Wyższa Szkoła Ekonomiczno-Informatyczna
w Warszawie
Wydział Zastosowań Informatyki w Biznesie
Katedra podstaw informatyki i systemów informatycznych
Tomasz Grabowski
Nr albumu 20622
„Szyfrowanie danych”
Praca dyplomowa
napisana pod kierownictwem
dr inż. Piotra Helta
Warszawa 2005
SPIS TREŚCI
I. Wstęp 4
II. Szyfrowanie 6
· Pojęcie szyfrowania (kluczem prywatnym i publicznym) 6
III. Algorytmy szyfrujące 7
1. Szyfry historyczne 7
· Enigma 7
· szyfr polialfabetyczny 9
· szyfr przestawieniowy 11
· szyfr przesuwający (monoalfabetyczny) 11
2. Szyfry współczesne 14
a) Asymetryczne 14
b) Blokowe 14
· AES /Rijndael 17
· Serpent 17
· Skipjack 18
· 3DES 18
· Blowfish 19
· Twofish 20
· DES 21
· DESX 22
· IDEA 22
c) Strumieniowe 23
· RC4 23
· A5/1 23
· A5/2 23
IV. Funkcje mieszające 25
· MD5 25
· SHA-1 26
· SHA-256 27
· SHA-384 27
· SHA-512 27
V. Programy szyfrujące 28
1. Enigma 2003 final 28
2. Data Encrytption Toolkit v. 1.12 36
3. Cheops v. „A” 39
4. Top Secret Next Generation 42
5. PGP 8.2 55
6. TmD SOFT Code 65
7. VMPC Data Security 72
VI. Zakończenie 81
VII. Bibliografia 84
I. Wstęp
Rosnące możliwości oraz ciągłe powiększanie się ilości użytkowników komputerów osobistych, przyczyniło się do zapotrzebowania na programy zabezpieczenia danych przed:
- działaniem programów szpiegujących. Zgodnie z badaniami przeprowadzonymi przez instytucje zajmujące się bezpieczeństwem danych z USA jest nimi zainfekowany nieomal każdy komputer podłączony do sieci! W wielu przypadkach w zainfekowanych komputerach „siedzi” po kilka programów szpiegujących! Sprawdzają preferencje konsumenckie, przekazują poufne dane, analizują zachowania użytkowników itd. Odbiorcami danych są nie tylko agendy wywiadu gospodarczego z całego świata, firmy analizujące działanie konkurencji itp. ale także - o zgrozo - instytucje państwowe masowo łamiące prawo do prywatności. Znane są przypadki śledczego wykorzystania tak zdobytych danych w naszym kraju!
- wykradaniem danych. Proceder wbrew pozorom bardzo rozpowszechniony w wielu firmach, gdyż dane handlowe posiadają zwykle sporą wartość komercyjną.
- przechwytywanie korespondencji elektronicznej oraz danych przesyłanych za pomocą sieci - lokalnych i rozległych. W tym przypadku sama autoryzacja użytkownika jest dalece niewystarczająca. Można dość łatwo przechwycić nie tylko korespondencję czy przesyłane dane ale i podszyć się na wiele sposobów pod autoryzowanego użytkownika. Wiele firm nie zdaje sobie sprawy, że ich sesje robocze są „nasłuchiwane” w sposób stały przez programy, które robią to automatycznie!
- przekłamaniem danych. Dane zwykle bywają zmieniane w minimalnym zakresie. Jeżeli modyfikacji dokonano w dyskretny sposób, jest to trudne do wykrycia. Przekłamanie może polegać na przechwyceniu oryginalnego listu, przesyłanego siecią Internet i zastąpienia go listem o zmienionej treści.
To tylko niewielka część zagrożeń dla danych przetwarzanych przez podmioty gospodarcze. Obecnie sprawne funkcjonowanie przedsiębiorstwa jest najczęściej uzależnione od dobrze działającego systemu informatycznego. Systemy te, zainstalowane w firmach, zawierają najbardziej istotne dla działania i istnienia przedsiębiorstwa informacje - wszelkiego rodzaju systemy finansowo-księgowe, kadrowe, magazynowe, bazy danych gromadzące dane o klientach i kontrahentach, dokumenty wewnętrzne o różnym stopniu poufności, a w tym projekty i dokumentację. Niejednokrotnie firma ma wiele oddziałów położonych w różnych częściach kraju lub świata, które muszą wymieniać poufne informacje między sobą. Nie należy się więc dziwić, że mogą znaleźć się zarówno osoby, jak i instytucje pragnące w sposób nie autoryzowany dotrzeć do poufnych informacji zgromadzonych w systemie informatycznym takiej firmy.[1] Przed tego typu zagrożeniami możemy chronić nasze dane, korzystając z obecnie dostępnych narzędzi. Istnieją w tym zakresie dość kosztowne rozwiązania, oparte na kombinacjach sprzętowo-programowych, które i tak nie gwarantują pełnego bezpieczeństwa. Przykładowo – blokowane są skuteczne rozwiązania w zakresie szyfrowania danych czego przykładem były kłopoty Philipa R. Zimmermanna, twórcy silnego systemu kryptograficznego PGP. Coraz częściej pojawiają się informacje, że najbardziej znane algorytmy szyfrujące są powszechnie łamane nie tylko przez wyspecjalizowane instytucje rządowe ale i wiele firm prywatnych, specjalizujących się w „pozyskiwaniu” informacji. Trudno ocenić wiarygodność tych informacji ale sukcesy niektórych ośrodków akademickich w łamaniu „bezpiecznych” szyfrów mówią same za siebie... Silne rozwiązania w zakresie bezpieczeństwa danych nie muszą być kosztowne! Często można je skonstruować za pomocą narzędzi, które w znacznej części są bezpłatne. Nie są potrzebne duże pieniądze lecz inteligentna polityka bezpieczeństwa w firmie. Przykładowo – nie można się skutecznie obronić przed „podsłuchiwaniem” sieci przez specjalizowane programy, można sprawić natomiast, że będą one otrzymywać bezwartościowe dane.
II. Szyfrowanie
Szyfrowanie to procedura takiego przekształcania wiadomości, żeby była ona niemożliwa (lub bardzo trudna) do odczytania przez każdego, kto nie posiada odpowiedniego klucza.
Wiadomość przed zaszyfrowaniem nazywa się tekstem jawnym (plaintext), a wiadomość zaszyfrowaną – szyfrogramem (ciphertext).
Szyfrowanie jest zajęciem bardzo starym, aczkolwiek nowoczesna kryptografia narodziła się dopiero w epoce komputerów i starsze szyfry są z dzisiejszego punktu widzenia zupełnie bezużytecznie.
Szyfrowanie obejmuje bardzo wiele zagadnień. Najważniejsze z nich to:
- kamuflowanie wiadomości i maskowanie działania programów;
- zasady doboru haseł;
- skuteczne niszczenie dokumentów i kasowanie plików;
- wykrywanie ukrytych kanałów w aplikacjach;
- autentyzacja i certyfikacja (zagwarantowanie, że dana osoba jest autorem dokumentu);
- podpisy cyfrowe (sposób przekonania osoby trzeciej o autentyczności dokumentu);
- dobór parametrów szyfrowania, aby był bezpieczny przez jak najdłuższy okres czasu mimo postępów w projektowaniu superkomputerów użytych do łamania algorytmów szyfrujących.
III. Algorytmy szyfrujące
Szyfry historyczne musiały umożliwiać szyfrowanie i deszyfrowanie przez człowieka, a więc opierać się na bardzo prostych operacjach. Współczesne komputery są o kilkanaście rzędów wielkości szybsze w obliczeniach od ludzi, i potrafią złamać praktycznie każdy tego typu szyfr. Dlatego też właściwie wszystkie wymienione niżej szyfry nie mają obecnie żadnego praktycznego znaczenia.
Niektóre z szyfrów historycznych to:
· Enigma
· szyfr polialfabetyczny, w tym szyfr Vigenère'a.
· szyfr przestawieniowy ...
saturn3231