 году.

В процессе перехода предлагается гибридный подход: использование существующих классических алгоритмов вместе с постквантовыми алгоритмами. В 2024 году Google Chrome включил в себя гибкий обмен ключами X25519Kyber768 по умолчанию для соединений TLS. Протокол обмена сообщениями Signal также добавил постквантовую защиту с помощью протокола PQXDH. Cloudflare и Amazon Web Services начали предлагать поддержку постквантового TLS.

Атаки через боковые каналы и безопасность реализации

Даже если криптографические алгоритмы имеют сильную теоретическую безопасность, уязвимости в их реализации могут компрометировать всю систему безопасности. Атаки через боковые каналы, которые направлены на извлечение ключа путем использования информации, утечкой из физической реализации алгоритма, представляют значительную угрозу. Атаки с анализом временных характеристик (Пол Kocher, 1996), например, анализируют различия во временных задержках обработки для извлечения чувствительной информации, такой как показатель степени в операциях RSA, который варьируется в зависимости от закрытого ключа. Анализ потребления энергии (простой SPA и дифференциальный DPA) также извлекает информацию о ключе из шаблонов потребления энергии устройства. Даже атаки с использованием электромагнитных излучений и акустический криптоанализ были исследованы.

Для защиты от таких атак используются постоянно действующие реализации, методы маскировки потребления энергии, вставка случайных задержек и физические контрмеры. Известная уязвимость Heartbleed (CVE-2014-0160), возникшая из-за ошибки переполнения буфера в OpenSSL, привела к утечке частных ключей, паролей и данных сессий из памяти серверов. Затронув примерно треть Интернета, этот инцидент наглядно продемонстрировал, что в криптографии качество реализации и строгость проверки кода не менее важны, чем сама разработка алгоритма.

Будущее криптографии

Криптография остаётся одной из самых динамичных и важных областей компьютерных наук. От основ теории информации Шеннона до работ Тьюринга над «Энигмой», от прорыва Диффи-Хеллмана в области криптографии с открытым ключом до постквантовых алгоритмов сегодняшнего дня, этот путь представляет собой одно из самых сложных достижений человечества. В цифровую эпоху безопасное общение, электронная коммерция, цифровая идентификация и конфиденциальность немыслимы без криптографии.

Взглянув в будущее, можно выделить несколько ключевых направлений. Полноценное гомоморфное шифрование (ФГШ) позволяет выполнять вычисления над зашифрованными данными без их предварительного расшифровывания; с момента революционной работы Крейга Джентри 2009 года были достигнуты значительные улучшения производительности. Безопасные многопользовательские вычисления (МПЦ) позволяют нескольким участникам выполнять совместные вычисления, не раскрывая свои индивидуальные данные друг другу. Дифференциальная конфиденциальность математически гарантирует конфиденциальность данных отдельных лиц при извлечении статистической информации из наборов данных. Переход к постквантовой криптографии, полное внедрение TLS 1.3 и прогресс в технологиях защиты конфиденциальности (ТЗК) еще раз подтверждают, что криптография — это не просто инструмент безопасности, а фундаментальная инфраструктура цифрового общества.