Симметричное шифрование
Шифрование, в котором как для шифровки, так и для расшифровки, используется один и тот же пароль. В противоположность асимметричному шифрованию, в котором для шифровки и расшифровки используются два разных ключа: «открытый» и «закрытый».
Основное преимущество симметричного шифрования перед асимметричным: оно гораздо быстрее (в 1000 раз). Часто используются «гибридные схемы шифрования», когда управляющее соединение создаётся асимметричным шифрованием, а уже по этому каналу стороны договариваются друг с другом, какой симметричный алгоритм шифрования выбрать и каким будет ключ шифрования (сеансовый ключ). Симметричный канал в такой схеме обычно пересоздаётся заново через некоторое время во избежание подбора симметричного пароля (если бы симметричный канал существовал, скажем, несколько лет, то при недостаточно надёжном алгоритме шифрования взломщик вполне мог бы подобрать пароль за это время на каком-нибудь кластере суперкомпьютеров).
Большинство симметричных шифров используют сложную комбинацию большого количества подстановок и перестановок. Многие такие шифры исполняются в несколько (иногда до 80) проходов, используя на каждом проходе «ключ прохода». Множество «ключей прохода» для всех проходов называется «расписанием ключей» (key schedule). Как правило, оно создается из ключа выполнением над ним неких операций, в том числе перестановок и подстановок.
Зачастую стойкость алгоритма, особенно к дифференциальному криптоанализу, зависит от выбора значений в таблицах подстановки (S-блоках). Как минимум считается нежелательным наличие неподвижных элементов S(x) = x, а также отсутствие влияния какого-то бита входного байта на какой-то бит результата — то есть случаи, когда бит результата одинаков для всех пар входных слов, отличающихся только в данном бите.
«Блочные» шифры обрабатывают информацию блоками определённой длины (обычно 64, 128 бит), применяя к блоку ключ в установленном порядке, как правило, несколькими циклами перемешивания и подстановки, называемыми «раундами». Результатом повторения «раундов» является «лавинный эффект» — нарастающая потеря соответствия битов между блоками открытых и зашифрованных данных.
Примеры симметричных алгоритмов шифрования: AES, Twofish.
Алгоритм Диффи-Хеллмана
Вся криптография, построенная даже на самых надёжных симметричных алгоритмах шифрования, имеет одну фундаментальную неразрешимую задачу — задачу первоначального обмена "секретным ключом", которым будет осуществляться симметричное шифрование данных. То есть, для того, чтобы общаться с помощью симметрично-шифрованных каналов придётся сначала встретиться где-то лично и придумать общий "секретный ключ", а потом уже с помощью этого ключа можно будет безопасно общаться друг с другом по сети, используя симметричное шифрование.
Но встречаться лично с каждым, в современном быстронесущемся мире — это физически невозможно.
Эта задача первоначального обмена секретным ключом оставалась нерешённой, пока Диффи и Хеллман не опубликовали свою статью в 1976 году.
Понять идею алгоритма Диффи-Хеллмана можно, посмотрев этот ролик:
Математическое обоснование
Математическое обоснование алгоритма Диффи-Хеллмана использует два вспомогательных тождества.
x mod y — это по определению «остаток от деления x на y». Первое тождество: (x mod y)^z mod y = x^z mod y. Это тождество можно доказать, просто разложив x = a * y + b:
((a * y + b) mod y)^z mod y = b^z mod y
x^z mod y = (a * y + b)^z mod y = b^z mod y, так как скобка разложится по биному Ньютона и все остальные слагаемые с y дадут 0 в остатке от деления на y.
Второе вспомогательное тождество — (x^y)^z = x^(yz) — основано на свойстве перемножения степеней, и легко доказывается простым разложением степени на множители: (x^y)^z = (x, перемноженное y раз), перемноженное z раз = x, перемноженное у*z раз = x^(yz).
Теперь непосредственно описание алгоритма Диффи-Хеллмана. Предположим, есть два абонента: Алиса и Боб. Они соединяются друг с другом по нешифрованному каналу и пересылают друг друга случайно взятые два числа g и p, которые не являются секретными и могут быть подсмотрены кем угодно. Для того, чтобы теперь создать неизвестный более никому секретный ключ, оба абонента генерируют большие случайные числа: Алиса — число a, Боб — число b. Затем Алиса вычисляет значение A = g^a mod p и пересылает его Бобу, а Боб вычисляет B = g^b mod p и передаёт его Алисе. Эти числа так же передаются по нешифрованному каналу, и могут быть подсмотрены кем угодно.
Далее Алиса вычисляет значение B^a mod p = (g^b mod p)^a mod p = g^(ab) mod p, а Боб — вычисляет значение A^b mod p = (g^a mod p)^b mod p = g^(ab) mod p, и это и будет их общий секретный ключ K, который можно использовать для создания симметричного шифрованного канала. Даже если злоумышленник перехватит все передаваемые числа (A, B, g, p), то при достаточно больших выбранных числах p, a и b, он не сможет за разумное время вычислить секретный ключ K по A = g^a mod p и B = g^b mod p.
Требования, предъявляемые к генерируемым числам, таковы (пояснения ниже):
p — достаточно большое простое число
(p - 1) / 2 — тоже простое число
g — первообразный корень по модулю p
(простое число — это чисто, которое не раскладывается на целые множители)
"g — первообразный корень по модулю p" означает, что при всевозможных n выражение g^n mod p образует полный набор чисел от 1 до p - 1, и поэтому (секретный) сеансовый ключ, который вычислят Алиса и Боб, может быть каким угодно: от 1 до p - 1, и подслушивающему придётся перебирать все числа от 1 до p - 1, а это по условию задачи нереально сделать за разумный срок.
Требование простоты числа p выдвинуто потому, что доказано, что для всякого простого числа p существует первообразный корень по модулю p, поэтому для сеанса связи можно выбрать любое случайное простое число.
Требование величины числа p выдвинуто затем, чтобы полный набор чисел от 1 до p - 1 был настолько огромным, чтобы подслушивающий не мог физически их все перебрать в разумный срок.
Требование "(p - 1) / 2 — тоже простое число" введено для повышения безопасности шифрования, так как существует алгоритм дискретного логарифмирования, позволяющий подслушивающему вычислить (секретный) сеансовый ключ за "полиномиальное" время (то есть, "за разумное время") при условии, что число p - 1 раскладывается на небольшие простые множители. Поэтому введено дополнительное требование, чтобы существовало такое простое число q, что p - 1 = 2q, и тогда q будет очень большим простым числом (того же порядка, что и p), и алгоритм вычисления (секретного) сеансового ключа будет выполняться так же "неразумно долго".
Обычно секретные ключи a и b имеют порядок 10^100, а число p — порядок 10^300. Число g не обязано быть большим и обычно имеет значение в пределах десяти.
Стойкость ко взлому алгоритма Диффи-Хеллмана основывается целиком и полностью на не найденности на текущее время разумно быстрого алгоритма "дискретного логарифмирования".
Алгоритм Диффи-Хеллмана используется для установки соединения в HTTPS (SSL/TLS), VPN и во многих протоколах. В интернете есть слухи о том, что Агентство Национальной Безопасности США нашло эффективный способ взлома этого алгоритма.
Уязвимость
Открытие Диффи и Хеллмана произвело настоящую революцию в криптографии, так как единственная неразрешимая задача была, казалось бы, полностью решена. Однако выяснилось, что такой алгоритм обмена секретным ключом подвержен уязвимости «посредника» (man in the middle): злоумышленник может просто вклиниться в канал передачи данных между Алисой и Бобом и притвориться для Алисы — Бобом, а для Боба — Алисой. При такой схеме злоумышленник создаст два шифрованных канала (с каждым из абонентов), а абоненты будут думать, что есть только один шифрованный канал — между ними двумя. И злоумышленник будет видеть все данные, передаваемые между абонентами, в расшифрованном виде.
Поэтому в дополнение к алгоритму Диффи-Хеллмана требуется некий способ надёжного подтверждения личности обоих абонентов (Алиса должна удостовериться в том, что она установила соединение именно с Бобом, а Боб, в свою очередь, должен удостовериться в том, что на другом конце провода — именно Алиса). Решается эта уязвимость "алгоритмом подписи RSA" и "центрами сертификации".
Асимметричное шифрование
Асимметричным шифрованием называется схема, при которой есть два ключа: один из них «открытый» (он общедоступен), а другой — «закрытый» (он хранится в тайне его обладателем). Например, каждому человеку на Земле, можно выдать личную пару ключей: открытый и закрытый. Открытые ключи всех людей в таком случае будут общедоступны, а свой закрытый ключ каждый человек будет хранить в тайне.
Возникает вопрос: зачем нужна такая схема, и чем она лучше схемы с одним ключом. А особенна эта схема тем, что зашифровать сообщение, предназначенное условному Александру, может любой желающий, просто взяв общедоступный открытый ключ Александра, но уже расшифровать такое сообщение может только сам Александр, потому что расшифровать сообщение, зашифрованное открытым ключом, может только обладатель парного закрытого ключа.
На первый взгляд, какая-то магия. Однако, никакой магии — это просто замечательное математическое открытие.
Диффи-Хеллман для асимметричного шифрования
Алгоритм Диффи-Хеллмана можно немного изменить, и получить некое подобие асимметричного алгоритма шифрования данных (но тем не менее, Диффи-Хеллман создавался не для этого, и он не предназначен для асимметричного шифрования данных).
В этом случае Алиса и Боб не устанавливают канал связи. Вместо этого Алиса выбирает себе значения p и g, вычисляет на их основе своё A, и публикует эти три числа в открытом доступе, называя это своим "открытым ключом". Боб, на основе этих трёх чисел, в точности как в алгоритме Диффи-Хеллмана, вычисляет секретный ключ K, после чего шифрует сообщение любым симметричным алгоритмом, используя K в качестве ключа, и передает шифротекст Алисе вместе со своим значением B. Алиса же, имея B, g и p, также вычисляет секретный ключ K, и может расшифровать и прочесть сообщение, которое ей отправил Боб.
Получилось, что зашифровать сообщение, предназначенное Алисе, может любой желающий, а расшифровать такое сообщение могут только два человека — сам отправитель сообщения (который его и так знает) и получатель сообщения (Алиса).
Получилась такое подобие асимметричного шифрования данных на коленке. В реальности, конечно, лучше доверить асимметричное шифрование данных тому протоколу, который был разработан именно для этой цели. Первым таким протоколом стал RSA.
RSA
Алгоритм асимметричного шифрования RSA был изобретён в 1977-ом году тремя учёными из MIT'а. После работы над более чем 40 возможными вариантами, им удалось найти алгоритм, основанный на различии в том, насколько легко находить большие простые числа и насколько сложно раскладывать на множители произведение двух больших простых чисел.
Выбираются два больших простых числа p и q (например, по 2048 битов каждое)
Вычисляется их произведение n = p * q
Вычисляется функция Эйлера φ(n) = (p - 1)(q - 1)
Выбирается целое e (1 < e < φ(n)), взаимно простое с φ(n). Обычно в качестве e берут простые числа, содержащие небольшое количество единичных бит в двоичной записи, например, простые числа Ферма 17, 257 или 65537. Такой трюк позволяет возводить любое число в степень e очень быстро в двоичной системе исчисления (n^(2^k) = ((((n^2)^2)^2)^...)
Вычисляется число d, "мультипликативно обратное" к числу e по модулю φ(n): ed mod φ(n) = 1
Пара (e, n) — это открытый ключ, а d — это закрытый ключ
Теперь Алиса может зашифровать сообщение (число) m, предназначенное Бобу, используя открытый ключ Боба (e, n): c = m^e mod n. И только Боб теперь сможет расшифровать это сообщение m, адресованное ему Алисой: c^d mod n = (m^e mod n)^d mod n = m^(ed) mod n = m (математики говорят, что всё сходится).
Можно заметить, что схема с возведением в степень и делением по модулю здесь очень напоминает алгоритм Диффи-Хеллмана. Важное отличие состоит в том, что вся цепочка операций в алгоритме RSA сохраняет всю первоначальную информацию шифруемого сообщения m. Поэтому алгоритм RSA может использоваться для шифровки и расшифровки сообщений. Алгоритм Диффи-Хеллмана, в свою очередь, не ставит своей задачей сохранение всей исходной информации в ходе цепочки вычислений, и поэтому умеет передавать только производное значение некоего вычисления, имея которое уже можно на местах вычислить единый (сеансовый) ключ шифрования K, который уже в дальнейшем используется каким-нибудь симметричным алгоритмом шифрования для передачи непосредственно сообщений.
Стойкость ко взлому алгоритма RSA основывается целиком и полностью на не найденности на текущее время разумно быстрого алгоритма "факторизации" (разложения целого числа на простые множители).
RSA или Диффи-Хеллман
Без разницы.
Можно зашифровать случайно выбранный ключ симметричного шифрования алгоритмом RSA, и послать его на другой конец провода, где его расшифруют, и получится защищённый канал передачи данных.
Можно использовать алгоритм Диффи-Хеллмана для обмена ключом симметричного шифрования, и получится точно такой же защищённый канал передачи данных.
По вычислительной сложности оба алгоритма сравнимы друг с другом.
Цифровая подпись (ЭЦП)
Выше был рассмотрен "алгоритм асимметричного шифрования RSA". Помимо этого алгоритма, под словом "RSA" часто также имеют ввиду другой алгоритм — "алгоритм цифровой подписи RSA", который используется не для шифрования данных, а для их подписи.
Изменим немного рассмотренную выше схему. Пусть Боб, вместо того, чтобы зашифровать сообщение m, предназначенное Алисе, открытым ключом Алисы, зашифрует это сообщение своим закрытым ключом: s(m) = m^d mod n, и отправит это зашифрованное сообщение Алисе. В этом случае Алиса, воспользовавшись открытым ключом Боба, сможет проверить подлинность полученного от него сообщения: m' = s(m)^e mod n (m' и m должны совпадать). Таким образом Алиса может удостовериться, что сообщение отправлено именно Бобом, и не подделано.
Алгоритм цифровой подписи RSA используется в протоколе TLS (он же HTTPS, он же SSL) в связке с алгоритмом обмена ключами Диффи-Хеллмана и алгоритмом симметричного шифрования (например, AES). В этой схеме Диффи-Хеллман служит для безопасного обмена секретным ключом симметричного шифрования передаваемых данных (например, AES), а алгоритм подписи RSA служит для удостоверения личности обоих абонентов во время установки соединения.
На практике, подпись большого объёма данных алгоритмом цифровой подписи RSA — медленная операция, поэтому для оптимизации вычислительных расходов "цифровую подпись" можно брать немного другим образом: сначала от сообщения берётся некий "слепок", называемый "хешем" сообщения, который по своим размерам не превышает заданного количества байтов, и затем уже этот "слепок" ("хеш") полноценно шифруется алгоритмом RSA, и это происходит быстро, т.к. "слепок" ("хеш") очень мал.
В таком случае в полученном шифротексте теряется информация исходного сообщения, и поэтому полученный "слепок" ("хеш") передают адресату вместе с текстом исходного сообщения (в открытом виде, потому что по условиям задачи нет необходимости скрывать от прослушки текст исходного сообщения, и в этом сообщении нет ничего секретного).
Далее, получатель сообщения берёт от него точно таким же способом "слепок" ("хеш"), и сравнивает свой полученный "слепок" ("хеш") с расшифрованным "слепком" ("хешем"), шифротекст которого он получил вместе с текстом сообщения. Если оба "слепка" ("хеша") совпадают — значит, с вероятностью, стремящейся ко 100%, полученное сообщение подлинное: получено именно от того отправителя, и содержит именно тот текст, который написал отправитель.
В ином случае — сразу будет засечено, что кто-то пытался подделать сообщение, и у злоумышленника не получится обмануть получателя. Таким образом, цифровая подпись обеспечивает как подлинность автора сообщения, так и целостность этого сообщения. Только сам автор сообщения может его подписать, и при этом любой желающий может проверить подлинность этой подписи.
Надёжность такой цифровой подписи таким образом зависит как от надёжности алгоритма асимметричного шифрования, так и от надёжности алгоритма взятия "слепка" ("хеша") (и ещё от достоверности открытых ключей).
Хеш
Хеш — это некоторый массив данных определённой длины, полученной при пропускании исходных данных через алгоритм хеширования. Можно сравнить хеш со слепком или отпечатком информации, с той разницей, что у хеша задача противоположная: чтобы по хешу было невозможно сделать какие-либо выводы о том, какой была исходная информация. Для этого хорошие функции хеширования должны удовлетворять требованию о полной утрате всех статистических закономерностей исходного сообщения. Для этого алгоритм хеширования должен иметь «эффект лавины» — должно происходить сильное изменение хеша при 1-битном изменении входных данных (в идеале должны меняться значения половины всех бит хеша).
С помощью хеша можно проверить целостность данных: если хотя бы один бит данных был изменён (в результате какого-то сетевого сбоя, сбоя дискового хранилища или намеренно злоумышленником), то хеш, взятый от изменённых данных, будет уже совсем другим, и таким образом сразу можно узнать, что данные либо случайно испорчены, либо кто-то пытался их подменить.
Примеры алгоритмов хеширования: SHA, Twofish, Whirlpool.
Сертификаты
Когда Алиса соединяется с кем-то по асимметрично шифрованному каналу, ей нужно каким-то образом быть полностью уверенной в том, что вторая сторона — именно та, за какую себя выдаёт. То есть, если Алиса соединяется с Бобом, то ей нужно каким-то образом по открытому ключу, полученному в ответ (от якобы Боба), быть полностью уверенной в том, что этот открытый ключ принадлежит именно Бобу (что он подлинный).
Такую возможность предоставляет электронная подпись. Есть некое авторитетное лицо, которому все доверяют, и чей открытый ключ у всех где-то изначально записан, и этот записанный ключ точно 100% подлинный и не подвергается сомнению. И далее уже это авторитетное лицо выдаёт «сертификаты» всем желающим, подписывая эти «сертификаты» своим закрытым ключом. Авторитетному лицу все доверяют в том смысле, что оно идеально честное (не обманет), и хранит свой закрытый ключ в идеальной защищённости (и поэтому он не может быть выкран злоумышленниками для подписывания своих "левых" сертификатов).
Выдаваемый абоненту (и подписанный авторитетным лицом) сертификат (X.509) содержит в себе открытый ключ абонента и подробные данные об абоненте (владельце этого открытого ключа): кто этот абонент такой, его адрес электронной почты, когда ключ создан, для какого алгоритма предназначен ключ, когда истекает срок действия ключа и т.д.). Наряду с подписанным сертификатом, абонент получает в пару свой "закрытый ключ", который он будет использовать для электронной подписи и шифрования передаваемых данных.
Авторитетные лица в этой системе называются «доверенными центрами сертификации» («удостоверяющими центрами»). Таких доверенных центров на данное время около 60-ти, и их открытые ключи вшиты во все современные операционные системы и обозреватели интернета (для проверки подлинности электронной подписи сертификатов, получаемых при соединении с сайтами).
Например, когда пользователь соединяется с сайтом https://google.com ("по SSL", он же "TLS"), в ответ ему приходит сертификат ("SSL сертификат"), подписанный каким-либо «доверенным центром сертификации», и полученный сертификат сразу можно проверить на подлинность, проверив его цифровую подпись (обозреватель делает это автоматически). В случае, если сертификат подлинный, и "домен" (google.com), указанный в сертификате, совпадает с тем "доменом" (адресом), на который пользователь пытается зайти, то всё верно, и обозреватель показывает пользователю эту интернет страницу (и в адресной строке появляется значок "защищённого подключения"; обычно это зелёный замок). Если же сертификат не проходит проверку подписи, или если "домен", указанный в сертификате, не совпадает с тем "доменом" (адресом), на который пользователь пытается зайти, то обозреватель не покажет эту интернет страницу, и вместо неё выведет предупреждение о том, что подключение может быть небезопасным, и что возможно злоумышленники пытаются обмануть пользователя.
Поэтому в случае хождения по интернету пользователь обезопасен настолько, насколько подлинными являются его обозреватель интернета и его операционная система: для обхода этой защиты злоумышленнику придётся либо обманом заставить пользователя установить себе в систему обозреватель, в котором либо выключена функциональность подтверждения сайтов (или в который вшит "левый" якобы доверенный сертификат), либо несанкционированно установить в операционной системе пользователя свой "левый" якобы доверенный сертификат.
Стать доверенным центром может любая компания, однако для этого ей придётся ежегодно проходить строгие проверки на безопасность (WebTrust). Основные участники рынка сертификации на ноябрь 2012-ого:
Symantec (владеющая VeriSign'ом, Thawte и Geotrust'ом) с долей в 42.9% рынка
Comodo с долей в 26%
GoDaddy с долей в 14%
GlobalSign с долей в 7.7%
Самым первым центром сертификации была «RSA Data Security», основанная изобретателями алгоритма RSA (хорошо заработали, наверное).
Для того, чтобы получить сертификат для своего сайта ("домена"), требуется пройти скурпулёзную проверку в центре сертификации на предмет того, действительно ли вы являетесь настоящим владельцем этого сайта ("домена").
Если злоумышленникам удастся завладеть вашим закрытым ключом, то ваш сертификат более не сможет обеспечивать вашу подлинность при установке соединения, и об этом следует уведомить организацию, выдавшую вам сертификат. После уведомления, сертификат будет помещён в список недействительных сертификатов (Certificate Revocation Lists, Authority Revocation Lists). Далее обозреватели каждый раз при соединении с сайтом по протоколу HTTPS делают запрос по протоколу Online Certificate Status Protocol для проверки того, не находится ли этот сертификат в списке недействительных сертификатов. Если обнаружится, что этот сертификат более недействителен, то соединение не будет установлено.
HMAC
Hash-based Message Authentication Code — способ цифровой подписи сообщения "для бедных": не требует наличия сертификатов и интенсивных вычислений. Может использоваться в каких-то простейших случаях, когда использование ЭЦП не целесообразно.
При этом подходе так же вместе с сообщением передаётся "слепок" ("хеш") этого сообщения, который потом проверяется принимающей стороной. В отличие от асимметричного шифрования здесь используется симметричное шифрование, то есть обе стороны заранее знают некий секретный пароль s.
Текст сообщения m смешивается с паролем s по схеме, которую концептуально можно выразить как hash(s + hash(s + m)). При таком подходе достигается наилучшая (на текущее время) криптостойкость подписи.
Шифрование на эллиптических кривых
Через несколько лет после того, как появились на свет алгоритмы Диффи-Хеллмана и RSA, работающие над пространством целых чисел, математики предложили альтернативное пространство чисел для шифрования — эллиптические кривые.
Эллиптической кривой (не имеет никакого отношения к "эллипсу") называется множество всех (точек кривой) решений уравнения:
Далее, на множестве всех (точек кривой) решений этого уравнения можно вводить алгебраические операции сложения и умножения.
Например, для пространства всех действительных (вещественных) x и y можно ввести операцию сложения точек на эллиптической кривой, согласно которой для любых двух точек эллиптической кривой P и Q существует единственная точка R', которую можно найти, проведя через точки P и Q прямую, и отметив точку R' пересечения этой прямой с эллиптической кривой. Также вводится "точка в бесконечности 0", такая, что P + Q + R' = 0. Точка R, симметричная точке R' относительно оси Ox, и будет искомой суммой P + Q.
Введя подобные операции сложения и умножения точек эллиптической кривой, можно получать конечные подмножества точек, лежащих на этой кривой, которые будут образовывать "конечные поля". В криптографии на эллиптических кривых используются два таких конечных поля: "простые поля нечётной характеристики" и "поля характеристики 2", что бы это ни означало.
Соответственно, поскольку определены операции сложения и умножения, то, как и в случае с обычным пространством целых чисел, можно найти такие алгебраические операции, которые легко производить в одну сторону (как, например, перемножение двух больших простых чисел в алгоритме RSA) и невероятно сложно производить в обратную сторону (как, например, разложение большого числа на произведение двух простых чисел в алгоритме RSA). И используя такие алгебраические операции можно построить полные аналоги уже существующих алгоритмов асимметричного шифрования (RSA, Диффи-Хеллман), но уже исключительно на эллиптических кривых.
Зачем с этим заморочились: на эллиптических кривых пока ещё не нашли алгоритмов "дискретного логарифмирования" (с помощью которых можно взломать шифрование), которые давали бы решение менее чем за "экспоненциальное" время. Поэтому в случае с алгоритмами шифрования на эллиптических кривых можно безопасно использовать ключи шифрования гораздо меньшей длины, чем на тех же самых алгоритмах на пространстве целых чисел, что даёт большую экономию вычислительных ресурсов.
Tor
Tor — это способ анонимного доступа к сетевым ресурсам. Можно ходить анонимно в интернет, можно также ходить по ".onion" сайтам, которые анонимно хостятся и доступны только внутри сети Tor'а.
Распространяется Tor в связке с обозревателем Mozilla Firefox, который можно скачать с официального сайта и установить в операционной системе, после чего вся работа через этот "Tor браузер" будет анонимной (по этой причине не следует пользоваться Tor браузером для раскрытия своей настоящей личности: не следует входить через него в свои настоящие учётные записи в социальных сетях, проверять свою настоящую почту и т.п. — оставляйте своё настоящее Я за пределами Tor браузера).
Способ достижения анонимности Tor'а таков. Пользователь устанавливает соединение с Tor сетью, и после этого набирает себе цепочку из трёх случайных промежуточных узлов (называемых "нодами"). Цепочка набирается таким образом, что второй узел выбирается уже после установки соединения с первым выбранным узлом, поэтому дальше первого (входного) узла цепочки настоящий IP-адрес пользователя не просачивается. При этом первый (входной) узел цепочки не имеет никакой возможности определить, что он является именно первым (входным): для него пользователь выглядит точно так же, как и любой другой узел сети Tor'а. Поэтому только последний (выходной) узел цепочки знает, что он выходной, а все остальные узлы цепочки — ничего не знают о своём положении в этой цепочке (за исключением того, что они не являются выходными).
По мере набора цепочки, пользователь и каждый новый узел цепочки генерируют секретный ключ по алгоритму Диффи-Хеллмана. Этот ключ будет использоваться в дальнейшем для симметричного шифрования/расшифровки данных по алгоритму AES на этом узле цепочки. После того, как туннель построен, у пользователя с каждым из узлов цепочки имеется свой секретный ключ симметричного шифрования/расшифровки трафика, который далее я буду называть просто "ключом".
При отправке данных через туннель, пользователь шифрует свой исходящий сетевой трафик три раза: сначала трафик шифруется ключом третьего (выходного) узла цепочки, потом всё это шифруется ключом второго (среднего) узла цепочки, и затем всё это снова шифруется ключом первого (входного) узла цепочки.
Получается подобие луковицы, или матрёшки, когда сердцевина (трафик) обёрнута в несколько слоёв шифрования. Поэтому Tor называют "луковицей" или "луковичной маршрутизацией".
Когда трафик попадает на первый (входной) узел цепочки, этот узел снимает свой (наружный) слой шифрования — расшифровывает полученные данные с помощью своего ключа. Полученные расшифрованные данные всё ещё зашифрованы двумя другими слоями шифрования, которые этот первый (входной) узел цепочки расшифровать не может, так как у него нет соответствующих ключей.
Даже если первый (входной) узел цепочки смог установить личность пользователя по его настоящему IP-адресу, то у этого узла нет никакой возможности узнать ни какие данные пользователь передаёт в сеть, ни на какой адрес в интернете пользователь заходит. К тому же, поскольку с точки зрения любого узла сети Tor нет никакого способа определить, кто с ним соединяется — пользователь или другой такой же узел — то в этом случае первый (входной) узел сам не может знать, что он является первым (входным) узлом, и что это именно данный пользователь заходит на какой-то веб сайт, а не просто его машина выполняет роль такого же обычного узла цепочки для передачи данных какого-то совсем другого пользователя.
Далее, первый (входной) узел цепочки отправляет данные, с которых снят первый слой шифрования, на второй (средний) узел цепочки. Второй (средний) узел цепочки так же снимает свой слой шифрования с трафика, но до сих пор не знает, что там внутри, и теперь уже не знает настоящего IP-адреса пользователя.
Далее, второй (средний) узел цепочки отправляет данные, с которых снят второй слой шифрования, на последний третий (выходной) узел цепочки. Третий (выходной) узел цепочки полностью расшифровывает трафик, снимая с него последний слой шифрования, и направляет этот трафик на нужный сетевой адрес (в интернете или внутри .onion сети). Получается, что третий (выходной) узел, который ещё называется "exit node", может полностью прослушивать трафик, и видит все данные, которые передаются, но при этом он ничего не знает о настоящем IP-адресе пользователя, поэтому не имеет возможности отследить поток трафика обратно к пользователю.
При получении ответа от сайта (в интернете или в .onion сети) весь процесс идёт в обратном направлении: полученный ответ идёт обратно по узлам цепочки, на каждом шаге оборачиваясь слоем шифрования текущего узла. Когда пользователь получает свой ответ от первого (входного) узла, то этот ответ обёрнут теми же самыми слоями шифрования, как и при отправке сообщения, в том же порядке. Пользователь, имея нужные ключи, снимает поочерёдно все слои шифрования с полученного ответа, и видит те данные, которые он запрашивал (из интернета или из .onion сети).
Для повышения безопасности пользователя Tor периодически полностью меняет цепочку узлов (раз в десять минут, если нет активных соединений). Также Tor старается сделать так, чтобы узлы цепочки находились в разных странах, таким образом затрудняя полиции доступ к этим узлам (разные юрисдикции разных стран, бюрократические согласования и т.п.).
Стать узлом ("node") может любой желающий энтузиаст, увеличивая таким образом скорость работы и качество всей сети Tor. Узел может выполнять работу как просто "relay node" (промежуточного узла), так и "exit node" (выходного узла, который непосредственно взаимодействует с интернетом, и за это теоретически могут посадить, как за соучастие в преступлении). На текущее время в сети Tor имеется около 7 000 узлов, 1 000 из которых являются выходными ("exit node").
Для тех, кто хочет закопаться глубоко, есть длинный и подробный FAQ на официальном сайте.
Изначально, концепция "луковой маршрутизации" была придумана в 90-ых годах в лаборатории ВМФ США для обеспечения безопасности сотрудников разведки США, передающих разведданные по интернету. DARPA, явившая миру интернет, тоже впоследствии приложила руку. В начале 2000-ных появилась первая рабочая версия Tor'а, и через пару лет ВМФ США отдали Tor в Open Source, и с тех пор Tor спонсируется всеми желающими как некоммерческая организация (основная часть пожертвований, тем не менее, продолжает идти со стороны правительственных структур США).
Tor через VPN
Те пользователи, которые опасаются случайно попасть на такую цепочку промежуточных узлов, каждый из которых запущен полицией (что дало бы полиции возможность видеть весь трафик в расшифрованном виде, а также узнать настоящий IP-адрес пользователя), могут ходить в Tor сеть через VPN. В таком случае всё, что сможет сделать полиция — это видеть весь трафик и узнать IP-адрес VPN сервера. Если VPN сервис подпадает под юрисдикцию полиции (большинство стран), то он обязан по закону хранить информацию о том, кто и когда к нему подключался, и на какие сайты заходил. Если же VPN сервис расположен в одной из немногих стран, где по каким-то причинам не приняты жёсткие законы о содействии следствию, то такой VPN сервис не обязан (и не будет) хранить информацию о том, кто и когда к нему подключался, и на какие сайты заходил. Более того, полиция может просто не иметь возможности по закону чего-то потребовать от такого VPN сервиса, не сможет установить там свою прослушку и т.п..
Tor hidden services (.onion сайты)
Любой желающий может запустить свой web-сайт в сети Tor. Такие web-сайты называются "скрытыми сервисами" (hidden service), по той причине, что владелец web-сайта остаётся анонимным (другими словами, теоретически нет возможности узнать настоящий IP-адрес машины, на которой запущен данный web-сайт; гипотетически можно попробовать как-нибудь угадать, анализируя потоки трафика, но это уже вопрос к специалистам по этой теме).
Работает это так: машина, на которой запущен web-сайт, периодически соединяется со случайно выбранными узлами (introduction points) через случайные цепочки промежуточных узлов, и передаёт этим узлам (introduction points) открытый ключ данного web-сайта. Таким образом web-сайт заявляет о своём существовании в сети Tor, и далее всё взаимодействие пользователей с этим web-сайтом можно просто пустить через эти временные узлы (introduction points) по построенным временным цепочкам, и никто не сможет узнать ничьего настоящего IP-адреса.
Как пользователи узнают о существовании web-сайта, и о том, через какие временные узлы (introduction points) можно попасть на этот сайт? В сети Tor запущена распределённая база данных (Distributed Hash Table), то есть такая общая база данных, которая равномерно размазана по всем узлам сети Tor. В этой базе данных Tor браузер и будет искать, существует ли в сети Tor запрошенный пользователем web-сайт, и если существует, то через какие временные узлы на этот сайт можно попасть.
Кто кладёт эту информацию в распределённую базу данных? Сам этот web-сайт: после того, как он заявил о своём существовании, и соединился со временными узлами, он составляет список этих узлов, и кладёт его в распределённую базу данных, подписав этот список своим закрытым ключом, и приложив рядом свой открытый ключ (для проверки подписи пользователями).
В описанную выше схему добавляют ещё немного безопасности, вводя отдельный тип узлов (rendezvous points) для пересылки трафика на web-сайт и получения трафика с web-сайта. Эти узлы трафика (rendezvous points), в отличие от временных узлов (introduction points), ничего не знают о том, к какому именно web-сайту относится перегоняемый трафик, тем самым внося ещё немного анонимности и защищённости (как пользователей, так и владельцев web-сайтов).
Узел трафика выбирается пользователем случайно, и информация об этом выбранном узле трафика (зашифрованная открытым ключом web-сайта, с добавлением случайно сгенерированного "пароля") пересылается через временные узлы (introduction points) web-сайту. Далее пользователь и web-сайт устанавливают соединение (стандартную цепочку Tor) с этим узлом трафика, и уже потом через него пересылают друг-другу трафик (после проверки пользователем того самого случайно сгенерированного "пароля", отправляемого web-сайтом обратно пользователю — в подтверждение того, что это именно тот web-сайт, а не подделка, потому что расшифровать ранее отправленный пользователем "пароль" может только сам этот web-сайт). В итоге получается объединённая цепочка из 3 + 3 = 6 узлов.
Можно обратить внимание на то, что у web-сайтов .onion "некрасивые" и странные адреса. Сделано это, как и всё другое в сети Tor, для безопасности пользователя. Для того, чтобы получить DNS имя для сайта, нужно сгенерировать себе пару из открытого и закрытого ключа, и дальше с помощью открытого ключа подписать название сайта. Например, можно взять слово "facebook", подписать его своим открытым ключом, и получится доменное имя "facebookcorewwwi.onion", где "corewwwi" — это подпись слова "facebook" открытым ключом данного сайта.
Таким образом, любой посетитель сайта, устанавливающий соединение с сайтом "facebookcorewwwi.onion", при получении открытого ключа сайта в ходе установки соединения сможет самостоятельно убедиться в том, что этот сайт — действительно тот самый, "настоящий", не поддельный, и соответствует именно этому .onion адресу. Поэтому для .onion сайтов в сети Tor нет необходимости в каком-то Едином Центре Сертификации (как делается в обычном интернете для сертификатов SSL), что входило бы в противоречие с изначальным замыслом сети Tor — децентрализация и безопасность.
i2p
i2p ("айтупи") — это анонимная сеть, чем-то похожая на Tor. Если основной задачей Tor'а является предоставление анонимного доступа в интернет, то основной задачей i2p является построение полностью независимой от интернета распределённой анонимной сети со своими "скрытыми" сайтами.
Считается, что уровень анонимности в сети i2p выше уровня анонимности в сети Tor.
В i2p используется схема шифрования, похожая на ту, которая используется в Tor'е.
Каждый пользователь сети i2p является одновременно и узлом передачи трафика ("нодой").
В отличие от "луковой маршрутизации" в Tor'е, в i2p используется "чесночная маршрутизация", при которой сообщения отправляются не по одному, а пачками (для повышения безопасности). Также строится по нескольку разных туннелей как на исходящий трафик, так и на входящий. Весь трафик разбивается на части, и проходит параллельно по пучку туннелей, а в конце пути — снова собирается из составных частей в исходный поток.
i2p перестраивает цепочку узлов раз в 10 минут.
Входные "ноды" в i2p называются "gateway"ями, промежуточные — "participant"ами, а выходные — "endpoint"ами. Подробное описание построения туннелей на английском.
Шифрование, в котором как для шифровки, так и для расшифровки, используется один и тот же пароль. В противоположность асимметричному шифрованию, в котором для шифровки и расшифровки используются два разных ключа: «открытый» и «закрытый».
Основное преимущество симметричного шифрования перед асимметричным: оно гораздо быстрее (в 1000 раз). Часто используются «гибридные схемы шифрования», когда управляющее соединение создаётся асимметричным шифрованием, а уже по этому каналу стороны договариваются друг с другом, какой симметричный алгоритм шифрования выбрать и каким будет ключ шифрования (сеансовый ключ). Симметричный канал в такой схеме обычно пересоздаётся заново через некоторое время во избежание подбора симметричного пароля (если бы симметричный канал существовал, скажем, несколько лет, то при недостаточно надёжном алгоритме шифрования взломщик вполне мог бы подобрать пароль за это время на каком-нибудь кластере суперкомпьютеров).
Большинство симметричных шифров используют сложную комбинацию большого количества подстановок и перестановок. Многие такие шифры исполняются в несколько (иногда до 80) проходов, используя на каждом проходе «ключ прохода». Множество «ключей прохода» для всех проходов называется «расписанием ключей» (key schedule). Как правило, оно создается из ключа выполнением над ним неких операций, в том числе перестановок и подстановок.
Зачастую стойкость алгоритма, особенно к дифференциальному криптоанализу, зависит от выбора значений в таблицах подстановки (S-блоках). Как минимум считается нежелательным наличие неподвижных элементов S(x) = x, а также отсутствие влияния какого-то бита входного байта на какой-то бит результата — то есть случаи, когда бит результата одинаков для всех пар входных слов, отличающихся только в данном бите.
«Блочные» шифры обрабатывают информацию блоками определённой длины (обычно 64, 128 бит), применяя к блоку ключ в установленном порядке, как правило, несколькими циклами перемешивания и подстановки, называемыми «раундами». Результатом повторения «раундов» является «лавинный эффект» — нарастающая потеря соответствия битов между блоками открытых и зашифрованных данных.
Примеры симметричных алгоритмов шифрования: AES, Twofish.
Алгоритм Диффи-Хеллмана
Вся криптография, построенная даже на самых надёжных симметричных алгоритмах шифрования, имеет одну фундаментальную неразрешимую задачу — задачу первоначального обмена "секретным ключом", которым будет осуществляться симметричное шифрование данных. То есть, для того, чтобы общаться с помощью симметрично-шифрованных каналов придётся сначала встретиться где-то лично и придумать общий "секретный ключ", а потом уже с помощью этого ключа можно будет безопасно общаться друг с другом по сети, используя симметричное шифрование.
Но встречаться лично с каждым, в современном быстронесущемся мире — это физически невозможно.
Эта задача первоначального обмена секретным ключом оставалась нерешённой, пока Диффи и Хеллман не опубликовали свою статью в 1976 году.
Понять идею алгоритма Диффи-Хеллмана можно, посмотрев этот ролик:
Математическое обоснование
Математическое обоснование алгоритма Диффи-Хеллмана использует два вспомогательных тождества.
x mod y — это по определению «остаток от деления x на y». Первое тождество: (x mod y)^z mod y = x^z mod y. Это тождество можно доказать, просто разложив x = a * y + b:
((a * y + b) mod y)^z mod y = b^z mod y
x^z mod y = (a * y + b)^z mod y = b^z mod y, так как скобка разложится по биному Ньютона и все остальные слагаемые с y дадут 0 в остатке от деления на y.
Второе вспомогательное тождество — (x^y)^z = x^(yz) — основано на свойстве перемножения степеней, и легко доказывается простым разложением степени на множители: (x^y)^z = (x, перемноженное y раз), перемноженное z раз = x, перемноженное у*z раз = x^(yz).
Теперь непосредственно описание алгоритма Диффи-Хеллмана. Предположим, есть два абонента: Алиса и Боб. Они соединяются друг с другом по нешифрованному каналу и пересылают друг друга случайно взятые два числа g и p, которые не являются секретными и могут быть подсмотрены кем угодно. Для того, чтобы теперь создать неизвестный более никому секретный ключ, оба абонента генерируют большие случайные числа: Алиса — число a, Боб — число b. Затем Алиса вычисляет значение A = g^a mod p и пересылает его Бобу, а Боб вычисляет B = g^b mod p и передаёт его Алисе. Эти числа так же передаются по нешифрованному каналу, и могут быть подсмотрены кем угодно.
Далее Алиса вычисляет значение B^a mod p = (g^b mod p)^a mod p = g^(ab) mod p, а Боб — вычисляет значение A^b mod p = (g^a mod p)^b mod p = g^(ab) mod p, и это и будет их общий секретный ключ K, который можно использовать для создания симметричного шифрованного канала. Даже если злоумышленник перехватит все передаваемые числа (A, B, g, p), то при достаточно больших выбранных числах p, a и b, он не сможет за разумное время вычислить секретный ключ K по A = g^a mod p и B = g^b mod p.
Требования, предъявляемые к генерируемым числам, таковы (пояснения ниже):
p — достаточно большое простое число
(p - 1) / 2 — тоже простое число
g — первообразный корень по модулю p
(простое число — это чисто, которое не раскладывается на целые множители)
"g — первообразный корень по модулю p" означает, что при всевозможных n выражение g^n mod p образует полный набор чисел от 1 до p - 1, и поэтому (секретный) сеансовый ключ, который вычислят Алиса и Боб, может быть каким угодно: от 1 до p - 1, и подслушивающему придётся перебирать все числа от 1 до p - 1, а это по условию задачи нереально сделать за разумный срок.
Требование простоты числа p выдвинуто потому, что доказано, что для всякого простого числа p существует первообразный корень по модулю p, поэтому для сеанса связи можно выбрать любое случайное простое число.
Требование величины числа p выдвинуто затем, чтобы полный набор чисел от 1 до p - 1 был настолько огромным, чтобы подслушивающий не мог физически их все перебрать в разумный срок.
Требование "(p - 1) / 2 — тоже простое число" введено для повышения безопасности шифрования, так как существует алгоритм дискретного логарифмирования, позволяющий подслушивающему вычислить (секретный) сеансовый ключ за "полиномиальное" время (то есть, "за разумное время") при условии, что число p - 1 раскладывается на небольшие простые множители. Поэтому введено дополнительное требование, чтобы существовало такое простое число q, что p - 1 = 2q, и тогда q будет очень большим простым числом (того же порядка, что и p), и алгоритм вычисления (секретного) сеансового ключа будет выполняться так же "неразумно долго".
Обычно секретные ключи a и b имеют порядок 10^100, а число p — порядок 10^300. Число g не обязано быть большим и обычно имеет значение в пределах десяти.
Стойкость ко взлому алгоритма Диффи-Хеллмана основывается целиком и полностью на не найденности на текущее время разумно быстрого алгоритма "дискретного логарифмирования".
Алгоритм Диффи-Хеллмана используется для установки соединения в HTTPS (SSL/TLS), VPN и во многих протоколах. В интернете есть слухи о том, что Агентство Национальной Безопасности США нашло эффективный способ взлома этого алгоритма.
Уязвимость
Открытие Диффи и Хеллмана произвело настоящую революцию в криптографии, так как единственная неразрешимая задача была, казалось бы, полностью решена. Однако выяснилось, что такой алгоритм обмена секретным ключом подвержен уязвимости «посредника» (man in the middle): злоумышленник может просто вклиниться в канал передачи данных между Алисой и Бобом и притвориться для Алисы — Бобом, а для Боба — Алисой. При такой схеме злоумышленник создаст два шифрованных канала (с каждым из абонентов), а абоненты будут думать, что есть только один шифрованный канал — между ними двумя. И злоумышленник будет видеть все данные, передаваемые между абонентами, в расшифрованном виде.
Поэтому в дополнение к алгоритму Диффи-Хеллмана требуется некий способ надёжного подтверждения личности обоих абонентов (Алиса должна удостовериться в том, что она установила соединение именно с Бобом, а Боб, в свою очередь, должен удостовериться в том, что на другом конце провода — именно Алиса). Решается эта уязвимость "алгоритмом подписи RSA" и "центрами сертификации".
Асимметричное шифрование
Асимметричным шифрованием называется схема, при которой есть два ключа: один из них «открытый» (он общедоступен), а другой — «закрытый» (он хранится в тайне его обладателем). Например, каждому человеку на Земле, можно выдать личную пару ключей: открытый и закрытый. Открытые ключи всех людей в таком случае будут общедоступны, а свой закрытый ключ каждый человек будет хранить в тайне.
Возникает вопрос: зачем нужна такая схема, и чем она лучше схемы с одним ключом. А особенна эта схема тем, что зашифровать сообщение, предназначенное условному Александру, может любой желающий, просто взяв общедоступный открытый ключ Александра, но уже расшифровать такое сообщение может только сам Александр, потому что расшифровать сообщение, зашифрованное открытым ключом, может только обладатель парного закрытого ключа.
На первый взгляд, какая-то магия. Однако, никакой магии — это просто замечательное математическое открытие.
Диффи-Хеллман для асимметричного шифрования
Алгоритм Диффи-Хеллмана можно немного изменить, и получить некое подобие асимметричного алгоритма шифрования данных (но тем не менее, Диффи-Хеллман создавался не для этого, и он не предназначен для асимметричного шифрования данных).
В этом случае Алиса и Боб не устанавливают канал связи. Вместо этого Алиса выбирает себе значения p и g, вычисляет на их основе своё A, и публикует эти три числа в открытом доступе, называя это своим "открытым ключом". Боб, на основе этих трёх чисел, в точности как в алгоритме Диффи-Хеллмана, вычисляет секретный ключ K, после чего шифрует сообщение любым симметричным алгоритмом, используя K в качестве ключа, и передает шифротекст Алисе вместе со своим значением B. Алиса же, имея B, g и p, также вычисляет секретный ключ K, и может расшифровать и прочесть сообщение, которое ей отправил Боб.
Получилось, что зашифровать сообщение, предназначенное Алисе, может любой желающий, а расшифровать такое сообщение могут только два человека — сам отправитель сообщения (который его и так знает) и получатель сообщения (Алиса).
Получилась такое подобие асимметричного шифрования данных на коленке. В реальности, конечно, лучше доверить асимметричное шифрование данных тому протоколу, который был разработан именно для этой цели. Первым таким протоколом стал RSA.
RSA
Алгоритм асимметричного шифрования RSA был изобретён в 1977-ом году тремя учёными из MIT'а. После работы над более чем 40 возможными вариантами, им удалось найти алгоритм, основанный на различии в том, насколько легко находить большие простые числа и насколько сложно раскладывать на множители произведение двух больших простых чисел.
Выбираются два больших простых числа p и q (например, по 2048 битов каждое)
Вычисляется их произведение n = p * q
Вычисляется функция Эйлера φ(n) = (p - 1)(q - 1)
Выбирается целое e (1 < e < φ(n)), взаимно простое с φ(n). Обычно в качестве e берут простые числа, содержащие небольшое количество единичных бит в двоичной записи, например, простые числа Ферма 17, 257 или 65537. Такой трюк позволяет возводить любое число в степень e очень быстро в двоичной системе исчисления (n^(2^k) = ((((n^2)^2)^2)^...)
Вычисляется число d, "мультипликативно обратное" к числу e по модулю φ(n): ed mod φ(n) = 1
Пара (e, n) — это открытый ключ, а d — это закрытый ключ
Теперь Алиса может зашифровать сообщение (число) m, предназначенное Бобу, используя открытый ключ Боба (e, n): c = m^e mod n. И только Боб теперь сможет расшифровать это сообщение m, адресованное ему Алисой: c^d mod n = (m^e mod n)^d mod n = m^(ed) mod n = m (математики говорят, что всё сходится).
Можно заметить, что схема с возведением в степень и делением по модулю здесь очень напоминает алгоритм Диффи-Хеллмана. Важное отличие состоит в том, что вся цепочка операций в алгоритме RSA сохраняет всю первоначальную информацию шифруемого сообщения m. Поэтому алгоритм RSA может использоваться для шифровки и расшифровки сообщений. Алгоритм Диффи-Хеллмана, в свою очередь, не ставит своей задачей сохранение всей исходной информации в ходе цепочки вычислений, и поэтому умеет передавать только производное значение некоего вычисления, имея которое уже можно на местах вычислить единый (сеансовый) ключ шифрования K, который уже в дальнейшем используется каким-нибудь симметричным алгоритмом шифрования для передачи непосредственно сообщений.
Стойкость ко взлому алгоритма RSA основывается целиком и полностью на не найденности на текущее время разумно быстрого алгоритма "факторизации" (разложения целого числа на простые множители).
RSA или Диффи-Хеллман
Без разницы.
Можно зашифровать случайно выбранный ключ симметричного шифрования алгоритмом RSA, и послать его на другой конец провода, где его расшифруют, и получится защищённый канал передачи данных.
Можно использовать алгоритм Диффи-Хеллмана для обмена ключом симметричного шифрования, и получится точно такой же защищённый канал передачи данных.
По вычислительной сложности оба алгоритма сравнимы друг с другом.
Цифровая подпись (ЭЦП)
Выше был рассмотрен "алгоритм асимметричного шифрования RSA". Помимо этого алгоритма, под словом "RSA" часто также имеют ввиду другой алгоритм — "алгоритм цифровой подписи RSA", который используется не для шифрования данных, а для их подписи.
Изменим немного рассмотренную выше схему. Пусть Боб, вместо того, чтобы зашифровать сообщение m, предназначенное Алисе, открытым ключом Алисы, зашифрует это сообщение своим закрытым ключом: s(m) = m^d mod n, и отправит это зашифрованное сообщение Алисе. В этом случае Алиса, воспользовавшись открытым ключом Боба, сможет проверить подлинность полученного от него сообщения: m' = s(m)^e mod n (m' и m должны совпадать). Таким образом Алиса может удостовериться, что сообщение отправлено именно Бобом, и не подделано.
Алгоритм цифровой подписи RSA используется в протоколе TLS (он же HTTPS, он же SSL) в связке с алгоритмом обмена ключами Диффи-Хеллмана и алгоритмом симметричного шифрования (например, AES). В этой схеме Диффи-Хеллман служит для безопасного обмена секретным ключом симметричного шифрования передаваемых данных (например, AES), а алгоритм подписи RSA служит для удостоверения личности обоих абонентов во время установки соединения.
На практике, подпись большого объёма данных алгоритмом цифровой подписи RSA — медленная операция, поэтому для оптимизации вычислительных расходов "цифровую подпись" можно брать немного другим образом: сначала от сообщения берётся некий "слепок", называемый "хешем" сообщения, который по своим размерам не превышает заданного количества байтов, и затем уже этот "слепок" ("хеш") полноценно шифруется алгоритмом RSA, и это происходит быстро, т.к. "слепок" ("хеш") очень мал.
В таком случае в полученном шифротексте теряется информация исходного сообщения, и поэтому полученный "слепок" ("хеш") передают адресату вместе с текстом исходного сообщения (в открытом виде, потому что по условиям задачи нет необходимости скрывать от прослушки текст исходного сообщения, и в этом сообщении нет ничего секретного).
Далее, получатель сообщения берёт от него точно таким же способом "слепок" ("хеш"), и сравнивает свой полученный "слепок" ("хеш") с расшифрованным "слепком" ("хешем"), шифротекст которого он получил вместе с текстом сообщения. Если оба "слепка" ("хеша") совпадают — значит, с вероятностью, стремящейся ко 100%, полученное сообщение подлинное: получено именно от того отправителя, и содержит именно тот текст, который написал отправитель.
В ином случае — сразу будет засечено, что кто-то пытался подделать сообщение, и у злоумышленника не получится обмануть получателя. Таким образом, цифровая подпись обеспечивает как подлинность автора сообщения, так и целостность этого сообщения. Только сам автор сообщения может его подписать, и при этом любой желающий может проверить подлинность этой подписи.
Надёжность такой цифровой подписи таким образом зависит как от надёжности алгоритма асимметричного шифрования, так и от надёжности алгоритма взятия "слепка" ("хеша") (и ещё от достоверности открытых ключей).
Хеш
Хеш — это некоторый массив данных определённой длины, полученной при пропускании исходных данных через алгоритм хеширования. Можно сравнить хеш со слепком или отпечатком информации, с той разницей, что у хеша задача противоположная: чтобы по хешу было невозможно сделать какие-либо выводы о том, какой была исходная информация. Для этого хорошие функции хеширования должны удовлетворять требованию о полной утрате всех статистических закономерностей исходного сообщения. Для этого алгоритм хеширования должен иметь «эффект лавины» — должно происходить сильное изменение хеша при 1-битном изменении входных данных (в идеале должны меняться значения половины всех бит хеша).
С помощью хеша можно проверить целостность данных: если хотя бы один бит данных был изменён (в результате какого-то сетевого сбоя, сбоя дискового хранилища или намеренно злоумышленником), то хеш, взятый от изменённых данных, будет уже совсем другим, и таким образом сразу можно узнать, что данные либо случайно испорчены, либо кто-то пытался их подменить.
Примеры алгоритмов хеширования: SHA, Twofish, Whirlpool.
Сертификаты
Когда Алиса соединяется с кем-то по асимметрично шифрованному каналу, ей нужно каким-то образом быть полностью уверенной в том, что вторая сторона — именно та, за какую себя выдаёт. То есть, если Алиса соединяется с Бобом, то ей нужно каким-то образом по открытому ключу, полученному в ответ (от якобы Боба), быть полностью уверенной в том, что этот открытый ключ принадлежит именно Бобу (что он подлинный).
Такую возможность предоставляет электронная подпись. Есть некое авторитетное лицо, которому все доверяют, и чей открытый ключ у всех где-то изначально записан, и этот записанный ключ точно 100% подлинный и не подвергается сомнению. И далее уже это авторитетное лицо выдаёт «сертификаты» всем желающим, подписывая эти «сертификаты» своим закрытым ключом. Авторитетному лицу все доверяют в том смысле, что оно идеально честное (не обманет), и хранит свой закрытый ключ в идеальной защищённости (и поэтому он не может быть выкран злоумышленниками для подписывания своих "левых" сертификатов).
Выдаваемый абоненту (и подписанный авторитетным лицом) сертификат (X.509) содержит в себе открытый ключ абонента и подробные данные об абоненте (владельце этого открытого ключа): кто этот абонент такой, его адрес электронной почты, когда ключ создан, для какого алгоритма предназначен ключ, когда истекает срок действия ключа и т.д.). Наряду с подписанным сертификатом, абонент получает в пару свой "закрытый ключ", который он будет использовать для электронной подписи и шифрования передаваемых данных.
Авторитетные лица в этой системе называются «доверенными центрами сертификации» («удостоверяющими центрами»). Таких доверенных центров на данное время около 60-ти, и их открытые ключи вшиты во все современные операционные системы и обозреватели интернета (для проверки подлинности электронной подписи сертификатов, получаемых при соединении с сайтами).
Например, когда пользователь соединяется с сайтом https://google.com ("по SSL", он же "TLS"), в ответ ему приходит сертификат ("SSL сертификат"), подписанный каким-либо «доверенным центром сертификации», и полученный сертификат сразу можно проверить на подлинность, проверив его цифровую подпись (обозреватель делает это автоматически). В случае, если сертификат подлинный, и "домен" (google.com), указанный в сертификате, совпадает с тем "доменом" (адресом), на который пользователь пытается зайти, то всё верно, и обозреватель показывает пользователю эту интернет страницу (и в адресной строке появляется значок "защищённого подключения"; обычно это зелёный замок). Если же сертификат не проходит проверку подписи, или если "домен", указанный в сертификате, не совпадает с тем "доменом" (адресом), на который пользователь пытается зайти, то обозреватель не покажет эту интернет страницу, и вместо неё выведет предупреждение о том, что подключение может быть небезопасным, и что возможно злоумышленники пытаются обмануть пользователя.
Поэтому в случае хождения по интернету пользователь обезопасен настолько, насколько подлинными являются его обозреватель интернета и его операционная система: для обхода этой защиты злоумышленнику придётся либо обманом заставить пользователя установить себе в систему обозреватель, в котором либо выключена функциональность подтверждения сайтов (или в который вшит "левый" якобы доверенный сертификат), либо несанкционированно установить в операционной системе пользователя свой "левый" якобы доверенный сертификат.
Стать доверенным центром может любая компания, однако для этого ей придётся ежегодно проходить строгие проверки на безопасность (WebTrust). Основные участники рынка сертификации на ноябрь 2012-ого:
Symantec (владеющая VeriSign'ом, Thawte и Geotrust'ом) с долей в 42.9% рынка
Comodo с долей в 26%
GoDaddy с долей в 14%
GlobalSign с долей в 7.7%
Самым первым центром сертификации была «RSA Data Security», основанная изобретателями алгоритма RSA (хорошо заработали, наверное).
Для того, чтобы получить сертификат для своего сайта ("домена"), требуется пройти скурпулёзную проверку в центре сертификации на предмет того, действительно ли вы являетесь настоящим владельцем этого сайта ("домена").
Если злоумышленникам удастся завладеть вашим закрытым ключом, то ваш сертификат более не сможет обеспечивать вашу подлинность при установке соединения, и об этом следует уведомить организацию, выдавшую вам сертификат. После уведомления, сертификат будет помещён в список недействительных сертификатов (Certificate Revocation Lists, Authority Revocation Lists). Далее обозреватели каждый раз при соединении с сайтом по протоколу HTTPS делают запрос по протоколу Online Certificate Status Protocol для проверки того, не находится ли этот сертификат в списке недействительных сертификатов. Если обнаружится, что этот сертификат более недействителен, то соединение не будет установлено.
HMAC
Hash-based Message Authentication Code — способ цифровой подписи сообщения "для бедных": не требует наличия сертификатов и интенсивных вычислений. Может использоваться в каких-то простейших случаях, когда использование ЭЦП не целесообразно.
При этом подходе так же вместе с сообщением передаётся "слепок" ("хеш") этого сообщения, который потом проверяется принимающей стороной. В отличие от асимметричного шифрования здесь используется симметричное шифрование, то есть обе стороны заранее знают некий секретный пароль s.
Текст сообщения m смешивается с паролем s по схеме, которую концептуально можно выразить как hash(s + hash(s + m)). При таком подходе достигается наилучшая (на текущее время) криптостойкость подписи.
Шифрование на эллиптических кривых
Через несколько лет после того, как появились на свет алгоритмы Диффи-Хеллмана и RSA, работающие над пространством целых чисел, математики предложили альтернативное пространство чисел для шифрования — эллиптические кривые.
Эллиптической кривой (не имеет никакого отношения к "эллипсу") называется множество всех (точек кривой) решений уравнения:
y^2 + a xy + c y = x^3 + b x^2 + d x + f
Например, для пространства всех действительных (вещественных) x и y можно ввести операцию сложения точек на эллиптической кривой, согласно которой для любых двух точек эллиптической кривой P и Q существует единственная точка R', которую можно найти, проведя через точки P и Q прямую, и отметив точку R' пересечения этой прямой с эллиптической кривой. Также вводится "точка в бесконечности 0", такая, что P + Q + R' = 0. Точка R, симметричная точке R' относительно оси Ox, и будет искомой суммой P + Q.
Соответственно, поскольку определены операции сложения и умножения, то, как и в случае с обычным пространством целых чисел, можно найти такие алгебраические операции, которые легко производить в одну сторону (как, например, перемножение двух больших простых чисел в алгоритме RSA) и невероятно сложно производить в обратную сторону (как, например, разложение большого числа на произведение двух простых чисел в алгоритме RSA). И используя такие алгебраические операции можно построить полные аналоги уже существующих алгоритмов асимметричного шифрования (RSA, Диффи-Хеллман), но уже исключительно на эллиптических кривых.
Зачем с этим заморочились: на эллиптических кривых пока ещё не нашли алгоритмов "дискретного логарифмирования" (с помощью которых можно взломать шифрование), которые давали бы решение менее чем за "экспоненциальное" время. Поэтому в случае с алгоритмами шифрования на эллиптических кривых можно безопасно использовать ключи шифрования гораздо меньшей длины, чем на тех же самых алгоритмах на пространстве целых чисел, что даёт большую экономию вычислительных ресурсов.
Tor
Tor — это способ анонимного доступа к сетевым ресурсам. Можно ходить анонимно в интернет, можно также ходить по ".onion" сайтам, которые анонимно хостятся и доступны только внутри сети Tor'а.
Распространяется Tor в связке с обозревателем Mozilla Firefox, который можно скачать с официального сайта и установить в операционной системе, после чего вся работа через этот "Tor браузер" будет анонимной (по этой причине не следует пользоваться Tor браузером для раскрытия своей настоящей личности: не следует входить через него в свои настоящие учётные записи в социальных сетях, проверять свою настоящую почту и т.п. — оставляйте своё настоящее Я за пределами Tor браузера).
Способ достижения анонимности Tor'а таков. Пользователь устанавливает соединение с Tor сетью, и после этого набирает себе цепочку из трёх случайных промежуточных узлов (называемых "нодами"). Цепочка набирается таким образом, что второй узел выбирается уже после установки соединения с первым выбранным узлом, поэтому дальше первого (входного) узла цепочки настоящий IP-адрес пользователя не просачивается. При этом первый (входной) узел цепочки не имеет никакой возможности определить, что он является именно первым (входным): для него пользователь выглядит точно так же, как и любой другой узел сети Tor'а. Поэтому только последний (выходной) узел цепочки знает, что он выходной, а все остальные узлы цепочки — ничего не знают о своём положении в этой цепочке (за исключением того, что они не являются выходными).
По мере набора цепочки, пользователь и каждый новый узел цепочки генерируют секретный ключ по алгоритму Диффи-Хеллмана. Этот ключ будет использоваться в дальнейшем для симметричного шифрования/расшифровки данных по алгоритму AES на этом узле цепочки. После того, как туннель построен, у пользователя с каждым из узлов цепочки имеется свой секретный ключ симметричного шифрования/расшифровки трафика, который далее я буду называть просто "ключом".
При отправке данных через туннель, пользователь шифрует свой исходящий сетевой трафик три раза: сначала трафик шифруется ключом третьего (выходного) узла цепочки, потом всё это шифруется ключом второго (среднего) узла цепочки, и затем всё это снова шифруется ключом первого (входного) узла цепочки.
Получается подобие луковицы, или матрёшки, когда сердцевина (трафик) обёрнута в несколько слоёв шифрования. Поэтому Tor называют "луковицей" или "луковичной маршрутизацией".
Когда трафик попадает на первый (входной) узел цепочки, этот узел снимает свой (наружный) слой шифрования — расшифровывает полученные данные с помощью своего ключа. Полученные расшифрованные данные всё ещё зашифрованы двумя другими слоями шифрования, которые этот первый (входной) узел цепочки расшифровать не может, так как у него нет соответствующих ключей.
Даже если первый (входной) узел цепочки смог установить личность пользователя по его настоящему IP-адресу, то у этого узла нет никакой возможности узнать ни какие данные пользователь передаёт в сеть, ни на какой адрес в интернете пользователь заходит. К тому же, поскольку с точки зрения любого узла сети Tor нет никакого способа определить, кто с ним соединяется — пользователь или другой такой же узел — то в этом случае первый (входной) узел сам не может знать, что он является первым (входным) узлом, и что это именно данный пользователь заходит на какой-то веб сайт, а не просто его машина выполняет роль такого же обычного узла цепочки для передачи данных какого-то совсем другого пользователя.
Далее, первый (входной) узел цепочки отправляет данные, с которых снят первый слой шифрования, на второй (средний) узел цепочки. Второй (средний) узел цепочки так же снимает свой слой шифрования с трафика, но до сих пор не знает, что там внутри, и теперь уже не знает настоящего IP-адреса пользователя.
Далее, второй (средний) узел цепочки отправляет данные, с которых снят второй слой шифрования, на последний третий (выходной) узел цепочки. Третий (выходной) узел цепочки полностью расшифровывает трафик, снимая с него последний слой шифрования, и направляет этот трафик на нужный сетевой адрес (в интернете или внутри .onion сети). Получается, что третий (выходной) узел, который ещё называется "exit node", может полностью прослушивать трафик, и видит все данные, которые передаются, но при этом он ничего не знает о настоящем IP-адресе пользователя, поэтому не имеет возможности отследить поток трафика обратно к пользователю.
При получении ответа от сайта (в интернете или в .onion сети) весь процесс идёт в обратном направлении: полученный ответ идёт обратно по узлам цепочки, на каждом шаге оборачиваясь слоем шифрования текущего узла. Когда пользователь получает свой ответ от первого (входного) узла, то этот ответ обёрнут теми же самыми слоями шифрования, как и при отправке сообщения, в том же порядке. Пользователь, имея нужные ключи, снимает поочерёдно все слои шифрования с полученного ответа, и видит те данные, которые он запрашивал (из интернета или из .onion сети).
Для повышения безопасности пользователя Tor периодически полностью меняет цепочку узлов (раз в десять минут, если нет активных соединений). Также Tor старается сделать так, чтобы узлы цепочки находились в разных странах, таким образом затрудняя полиции доступ к этим узлам (разные юрисдикции разных стран, бюрократические согласования и т.п.).
Стать узлом ("node") может любой желающий энтузиаст, увеличивая таким образом скорость работы и качество всей сети Tor. Узел может выполнять работу как просто "relay node" (промежуточного узла), так и "exit node" (выходного узла, который непосредственно взаимодействует с интернетом, и за это теоретически могут посадить, как за соучастие в преступлении). На текущее время в сети Tor имеется около 7 000 узлов, 1 000 из которых являются выходными ("exit node").
Для тех, кто хочет закопаться глубоко, есть длинный и подробный FAQ на официальном сайте.
Изначально, концепция "луковой маршрутизации" была придумана в 90-ых годах в лаборатории ВМФ США для обеспечения безопасности сотрудников разведки США, передающих разведданные по интернету. DARPA, явившая миру интернет, тоже впоследствии приложила руку. В начале 2000-ных появилась первая рабочая версия Tor'а, и через пару лет ВМФ США отдали Tor в Open Source, и с тех пор Tor спонсируется всеми желающими как некоммерческая организация (основная часть пожертвований, тем не менее, продолжает идти со стороны правительственных структур США).
Tor через VPN
Те пользователи, которые опасаются случайно попасть на такую цепочку промежуточных узлов, каждый из которых запущен полицией (что дало бы полиции возможность видеть весь трафик в расшифрованном виде, а также узнать настоящий IP-адрес пользователя), могут ходить в Tor сеть через VPN. В таком случае всё, что сможет сделать полиция — это видеть весь трафик и узнать IP-адрес VPN сервера. Если VPN сервис подпадает под юрисдикцию полиции (большинство стран), то он обязан по закону хранить информацию о том, кто и когда к нему подключался, и на какие сайты заходил. Если же VPN сервис расположен в одной из немногих стран, где по каким-то причинам не приняты жёсткие законы о содействии следствию, то такой VPN сервис не обязан (и не будет) хранить информацию о том, кто и когда к нему подключался, и на какие сайты заходил. Более того, полиция может просто не иметь возможности по закону чего-то потребовать от такого VPN сервиса, не сможет установить там свою прослушку и т.п..
Tor hidden services (.onion сайты)
Любой желающий может запустить свой web-сайт в сети Tor. Такие web-сайты называются "скрытыми сервисами" (hidden service), по той причине, что владелец web-сайта остаётся анонимным (другими словами, теоретически нет возможности узнать настоящий IP-адрес машины, на которой запущен данный web-сайт; гипотетически можно попробовать как-нибудь угадать, анализируя потоки трафика, но это уже вопрос к специалистам по этой теме).
Работает это так: машина, на которой запущен web-сайт, периодически соединяется со случайно выбранными узлами (introduction points) через случайные цепочки промежуточных узлов, и передаёт этим узлам (introduction points) открытый ключ данного web-сайта. Таким образом web-сайт заявляет о своём существовании в сети Tor, и далее всё взаимодействие пользователей с этим web-сайтом можно просто пустить через эти временные узлы (introduction points) по построенным временным цепочкам, и никто не сможет узнать ничьего настоящего IP-адреса.
Как пользователи узнают о существовании web-сайта, и о том, через какие временные узлы (introduction points) можно попасть на этот сайт? В сети Tor запущена распределённая база данных (Distributed Hash Table), то есть такая общая база данных, которая равномерно размазана по всем узлам сети Tor. В этой базе данных Tor браузер и будет искать, существует ли в сети Tor запрошенный пользователем web-сайт, и если существует, то через какие временные узлы на этот сайт можно попасть.
Кто кладёт эту информацию в распределённую базу данных? Сам этот web-сайт: после того, как он заявил о своём существовании, и соединился со временными узлами, он составляет список этих узлов, и кладёт его в распределённую базу данных, подписав этот список своим закрытым ключом, и приложив рядом свой открытый ключ (для проверки подписи пользователями).
В описанную выше схему добавляют ещё немного безопасности, вводя отдельный тип узлов (rendezvous points) для пересылки трафика на web-сайт и получения трафика с web-сайта. Эти узлы трафика (rendezvous points), в отличие от временных узлов (introduction points), ничего не знают о том, к какому именно web-сайту относится перегоняемый трафик, тем самым внося ещё немного анонимности и защищённости (как пользователей, так и владельцев web-сайтов).
Узел трафика выбирается пользователем случайно, и информация об этом выбранном узле трафика (зашифрованная открытым ключом web-сайта, с добавлением случайно сгенерированного "пароля") пересылается через временные узлы (introduction points) web-сайту. Далее пользователь и web-сайт устанавливают соединение (стандартную цепочку Tor) с этим узлом трафика, и уже потом через него пересылают друг-другу трафик (после проверки пользователем того самого случайно сгенерированного "пароля", отправляемого web-сайтом обратно пользователю — в подтверждение того, что это именно тот web-сайт, а не подделка, потому что расшифровать ранее отправленный пользователем "пароль" может только сам этот web-сайт). В итоге получается объединённая цепочка из 3 + 3 = 6 узлов.
Можно обратить внимание на то, что у web-сайтов .onion "некрасивые" и странные адреса. Сделано это, как и всё другое в сети Tor, для безопасности пользователя. Для того, чтобы получить DNS имя для сайта, нужно сгенерировать себе пару из открытого и закрытого ключа, и дальше с помощью открытого ключа подписать название сайта. Например, можно взять слово "facebook", подписать его своим открытым ключом, и получится доменное имя "facebookcorewwwi.onion", где "corewwwi" — это подпись слова "facebook" открытым ключом данного сайта.
Таким образом, любой посетитель сайта, устанавливающий соединение с сайтом "facebookcorewwwi.onion", при получении открытого ключа сайта в ходе установки соединения сможет самостоятельно убедиться в том, что этот сайт — действительно тот самый, "настоящий", не поддельный, и соответствует именно этому .onion адресу. Поэтому для .onion сайтов в сети Tor нет необходимости в каком-то Едином Центре Сертификации (как делается в обычном интернете для сертификатов SSL), что входило бы в противоречие с изначальным замыслом сети Tor — децентрализация и безопасность.
i2p
i2p ("айтупи") — это анонимная сеть, чем-то похожая на Tor. Если основной задачей Tor'а является предоставление анонимного доступа в интернет, то основной задачей i2p является построение полностью независимой от интернета распределённой анонимной сети со своими "скрытыми" сайтами.
Считается, что уровень анонимности в сети i2p выше уровня анонимности в сети Tor.
В i2p используется схема шифрования, похожая на ту, которая используется в Tor'е.
Каждый пользователь сети i2p является одновременно и узлом передачи трафика ("нодой").
В отличие от "луковой маршрутизации" в Tor'е, в i2p используется "чесночная маршрутизация", при которой сообщения отправляются не по одному, а пачками (для повышения безопасности). Также строится по нескольку разных туннелей как на исходящий трафик, так и на входящий. Весь трафик разбивается на части, и проходит параллельно по пучку туннелей, а в конце пути — снова собирается из составных частей в исходный поток.
i2p перестраивает цепочку узлов раз в 10 минут.
Входные "ноды" в i2p называются "gateway"ями, промежуточные — "participant"ами, а выходные — "endpoint"ами. Подробное описание построения туннелей на английском.
Комментариев нет:
Отправить комментарий