Сучасна криптографія

Становлення криптографії як науки  відбулося, багато в чому завдяки  працям видатного американського вченого Клода Шеннона. У 1949 р. в журналі Bell System Technical Journal надруковано статтю “Теорія зв’язку секретних систем” (“The Communication Theory of Secrecy Systems”), яка була результатом досліджень Шеннона під час другої світової війни. Матеріал, викладений у цій статті, первісно був змістом таємної доповіді “Математична теорія криптографії”, яку датували 1945 р. Після війни статтю розсекретили.

Стаття розділена на три частини. У першій частині наведено математичні  основи побудови секретної системи. Секретна система визначена абстрактно як деяка множина відображень одного простору (множини можливих повідомлень) в інший (множину можливих криптограм). Кожне конкретне відображення з цієї множини відповідає способу шифрування за допомогою конкретного ключа.

У другій частині статті розглянуто проблему теоретичної секретності. Наскільки легко деяка система  піддається розкриттю за умови, що для  аналізу перехопленої криптограми  супротивник має необмежену кількість  часу і спеціалістів? Ця проблема тісно пов’язана з питаннями передавання інформації каналами зв’язку за наявності шумів. Тому поняття ентропії й невизначеності, введені тим же Шенноном у теорії зв’язку, знайшли пряме застосування в цьому розділі криптографії.

Третя частина присвячена практичній секретності. На підставі аналізу головних недоліків шифрувальних систем запропоновано методи побудови таких систем, розкриття яких потребує значних затрат часу й сил. Досліджено проблему несумісності різних бажаних якостей криптографічних секретних систем.

Поява електронно-обчислювальної техніки  докорінно змінила критерії ефективності та надійності шифрів. Шифр почали вважати  надійним в обчислювальному сенсі, якщо він хоча й може бути в принципі розкритий, проте для реалізації цього за допомогою доступної на цей момент обчислювальної техніки потрібен такий час (роки, десятки років), що коли він мине, то зашифрована інформація стане неактуальною. Першим прикладом такого надійного в обчислювальному сенсі шифру став прийнятий 1976 р. в США стандарт шифрування DES.

Справжня революція з погляду  розвитку криптографії сталася в 70-х  роках (1976), коли Діффі й Хелман винайшли зовсім нову систему шифрування, що ґрунтується на публічних ключах, тобто з відкриттям асиметричних шифрувальних алгоритмів. Якщо раніше ключ, за допомогою якого виконували шифрування, збігався з ключем для розшифровування (тобто це був практично один і той самий ключ), то тепер ситуація змінилася. Для шифрування інформації використовують один ключ, який є доступним для всіх, хто бажає переслати повідомлення (публічний ключ). Водночас для розшифрування повідомлення використовують інший ключ, відмінний від першого, який доступний лише тому, кому призначене повідомлення (приватний ключ). Отже, попереднє поняття єдиного ключа в симетричних системах шифрування було замінене на поняття пари ключів (публічний ключ–приватний ключ) в асиметричних системах шифрування.

З поняттям асиметричної системи тісно  пов’язане поняття односторонньої функції та односторонньої функції  з секретом. Це функції, прямі значення яких легко обчислити, а обчислення значень оберненої функції без  знання певного числа (секрету) є  важкою обчислювальною задачею. Конкретні односторонні функції збудовані Діффі й Хелманом (дискретний логарифм у скінченому полі); Райвестом, Шаміром та Адлеманом (піднесення до степеня за модулем певного цілого числа); Ель-Гамалем (піднесення до квадрата за модулем цілого числа); Бен-Ціоном і Хором (задача про ”заповнення рюкзака”); Кобліцом і Міллером (додавання координат точок еліптичних кривих). На підставі цих односторонніх функцій збудовано різноманітні асиметричні криптографічні системи.

За допомогою нових понять, криптографія почала вирішувати досі нетрадиційні завдання: узгодження таємного ключа через відкритий канал зв’язку, підписування документів в електронній формі, жеребкування на відстані, поділ секрету між кількома особами тощо.

1.4. Законодавство України в галузі криптографії

Відповідальність користувачів за правопорушення під час роботи з  конфіденційною інформацією в комп’ютерних системах у розвинутих країнах (США, Великобританія, Франція, Німеччина, Японія, Канада) законодавчо регламентоване років 15 тому. Українське законодавство в цій галузі помітно слабкіше. Це пояснюють загальним відставанням України у використанні комп’ютерної техніки широкими верствами населення. Зокрема, в Україні досі не затверджено ні стандарту шифрування даних, ні стандарту електронного цифрового підпису, які досить давно діють у розвинутих країнах. Лише в спадок від колишнього СССР Україні залишився досить бліденький з погляду сьогодення стандарт шифрування ГОСТ 28147-89.

Законодавство України в галузі криптографії [6, 8] має такі законодавчі акти.

 

l Закон “Про інформацію” від 02.10.1992 р.

 

Закон декларує загальні принципи отримання, використання, поширення й зберігання інформації, закріплює право особи  на інформацію в усіх сферах життя; визначає статуси учасників інформаційних  відношень, регулює доступ до інформації та забезпечує її охорону, захищає особу й суспільство від недостовірної інформації. Документ є ідеологічною основою для всіх наступних документів у сфері захисту інформації.

 

l Закон “Про державну таємницю” від 21.01.1994 р.

 

У цьому законі регламентовано інформаційні відносини, пов’язані з доступом до державної секретної інформації.

Зазначено, що державна таємниця –  це різновид таємної інформації, що охоплює  відомості в галузі оборони, економіки, зовнішніх відносин, державної безпеки й охорони правопорядку, розголошення яких може завдати шкоди життєво важливим інтересам України і які визначені у порядку, передбаченому Законом “Про державну таємницю”, та підлягають охороні з боку держави.

Власник інформації, що належить до державної таємниці, або її матеріальних носіїв, забезпечує своє право власності з урахуванням обмежень, передбачених Законом “Про державну таємницю”. Порядок та умови охорони державної таємниці, у тім числі визначення спеціального режиму користування й розпоряджання інформацією, що є державною таємницею, та її носіями, визначають відповідно до цього закону угодою між власником інформації або її носіїв та Державним комітетом України з питань державних таємниць. Якщо зазначені в угоді обмеження права власності на інформацію, що належить до державної таємниці, та її носії завдають шкоди їхньому власнику, то цю шкоду, у тім числі недоодержані доходи, компенсують йому в повному обсязі за кошти держави.

Інформацію зачисляють до державної  таємниці на підставі мотивованої ухвали державних експертів з питань таємниць. Інформацію вважають державною таємницею від часу введення її до Переліку відомостей, що становлять державну таємницю. Перелік відомостей, що становлять державну таємницю, формує та публікує в офіційних державних виданнях Державний комітет України з питань державних таємниць на підставі рішень державних експертів з питань таємниць.

Засекречування інформації, що належить до державної таємниці, виконують  шляхом надання відповідному документу, виробу чи іншому матеріальному носію інформації грифа секретності. Гриф секретності є обов’язковим реквізитом кожного матеріального носія інформації, що належить до державної таємниці. Він повинен містити відомості про ступінь секретності інформації (“особливої важливості”, “цілком таємна”, “таємна”), термін засекречування та посадову особу, яка надала зазначений гриф. Якщо гриф секретності неможливо нанести безпосередньо на носій інформації, його потрібно зазначити у супровідних документах.

Термін засекречування інформації залежить від ступеня її секретності й визначений в ухвалі державного експерта з питань таємниць. Він не може перевищувати для інформації з грифом “особливої важливості” – 30 років, для інформації з грифом “цілком таємна” – 10 років, для інформації з грифом “таємна” – 5 років.

Після закінчення визначених термінів засекречування інформації та у разі зниження ступеня її секретності  чи скасування ухвали зачислення до державної  таємниці посадові особи, які засекречували  інформацію, зобов’язані забезпечити зміну грифа секретності або розсекречення інформації.

Зазначимо, що дія Закону України  “Про державну таємницю” не поширюється  на відносини, пов’язані з охороною комерційної банківської таємниці, іншої конфіденційної та таємної  інформації, якщо вона одночасно не є державною таємницею. Відомості, які становлять державну таємницю, визначені відповідним законодавчим актом. Комерційна таємниця законодавчо не визначена, оскільки вона завжди різна залежно від фірм чи підприємств, до яких вона належить. Державну таємницю захищають силами держави в особі відповідних органів, тоді як комерційну таємницю – службами безпеки фірм. У цьому разі треба пам’ятати , що комерційні секрети можуть бути й державними секретами, проте не навпаки.

У розвинутих країнах світу захист комерційної таємниці ґрунтується на відповідній правовій базі.

Комерційна таємниця як форма інтелектуальної  власності не охоплена в Україні  правовим регулюванням, тому застосування законів для її захисту значно ускладнене, і тут великого значення набувають інші заходи захисту. Важливу роль у цьому відіграють фізичні (різні механічні, електромеханічні й електронні пристрої охорони приміщень) та адміністративні методи захисту (організація відповідного режиму секретності, перепускного й внутрішнього режиму, створення служби безпеки, навчання й інструктування персоналу), технічні системи охорони. Зокрема, криптографічні засоби захисту дають змогу шифрувати інформацію так, щоб її зміст міг стати доступним лише в разі надання специфічної інформації (ключа). Фахівці вважають криптографічне закриття інформації найефективнішим і найнадійнішим засобом технічного захисту.

 

l Закон “Про захист інформації в автоматизованих системах” від 05.07.1994 р.

 

Закон регламентує стосунки між  сторонами в процесі опрацювання  інформації в автоматизованих системах, визначає загальні вимоги до захисту інформації в автоматизованих системах, порядок міждержавних відносин у сфері захисту інформації в автоматизованих системах.

Суб’єктами відносин у процесі  опрацювання інформації в автоматизованих системах є власник системи, користувач системи, власник інформації та користувач інформації.

Власник автоматизованої системи  є її адміністратором та організатором  роботи користувачів системи. Він зобов’язаний інформувати власника інформації й  користувача системи про методи спілкування з системою, а також про методи захисту інформації в його системі. Захист інформації в автоматизованих системах забезпечений програмними, апаратними й іншими засобами, які потрібно сертифікувати, якщо на них планують опрацьовувати секретну державну інформацію.

 

l Положення “Про технічний захист інформації в Україні” (затверджене Указом Президента України від 27.09.1999 р.).

 

Положення регламентує всі головні  питання, пов’язані з організацією технічного захисту інформації в органах державної влади, органах місцевого самоуправління, органах управління Збройних Сил України тощо. Головний орган із провадження державної політики технічного захисту інформації - Департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України.

 

l Положення “Про порядок здійснення криптографічного захисту інформації в Україні” (затверджене Указом Президента України від 22.05.1998 р., зміни внесені Указами від 15.09.1998 р. та 27.09.1999 р.).

 

Положення визначає порядок криптографічного захисту інформації з обмеженим доступом, розголошення якої може завдати шкоду державі, суспільству або особі.

Державну політику в сфері криптографічного захисту згідно з цим положенням забезпечує Департамент спеціальних  телекомунікаційних систем та захисту інформації Служби безпеки України. Державні організації створюють, купують, продають, увозять, вивозять, використовують криптосистеми за погодженням з цим департаментом. Подібна діяльність недержавних структур відбувається на підставі чинного законодавства за умови отримання ліцензії від департаменту. Інформацію, яка містить державну таємницю, треба захищати дозволеними криптосистемами, що є в державній власності й мають сертифікат відповідності. Службову інформацію можна захищати криптосистемами будь-якої форми власності.

На підставі розглянутих вище законодавчих актів спільним наказом Ліцензійної  палати України й Департаменту спеціальних  телекомунікаційних систем та захисту  інформації Служби безпеки України  від 17.11.1998 р. затверджено інструкцію “Про умови й правила проведення підприємницької діяльності (ліцензійні умови), пов’язаної з розробкою, виготовленням, ввезенням, вивезенням, реалізацією й використанням засобів криптографічного захисту інформації, а також з наданням послуг з криптографічного захисту інформації, й контроль за їх дотриманням”. Ця інструкція деталізує вимоги до об’єктів підприємницької діяльності, що працюють у галузі криптографічного захисту інформації.

Зрозуміло, що перелічені вище законодавчі  акти не мали б ніякого сенсу, якби не було хоча б найпростіших механізмів забезпечення їхнього виконання.

У кримінальному кодексі України  є низка статей, які обумовлюють  відповідальність за порушення наведених  у цих законодавчих актах норм.

 

l Стаття 57. Шпіонаж.

 

Передача або збирання з метою передачі іноземній державі, іноземній організації або їх представникам відомостей, які містять державну або військову таємницю, здійснені іноземцем або особою без громадянства на шкоду інтересам України, карається позбавленням волі на строк від 10 до 15 років з конфіскацією майна.

 

l Стаття 67. Розголошення державної таємниці.

 

Розголошення відомостей, що складають  державну таємницю, особою, якій ці відомості  були довірені або стали відомі через  службову необхідність, при відсутності  ознак державної зради або шпіонажу, карається позбавленням волі на строк від 2 до 5 років. Ті ж самі дії, якщо вони спричинили важкі наслідки, караються позбавленням волі на строк від 5 до 8 років.

 

l Стаття 68-1. Передача іноземним організаціям відомостей, які становлять службову таємницю.

 

Передача або збирання з метою  передачі іноземній державі, іноземній  організації або їх представникам  економічних, науково-технічних або  інших відомостей, які становлять службову таємницю, особою, якій ці відомості  були довірені або стали відомі через службову необхідність, карається позбавленням волі на строк до 3 років або виправними роботами на строк до 2 років, або штрафом до 5,5 офіційно встановлених мінімальних розмірів зарплати. Ці ж дії, якщо вони спричинили велику матеріальну шкоду підприємствам, організаціям і установам або спричинили інші важкі наслідки – караються позбавленням волі на строк до 8 років.