De puissants systèmes correctement construits cryptographiques sont capables de plusieurs, mais on ne peut pas trouver comme leur panacée. Les utilisateurs donnant de trop d'attention aux algorithmes шифрования au détriment d'autres méthodes de la garantie de sécurité, sont semblables aux gens, qui au lieu d'entourer les possessions de la haute enceinte, barrent le chemin avec les portes massives, ne réfléchissant pas du tout à ce qu'aux malfaiteurs on pourra faire le pas de côté et contourner celui-ci "le bastion inabordable".

Dans les revues populaires la classification des produits шифрования est passée, en général, selon l'algorithme et la longueur la clé. Les aperçus sont imprimés sous les titres accrocheurs. La description des particularités de n'importe quel produit et sa comparaison avec les propositions concurrençant entre facilement exactement dans quelques mots. Sans faute chacun de vous a l'occasion de rencontrer les affirmations du type : "les clés 128-de décharge assurent la protection sûre, pendant que 40-de décharge se révèlent assez facilement", "l'algorithme triple-DES de façon beaucoup plus certaine par comparaison avec l'algorithme ordinaire DES" ou même "шифрование RSA avec la clé 2048-de décharge vaut mieux RSA avec la clé 1024-de décharge".

Cependant dans la cryptographie non tout est simple ainsi : de plus longues clés ne garantissent pas pas du tout la sécurité augmentée.

Nous essaierons comparer les algorithmes шифрования au château de la porte d'entrée. Dans plusieurs châteaux de porte est établi quatre épines métalliques, chacun de qui peut se trouver dans une de dix positions. Si la clé correspond à la configuration du château, la fermeture s'ouvre. Ainsi, la structure de chaque château du même type prévoit 10 000 diverses combinaisons. Donc, pour pénétrer dans la maison, le cambrioleur doit essayer jusqu'à 10 000 clés.

Les châteaux de la structure perfectionnée ont déjà 10 épines (10 milliards de combinaisons), mais cela ne signifie pas du tout que pour la sécurité de l'habitation maintenant on peut ne pas s'inquiéter. Il est tout à fait évident que les cambrioleurs ne commenceront pas à choisir successivement les clefs toutes possibles (ce serait trop primitif) : ils sont assez sages, pour pénétrer dans la maison par un autre moyen (s'impose dans le cas présent l'analogie avec l'attaque cryptographique). Casser beaucoup plus facilement et plus effectivement la fenêtre, enfoncer la porte ou se changer à la forme du policier et mettre à côté le tronc du pistolet de la tête de rien le maître ne soupçonnant pas. Un des voleurs en Californie, en pensant peu de temps, a scié le mur de la maison бензопилой. Il est clair que de telles actions ne sauveront pas même les meilleurs châteaux.

De puissants systèmes correctement construits cryptographiques sont capables de plusieurs, mais on ne peut pas trouver comme leur panacée de tous les malheurs. Les utilisateurs donnant de trop d'attention aux algorithmes шифрования au détriment d'autres méthodes de la garantie de sécurité, sont semblables aux gens, qui au lieu d'entourer les possessions de la haute enceinte, barrent le chemin avec les portes massives, ne réfléchissant pas du tout à ce qu'aux malfaiteurs on pourra faire le pas de côté et contourner celui-ci "le bastion inabordable". Les cambrioleurs qualifiés transsuderont même dans la brèche la plus imperceptible.

La compagnie Counterpane Systems voici déjà pendant plusieurs années s'occupe de la création, l'analyse et l'effraction des systèmes шифрования. Nous étudions les algorithmes ou les procès-verbaux, les spécifications de qui sont publiées dans le sceau ouvert; la grande partie du travail est liée à l'étude des particularités des produits concrets. Nous avions l'occasion de projeter et analyser les moyens protégeant le secret privé, garantissant la confidentialité, défendant la justice et assurant le fonctionnement des systèmes du commerce électronique. Nous travaillions avec les plus divers produits logiciels, les matériels autonomes et logiciel les décisions. Nous savons est beau les faibles des algorithmes шифрования, mais presque toujours nous trouvions les moyens plus élégants du détour des systèmes de la sécurité.

Le système cryptographique ne peut pas être des algorithmes séparés de façon plus certaine utilisés dans elle шифрования. Autrement dit, pour surmonter le système de la protection, il suffit de forcer chacun de ses composants. L'utilisation des bons matériaux de construction n'est pas encore la garantie de la solidité du bâtiment. Et le système cryptographique construit à la base de puissants algorithmes et les procès-verbaux, peut se trouver aussi faible.

Plusieurs systèmes "perdent la garantie" les sécurités, si sont utilisés incorrectement. Nous dirons, le contrôle de l'admissibilité des significations des variables n'est pas accompli, les paramètres "accidentels" sont utilisés plusieurs fois qu'est tout à fait inadmissible. Les algorithmes шифрования assurent pas forcément l'intégrité des données. Les procès-verbaux de l'échange pour les clés garantissent pas forcément que les deux parties recevront la même clé.

Certains systèmes шифрования, les clés utilisant liées, peuvent être forcés, même si chaque clé est sûre en particulier. Pour assurer la sécurité, insuffisamment simplement réaliser l'algorithme et attendre que tout travaillera. Même la présence des ingénieurs qualifiés, l'aide des compagnies connues et le travail obstiné ne peuvent pas garantir la sécurité absolue. Les brèches découvertes dans les algorithmes шифрования des systèmes du lien cellulaire des standards CDMA et GSM, ainsi que dans le procès-verbal Microsoft Point-to-Point Tunneling Protocol (PPTP), évidemment illustrent cela. Par exemple, dans l'algorithme assez sûr RC4, sur qui on construit le procès-verbal PPTP, nous réussissons à découvrir le régime, qui faisait la protection absolument transparent.

Encore un faible des moyens cryptographiques - les générateurs des nombres accidentels. Élaborer un bon générateur des nombres accidentels difficilement, puisqu'il dépend souvent des particularités de matériel et le logiciel [1,2]. Le système lui-même шифрования peut être accompli à un haut niveau, mais si le générateur des nombres accidentels donne les clés facilement devinées, toutes les barrières restées sont surmontées sans trop de peine. Dans nombre des produits on utilise les générateurs des nombres accidentels élaborant les clés, à qui on observe la régularité définie. Dans tels cas sur la sécurité il ne faut pas dire. Il est intéressant que l'application du même générateur dans certains domaines assure le degré demandé de la sécurité, mais aux autres - est absent.

Encore un faible possible - la coopération entre séparément procès-verbaux sûrs шифрования [3]. Presque pour chaque procès-verbal sûr, en général, on peut trouver autre, pas moins sûr, qui réduira à rien toutes les dignités du premier, s'ils utilisent les clés identiques sur la même installation. Si de divers standards de la protection sont appliqués dans un milieu, la coopération insuffisamment précise entre eux peut amener souvent aux conséquences très indésirables.

Plusieurs systèmes amènent à cause des erreurs à la réalisation. Certains produits ne garantissent pas que, ayant chiffré le texte, ils supprimeront l'original. Aux autres pour la prévention de la perte de l'information en cas de la défaillance systémique on utilise les fichiers temporaires, mais la mémoire accessible rapide s'élargit aux frais de la mémoire virtuel; dans ce cas sur le disque dur peuvent rester les fragments séparés du texte non chiffré.

Le regorgement des tampons, l'information confidentielle non effacée jusqu'à la fin, le système insuffisamment sûr de la détection et la restitution après les erreurs - toute cela les exemples des brèches dans les réalisations concrètes, dans qui pénètrent très souvent les malfaiteurs. Dans les cas les plus criants le système d'exploitation même laisse les clés sur le disque dur. Dans un des produits de la grande compagnie de logiciel l'introduction du mot d'ordre se réalisait dans la fenêtre spéciale. De plus le mot d'ordre se gardait dans le tampon de la fenêtre et après sa clôture. Passer les études ultérieures de la sécurité du système il ne fallait pas déjà. Nous y avons pénétré dans l'interface d'utilisateur.

Les faibles des autres produits non ainsi se jetaient évidemment aux yeux. Parfois les mêmes données étaient chiffrées à l'aide de deux clés : le premier d'eux était sûr, mais deuxième s'approchait furtivement assez facilement; mais de plus les expériences avec déjà clé choisie aidait à choisir et l'autre. Dans d'autres systèmes on appliquait les maîtres clés et les clés "sur une séance"; et en outre on accordait à la sécurité de la principale clé l'attention insuffisante, mais les espoirs principaux étaient confiés aux clés à une seule fois. Pour la création du système réellement sûr de la sécurité il est nécessaire entièrement d'exclure la possibilité de l'analyse de la structure des clés, et non se limiter seulement aux précautions les plus évidentes.

Les créateurs des systèmes du commerce électronique sont souvent obligés de transiger pour l'élargissement du fonctionnement. Et puisque les concepteurs préfèrent sacrifier la sécurité, dans la protection il y a à tout moment des trous. La vérification des écritures comptables, par exemple, peut être passée seulement une fois par jour, mais en quelques heures le cambrioleur est capable de causer le préjudice réellement énorme! La surcharge de la procédure de l'identification peut amener à ce que la personnalité de l'attaquant ne sera pas reconnue. Certains systèmes apportent les clés douteuses aux "listes noires"; la réception de l'accès à ces listes facilite beaucoup la tâche du cambrioleur. Plusieurs systèmes de la protection sont surmontés après les attaques réitérées et l'utilisation des vieux messages ou leurs parties déroutant le système.

Le danger potentiel est mis dans les possibilités de la restitution avant les clés utilisées dans les systèmes avec la désagrégation [4]. Dans les bons systèmes cryptographiques le délai de la vie des clés se limite au laps de temps au maximum court. La procédure de la restitution permet de prolonger la vie de la clé déjà après que l'ont refusé. Utilisé pour la restitution des clés de la base de données sont eux-mêmes la source du danger, et leur architecture doit être vérifiée avec la minutie spéciale. Dans nombre de cas les brèches à eux permettaient aux cambrioleurs de se camoufler sous les utilisateurs légitimes.

Certains systèmes (le plus souvent la destination commerciale) ont soi-disant "l'anneau de la sécurité", comprenant des matériels par la stabilité augmentée aux effractions (les cartes à puce, les portefeuilles électroniques, les clés électroniques etc.) [5,6]. Les créateurs des systèmes semblables partent sur la supposition que l'architecture du système à l'intérieur de cet anneau est de façon certaine protégée contre l'accès non sanctionné. La sécurité de l'équipement - une très importante composante des systèmes complexes de la sécurité, mais ne se trouve pas entièrement croire aux décisions protégeant seulement contre le vol et l'appel incapable.

La plupart des technologies semblables ne travaillent pas pratiquement, mais les outils pour leur effraction se perfectionnent sans arrêt [5,6]. À la conception des systèmes semblables il est très important de ne pas oublier les mécanismes supplémentaires de la protection, qui doivent fonctionner, si les cambrioleurs réussissent à surmonter les premières redoutes défensives. Il faut tâcher au maximum de compliquer la tâche de l'adversaire et faire sa décision désavantageux du point de vue économique. Le coût des données protégées doit être considérablement plus bas dépenses pour la destruction du système de la sécurité. La valeur du titre de transport électronique ne peut pas aller à aucune comparaison avec le coût du portefeuille des titres. À partir de cela il faut projeter les moyens de la protection.

En 1995 a augmenté considérablement le nombre "des attaques d'après l'horaire" : s'est révélé que l'on peut restaurer les clés confidentielles RSA, en mesurant les intervalles temporaires entre les opérations шифрования [7]. On enregistrait une série de cas de l'effraction fructueuse des cartes à puce, ainsi que les serveurs du commerce électronique à Internet. S'est trouvé que les attaques étaient construites à la base de la mesure de la capacité consommée, l'analyse de l'irradiation électromagnétique et d'autres sources marginales de l'information. Les spécialistes en la cryptographie réussissent à reconstruire pour ces signes la logique de plusieurs systèmes avec les clés ouvertes, ayant démontré leur incertitude.

Une grande popularité était acquise par la méthode de l'analyse des défaillances, permettant de trouver les faibles криптопроцессоров et restaurer les clés confidentielles. Les méthodes semblables selon l'esprit plutôt biologiques. Les systèmes cryptographiques sont examinés dans ce cas comme les objets complexes, qui réagissent aux irritants extérieurs. On ne peut pas nettement les décrire avec l'aide des équations mathématiques, mais les conséquences de telles attaques sont destructives.

Plusieurs moyens intéressants de l'élimination des frontières protectrices sont liés aux modèles des relations confidentielles à l'intérieur du système. Avant tout, il faut révéler les liens entre les composants séparés du système, éclaircir les restrictions et le mécanisme de la réalisation du schéma des relations confidentielles. Les systèmes simples (les moyens шифрования des négociations téléphoniques et l'information sur les disques durs) utilisent les modèles élémentaires confidentiels. Les systèmes complexes (les moyens du commerce électronique ou le moyen de la protection des paquets multiutilisateurs du courrier électronique) sont construits à la base de complexe (et beaucoup plus sûr) les modèles des relations confidentielles décrivant les corrélations de la multitude des éléments.

Dans le programme du courrier électronique on peut utiliser l'algorithme supersûr шифрования des messages, mais si les clés ne sont pas certifiées par la source, digne de confiance, et cette certification ne peut pas être confirmée dans le temps réel, la sécurité du système reste sous la question. Certains systèmes commerciaux peuvent être ouverts selon l'accord du vendeur avec l'acheteur ou à la suite des efforts unis de quelques clients. Dans d'autres systèmes on prévoit la présence des moyens de la garantie de sécurité, mais personne ne contrôlait jamais la qualité de ces moyens. Si le modèle des relations confidentielles n'est pas documenté, en train du déploiement dans le produit on peut par hasard faire quelques changements inadmissibles, après quoi l'harmonie du système de la sécurité sera violée.

Plusieurs produits logiciels se fient trop les sécurités des matériels. Il est supposé que l'ordinateur est absolument sûr. Tôt ou tard dans un tel programme pénètre "le cheval de Troie", qui choisit les mots d'ordre, lit le texte non chiffré ou par quelque intervient d'une autre manière dans le travail du système de la protection. Aux concepteurs des systèmes fonctionnant dans les réseaux informatiques, il faut s'inquiéter de la sécurité des procès-verbaux de réseau. La vulnérabilité des ordinateurs connectés vers Internet, augmente plusieurs fois.

Le système шифрования, qui est surmontée "du côté du réseau", ne convient nulle part. Il n'y a pas programmes, la sécurité de qui a tenu ferme après que l'adversaire réussit à appliquer la conception inverse. Très souvent le système est projeté dans le compte sur un modèle des relations confidentielles, mais la tout à fait autre figure dans la réalisation pratique. Les décisions prises en train de la conception sont ignorées entièrement après la transmission du produit fini aux utilisateurs. Le système, qui est absolument sûr, quand ses opérateurs méritent la confiance, mais l'accès aux ordinateurs est contrôlé entièrement, perd tous les avantages, si les devoirs des opérateurs sont accomplis par les travailleurs mal payés embauchés au terme court, mais le contrôle physique des ordinateurs est perdu.

D'ailleurs, les bons modèles des relations confidentielles continuent à travailler même dans le cas où les composants séparés amènent.

Même si le système garantit la protection sûre à l'exploitation juste, les utilisateurs peuvent par hasard la violer, particulièrement si le système est créé insuffisamment bien [8]. L'exemple classique est le collaborateur accordant le mot d'ordre aux collègues pour que ils avaient la possibilité de décider les tâches urgentes pendant son absence. L'attaque en tenant compte "du facteur humain" est souvent où plus effectif, que les mois de l'analyse minutieuse des algorithmes [9].

Les utilisateurs peuvent ne pas communiquer pendant quelques jours sur la perte de la carte à puce. Ils ne donnent pas l'attention demandée au contrôle de la signature électronique. Les mots d'ordre confidentiels parfois sont utilisés de nouveau dans les systèmes non confidentiels. Les clients ne tentent pas de liquider les faibles dans le système de la sécurité. Certes, même les bons systèmes non dans l'état de liquider les conséquences des raisons de la propriété sociale, mais ils peuvent les réduire au minimum.

Plusieurs produits sont forcés parce que leur protection est construite à la base des mots d'ordre générés par les utilisateurs. Accordé à eux-mêmes les gens ne réfléchissent pas comment choisir la succession extraordinaire des symboles. En effet, le mot d'ordre, qu'il est impossible de choisir, non ainsi retenir simplement. Si à titre de la clé confidentielle on applique un tel mot d'ordre, le choisir, en général, on réussit beaucoup plus facilement et plus vite, qu'en utilisant la méthode de la force brutale.

Plusieurs interfaces d'utilisateur facilitent encore plus la tâche du cambrioleur, en limitant la longueur le mot d'ordre par 8 signes, en transformant succession introduite dans les symboles du registre inférieur etc. Même les mots d'ordre-phrases n'assurent pas le degré demandé de la sécurité. Au malfaiteur il est beaucoup plus facile de choisir la phrase de 40 lettres, que trier les successions toutes possibles des clés 64-de décharge accidentelles. Parfois la protection, dans qui on applique le mécanisme très sûr les clés des séances, tombe en ruines à cause de l'utilisation de faibles mots d'ordre destinés à la restitution des clés. Le désir de faciliter la restitution du système après la défaillance ouvre en réalité devant attaquant l'entrée de service.

Les concepteurs des systèmes sûrs non dans l'état de boucher dans l'enceinte de la sécurité toutes les fentes les plus petites, mais au moins ils liquident les trous bâillant. La restitution de la clé vers un fichier ne permettra pas au cambrioleur de trouver toute l'information se trouvant sur le disque dur. La fabrication de l'argent faux - le crime très sérieux, en effet, le possesseur de la technologie de l'impression de l'argent peut supprimer la devise nationale. Le pirate forçant la carte à puce, étudie les secrets de l'installation donnée concrète, et non toutes les autres cartes à puce entrant dans le système. Dans les systèmes multiutilisateurs la connaissance des secrets d'une personne ne doit pas ouvrir l'accès à l'information d'autres.

Plusieurs systèmes s'établissent par défaut au régime avec les moyens déconnectés de la sécurité. Si le système de la protection "est pris", l'utilisateur la déconnecte simplement et continue à se mettre à son travail. Une telle conduite fait particulièrement effectif les attaques comme denial-of-service ("le refus du service"). Si le système en ligne авторизации des cartes de crédit est déconnecté, le vendeur est obligé de se contenter de la technologie considérablement moins sûre en papier.

Parfois les cambrioleurs ont une possibilité de se servir de la compatibilité inverse des diverses versions du logiciel. En général, dans chaque nouvelle variante du produit les concepteurs tâchent d'éliminer les brèches se trouvant dans le vieux. Mais l'exigence de la compatibilité inverse permet attaquant d'appliquer le procès-verbal de la vieille version non protégée.

Certains systèmes n'ont pas les moyens de la restitution. Si la protection est détruite, rendre le programme à l'état apte au travail il ne semble pas possible. La panne du système du commerce électronique, à qui s'adressent des millions de clients, menace de se tourner par l'accident. C'est pourquoi les systèmes semblables doivent avoir les moyens de l'organisation de la résistance attaquant et soutenir la possibilité de la rénovation du système de la sécurité sans arrêt les programmes.

Le système bien examiné lui-même connaît, comment il vaut mieux résister à l'attaque et qu'il faut faire pour l'élimination des endommagements et la restitution rapide de la capacité de travail.

Parfois on peut trouver les faibles et est direct dans le système шифрования. Certains produits sont créés sur la base des algorithmes pas trop réussis de l'élaboration personnelle. En général, ouvrir les algorithmes connus шифрования on réussit seulement dans les cas exceptionnels. Si le concepteur mise sur les méthodes personnelles, les chances des cambrioleurs augmentent plusieurs fois. L'ignorance du secret de l'algorithme n'est pas l'obstacle spécial. Il suffit au spécialiste qualifié le couple de jours pour que selon le code objet restaurer l'algorithme initial шифрования.

La sécurité de l'architecture standard pour le courrier électronique S/MIME 2 non dans l'état de compenser des faiblesses de l'algorithme шифрования. Et sans celui-là la protection pas trop sûre GSM contre un faible algorithme шифрования perd encore plus. Dans plusieurs systèmes on utilise les clés trop courtes [10].

On peut amener la multitude d'autres exemples des erreurs dans les systèmes шифрования : les programmes génèrent de nouveau les significations "uniques" accidentelles, les algorithmes de la signature en chiffre non dans l'état d'assurer le contrôle des paramètres transmis, les hesh-fonctions ouvrent ce que doivent protéger. Dans les procès-verbaux шифрования on fait les changements non prévus par les concepteurs. Les utilisateurs aiment "optimiser" les moyens disponibles, en les menant au niveau si primitif que tout le système de la protection s'écroule, comme le château de cartes.

Les moyens шифрования réduisent la probabilité de ce que les utilisateurs tomberont victimes de la tromperie, les fraudes, les actions incorrectes etc. Mais l'architecture de la sécurité on ne peut pas limiter par les cadres si étroits.

Le système sûr doit indépendamment découvrir les opérations non sanctionnées et liquider les conséquences indésirables de l'attaque. Un des principes de base de la conception des systèmes semblables consiste en connaissance de ce que tôt ou tard les attaques de l'adversaire seront couronnées par le succès. Probablement, le coup sera porté dans la direction la plus inattendue, avec l'utilisation des méthodes inconnues aux concepteurs. Considérablement en temps voulu reconnaître une telle attaque et prendre toutes les mesures nécessaires pour minimiser le préjudice.

Encore plus considérablement restaurer le plus vite possible la capacité de travail du système endommagé au cours de l'attaque. Il est nécessaire de générer les nouvelles vapeurs des clés, remplacer le procès-verbal, cesser l'utilisation des moyens découverts par l'adversaire, exclure du système les noeuds, vers lesquels le cambrioleur réussit à recevoir l'accès, etc. Malheureusement, plusieurs produits ne s'occupent pas de la collecte de l'information nécessaire, ne contrôlent pas la situation et non dans l'état de protéger de façon certaine les données contre les changements.

Dans la revue de l'enregistrement doivent se refléter tous les événements, permettant d'établir le fait de l'attaque. En cas de besoin on doit présenter les preuves incontestables, capable de persuader les juges et les jurés de la culpabilité du malfaiteur.

Les concepteurs des systèmes de la sécurité doivent suivre les instructions de telles autorités, comme le général prussien Charles le fond de Klauzevitts affirmant que les bons moyens défensifs doivent refléter n'importe quels coups, même ceux-là, qui aujourd'hui encore de rien on ne sait pas.

Attaquant, au contraire, il suffit de trouver la brèche unique, et tout le système de la protection sera liquidé. Ils s'adressent aux plus diverses ruses. Les cambrioleurs ne dédaignent pas participer aux complots, masquent soigneusement les actions illégales et sont prêts à attendre pendant le temps assez de long l'apparition des moyens nécessaires. Dans leur arsenal il y aura toujours une idée, permettant de porter le coup inattendu pour les concepteurs.

Il n'y a rien plus facilement, que protéger l'information par la barrière instable instable avec les trous bâillant dans lui. Construire le système imperméable de la protection très difficilement. Malheureusement, plusieurs utilisateurs ne voient pas la différence. Dans d'autres domaines l'analyse des possibilités fonctionnelles permet sans effort de distinguer les produits de bonne qualité d'à la hâte systèmes construits. Les dignités bon кодека sont visibles à l'oeil nu, mauvais a l'air considérablement plus faiblement et ne soutient pas ces fonctions, qui sont accessibles à ses concurrents.

Dans la cryptographie tout autrement. Ce fait que les programmes шифрования travaillent, ne permet pas encore de dire sur la protection sûre. Comment il y a une plupart des produits ? Les concepteurs lisent Applied Cryptography, choisissent l'algorithme plu par lui et le procès-verbal, le testent, et voici déjà le projet est prêt. En fait tout non est simple ainsi.

Le fonctionnement et une haute qualité ne sont pas les synonymes, et même le test infini ne permet pas d'éliminer toutes les brèches dans le système de la protection. Il faut bien comprendre les finesses de la terminologie : même les produits possédant les moyens absolument sûrs шифрования, ne peuvent pas garantir souvent aux utilisateurs de la sécurité absolue.

Bruce Schneier, Cryptographic Design Vulnerabilities, IEEE Computer, September 1998, pp. 29-33. Reprinted with permission, Copyright IEEE CS. All rights reserved.

Brjus Shnajer - le président de la compagnie Counterpane Systems rendant les services de conseil sur les questions шифрования et les constructions des systèmes de la sécurité informatique. Il est l'auteur du livre "la cryptographie Appliquée" (Applied Cryptography, John Wiley et Sons, 1995) et l'inventeur de l'algorithme шифрования Blowfish and Twofish. Sur son bulletin gratuit des nouvelles toutes chaudes du domaine de la cryptographie on peut signer sur le Web-serveur www.counterpane.com/.

[1] P.Gutmann, "Software Generation of Random Numbers for Cryptographic Purposes", Proc. 1998 Usenic Security Symp., Usenix Assoc., Berkeley, Calif., 1998, pp. 243-257.
[2] J.Kelsey, B.Schneier, and D.Wagner, "Protocol Interactions and the Chosen Protocol Attack", Security Protocols, 5th Int'l Workshop, Springer-Verlag, New York, 1996, pp. 91-104.
[3] C.Hall et al., "Side-Channel Cryptanalysis of Product Ciphers", Proc. ESORISC 98, Springer-Verlag, New York, 1998.
[4] H.Abelson et al., "The Riscs of Key Recovery, Key Escrow and Trusted Third-Party Encryption", World Wide Web J., No. 3, 1997, pp. 241-257.
[5] R.Anderson and M.Kuhn, "Tamper Resistance : A Cautionary Note", Proc. Second Usenix Workshop Electronic Commerce, Usenix Assoc., Berkeley, Calif., 1996, pp. 1-11.
[6] J.McCormac, European Scrambling Systems, Baylin Publications, Boulder, Colo., 1997.
[7] P.Kocher, "Timing Attacks on Implementations of Diffie-Hellman, RSA, DDS and Other Systems", Proc. Crypto 96, Springer-Verlag, New York, 1996, pp. 104-113.
[8] R.Anderson, "Why Cryptosystems Fail", Comm. ACM, Nov. 1994, pp. 32-40.
[9] I.Winkler Corporate Espionage, Prima Publishing, Placer County, Calif., 1997.
[10] M.Blaze et al., "Minimal Key Lengths for Symmetric Ciphers to Provide Adequate Commercial Security", Oct. 1996

Jusqu'à ce que vous n'entrerez pas dans l'infrastructure globale des systèmes шифрования avec la clé ouverte (GPKI, global public key infrastructure), ne vous trouveront pas comme le membre à part entière de la communauté globale électronique.

Les clés ouvertes et confidentielles

Dans les algorithmes шифрования avec la clé ouverte on utilise deux variétés des clés - ouvert et confidentiel. Entre eux il y a une dépendance définie mathématique s'exprimant dans ce que le message chiffré par une clé, peut être décodé seulement en présence de l'autre. Définir la signification d'une clé, en connaissant l'autre, il est extrêmement difficile (mais parfois et il est simplement impossible).

Les clés ouvertes sont souvent chiffrant. Pour expédier au Jack le message (à condition que le lire pourra seulement le Jack), Dzhill doit avoir à portée de la main la clé ouverte du Jack. Ayant reçu le message, le Jack peut le déchiffrer à l'aide de la clé confidentielle. À son tour le Jack, en expédiant le message électronique, le chiffre avec l'aide de la clé ouverte de Dzhill, mais Dzhill décode l'information entrant par la clé confidentielle.

Ainsi, шифрование avec la clé ouverte garantit la confidentialité.

Les digests

Pour que le destinataire puisse se persuader de l'authenticité du message reçu, l'expéditeur met sur lui la signature électronique. D'abord l'utilisateur à l'aide de l'hesh-fonction mathématique reçoit l'empreinte (digest) unique du message. Après шифрования du digest par la clé confidentielle il y a une signature, qui part avec le message. Le destinataire décode le message et restaure le digest avec l'aide de la même hesh-fonction. Le décodage de la signature par la clé ouverte de l'expéditeur aide à reconstituer une ancienne image du digest. Si les digests coïncident, le destinataire peut être assuré de ce que le message était expédié en effet par cette personne, qui a mis sur lui la signature électronique, et ne subissait pas à la voie aucuns changements.

Ainsi, la technologie шифрования avec la clé ouverte assure l'intégrité et l'exactitude de l'information. En outre par la suite l'expéditeur ne pourra pas nier déjà le fait de l'envoi du message donné.

Les certificats des clés ouvertes

Le certificat de la clé ouverte est le document en chiffre permettant absolument identifier l'utilisateur avec la clé ouverte. Les certificats sont destinés, pour certifier l'authenticité des documents en chiffre et garantir la livraison du message seulement à ces gens, à qui il est adressé. Comme les signatures en chiffre, les certificats sont utilisées à titre du code original personnel.

De la distribution des certificats s'occupent les services spéciaux autorisés CA (certification authority), une sorte de clubs selon les intérêts. Ils définissent indépendamment, qui il faut accepter dans le nombre des membres, mais qui est absent. Un tel service peut être et l'organisation gouvernementale, qui donne les certificats aux utilisateurs et accorde simultanément au gouvernement l'information comment il faut interpréter n'importe quel certificat.

Le groupe des intérêts

Le groupe des intérêts (community of interests, COI) est une certaine ressemblance du club. Vous pouvez ou entrer dans le nombre des membres de ce club, ou est absent. À la différence des États les frontières géopolitiques sont inconnues aux groupes des intérêts. En disant plus exactement, pour eux il n'y a pas aucunes frontières constantes.

Par exemple, les lecteurs de la revue est COI. Si la revue publie les documents à Internet seulement pour le groupe limité des lecteurs, il représente aussi COI.

Bientôt après l'apparition de la technologie des certificats il est devenu clair, quelle grande signification acquiert l'organisation de la coopération entre de divers services CA. Le groupe des intérêts décide, si se trouve reconnaître les certificats, qui étaient produits par le service CA, soumettant l'autre COI. Chaque groupe COI interprète les certificats étrangers ainsi qu'elle veut. Les certificats des autres groupes peuvent être assimilés vers personnel, mais peuvent être limités dans les droits. Pour chaque groupe COI et le service CA s'établit le niveau des restrictions.

Les utilisateurs inconnus

Même si le groupe COI ne voyait jamais avant n'importe quel utilisateur, elle peut lui accorder l'accès demandé à la base de la signature du certificat. Le groupe des intérêts totaux communique à l'inconnu environ le suivant : "je de rien ne vous sais pas personnellement, par contre je connais bien votre service CA et je lui crois. Ce niveau de la confiance me permet de vous accorder l'accès à l'information nécessaire".

Que se passera, si quelque possesseur du certificat donné au groupe inconnu des intérêts totaux par le service CA, s'approchera des frontières COI ? Chez COI il y a quelques variantes des actions. On peut simplement interdire l'accès et sévèrement prévenir : "se Trouve, la zone défendue! Nous n'avons pas d'information ni sur vous, ni sur ce garçon, qui a signé ce certificat".

Mais on peut entrer et autrement. Dans ce cas le service de sécurité COI tentera d'identifier l'utilisateur. Un des moyens consiste en recherche de l'infrastructure GPKI et la définition, sous quelles relations donné CA se trouve avec le service CA, qui est connu au groupe COI. Par exemple, si l'inconnue CA fait partie du service CA, l'information sur lequel se trouve dans le groupe des intérêts totaux, chez COI il y a des raisons suffisantes pour croire au certificat présenté.

D'une autre manière les adressages est la réflexion de la hiérarchie cachée des services CA aux frais de la disposition des signatures des certificats des utilisateurs en ordre défini. À l'entrée sur le territoire COI de la signature des certificats sont contrôlés successivement, jusqu'à ce que le groupe COI ne découvrira pas la signature du service connu à elle CA.

Le statut du certificat et d'autres attributs

À l'exécution de certains транзакций on ne peut pas se limiter à la comparaison de la signature accordée par le service CA. Avant l'octroi de l'accès à d'importantes données il est nécessaire en supplément de contrôler l'authenticité du certificat directement par temps транзакции. Pour la décision de cette tâche on introduit de divers mécanismes de la définition du statut du certificat.

Un vieux moyen le plus consiste en conduite de la liste des certificats annulés (certificate revocation list, CRL), qui est soutenu par le service CA pour tous les documents en chiffre donnés par elle. Les certificats donnés CA, sont considérés authentiques jusqu'à ce qu'ils ne se trouveront pas dans la liste CRL. L'approche donnée est analogue au moyen de l'exécution транзакций, qui était appliqué quelques dizaines des années il y a dans les cartes de crédit. Les mêmes manques lui étaient inhérents.

Une plus nouvelle méthode (son standard se trouve à présent en cours de développement) est fondée sur l'utilisation du service des catalogues de réseau, qui accorde l'information sur le statut du certificat en régime du temps réel à l'aide du procès-verbal du statut du certificat OCSP (online certificate status protocol). Dans ce cas les certificats donnés par le service CA, sont considérés non valables jusqu'à ce que l'information sur leur statut ne sera pas choisie du catalogue soutenu CA. Un des avantages du modèle OCSP est que l'information accordée peut être élargi aux frais de l'insertion des autres attributs d'utilisateur (par exemple, les numéros de la carte de crédit ou домаш les adresses).