Wyższa Szkoła Ekonomiczno-Informatyczna

w Warszawie

Wydział Zastosowań Informatyki w Biznesie

Katedra podstaw informatyki i systemów informatycznych

Tomasz Grabowski

Nr albumu 20622

„Szyfrowanie danych”

  Praca dyplomowa

napisana pod kierownictwem

dr inż. Piotra Helta

Warszawa  2005

SPIS TREŚCI

I.           Wstęp              4

II.      Szyfrowanie               6

·        Pojęcie szyfrowania (kluczem prywatnym i publicznym)              6

III. Algorytmy szyfrujące              7

1.     Szyfry historyczne              7

·         Enigma               7

·         szyfr polialfabetyczny               9

·         szyfr przestawieniowy               11

·         szyfr przesuwający (monoalfabetyczny)              11

2. Szyfry współczesne              14

a)      Asymetryczne               14

b)     Blokowe               14

·         AES /Rijndael              17

·         Serpent              17

·         Skipjack              18

·         3DES              18

·         Blowfish               19

·         Twofish              20

·         DES               21

·         DESX               22

·         IDEA               22

c)      Strumieniowe              23

·         RC4              23

·         A5/1              23

·         A5/2              23

IV.  Funkcje mieszające              25

·        MD5              25

·        SHA-1              26

·        SHA-256              27

·        SHA-384              27

·        SHA-512              27

V. Programy szyfrujące              28

1.     Enigma 2003 final              28

2.     Data Encrytption Toolkit v. 1.12              36

3.     Cheops v. „A”              39

4.     Top Secret Next Generation               42

5.     PGP 8.2               55

6.     TmD SOFT Code              65

7.     VMPC Data Security              72

VI.  Zakończenie              81

VII.   Bibliografia              84

I. Wstęp

Rosnące możliwości oraz ciągłe powiększanie się ilości użytkowników komputerów osobistych, przyczyniło się do zapotrzebowania na programy zabezpieczenia danych przed:

- działaniem programów szpiegujących. Zgodnie z badaniami przeprowadzonymi przez instytucje zajmujące się bezpieczeństwem danych z USA  jest nimi zainfekowany nieomal każdy komputer podłączony do sieci! W wielu przypadkach w zainfekowanych komputerach „siedzi” po kilka programów szpiegujących! Sprawdzają preferencje konsumenckie, przekazują poufne dane, analizują zachowania użytkowników itd.  Odbiorcami danych są nie tylko agendy wywiadu gospodarczego z całego świata, firmy analizujące działanie konkurencji itp. ale także - o zgrozo - instytucje państwowe masowo łamiące prawo do prywatności. Znane są przypadki śledczego wykorzystania tak zdobytych danych w naszym kraju!

- wykradaniem danych. Proceder wbrew pozorom bardzo rozpowszechniony w wielu firmach, gdyż dane handlowe posiadają zwykle sporą wartość komercyjną.  

- przechwytywanie korespondencji elektronicznej oraz danych przesyłanych za pomocą sieci - lokalnych i rozległych. W tym przypadku sama autoryzacja użytkownika jest dalece niewystarczająca. Można dość łatwo przechwycić nie tylko korespondencję czy przesyłane dane ale i podszyć się na wiele sposobów pod autoryzowanego użytkownika. Wiele firm nie zdaje sobie  sprawy, że ich sesje robocze są „nasłuchiwane” w sposób stały przez programy, które robią to automatycznie!

- przekłamaniem danych. Dane zwykle bywają zmieniane w minimalnym zakresie. Jeżeli modyfikacji dokonano w dyskretny sposób, jest to trudne do wykrycia. Przekłamanie może polegać na przechwyceniu oryginalnego listu, przesyłanego siecią Internet i zastąpienia go listem o zmienionej treści.

To tylko niewielka część zagrożeń dla danych przetwarzanych przez podmioty gospodarcze. Obecnie sprawne funkcjonowanie przedsiębiorstwa jest  najczęściej uzależnione od dobrze działającego systemu informatycznego. Systemy te, zainstalowane w firmach, zawierają najbardziej istotne dla działania i istnienia przedsiębiorstwa informacje - wszelkiego rodzaju systemy finansowo-księgowe,  kadrowe, magazynowe, bazy danych gromadzące dane o klientach i kontrahentach, dokumenty  wewnętrzne o różnym stopniu poufności, a w tym projekty i dokumentację. Niejednokrotnie  firma ma wiele oddziałów położonych w różnych częściach kraju lub świata, które muszą  wymieniać poufne informacje między sobą. Nie należy się więc dziwić, że mogą znaleźć się  zarówno osoby, jak i instytucje pragnące w sposób nie autoryzowany dotrzeć do poufnych informacji zgromadzonych w systemie informatycznym takiej firmy.[1] Przed tego typu zagrożeniami możemy chronić nasze dane, korzystając z obecnie dostępnych narzędzi. Istnieją w tym zakresie dość kosztowne rozwiązania, oparte na kombinacjach sprzętowo-programowych, które i tak nie gwarantują pełnego bezpieczeństwa. Przykładowo – blokowane są skuteczne rozwiązania w zakresie szyfrowania danych czego przykładem były kłopoty  Philipa R. Zimmermanna, twórcy silnego systemu kryptograficznego PGP. Coraz częściej pojawiają się informacje, że najbardziej znane algorytmy szyfrujące są powszechnie łamane nie tylko przez wyspecjalizowane instytucje rządowe ale i wiele firm prywatnych, specjalizujących się w „pozyskiwaniu” informacji. Trudno ocenić wiarygodność tych informacji ale sukcesy niektórych ośrodków akademickich
w łamaniu „bezpiecznych” szyfrów mówią same za siebie... Silne rozwiązania
w zakresie bezpieczeństwa danych nie muszą być kosztowne! Często można je skonstruować za pomocą narzędzi, które w znacznej części są bezpłatne. Nie są potrzebne duże pieniądze lecz inteligentna polityka bezpieczeństwa w firmie. Przykładowo – nie można się skutecznie obronić przed „podsłuchiwaniem” sieci przez specjalizowane programy, można sprawić natomiast, że będą one otrzymywać bezwartościowe dane. 

II. Szyfrowanie

Szyfrowanie to procedura takiego przekształcania wiadomości, żeby była ona niemożliwa (lub bardzo trudna) do odczytania przez każdego, kto nie posiada odpowiedniego klucza.

Wiadomość przed zaszyfrowaniem nazywa się tekstem jawnym (plaintext),
a wiadomość zaszyfrowaną – szyfrogramem (ciphertext).

Szyfrowanie jest zajęciem bardzo starym, aczkolwiek nowoczesna kryptografia narodziła się dopiero w epoce komputerów i starsze szyfry są z dzisiejszego punktu widzenia zupełnie bezużytecznie.

Szyfrowanie obejmuje bardzo wiele zagadnień. Najważniejsze z nich to:

- kamuflowanie wiadomości i maskowanie działania programów;

-  zasady doboru haseł;

-  skuteczne niszczenie dokumentów i kasowanie plików;

-  wykrywanie ukrytych kanałów w aplikacjach;

- autentyzacja i certyfikacja (zagwarantowanie, że dana osoba jest autorem dokumentu);

- podpisy cyfrowe (sposób przekonania osoby trzeciej o autentyczności dokumentu);

-  dobór parametrów szyfrowania, aby był bezpieczny przez jak najdłuższy okres czasu mimo postępów w projektowaniu superkomputerów użytych do łamania algorytmów szyfrujących.

III. Algorytmy szyfrujące

1. Szyfry historyczne

Szyfry historyczne musiały umożliwiać szyfrowanie i deszyfrowanie przez człowieka, a więc opierać się na bardzo prostych operacjach. Współczesne komputery są o kilkanaście rzędów wielkości szybsze w obliczeniach od ludzi, i potrafią złamać praktycznie każdy tego typu szyfr. Dlatego też właściwie wszystkie wymienione niżej szyfry nie mają obecnie żadnego praktycznego znaczenia.

Niektóre z szyfrów historycznych to:

·         Enigma

·         szyfr polialfabetyczny, w tym szyfr Vigenère'a.

·         szyfr przestawieniowy ...