Криптографічні протоколи

Криптографічний протокол (англ. Cryptographic protocol) — це абстрактний чи конкретний протокол, що включає набір криптографічних алгоритмів. В основі протоколу лежить набір правил, що регламентують використання криптографічних перетворень та алгоритмів в інформаційних процесах.

Функції криптографічних протоколів

· Аутентифікація джерела даних

· Аутентифікація сторін

· Конфіденційність даних

· Неможливість відмови

· Неможливість відмови з доказом отримання

· Неможливість відмови з доказом джерела

· Цілісність даних

· Забезпечення цілісності з'єднання без відновлення

· Забезпечення цілісності з'єднання з відновленням

· Розмежування доступу

Класифікація

· Протоколи шифрування / розшифрування

· Протоколи електронного цифрового підпису (ЕЦП)

· Протоколи ідентифікації / аутентифікації

· Протоколи автентифікованим розподілу ключів

Протоколи шифрування / розшифрування В основі протоколу цього класу міститься деякий симетричний або асиметричний алгоритм шифрування / розшифрування. Алгоритм шифрування виконується на передачі відправником повідомлення, в результаті чого повідомлення перетвориться з відкритої форми в шифровану. Алгоритм розшифрування виконується на прийомі одержувачем, в результаті чого повідомлення перетвориться з шифрованого форми у відкриту. Так забезпечується властивість конфіденційності.

Для забезпечення властивості цілісності переданих повідомлень симетричні алгоритми шифрування / розшифрування, зазвичай, поєднуються з алгоритмами обчислення імітозахисної вставки (ІЗВ) на передачу та перевірки ІЗВ на прийомі, для чого використовується ключ шифрування. При використанні асиметричних алгоритмів шифрування / розшифрування властивість цілісності забезпечується окремо шляхом обчислення електронного цифрового підпису (ЕЦП) на передачу та перевірки ЕЦП на прийомі, ніж забезпечуються також властивості безвідмовності і автентичності прийнятого повідомлення.

Протоколи електронного цифрового підпису (ЕЦП) В основі протоколу цього класу міститься певний алгоритм обчислення ЕЦП на передачі за допомогою секретного ключа відправника та перевірки ЕЦП на прийомі з допомогою відповідного відкритого ключа, що витягується з відкритого довідника, але захищеного від модифікацій. У разі позитивного результату перевірки протокол, зазвичай, завершується операцією архівування прийнятого повідомлення, його ЕЦП і відповідного відкритого ключа. Операція архівування може не виконуватися, якщо ЕЦП використовується тільки для забезпечення властивостей цілісності і автентичності отримане повідомлення, але не безвідмовності. У цьому випадку, після перевірки, ЕЦП може бути знищена відразу або після обмеженого проміжку часу очікування.

Протоколи ідентифікації / аутентифікації

В основі протоколу ідентифікації міститься певний алгоритм перевірки того факту, що ідентифікований об'єкт (користувач, пристрій, процес, …), який пред'явив деякий ім'я (ідентифікатор), знає секретну інформацію, відому тільки заявленому об'єкту, причому метод перевірки є, звичайно, непрямим, то тобто без пред'явлення цієї секретної інформації.

Зазвичай з кожним ім'ям (ідентифікатором) об'єкта пов'язується перелік його прав і повноважень у системі, записаний в захищеній базі даних. У цьому випадку протокол ідентифікації може бути розширений до протоколу аутентифікації, в якому ідентифікований об'єкт перевіряється на уповноваження до замовленої послуги.

Якщо в протоколі ідентифікації використовується ЕЦП, то роль секретної інформації відіграє секретний ключ ЕЦП, а перевірка ЕЦП здійснюється за допомогою відкритого ключа ЕЦП, знання якого не дозволяє визначити відповідний секретний ключ, але дозволяє переконатися в тому, що він відомий автору ЕЦП.

Протоколи автентифікованим розподілу ключів

Протоколи цього класу поєднують аутентифікацію користувачів з протоколом генерації і розподілу ключів по каналу зв'язку. Протокол має двох або трьох учасників; третім учасником є ​​центр генерації та розподілу ключів (ЦГРК), званий для стислості сервером S. Протокол складається з трьох етапів, що мають назви: генерація, реєстрація і комунікація. На етапі генерації сервер S генерує числові значення параметрів системи, в тому числі, свій секретний і відкритий ключ. На етапі реєстрації сервер S ідентифікує користувачів за документами (при особистій явці або через уповноважених осіб), для кожного об'єкта генерує ключову і / або ідентифікаційну інформацію і формує маркер безпеки, що містить необхідні системні константи і відкритий ключ сервера S (при необхідності). На етапі комунікації реалізується власне протокол автентифікованим ключового обміну, який завершується формуванням спільного сеансового ключа.