Хэрэглэгчийн яриа:Б.Саруул

Криптографын хамгаалалт[кодоор засварлах]

Криптограф гэдэг нь мэдээллийн агуулгыг нуух, үнэн зөв байдлыг бий болгох, илрээгүй өөрчлөлт, цуцлалт болон зөвшөөрөлгүй хэрэглээнээс сэргийлэх зорилгоор өгөгдлийг хувиргах зарчим, арга хэрэгслийг багтаасан шинжлэх ухааны салбар юм. Энэ нь технологи ашиглан мэдээлэл холбооны системийн өгөгдлийн аюулгүй байдлыг хангах арга юм. Криптограф нь санхүүгийн эсвэл хувийн гэх мэт нууцлал шаардсан өгөгдлийг хадгалах болон дамжуулах үед өгөгдлийн нууцлалыг хамгаалахад ашиглагддаг. Мөн криптограф нь өгөгдөлд өөрчлөлт орсон эсэх болон илгээсэн хүн эсвэл төхөөрөмжийг илрүүлэх зэргээр өгөгдлийн бүрэн бүтэн байдлыг шалгахад ашиглагддаг. Эдгээр арга техникүүд нь үндэсний болоод дэлхийн мэдээлэл холбооны сүлжээ ба технологийн хөгжил ба ашиглалт, цаашлаад электрон худалдааны хөгжилд чухал ач холбогдолтой юм.Орчин үеийн криптограф нь дараах дөрвөн хүчин зүйлийг өөртөө хамааруулдаг: Нууцлал, Интеграци, Тасралтгүй байдал,Аудинтификаци. Процедур ба протоколууд нь дээрх хүчин зүйлийг бүхэлд нь эсвэл заримыг нь агуулсан байх ба ийм системийг крипто-систем гэнэ. Крипто-системүүд нь зөвхөн математикийн процедур ба програм хангамжаар хязгаарлагдахгүй, мөн хүний баримтлах ёс зүй, дүрмийг хамруулна. Тухайлбал таахад хэцүү нууц үг өгөх, ашиглагдаагүй системүүдээс гарах, эмзэг процедурын талаар ил хэлэлцэхгүй байх зэрэг багтана.Криптографд энкриптлэх гэсэн үндсэн ойлголт байдаг. Энэ нь мэдээллийн эх буюу энгийн текстийг энкриптэлсэн текст рүү хөрвүүлэх процесс юм. Энкриптэлсэн тесктийг буцааж эх рүү нь хөрвүүлэх процессийг декриптлэх гэнэ. Энкриптлэх, декриптлэхэд крипто-алгоритмуудыг ашиглах ба эдгээр алгоритмууд нь тусгай түлхүүрээр удирдагддаг. Энэхүү нууц түлхүүр нь тухайн мэдээллийг хөрвүүлэхэд хамгийн чухал үүрэгтэй тул хувьсах түлхүүр үггүйгээр энкриптлэх нь нууцлах мөн чанараа алдахад хүргэнэ. Байгууллага дундын эмзэг мэдээллүүдийг хадгалах нь төрийн байгууллагуудын нэг үүрэг юм. Өндөр эрсдэлтэй эсвэл эмзэг өгөгдөл ба хувь хүний тухай мэдээлийг зөөврийн төхөөрөмжөө алга болгох, хулгайд алдах зэрэг зөвшөөрөгдөөгүй илчилснээс аюулгүй байдлыг алдагдуулж, төрийг ноцтой хариуцлагад хүргэдэг. Эдгээр үйл явдлууд нь төрийн мэдээллийн нууцлал, интергаци, боломжийг ганхуулж, олон нийтийн төрд итгэх итгэл, иргэдэд үзүүлэх үйлчилгээний боломжийг бууруулдаг. Иргэдэд энэ төрлийн үйлчилгээ үзүүлэх нь өөрөө нэлээд нийлмэл шинж чанартай болж байна. Мэдээллийн системүүд нь хамгаалалттай ба хамгаалалтгүй гэсэн хоёр тусдаа физик орчныг бүрдүүлснээр итгэлтэй болон итгэлгүй сүлжээнүүдийг хамарч байна. Нууц үг ашиглах, хэрэглээг хязгаарлах зэрэг бодлогын хэмжүүрүүд, түлхүүрэн карт бүхий хаалга, далд шугамнууд зэрэг физик хэмжүүрүүд, хулгай ба дундаас чагнахыг хууль дүрмээр хориглох зэргээр өнөөгийн аюулын эсрэг хязгаарлагдмал түвшинд хамгаалалт хийж байна. Математик ба бие даасан баталгаануудад тулгуурласан орчин үеийн криптографийн аргууд 4 нь аюулгүй байдлын баталгааг нэмэгдүүлэх, эмзэг эсвэл өндөр зэрэглэлтэй өгөгдөл эсвэл хадгалах болон дамжуулалтын явцад зөвшөөрөлгүй нээгдэх эсвэл өөрчлөгдөхөөс хамгаалах зэрэгт чухал үүрэгтэй. Монгол улс мэдээллийн аюулгүй байдалд ач холбогдол өгч MNS ISO/IEC 17799: 2007 Мэдээллийн аюулгүй байдлын бодлогын стандартыг гаргасан бөгөөд бөгөөд энэхүү стандартад криптографийн үндсэн ойлголт, шаардлагууд ба криптографийн хэрэгжүүлэлтийн удирдамжийг тусгаж өгсөн. Харин уг стандартаар түлхүүрийн удирдлага, өгөгдлийн энкриптлэлт, аудинтификаци зэрэг нь ямар крипто алгоритм, протокол, механизмуудаар хийгдэх тухай заагаагүй болно. Иймээс энэхүү стандарт нь MNS ISO/IEC 17770-2007-ын дэд стандарт бөгөөд Монгол улсын төрийн байгууллагуудын хүрээнд мэдээллийн аюулгүй байдлыг криптографийг ашиглан гүйцэтгэх удирдамжаар хангана. Энэхүү баримт нь мэдээллийн криптограф хамгаалалтын стандартыг агуулна.

1. Нэр томъёо, тодорхойлолт

Ассиметрик түлхүүрийн алгоритм (Asymmetric Key Cipher )–Хувийн ба нийтийн гэсэн хоорондоо холбоотой хоёр түлхүүр ашигладаг криптограф алгоритм. Нийтийн түлхүүрээс хувийн түлхүүрийг тооцоолж гаргаж ирэх нь боломжгүй байдаг. Aюулгүй байдлын Амьдралын хугацаа (Security Lifetime )– Тодорхой криптограф алгоритмаар хамгаалагдсан өгөгдлийн аюулгүй байх хугацаа. Аюулгүй байдлын Үйлчилгээ (Security Service )– Мэдээллийн найдвартай байдал, бүрэн бүтэн байдал, аудинтификаци, эрх эсвэл тасралтгүй байдлаар хангахад ашиглагддаг криптограф механизм. Аюүлгүй байдлын үйлчилгээ нь криптограф материалыг хамгаалахад ашиглагддаг. Аюулгүй байдлын Тэсвэр (Security Strength ) – Криптограф алгоритм ба системийг тайлахад шаардлагатай ажлын хэмжээг илэрхийлсэн “тоо”. Энэ стандартад аюулгүй байдлын тэсвэр нь 128-бит эсвэл 160-бит зэрэг “битүүдээр” илэрхийлэгдсэн. Криптограф Модулийг Баталгаажуулах Програм-КМБП (Cryptographic Module Validation Program-CMVP) - нь NIST ба Канадын Харилцаа Холбооны Аюулгүй байдлын Газар)-ын оролцоотойгоор 1995 оны 7 сард байгуулагдсан. КМБП-ийн бүх криптограф модулиудын шалгалт нь 13 магадлан итгэмжлэгдсэн лабораториудын нэгээр хийгддэг. КМБП Урьдчилсан баталгаажуулалтын жагсаалт (CMVP Pre-validation List)- Энэ жагсаалтад FIPS PUB 140-2-ийн баталгаажуулах шатанд байгаа криптограф модуль ба үйлдвэрлэгчийн нэрс багтдаг. Криптограф алгоритм (Cryptographic Algorithm )- Криптограф түлхүүр зэрэг хувирах оролтыг аван аюулгүй байдлын функцийг бий болгодог тооцоолох процесс юм. Хэш функц симметрик ба ассиметрик түлхүүрийн шифрлэлт гэсэн гурван төрлийн криптограф алгоритмууд байдаг. Эдгээр нь алгоритмд ашигладаг криптограф түлхүүрүүдийн тоогоор (0, 1, 2) тодорхойлогддог. Криптограф модуль (Cryptographic Module )– Хоёр буюу түүнээс дээш криптограф алгоритм ашиглан аюулгүй байдлын үйлчилгээг үзүүлж буй техник хангамж, програм хангамж ба/эсвэл фирмвэйрийн нэгдэл юм. Криптограф түлхүүр (Cryptographic Key ) - Криптограф алгоритмд ашиглагддаг параметр. Түлхүүртэй этгээд нь криптограф үйлдлүүдийг гүйцэтгэх чадвартай бөгөөд криптограф түлхүүр нь дараах функцуудад ашиглагдана: 1. Ил текст мэдээллээс шифрэн текст өгөгдөл рүү хувиргах 2. Шифрэн текст мэддэллээс ил текст өгөгдөл рүү хувиргах 3. Өгөгдлөөс тоон гарын үсгийг тооцоолж гаргах 4. Тоон гарын үсгийг шалгах 5. Өгөгдлөөс аудинтификацийн кодыг тооцоолж гаргах

6. Өгөгдлөөс гарсан аудинтификацийн код ба хүлээн авсан аудинтификацийн кодыг шалгах

7. Түлхүүрийн материал гаргахад ашиглагдах дундын түлхүүрийг тооцоолох Криптограф тэсвэртэй (Cryptographically Strong ) – Аюулгүй байдлын функцийн чанарын үзүүлэлтийг үзүүлэх буюу бусад аргуудтай харьцуулахад халдлагын эсрэг илүү тэсвэртэй гэсэн Мессажийн Аудинтификаци Код (Message Authentication Code )– Өгөгдлийн санаатай ба санаандгүй өөрчлөлтийг симметрик түлхүүр ашиглан илрүүлдэг криптограф нийлбэрийг шалгах код юм. Симметрик Түлхүүрийн Шифрлэлт (Symmetric Key Cipher )–Нэг түлхүүрийг ашиглан өгөгдлийг энкриптэлдэг криптограф алгоритм. Өгөгдлийг энкриптлэх ба декриптлэх хоёр талууд ашиглах шифлэлтийн түлхүүрээ урьдчилсан тохирдог. Симметрик түлхүүрийн шифрлэлт нь ассиметрик түлхүүрийн шифрлэлтээс хурдан байдаг. Харин түлхүүрийг солилцох шаардлагатай байдаг учир эмзэг байдлын түвшин өндөр байна. Хэш алгоритм (Hash Algorithm )– Дурын битийн уртыг тогтмол битийн ут болгон гаргадаг функц. Аюулгүй хэш функцууд нь ямар нэг оролтоос тодорхой нэг гаралтыг тооцоолох халдлагад тэсвэртэй байдаг. Шифр (Cipher) - Өгөгдлийг энкрипт ба декрипт хийхэд ашигладаг криптограф алгоритм. NIST (National Institute of Science and Technology) - нь мэдээллийн аюулгүй байдал ба бусад салбар дахь технологи, арга, ба үндэсний стандартуудыг боловсруулан баталдаг АНУ-ын Холбоо Харилцааны Яамны харъяа агентлаг юм.

2. Криптограф Модулиуд ба Алгоритмууд

2.1 Зөвшөөрөгдсөн Криптограф Модулиуд 2.1.1 Баталгаажсан Криптограф Модулиуд NIST FIPS 140-2-д тодорхойлсон Криптограф Модулийг Баталгаажуулах Програм (КМБП)-аар эсвэл засгийн газрын эрх бүхий байгууллага (ТЕГ)-аар баталгаажуулагдсан аюулгүй байдлын үйлчилгээнүүдийг агуулсан криптограф модулиудыг энэхүү стандартаар ашиглахыг зөвшөөрнө. Криптограф модулийн баталгаажилт нь NIST эсвэл засгийн газрын эрх бүхий байгууллага (ТЕГ)-аас олгосон гэрчилгээний дугаараар нотлогдох ёстой. 2.1.2 КМБП-ын урьдчилсан баталгаажуулалтын жагсаалт КМБП-ын урьдчилсан баталгаажуулалтын жагсаалтад байгаа криптограф модулиудыг байгууллага ба мужийн бодлого, дүрэм журмаар хязгаарлах эсвэл хориглоогүй нөхцөлд энэхүү стандартаар ашиглахыг зөвшөөрнө. Тухайн модулийг тестлэхээр өгснөөр уг модулийг баталгаажсан эсэхийг нотлохгүй тул аюулгүй байдлын эрсдэлтэй байж болно. Иймээс байгууллага нь баталгаажигдаагүй модулийг хэрэглэхдээ анхааралтай хандах хэрэгтэй. Хэрэв ийм криптограф модулийг хэрэглэх явцад уг модуль нь гэрчилгээ авч чадалгүйгээр урьдчилсан баталгаажуулалтын жагсаалтаас хасагдвал тухайн модулийг ашиглахаа даруй зогсоох ёстой. 2.2 Зөвшөөрөгдсөн Криптограф Алгоритмууд Криптографийн өндөр тэсвэртэй алгоритмын тодорхойлолтод түүний нэр, албан ёсны танилцуулгын лавлах ба тухайн аюулгүй байдлын амьдралын хугацаанд хүрэх алгоритмын аюулгүй байдлын тэсвэрийг багтаана. 2.2.1 Өгөгдлийг энкриптлэхэд нэг түлхүүрийн криптографийг ашиглах Дундын нууц түлхүүрийг ашиглан нэг түлхүүрийн арга Тэмдэглэл: 192-бит ба 256-битийн түлхүүр бүхий AES алгоритм нь энэ хүснэгтийн аюулгүй байдлын хугацааны хязгаар хүртэл аюулгүй байдлын хамгийн өндөр тэсвэртэйд тооцогдоно. 2.2.2 Тоон гарын үсэгт нийтийн түлхүүрийн аргыг ашиглах Криптограф модулиуд нь нийтийн түлхүүрийн арга (заримдаа нийтийн түлхүүрийн энкрипшн гэнэ)-ыг ашиглах Тэмдэглэл: Энэхүү стандартын хүрээнд зөвхөн дараах RSA алгоритмуудыг хүлээн зөвшөөрнө. Үүнд: - “RSA Гарын үсгийн Схем (хавсралттай) – Нийтийн Түлхүүрийн Криптографийн Стандартууд #1, Хувилбар 1.5 (PKCS1-v1-5)” - “RSA Гарын үсгийн Схем (хавсралттай) – Нийтийн Түлхүүрийн Криптографийн Стандартын Магадлалтай Гарын үсгийн Схем (PSS)” 2.2.3 Мессажийн Аудинтификаци Мессажийн Аудинтификацийн Код (MAC)-ын алгоритмууд нь өгөгдлийн аудинтификаци болон бүрэн бүтэн байдлын хувьд аюулгүй байдлын үйлчилгээг үзүүлэхэд ашиглагддаг. Эдгээр нь мэдээллийг хоёр чиглэлд харилцан солилцоход мэдээллийн жинхэнэ эх болоод дамжуулагдсаны дараа мэдээлэлд өөрчлөлт ороогүй эсэхийг тодорхойлоход ашиглагддаг. МAC-ын алгоримтууд нь NIST SP 800-38B, “Блок Шифрийн Горимуудын тухай Зөвлөмж: Аудинтификацид CMAC Горимыг ашиглах нь Тэмдэглэл: 192-бит ба 256-битийн түлхүүр бүхий AES алгоритм нь энэ хүснэгтийн аюулгүй байдлын хугацааны хязгаар хүртэл аюулгүй байдлын хамгийн өндөр тэсвэртэйд тооцогдоно.

2.2.4 Аюулгүй Хэш Алгоритм Аюулгүй хэш алгоритм нь хэш түлхүүр бүхий мэссажийн аудинтификаци, тоон гарын үсгийн алгоритмууд, түлхүүр үүсгэх функцууд ба санамсаргүй тоон генераторыг хэрэгжүүлэхэд ашиглагдаж болно. Аюулгүй хэш алгоритмыг ашиглах криптограф Тэмдэглэл: 1. SHA-n гэдэг тэмдэглэгээ нь хэш функцийн үр дүнд n-битийн утга гарна гэдгийг илэрхийлнэ. Харин SHA-1-ийн хувьд NIST FIPS PUB 180-1-д анх тодорхойлсны дагуу 160-битийн утга гаргана. 2. SHA-1 нь аюулгүй байдлын тэсвэрээр хангалтгүйд тооцогдох болсон тул ашиглахыг зөвлөхгүй. 3. Энэхүү стандартын хүрээнд аюулгүй байдлын амьдралын хугацааы турш SHA-384 ба SHA-512 алгоритмууд нь аюулгүй байдлын тэсвэр хамгийн өндөрт байна. 2.3 Криптограф Түлхүүрийн Аюулгүй Байдал Аюулгүй байдлын үйлчилгээгээр криптограф түлхүүр үүсгэх ба удирдлагыг хэрэгжүүлэх бүх нөхцлүүдийг заасан баримт бичгүүдийг нууцлах ёстой. Энэхүү баримт бичиг нь байгууллагыг элдэв халдлага, хор хөнөөлтэй ажиллагааны эсрэг аюулгүй байдлыг хангах, хамгаалахад ашиглагдах мэдээллийг агуулах ба хүчтэй криптографийн аргуудыг ашиглан зөв зохистой хамгаалагдсан байх ёстой. 2.4 Стандартыг шинэчлэх, сайжруулах Криптографийн судалгаа, аюулгүй байдлын зөрчил, эмзэг байдал үүссэн нөхцөл, өгөгдлийг хамгаалах болон хувийн нууцтай холбогдох улсын болон холбогдох стандарт, баримт бичгийн өөрчлөлт зэргээс үүдэн уг стандартыг цаашид сайжруулж, хөгжүүлэх ажлыг засгийн газраас зөвшөөрдсөн эрх бүхий байгууллага (ТЕГ)-аас гүйцэтгэх болно. Энэхүү стандартын хэрэглээнд аюулгүй байдлыг бууруулахуйц математикийн сул тал эсвэл боломжит аюул заналыг олж илрүүлбэл дээрх байгууллагад тэр даруй мэдээлнэ. Энэ стандартад тодорхойлсон криптограф алгоритмуудад ямар нэгэн технологийн дутагдалтай тал илэрсэн нөхцөлд уг стандартыг дахин хянаж үзэх, шаардлагатай нөхцөлд шинэчлэн сайжруулалт хийх шаардлага бий болно.