I основные криптографические механизмы защиты данных, передаваемых в облачные сервисы и сети хранения данных
Минаков С.С.1
Аннотация.
Цель работы: разработка технологии криптографической защиты информации в сторонних облачных сервисах и сетях хранения данных с использованием стандартизированных интерфейсов и протоколов, алгоритмов блочного шифрования.
Метод: системный анализ деградации уровня безопасности информации при её обработке с использованием облачных вычислений. Aнализ научной литературы в области теоретических и прикладных криптографических исследований, выявление ограничений гомоморфных методов шифрования. Синтез криптосистемы с использованием метода аналогии, алгоритмов хеширования и блочного шифрования.
Полученный результат, предложена перспективная криптографическая система «Утро» для обеспечения безопасности информации в облачных сервисах и в сетях хранения данных. Заданы её основные криптографические механизмы: функции, логика и схема шифрования для программной реализации с использованием алгоритмов блочного шифрования. Даны пояснения по практическому применению, предложенных механизмов криптографической защиты, к протоколам передачи данных типа iSCSI, FiberChannel, WebDAV и возможности их использования локально.
Ключевые слова: шифрование, облачные вычисления, криптографическая схема, сервис, сетевой протокол, безопасность информации.
1. Введение
Проблемы обеспечения безопасности информации в облачных технологиях стали активно анализироваться достаточно поздно, когда облака были уже фактически стандартизированы2 и сложилась иерархия процессов, методов и протоколов обработки и передачи информации3. Практика применения облачных вычислений и развёртывания виртуальной инфраструктуры4 показала, что для защиты информации недостаточно уже имеющихся средств защиты от НСД к информации и криптографических средств, рассчитанных на применение в классических средствах вычислительной техники (далее — СВТ).
Во многом это связано с моделью угроз и нарушителя (далее — МУН): облачная среда увеличивает число уязвимостей и последствий атак [1], более того виртуальна и инфраструктура системы, развёртываемой в облачной среде. Поскольку облачная среда включает все уровни абстракции5: эмулируемую инфраструкту-
2 ГОСТ ISO/IEC 17788-2016 «Информационные технологии. Облачные вычисления. Общие положения и терминология» (ISO/IEC 17788:2014, IDT).
3 ГОСТ Р ИСО/МЭК 17826-2015 «Информационные технологии. Интерфейс управления облачными данными (CDMI)» (ISO/IEC 17826:2012, IDT).
4 ГОСТ Р 56938-2016 «Защита информации. Защита информации при использовании технологий виртуализации. Общие положения».
5 Проект ГОСТ Р «Защита информации. Требования по защите информации, обрабатываемой с использованием технологии облачных вычислений. Общие положения» (www.fstec.ru).
D0I:10.21681/2311-3456-2020-03-66-75
ру (приложения, операционная система, виртуальные машины и виртуальная сеть), реальную техническую инфраструктуру (приложения, средства управления виртуализацией и гиперконвергенцией, операционные системы, технические средства и сетевое оборудование) - у атакующего есть несколько путей для нарушения безопасности облачного сервиса [2].
Например, уязвимости в облачном Web-приложении, которое не контролирует должным образом, вводимые данные [3, 4] могут вызвать алгоритмическую ошибку с передачей управления другой области памяти, либо обход правил разграничения доступа в системе и раскрытие «чувствительных» данных, хранящихся в центре обработки данных, к которому у web-приложения изначально не было доступа. Более того облачные технологии дают более широкий спектр возможностей для нарушителя в области манипулирования средой функционирования средств защиты информации, в том числе и для криптографических средств. Очевидна угроза обхода средств защиты информации, средств разграничения доступа или нарушение параметров их работы, в том числе вопросы НСД к ключевой информации.
В настоящее время общим решением [5, 6] является организация защиты периметра облачной инфраструктуры и обеспечение криптографической защиты информации, передаваемой по сетями коммутации пакетов стандарта IP/TCP, на базе криптографических
1 Минаков Сергей Сергеевич, старший научный сотрудник, ФГКНУ «Академия криптографии Российской Федерации», г Москва, Россия. E-mail: [email protected]
протоколов типа SSL/TLS и IPSec, которая предполагает защиту данных только от третьей стороны в канале связи, доверяя сторонам криптографического протокола после осуществления их взаимной аутентификации.
При использовании сторонних сервисов облачных вычислений во многом утрачивается подконтрольность обрабатываемой и хранимой информации, существенно изменяется МУН [1, 7], что не позволяет наделять сторону облачных сервисов требуемыми гарантиями доверия и считать достаточными рубежи защиты на базе криптографических протоколов.
Таким образом необходимо переходить от криптографического протокола к криптографической схеме, в которой вторая участвующая сторона, реализующая службу облачных вычислений, не обеспечивает конфиденциальности и целостности данных пользователя и не может давать гарантий корректности реализаций механизмов обеспечения защиты информации при реализации облачных вычислений.
Для повышения эффективности защиты информации при использовании облачных вычислений и стандартизированных интерфейсов управления облачными данными CDMI (англ. - Cloud Data Management Interface) предложим основные криптографические механизмы защиты данных, передаваемых в облачные сервисы категории Data Storage as a Service (далее — STaaS / DSaaS) и сети хранения данных типа Storage Area Network (далее — SAN).
Здесь и далее по тексту работы будет предполагаться, что потребитель и пользователь службы облачных вычислений (англ. - cloud service customer, user) взаимодействует с таким облачным сервисом по стандартизированным интерфейсам CDMI, OCCI (англ. - Open Cloud Computing Interface) и протоколам типа WebDAV, CIFS, NFS и т. п. Соответственно пользователь сети хранения данных SAN передает в сеть данные, используя протоколы типа Fiber Channel (Connection) или iSCSI.
2. О применимости методов гомоморфного шифрования
Значительное внимание к применению гомоморфизмов в криптографических алгоритмах и схемах шифрования связано с двумя факторами: повышением эффективности систем обработки информации за счёт развёртывания высокоскоростных каналов связи, виртуализации компьютерной инфраструктуры и внедрения облачных вычислений с одной стороны, и появления математических систем полностью гомоморфного шифрования — с другой стороны [8].
За двадцатилетие произошла эволюция от частично гомоморфных способов к полностью гомоморфным системам шифрования и готовым разработкам [9], на текущем этапе развития такого криптографического метода международным коллективом авторов предложен вариант стандартизации систем гомоморфного шифрования [10].
В России также предложено несколько систем полностью гомоморфного шифрования [11, 12]. Отметим следующую интересную особенность применения гомоморфных способов шифрования — это
возможность их использования в качестве одного из инженерно-криптографических6 механизмов защиты. Например, реализация обработки информации в криптографической системе с аддитивной маской -ECtr (T) © Mask = ECtr (T © Mask), что позволяет снимать такую маску Mask только после расшифрования данных.
Метод гомоморфного шифрования интересен и при построении облачного сервиса (услуги) SECaaS (англ. -Security as a Service) для возможности реализации частично разделяемого шифрования [13] и «слепой» электронной подписи [14], а также централизованного использования в облачной инфраструктуре аппаратных модулей HSM (англ. - Hardware Secure Module) [15] при условии обеспечения их доверенной загрузки в такой среде [16].
Не менее востребованным может быть использование гомоморфного шифрования при построении облачной услуги SECaaS для ряда задач антивирусной защиты, межсетевого экранирования и обнаружения вторжений (компьютерных атак) в случае использования ими сигнатурных методов обнаружения и контроля.
Широкое внедрение гомоморфных систем шифрования сдерживается их невысокой вычислительной эффективностью [17], проблемой накопления ошибки расшифрования [10, 18] и вопросом обеспечения заданной стойкости гомоморфных шифров.
Необходимо отметить, что оценка криптографической стойкости гомоморфных систем для обеспечения конфиденциальности требует отдельного направления исследований. В частности, стойкость полностью гомоморфной криптографической системы на основе идеальных решеток (решеток со свойствами идеала на некотором кольце чисел) и методике Джентри [19] сводится к NP-полной задаче нахождения кратчайшего вектора. Существенным недостатком криптосистемы Джентри является то, что выполнение вычислений приводит к накоплению ошибки и, после того как она превышает некоторый порог, расшифровать сообщение становится невозможным [18].
Одним из вариантов решения данной проблемы является перешифрование данных после некоторого количества операций с ними, однако такой вариант снижает производительность вычислений и требует регулярного доступа к секретному ключу шифрования [17].
Следует также учитывать, что стойкость полностью гомоморфных криптосистем ограничена сверху [20-22], а во многих случаях они нестойки от определённых криптографических атак. Например, линейные полностью гомоморфные системы, основанные на задаче факторизации чисел [11], принципиально уязвимы к атаке с адаптивно
6 Понятия инженерно-криптографический (ИК) механизм, ИК-система, ИК-требования,ИК-свойства и т. п. используются в тождественном смысле и раскрыты в документе технического регулирования Р 1323565. 1.012.-2017 «Информационная технология. Криптографическая защита информации. Принципы разработки и модернизации шифровальных (криптографических) средств защиты информации», а также в «Требованиях к средствам электронной подписи» и «Требованиях к средствам удостоверяющего центра», утверждённых приказом ФСБ России от 27.12.2011 №796 (опубликован).
подобранным шифрованным текстом [23], предложены атаки [24] по известным открытым текстам к гомоморфной системе Доминго-Феррера (1996 г.) и оставляют актуальным вопрос обеспечения конфиденциальности данных, передаваемых в облачную инфраструктуру, и требуют дальнейших исследований.
3. Построение криптографической схемы защиты данных, передаваемых в облачные хранилища на базе композиции стандартизированных алгоритмов блочного шифрования
Справедливости ради необходимо заметить, что применение алгоритма блочного шифрования с симметричным (секретным) ключом, например, криптоалгоритма по межгосударственному стандарту ГОСТ 34.12-2018 в режиме гаммирования (режим счётчика, CTR-режим), можно рассматривать в качестве реализации частично гомоморфной системы шифрования.
Рассмотрим перспективную криптографическую систему (далее — КС «Утро») на основе схемы шифрования данных, передаваемых в сторонний облачный
сервис типа StaaS/DSaaS и сеть хранения данных SAN, в двух вариантах, соответственно, описывающих последовательность и логику информационного обмена, шифрование и имитозащиту с использованием алгоритма блочного шифрования, соответствующего документам технического регулирования (далее — варианты схемы «Утро-1» и «Утро-2»). В Российской Федерации и в странах СНГ такими стандартами являются ГОСТ Р 34.10-2012, ГОСТ Р 34.112012, ГОСТ Р 34.12-2015,Г0СТ Р 34.13-2015 и, соответственно, ГОСТ 34.10-2018, ГОСТ 34.11-2018, ГОСТ 34.12-2018 и ГОСТ 34.13-2018.
Для простоты будем использовать алгоритмы блочного шифрования и хеш-функции, соответствующие российским криптографическим алгоритмам ГОСТ Р 34.12-2015, 34.13-2015 и ГОСТ Р 34.11-2012. Обозначения криптографических значений и параметров, использованных в описании, соответствуют российским документам технического регулирования (стандартам, рекомендациям).
В работе будем использовать следующие обозначения.
V V V
- множество всех двоичных строк конечной длины, включая пустую строку, множество всех двоичных строк длины т , и множество, единственным элементом которого является пустая строка, соответственно;
П1 11 n2 — конкатенация строк п,п2 е V, т.е. строка из V , , , , , в которой подстрока с боль- \п1\ + \П2\ шими номерами компонент из V , совпадает со строкой п, , а подстрока с меньшими Н 1 номерами компонент из V , совпадает со строкой п2 ; \«2\
[T l — для битовой строки Т= ((0,...^п) подстрока Т = Лу ),0 < 1 < у < п;
K — исходный ключ длины 256 алгоритма блочного шифрования, определенного в ГОСТ Р 34.12-2015;
H256 (T) — значение функции хеширования с длинной хэш-кода 256 бит, определенной ГОСТ Р 34.11-2012, для сообщения Т;
N„
■ максимально допустимое количество блоков блочного шифра (объём материала), которые могут быть обработаны с использованием выбранного режима работы алгоритмом блочного шифрования без изменения значения ключа;
п — двоичная длина блока блочного шифра, равная п =128 бит для шифра «Кузнечик» и
п =64 бит для шифра «Магма»;
со
LBN — максимально допустимое количество логических последовательно нумерованных
блоков данных (англ. - Logical Block Numeration/Addressation), технически доступных к операциям ввода-вывода с накопителя информации, сетевого каталога или облачного хранилища в соответствии со спецификацией интерфейса взаимодействия с таким накопителем или хранилищем;
{КШт }, — конечное множество ключей (базис ключей), формируемый на основе ключа и
для вычисления ключей блочного шифра в различных режимах шифрования и выработки имитовставки, и текущий ключ из такого базиса, соответственно;
mode — указатель, определяющий режим работы алгоритма блочного шифрования и изло-
женный в ГОСТ Р 34.13-2015 (если иное не оговорено по тексту работы);
Ek"de (T) — функция криптографического преобразования в режиме mode сообщения T с ис-
пользованием ключа k , здесь и далее по тексту в качестве такой функции используется алгоритм блочного шифрования, определенного в ГОСТ Р 34.12-2015;
MACk (T) — результат вычисления кода аутентификации сообщения T с использованием ключа k ;
KDF256 (T):V ^ V256 — функция вычисления производного ключа длины 256 на основе входного значения T;
к (LBN,{KNum} — функция, вырабатывающая ключ блочного шифра длины 256 бит для двоичного блока
данных, кратного длине блочного шифра длины n, на основе логического номера такого блока LBN и конечного базиса ключей \KNumf ;
— опциональный параметр схемы (может являться строкой нулевой длины);
A, B
- обозначения двух различных сторон, взаимодействующих между собой при криптографической защите данных, передаваемых в облачные сервисы и сети хранения данных;
к K
SAN ^ STaaS
■ обозначения ключа шифрования для сети хранения данных SAN и ключа шифрования для облачного хранилища или сетевого каталога - STaaS , соответственно;
R
■ псевдослучайная последовательность длины t =256 бит;
МоЬ^ — строка, содержащая уникальный идентификатор объекта облачного сервиса, сетевого
каталога или сети хранения данных ОЬ стороны В, как правило, полный адрес и наименование ресурса ОЬ или аналогичный тому идентификатор-ссылку на ресурс М0щ , используемые стороной А для однозначной идентификации сервиса хранения и адресации данных стороны В ;
— нулевая последовательность длины n бит;
<Q>
n
0
3.1 Вариант схемы «Утро-1» для защиты данных, передаваемых в облачные и сетевые хранилища
При взаимодействии с облачными сервисами хранения данных класса StaaS/DSaaS или сетевыми каталогами класса NAS (англ. - Network Attached Storage) участвуют две стороны A и B , при этом сторона A -клиент, реализует схему «Утро-1» и передает (получает) зашифрованные данные в (из) облачный (-ого) сервис (-а) хранения данных или сетевой каталог на стороне B - сервере облачного хранилища.
3.1.1. Начальное состояние и логика схемы «Утро-1»
Сторона B осуществляет техническое взаимодействие со стороной A , получает, обеспечивает хранение и выдает (передает) данные по запросу стороны A , и не должна принимать участие в непосредственной реализации криптографических функций и алгоритмов схемы Утро-1 для обеспечения криптографической защиты (шифрования и имитозащиты) данных стороны A .
Параметры протоколов, взаимодействия с облачными сервисами хранения данных класса StaaS/DSaaS или сетевыми каталогами класса NAS, в том числе ау-тентификационная информация пользователя облачных сервисов хранения, идентификаторы файла и каталога, считаются известными обеим сторонам и согласованными до начала протокола.
Сторона B хранит в облачном хранилище или в сетевом каталоге — STaaS данные стороны A в виде файлов (файл-контейнеров) Obj (англ. - File Extent).
Сторона A зашифровывает и расшифровывает данные файл-контейнера Obj , подлежащие шифрованию, по фрагментно. Длины фрагментов кратны длине блока блочного шифра, равная n =128 бит для шифра «Кузнечик» и n =64 бит для шифра «Магма».
Данные файл-контейнера Obj (его фрагментов) передаются между сторонами A и B только в шифрованном виде.
3.1.2. Схема криптографической защиты данных, передаваемых в облачные сервисы хранения данных, «Утро-1» состоит из следующей последовательности действий:
Шаг 1. Сторона A определяет используемые значения идентификатора Idobj , ключа K. Значение
Num для расчёта LBN = 2Num , как правило, однозначно определяется параметрами технического протокола взаимодействия между сторонами A и B .
Шаг 2. Сторона A передает стороне B идентификатор Idobj и команду на совершения операции (чтение, запись, создание и др.) к файл-контейнеру Obj .
Шаг 3. При создании в облачном хранилище или сетевом каталоге стороны B файла-контейнера Obj стороной A вычисляется индивидуальный ключ для такого файл-контейнера Obj - ключ KSTaaS и базис ключей \KNu^ (способ их вычисления указан в параграфе 3.3. статьи).
Шаг 4. Стороны A и B обмениваются данными файл-контейнера Obj по фрагментно.
Шаг 5. Сторона A зашифровывает каждый фраг-
мент файл-контейнера Obj одним выбранным алго-
7ctr ,
K(i{KNum})
ритмом блочного шифрования ECTR i\(T obJ ) в
режиме гаммирования на ключе, соответствующем номеру фрагмента i - k(LBN,{KNum}) с использованием значения синхропосылки (вектора инициализации - iv ) равного конкатенации номеров фрагментов - i\\i, кратной длине значения синхропосылки. Аналогичным образом рассчитывается значение имитозащитной вставки MACk (Obj) зашифрованного фрагмента i
файла-контейнера Obj .
Шаг 6. Сторона A посылает стороне B - зашифрованный фрагмент файл-контейнера Obj с номером i, значение MACk (Obj) зашифрованного фрагмента i файла-контейнера Obj .
Расшифрование фрагмента i файл-контейнера Obj производится стороной A в обратном порядке, только после проверки совпадения вычисленной на соответствующем ключе имитовставки такого фрагмента и имитовставки, ранее записанной вместе с фрагментом i файл-контейнера Obj и присланной стороной B .
3.1.3. Пояснение к варианту схемы «Утро-1»
Для технических протоколов облачного хранения данных типа WebDAV REST API, а также протоколов сетевого файлового доступа к каталогам типа CIFS (англ. -Common Internet File System), NFS (англ. - Network File System) рекомендуется использовать значение LBN не менее LBN < 2П и, соответственно, для каждого
Idobj выработать ключ KStaaS с ключевым базисом
{-К^} c 66 ключами Ki , из которых ,...,K32) -
ключи шифрования и ((33,...,K66) - ключи имитозащиты.
3.2. Вариант схемы «Утро-2» для защиты данных, передаваемых в сети хранения данных
При взаимодействии в сети хранения данных класса Storage Area Network участвуют две стороны A и B , при этом:
- сторона A, реализует криптографическую схему У-2 и передает (получает) зашифрованные кадры интерфейса блочного доступа к накопителю информации, физически расположенного у стороны B ;
- сторона B реализует физическое и/или логическое управление непосредственным доступом к устройству-накопителю Obj на блочном уровне (англ. - Drive Extent или Disk Extent) в соответствии с заданной технической спецификацией (блочные интерфейсы типа SATA, SAS, SCSI), стандартизированной для применения по сети передачи данных с использованием кадров канальных протоколов и/или пакетов сетевой коммутации.
3.2.1. Начальное состояние и логика схемы «Утро-2»
Параметры протоколов, взаимодействия сети хранения данных класса Storage Area Network, в том числе аутентификационная информация пользователя, идентификаторы точки подключения (условные адрес и имя устройства) - Idobj , считаются известными обеим сторонам и согласованными до начала протокола.
Сторона B реализует сеть хранения данных SAN и предоставляет возможность доступа стороны A к накопителю Obj на блочном уровне с использованием идентификатора Idobj .
Сторона A зашифровывает и расшифровывает данные кадров протокола блочного доступа к устройству Obj, команды протокола блочного доступа при необходимости подлежат только имитозащите. Длины таких кадров устанавливаются кратными длине блока блочного шифра, равная n =128 бит для шифра «Кузнечик» и n =64 бит для шифра «Магма».
Данные блочного доступа к устройству Obj , передаются между сторонами A и B только в шифрованном виде.
3.2.2. Схема криптографической защиты данных, передаваемых в облачные сервисы хранения данных, «Утро-2» состоит из следующей последовательности действий:
Шаг 1. Сторона A определяет используемые значения идентификатора Idobj , ключа K. Значение Num
для расчёта LBN = 2Шт , как правило, однозначно определяется параметрами технической спецификации интерфейса взаимодействия с накопителем и известно сторонами A и B .
Шаг 2. Сторона A передает стороне B идентификатор Idobj и команду на совершения блочной операции (чтение, запись, создание и др.) к устройству Obj .
Шаг 3. При выделении (создании) в сети хранения данных на стороне B устройства Obj с идентификатором Idobj стороной A вычисляется индивидуальный ключ для защиты устройства Obj - ключ kSAN , и базис (способ вычисления указан в параграфе 3.3.
статьи).
Шаг 4. Стороны A и B реализуют блочный доступ к накопителю Obj по сети хранения данных с использованием Idobj , содержимого блока данных и его номера i, подлежащего записи на накопитель Obj , либо результат чтения такого блока данных с номером i.
Шаг 5. Сторона A зашифровывает передаваемый (расшифровывает получаемый) стороне B каждый блок устройства Obj одним выбранным алгоритмом блочного шифрования в режиме гаммирования
7ctr
^K(i{KNum})
{Ti, Obj)
на ключе, соответствующем номе-
MACk (Obj) зашифрованного блока с номером i устройства Obj .
3.2.3. Пояснение к схеме «Утро-1»
Для технических протоколов сетей хранения данных типа FC/FiCon (англ. - Fiber Channel и Fiber Connection, соответственно) и iSCSI (англ. - internet Small Controller System Interface) рекомендуется использовать значе-
ру фрагмента / - к(ЬБЫ,{КНит}) с использованием значения синхропосылки (вектора инициализации - ^) равного конкатенации номеров i\\i, кратной длине значения синхропосылки. Аналогичным образом рассчитывается значение имитозащитной вставки
ние LBN = 2 и, соответственно, для каждого Idobj
выработать ключ KSAN с ключевым базисом c 130 ключами Kt , из которых (K0K64) - ключи шифрования и ((65,..K130) - ключи имитоза-щиты. Значение Idobj может быть представлено в одной из стандартных систем обозначений: T11 Network Addrress Authority, Extended Uniq Identifier, либо iSCSI Qualified Name с учётом номера LUN (англ. - Logical Unit Number). Не рекомендуется размер кадров блочного доступа к устройству Obj в протоколах iSCSI (объём полезной загрузки кадра до 1400-1500 байт) и FC (объём полезной загрузки кадра до 2112 байт) устанавливать более 1392 байт и 2048 байт, соответственно.
3.3. О криптографических функциях КС «Утро» и их параметрах
В качестве источников псевдослучайных последовательностей R могут использоваться псевдослучайная функция PRF с длиной выхода 256 бит, определенная в рекомендациях по стандартизации Р 50.1.113-2016 или алгоритм выработки псевдослучайной последовательности R длины t =256 бит, определенный в рекомендациях по стандартизации Р 1323565.1.006-2017.
Код аутентификации сообщения MACk (T) используется для решения задач имитозащиты передаваемых данных и должен формироваться одним из режимов алгоритма блочного шифрования Ek°de (T), например, ключевой функцией хеширования OMAC1 (стандартизована в ISO под назван иемСМАС), вычисляющая имитовставку длины n и определённая в ГОСТ Р 34.13-2015, либо функция хеширования HMAC, определенной в Р 50.1.113-2016.
Такое решение потребует увеличения вдвое размерности конечного базиса ключей \KNu^ для раздельного использования ключей шифрования и ключей имитозащиты блоков данных в связи с существенно
77СТД írp\ rpCMAC Ггр\
различной стойкостью Ek (T ) и Ek (1 ).
Поэтому наиболее интересным является использование вместо режима гаммирования в КС «Утро» AEAD-режима работы алгоритма блочного шифрования, который обеспечивает т. н. аутентифицируемое шифрование: шифрование и имитозащиту блока данных на одном ключе.
Исходя из критериев выбора таких режимов (доказуемая стойкость и вычислительная эффективность), можно предложить отечественные разработки: MGM-режим [25] и GCM'-режим [26], который несколько уступает классическому GCM-режиму работы алгоритма блочного шифрования, но устойчив [26] против атаки Фергюсона [27] на обычный GCM-режим.
Следует отметить, что центральноемеото в КС «Утро» (варианты «Утро-1» и «Утро-2») занимает этап вычисления производных ключей. Функция выработки араизво-дного ксючс — КФ)Р (анг/\. вед yeovoPon fuoMt.n) яноя-етоя оущесевенhoim ^омионеотом коиптографичеспоН схемы и должна создавать криптеграфаненки сто.ыве ключи дея /огоритмр симмеяуичиого оифеинаоия на о—нояеиетоаеика пнавогяга/\ьноуе иуиючеЕчогчз аяте-риала, обычно содержащего яоснатФлнхе кохичество слоааяносто, не- кмевоедел—нг^Р- нереемееерне, ики о которой нарушителе. трвизвмдящи\ cotKTt вУзчтане частичной информацний.
В межкунаркхнкм хта/аарее ICP П8НЗЗ-2 уаИеся тар кое определе нии -KDF- фриерия пуоинвоаного к/— юаа KDF (x,l) получаддна лоод ыниторую пироки x ияис/-ло l. Результатом работы функции является баУсоват строка дльсы Ч. 1ыы|тека я о ожчв Ст1"чт н\>оизвнаьиой длины, хотк реозазацзи мыгуи мгрогииивать максо-мальную кличнкорхкн x и иначяние чираа l, ванввая ошибку в сямча— трмеаня^ния етих внесееий.
Основная сложность в гспольуиврраи KDF евяеру на с исхооеымидечевым матекиалом. И сафчае если исеодный моо—свой ма^^риал К пяедата веяь"ы коМай ^^¡н ялдгейный илиасдеЕЗЯуоар\пчиЕ1еыя кеюк типа R , то достаточно нрс^с^^сэ вхонольккзатнсп нм и каи чемтая ibсьсны пеевесяоучемРоц фугиции, что\5ы релус читьн овые мючи. Одеамв иогма исмоч н ib к ключевого материала не является равнеес|эна слукикне1м, ао необходимо извлеотавучамнопть яздруочникк и преот|иа-зоватц к тиое подрееящемр—еи иоа.юнпя на её рчнряе производных ключей.
В качестве функции вычисления производного ключа KDF1S6 {TyN —> V256 могут использоваться как сама функция хеширования Н,56(Т), определенная в ГОСТ Р 34.10-201е д дуооей ял^нда (сЕееиктая) 25У ГитР еаки её произвнтзые: снгсфигм ниверсиМнтацит KDF_GOSTRT4U_20CaM256 х зндатнышн мт-раметрамик плиний выеоха НР6 йит, опредмаднныш в Р 50.1.113-2016, или схема функций выработки производных ключей kdf(S,L,T,P,U,А) с заданными параметрами и длиной выхода 256 бит, определенная в Р 1323565.1.022-2018. При этом параметры таких фунмоий мсыр Ввггь Gоtвкяaрнт н едсчяо\рчуяы заданы в СКЗИ с испигтмооанием осемтослучнлеых поале-peлeтcменocтоц -Т тняб^ФОк! —рлисы.
Вернчеея е ц-тис^-^ентко олаичей камиКОту
з исходного ключа К, для объекта Obj постоянным ^к^к^^с^ль^ср^^ ивеочтфикаеоесм Idobj коте чи KSTaaS,kSANожно предстиви\ь в ни\а ф\стции
ФеВ 256 (Id nh.) Ф (°)) Тогдч лacоëтныя
256 \ Г JS- Л Н) т/ ту е eL
базис ключей [KNum\ от ключей KSTaaS, ksAN бъекта
Obj ожно получить следующим образом.
Пусть LBN редставимо в виде LBN = 2Num где Num разрядность логической нумерации блоков данных, доступных к чтению-записи на накопителе, сетевом каталоге или облачном хранилище и кратная 2. При элом полагаем, что 10 < Num < 256 Рассмотрим
к . j-rmgm t-TGcm' ИТЛ
слуиаи без использования Ek (I ) и Ek (1 ) размерность конечного базисга киюче- ^^^^ устанав-ливкется ровной 2*((глп7 + 1)п|)>и этом пе рвы е к//чац-Т 1 ключр. такого базиса иоп оллзуются дла шиЗ-рования E^11 (вьг))чЕ^"Г(:юа)ея^^£^с^ьь бо knc^ для вычисле^ib я й проверки Е" И ("И горв яутгнтификац уи
MACk (Т) = E^ (Т) но такое! биоаи ихнных, сс^с^с^-ветственно.
То\мс ннночи в вонеиноо ВЗгсзиси момао нау.^т1я слесю-кзя1го1ал тб|ксэ;^ом, т/ЗЯг = H-D/F^g Лаа';,56 11 (1) для
t = 0,2 * Num -f 1 на весь период действия исходного ключа к е (kSAN,KSTaaS). Сходным образом мож-мо ;з<1к\тбь бкакоК в функции
к (LBN, {/fVuFn}) использованием конечного базиса ключей для блока данных накопителя SAN (фрагмента фпЕла хренипиоца i3ta-aS5 или иьтало вг^ IB^S) с ном^рюдя i
где i = О, LBN - 1, LBN = 2Nw"
• , тО I I • , rsNum11 х
г=г(Л =ТчИ -l^...-eE:jS/UEE1^0>CBa . Дла вооьт|у,енвя ^я.1чкм-хи1е/кьио/1 т^ффестивности ^о)^но ис^пызо^ал"ьр/и/ыиттс-
ный опсссоИ кгзе^ы^нт^ и-уокк-и ^ ((ßyV,[ä'jt^-') э/лсс
ез Mi они*.,. » авио сОН^СЕЫ ...
-0 icWumi-2)-l * ^Num-1 © — — ф 'л™-1 * ф KNum
И"^оотвелтстпв^твне,значениефункци^ (LBN,\КШп1 ^ дт^я босаб сбун^Етофивиьии (ис^оби.1енин MACk (T)на кие; Слони ^ганt^ix iwожнм пззобуски^ли'иоз в Ези-т«ь (С-):
НаУ/К)^,- и MH-iV^n-ea ТУЮ* ...
■■■© * K2tNum-l Ф 'ямт-2 * K2tlVum Ф
■■■ Ф *ЛГшн-1 * ^Ыитя +2 Ф +2
ЕВ среднем аддитивный способ формирования ключей (2) даёт 4-5 кратное преимущество в скорости вычислений производных ключей перед (1), но как говорилось ранее требует криптографического качества от исходного ключа ТХ и потенциально уязвим к атакам на основе подобранных открыты х текстов.
Длясниженияуязвимости КС«Утро»катакам различения наосновеподобранногооткрытоготекстаиуменьше-ния развёртываемого ключевого базиса (ФИ^,,,) предлагается использовать алгоритм блочного шифрования в MGM-режиме — ii'eTG (7Ц, описанный в работе [25], а в качестве способа задания функции k (LBN, \KNum}— функцию, соответствующую (1), где номер блока(фрагмента) i использовать в качестве
ttmgm !гр\
вектора инициализации iv для Ek (T ) аналогично шагу 5 в описании КС «Утро».
3.4. О некоторых ограничениях при использовании КС «Утро»
Укажем, что конфиденциальность защищаемой информации при использовании КС «Утро» будет зависеть от следующих ограничений:
- обеспечение конфиденциальности (секретности) исходного ключа - K - режим работы mode блочного шифра Ek°de (T) в соответствии с ГОСТ Р 34.13-2015 должен соответствовать указаниям Р 1323565.1.005—2017 при объёме материала Nmax > T для обработки на одном ключе, вычисленном функцией k (LBN,[NMml), где T размер единовременно технически считываемого (записываемого) блока данных, кратный длине блока блочного шифра, равной n =128 бит для шифра «Кузнечик» и n =64 бит для шифра «Магма».
- в зависимости от условий эксплуатации и класса средств криптографической защиты информации и для защиты от утечки по побочным каналами необходимо учитывать целесообразность дополнения алгоритмов вычисления и использования конечного базиса ключей
, формируемого на основе ключа K значения LBN механизмами маскированного использования ключевой информации в соответствии с рекомендациями Р 50.1.110-2016 и Р 50.1.112-2016.
4. Выводы
Предлагаемая КС «Утро» позволяет обеспечить криптографическую защиту данных, передаваемых для хранения в облачные сервисы и сети хранения данных. Характерной особенностью такой системы является логика
и способ формирования производных ключей, позволяющий их рассчитывать в зависимости от адресации системы хранения данных и тем самым отказаться от необходимости их хранения в энергонезависимой памяти.
Криптосистема «Утро» ориентирована на возможность реализации в виде программного средства в составе операционных систем с использованием штатных криптопровайдеров (например: Microsoft CNG, Linux CryptoAPI), а также в виде отдельного программно-аппаратного решения или аппаратно-программного комплекса. В частности, такой аппаратный комплекс для защиты данных передаваемых по протоколу iSCSI может быть построен на технической базе серийных средств криптографической защиты информации, передаваемой в канал связи, типа IP-шифратор.
Отметим инвариантность применения КС «Утро», что позволяет, сохраняя её общую криптографическую схему, использовать в ней иные алгоритмы блочного шифрования и выработки хэш-функций, а также возможность использования такой схемы шифрования для формирования файлов-контейнеров на локально подключённых накопителях информации или при посектор-ном шифровании таких накопителей.
Несмотря на задержку вносимую КС «Утро» зашифрованием данных при их передаче и, соответственно, расшифрованием при их приёме из облачного сервиса STaaS/DSaaS, сетевого NAS или сети хранения данных SAN, предложенная криптосхема не предполагает применения полностью гомоморфного шифрования данных в используемом облачном сервисе и не зависит от проблем обеспечения криптографической стойкости подобных решений, реализованных в самом облачном провайдере (поставщике облачных услуг).
Литература
1. Гюнтер Е.С., Нарутта Н.Н., Шахов В.Г. «Облачные» вычисления и проблемы их безопасности. // Омский научный вестник № 2 (120), 2013 г., С. 278-282
2. Сабанов А.Г. Особенности аутентификации при доступе к облачным сервисам. // Вестник Нижегородского университета им. Н.И. Лобачевского, 2013, № 2 (1), С. 45-51
3. Бессольцев В.Е., Марков П.Н. Уязвимости веб сервисов, используемых в автоматизированных системах управления // I-methods. 2018. Т. 10. № 3. С. 23-35.
4. Оношко Д.Е., Бахтизин В.В. Модель оценки качества web-приложений, основанная на обнаружении уязвимостей к SQL-инъекциям // Доклады БГУИР. 2016. №3 (97). С. 5-11
5. Воробьев В.И., Рыжков С.Р., Фаткиева Р.Р. Защита периметра облачных вычислений. // Программные системы: теория и приложения. 2015. С. 61 - 71.
6. Беккер М.Я., Терентьев А.О., Гатчин Ю.А., Кармановский Н.С. Использование цифровых сертификатов и протоколов SSL/TLS для шифрования данных при облачных вычислениях // Научно-технический вестник информационных технологий, механики и оптики. 2011. №4 (74). С. 125-130
7. Гладкий М.В. Безопасность приложений на платформах облачных вычислений. // Труды БГТУ, 2015. № 6. Физико-математические науки и информатика, С. 204-207.
8. Бабенко Л.К., Буртыка Ф.Б., Макаревич О.Б., Трепачева А.В. Методы полностью гомоморфного шифрования на основе матричных полиномов // Вопросы кибербезопасности. 2015. №1 (9). С. 14-25
9. Астахова Л.В. Защита облачной базы персональных данных с использованием гомоморфного шифрования / Л.В. Астахова, Д.Р. Султанов, Н.А. Ашихмин // Вестник ЮУрГУ. Серия «Компьютерные технологии, управление, радиоэлектроника». 2016. Т. 16, №3. С. 52-61.
10. Martin Albrecht, Melissa Chase, Hao Chen, Jintai Ding, Shafi Goldwasser, Sergey Gorbunov, Shai Halevi, Jeffrey Hoffstein, Kim Laine, Kristin Lauter, Satya Lokam, Daniele Micciancio, Dustin Moody, Travis Morrison, Amit Sahai and Vinod Vaikuntanathan. Homomorphic Encryption Standard. // Cryptology ePrint Archive, Report 2019/939, 2019
11. Егорова В.В., Чечулина Д.К. Построение криптосистемы с открытым ключом на основе полностью гомоморфного шифрования // ПДМ. Приложение, 2015, выпуск 8, С. 59-61.
12. Буртыка Ф.Б. Симметричное полностью гомоморфное шифрование с использованием неприводимых матричных полиномов // Известия ЮФУ. Технические науки. 2014. №8 (157). - С. 107-122
13. Душкин А.В., Щербакова Ю.В., Буряк Т.С. Анализ подходов применения схемы шифрования данных cp-abe для облачных технологий // Наукоемкие технологии в космических исследованиях Земли. 2014. №4. С. 64-67.
14. David Chaum. Blind signatures for untraceable payments. // Advances in Cryptology Proceedings of Crypto. №82, 1983: pp. 199-203.
15. Аулов 1.Ф. Дослщження механiзмiв управлшня особистими ключами користувачiв в хмарi // ScienceRise, т. 6, № 2 (23), 2016: С. 51-57.
16. Паращук И. Б., Саенко И. Б., Пантюхин О. И. Доверенные системы для разграничения доступа к информации в облачных инфраструктурах // Наукоемкие технологии в космических исследованиях Земли. 2018. Т. 10. No 6. С. 68-75.
17. Аракелов Г.Г., Грибов А.В., Михалёв А.В. Прикладная гомоморфная криптография: примеры. // Фундамент. и прикл. математика., 21:3 (2016), С. 25-38.
18. Трубей А.И. «Гомоморфное шифрование: безопасность облачных вычислений и другие приложения (обзор)». // Информатика. 2015; (1). С. 90-101.
19. Gentry, C. A Fully homomorphic encryption using ideal lattices / C. Gentry //Symposium on the Theory of Computing (STOC). - Bethesda, USA, 2009. - pp.169-178.
20. Варновский Н.П., Захаров В.А., Шокуров А.В., К вопросу о существовании доказуемо стойких систем облачных вычислений. // Вестник Московского университета, Серия 15, Вычислительная математика и кибернетика, 2016. № 2, - С. 32-46.
21. Малинский А.Е., Оценка криптостойкости полностью гомоморфных систем. Инженерный журнал: наука и инновации, 2013, вып. 11. URL: http://engjournal.ru/catalig/it/security/995.html
22. Трепачева А.В. Криптоанализ шифров, основанных на гомоморфизмах полиномиальных колец // Известия ЮФУ. Технические науки. 2014. №8 (157). - С.96-107
23. Трепачева А.В. Атака по шифртекстам на одну линейную полностью гомоморфную криптосистему // ПДМ. Приложение. 2015. №8. - С. 75-78
24. Трепачева А.В. Улучшенная атака по известным открытым текстам на гомоморфную криптосистему Доминго-Феррера. // Труды ИСП РАН, том 26, вып. 5, 2014 г.- С. 83-98.
25. Liliya Akhmetzyanova, Evgeny Alekseev, Grigory Karpunin and Vladislav Nozdrunov. Security of Multilinear Galois Mode (MGM) // Cryptology ePrint Archive, Report 2019/123, 2019.
26. Зубов А.Ю. Об оценке стойкости АЕAD-криптосистемы типа GCM, ПДМ, 2016, номер 2(32). - С. 49-62.
27. Ferguson N. Authentication weaknesses in GCM. Public Comments to NIST. http://csrc.nist.gov/CryptoToolKit/modes/comments, May 2005.
Рецензент: Цирлов Валентин Леонидович, кандидат технических наук, доцент кафедры ИУ-8 «Информационная безопасность» МГТУ им.Н.Э.Баумана, г. Москва, Россия. E-mail: [email protected]
THE MAIN cryptographic MEcHANIsMs FoR
protection of data, transmitted to cloud services and storage area networks
Minakov S.S.7
Abstract.
The purpose: development of the technology of cryptographic protection of information in third-party cloud services or storage area networks by using standartizated interfaces, protocols and block ciphers algorithms.
Method: system analysis of degradation security information level by data recycling with cloud computing. Research and analysis a science papers of cryptology theory and practice, describe limitations of homomorphic encryption. Cryptosystem synthesis is with analogy methods, hash and block ciphers algorithms.
The result: new cryptographic system «Utro» (Eng. - Morrow) for real-time protection of confidential data, transmitted to third-party cloud services or storage area networks. The paper is described main cryptographic mechanisms like
1 Sergey S. Minakov, Senior researcher, Academy of cryptography Russian Federation, Moscow, Russia. E-mail: [email protected]
function, logic and encryption scheme for program the cryptosystem. It also gives advices of using the proposed methods with data protocols like iSCSI, FiberChannel, WebDAV and possibility a local using.
Keywords. encryption, cloud storage, computer security, cryptographic system, network protocols.
References
1. Gyunter E.S., Narutta N.N., Shaxov V.G. «Oblachnye» vychisleniya i problemy ih bezopasnosti. // Omskij nauchnyj vestnik № 2 (120),
2013, pp. 278-282
2. Sabanov A.G. Osobennosti autentifikacii pri dostupe k oblachnym servisam. // Vestnik Nizhegorodskogo universiteta im. N.I. Lobachevskogo, 2013, № 2 (1), pp. 45-51
3. Bessol"cev V.E., Markov P.N. Uyazvimosti veb servisov, ispol"zuemyh v avtomatizirovannyh sistemax upravleniya // I-methods. 2018, vol. 10, № 3. pp. 23-35.
4. Onoshko D.E., Baxtizin V.V. Model" ocenki kachestva web-prilozhenij, osnovannaya na obnaruzhenii uyazvimostej k SQL-in""ekciyam // Doklady BGUIR. 2016, №3 (97).
5. Vorob"ev V.l., Ryzhkov S.R., Fatkieva R.R. Zashhita perimetra oblachnyh vychislenij. // Programmnye sistemy: teoriya i prilozheniya, 2015, pp. 61 - 71.
6. Bekker M.Ya., Terent"ev A.O., Gatchin Yu.A., Karmanovskij N.S. Ispol"zovanie cifrovyh sertifikatov i protokolov SSL/TLS dlya shifrovaniya dannyh pri oblachnyh vychisleniyax // Nauchno-texnicheskij vestnik informacionnyh texnologij, mexaniki i optiki, 2011, №4 (74). 125-130
7. Gladkij M.V. Bezopasnost" prilozhenij na platformax oblachnyh vychislenij. // Trudy BGTU, 2015, № 6, Fiziko-matematicheskie nauki i informatika, pp. 204-207.
8. Babenko L.K., Burtyka F.B., Makarevich O.B., Trepacheva A.V. Metody polnost"yu gomomorfnogo shifrovaniya na osnove matrichnyh polinomov // Voprosy kiberbezopasnosti, 2015. №1 (9), pp. 14-25
9. Astaxova L.V. Zashhita oblachnoj bazy personal"nyh dannyh s ispol"zovaniem gomomorfnogo shifrovaniya / L.V. Astaxova, D.R. Sultanov, N.A. Ashixmin // Vestnik YuUrGU. Seriya «Komp"yuternye texnologii, upravlenie, radioe"lektronika», 2016, vol.16, №3, pp. 52-61.
10. Martin Albrecht, Melissa Chase, Hao Chen, Jintai Ding, Shafi Goldwasser, Sergey Gorbunov, Shai Halevi, Jeffrey Hoffstein, Kim Laine, Kristin Lauter, Satya Lokam, Daniele Micciancio, Dustin Moody, Travis Morrison, Amit Sahai and Vinod Vaikuntanathan. Homomorphic Encryption Standard. // Cryptology ePrint Archive, Report 2019/939, 2019.
11. Egorova V.V., Chechulina D.K. Postroenie kriptosistemy s otkrytym klyuchom na osnove polnost"yu gomomorfnogo shifrovaniya // PDM. Prilozhenie, 2015, № 8, pp. 59-61.
12. Burtyka F.B. Simmetrichnoe polnost"yu gomomorfnoe shifrovanie s ispol"zovaniem neprivodimyh matrichnyh polinomov // Izvestiya YuFU. Texnicheskie nauki, 2014, №8 (157), pp. 107-122
13. Dushkin A.V., Shherbakova Yu.V., Buryak T.S. Analiz podxodov primeneniya sxemy shifrovaniya dannyh cp-abe dlya oblachnyh texnologij // Naukoemkie texnologii v kosmicheskix issledovaniyax Zemli, 2014, №4, pp. 64-67.
14. David Chaum. Blind signatures for untraceable payments. // Advances in Cryptology Proceedings of Crypto, №82, 1983: pp. 199-203.
15. Aulov I.F. Doslidzhennya mexanizmiv upravlinnya osobistimi klyuchami koristuvachiv v xmari // ScienceRise, vol. 6, № 2 (23), 2016: pp. 51-57.
16. Parashhuk I. B., Saenko I. B., Pantyuxin O. I. Doverennye sistemy dlya razgranicheniya dostupa k informacii v oblachnyh infrastrukturax // Naukoemkie texnologii v kosmicheskix issledovaniyax Zemli, 2018, vol. 10, № 6, pp. 68-75.
17. Arakelov G.G., Gribov A.V., Mixalyov A.V. Prikladnaya gomomorfnaya kriptografiya: primery. // Fundament. i prikl. matematika., 21:3 (2016), pp. 25-38.
18. Trubej A.I. «Gomomorfnoe shifrovanie: bezopasnost" oblachnyh vychislenij i drugie prilozheniya (obzor)». // Informatika, 2015, (1), pp. 90-101.
19. Gentry, C. A Fully homomorphic encryption using ideal lattices / C. Gentry //Symposium on the Theory of Computing (STOC). - Bethesda, USA, 2009, pp.169-178.
20. Varnovskij N.P., Zaxarov V.A., Shokurov A.V., K voprosu o sushhestvovanii dokazuemo stojkix sistem oblachnyh vychislenij. // Vestnik Moskovskogo universiteta, Seriya 15, Vychislitel"naya matematika i kibernetika, 2016, № 2, pp. 32-46.
21. Malinskij A.E., Ocenka kriptostojkosti polnost"yu gomomorfnyh sistem. // Inzhenernyj zhurnal: nauka i innovacii, 2013, (11), URL: http://engjournal.ru/catalig/it/security/995.html
22. Trepacheva A.V. Kriptoanaliz shifrov, osnovannyh na gomomorfizmax polinomial"nyh kolecz // Izvestiya YuFU. Texnicheskie nauki,
2014, №8 (157), pp. 96-107.
23. Trepacheva A.V. Ataka po shifrtekstam na odnu linejnuyu polnost"yu gomomorfnuyu kriptosistemu // PDM. Prilozhenie, 2015, №8, pp. 75-78.
24. Trepacheva A.V. Uluchshennaya ataka po izvestnym otkrytym tekstam na gomomorfnuyu kriptosistemu Domingo-Ferrera. // Trudy ISP RAN, 2014, vol.26, №5, pp. 83-98.
25. Liliya Akhmetzyanova, Evgeny Alekseev, Grigory Karpunin and Vladislav Nozdrunov. Security of Multilinear Galois Mode (MGM) // Cryptology ePrint Archive, Report 2019/123, 2019.
26. Zubov A.Yu. Ob ocenke stojkosti AEAD-kriptosistemy tipa GCM // PDM, 2016, № 2(32). - pp. 49-62.
27. Ferguson N. Authentication weaknesses in GCM. Public Comments to NIST. http://csrc.nist.gov/CryptoToolKit/modes/comments, May 2005.