Открыть сервис

Имитовставка

Имитовставка — это блок данных фиксированного размера, вырабатываемый по определённому алгоритму из исходного сообщения и секретного ключа и добавляемый к этому сообщению для обеспечения его целостности и подлинности (аутентификации). В отличие от электронной подписи, имитовставка не требует использования асимметричных криптографических алгоритмов и, как правило, применяется в симметричных системах шифрования для защиты от навязывания ложных данных.

История и происхождение

Понятие имитовставки возникло в рамках советской и российской криптографической школы. В западной терминологии ему наиболее близко соответствует понятие код аутентификации сообщения (Message Authentication Code, MAC). Разработка теории имитовставки была связана с необходимостью защиты систем передачи данных от активных атак, при которых злоумышленник может не только перехватывать, но и модифицировать или подменять передаваемые сообщения.

Первые практические реализации имитовставок появились в середине XX века вместе с развитием компьютерных сетей и систем управления. В СССР стандартизация алгоритмов выработки имитовставки была проведена в рамках государственных стандартов шифрования, в частности, в ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования», где имитовставка определялась как один из режимов работы блочного шифра.

Принцип работы

Имитовставка вычисляется на основе всего сообщения (или его части) и секретного ключа, известного отправителю и получателю. Алгоритм её выработки устроен таким образом, что:

  1. Детерминированность: при одном и том же сообщении и ключе имитовставка всегда одинакова.
  2. Чувствительность к изменениям: любое изменение сообщения (даже одного бита) с высокой вероятностью приводит к полному изменению имитовставки.
  3. Однонаправленность: зная сообщение и имитовставку, практически невозможно восстановить ключ или вычислить имитовставку для другого сообщения без знания ключа.

Получатель, получив сообщение и приложенную к нему имитовставку, самостоятельно вычисляет имитовставку по тому же алгоритму и сравнивает её с полученной. Если значения совпадают, сообщение считается подлинным и не модифицированным. Если не совпадают — сообщение отвергается.

Классификация имитовставок

По способу вычисления

  1. На основе блочных шифров — наиболее распространённый тип. Имитовставка вырабатывается путём шифрования блоков сообщения в одном из режимов (например, CBC-MAC, CMAC, OMAC). В российской практике используется режим выработки имитовставки, описанный в ГОСТ 28147-89 и его преемниках (ГОСТ Р 34.13-2015, ГОСТ Р 34.12-2015).
  2. На основе хеш-функций — так называемые HMAC (Hash-based Message Authentication Code). Вычисляются путём хеширования сообщения с ключом по специальной схеме (RFC 2104). Примеры: HMAC-SHA256, HMAC-GOST R 34.11-2012 («Стрибог»).
  3. На основе потоковых шифров — реже встречающийся тип, где имитовставка вырабатывается с использованием гаммы шифра.

По длине

Длина имитовставки может варьироваться в зависимости от алгоритма и требований безопасности. В российских стандартах типичная длина составляет 32 или 64 бита (для ГОСТ 28147-89) и до 256 бит (для современных алгоритмов). Чем длиннее имитовставка, тем выше уровень защиты от подбора, но больше накладные расходы на передачу.

Применение

Имитовставка используется в различных областях, где требуется обеспечить целостность и аутентичность данных при передаче по открытым каналам связи:

  • Банковские системы — защита платёжных поручений, межбанковских сообщений (например, в системах SWIFT, АРМ КБР).
  • Криптографические протоколыаутентификация сообщений в протоколах TLS, IPsec, SSH.
  • Системы управления и телеметрии — защита команд управления от подмены в промышленных сетях, системах «умный дом», АСУ ТП.
  • Файловые системы и архивы — проверка целостности зашифрованных данных, хранящихся на носителе.
  • Электронный документооборот — подтверждение подлинности документов, защищённых симметричным шифрованием.

Отличие от электронной подписи

Имитовставка и электронная подпись (ЭП) решают схожие задачи, но имеют принципиальные различия:

ХарактеристикаИмитовставкаЭлектронная подпись
КлючиСимметричные (один секретный ключ у отправителя и получателя)Асимметричные (закрытый ключ у отправителя, открытый — у всех)
Свойство неотказуемостиОтсутствует (получатель может подделать сообщение, так как знает ключ)Присутствует (только владелец закрытого ключа мог создать подпись)
Скорость вычисленияВысокаяОтносительно низкая
Сфера примененияЗакрытые системы, где отправитель и получатель доверяют друг другуОткрытые системы, публичные сети, юридически значимый документооборот

Таким образом, имитовставка эффективна в ситуациях, где обе стороны заранее обменялись секретным ключом и доверяют друг другу, но требуется защита от внешнего злоумышленника. Электронная подпись необходима, когда требуется доказать авторство перед третьей стороной.

Стандартизация в России

В Российской Федерации алгоритмы выработки имитовставки регламентируются следующими стандартами:

  • ГОСТ 28147-89 — определяет режим выработки имитовставки (32 или 64 бита) на основе блочного шифра «Магма».
  • ГОСТ Р 34.13-2015 — «Режимы работы блочных шифров», включает режим имитовставки (IMIT) для алгоритмов «Магма» и «Кузнечик».
  • ГОСТ Р 34.12-2015 — описывает сами блочные шифры «Магма» (64-битный блок) и «Кузнечик» (128-битный блок).
  • ГОСТ Р 34.11-2012 — «Функция хеширования», на основе которой может строиться HMAC (ГОСТ Р 34.11-2012 HMAC).

Эти стандарты обязательны для применения в государственных информационных системах и системах, обрабатывающих информацию ограниченного доступа.

Криптостойкость и атаки

Безопасность имитовставки определяется длиной ключа, длиной самой имитовставки и стойкостью используемого алгоритма. Основные виды атак:

  • Атака подбора ключа — полный перебор всех возможных ключей. Предотвращается достаточной длиной ключа (не менее 128 бит для современных систем).
  • Атака подбора имитовставки — злоумышленник пытается угадать правильную имитовставку для поддельного сообщения. Вероятность успеха составляет 1/2^n, где n — длина имитовставки в битах. Для n=32 вероятность равна 1/4 294 967 296, что считается приемлемым для многих приложений, но для критичных систем рекомендуется n≥64.
  • Атака на основе известных пар «сообщение — имитовставка» — злоумышленник собирает статистику, пытаясь выявить закономерности. Современные алгоритмы (CMAC, HMAC) устойчивы к таким атакам при правильном использовании.
  • Атака удлинения (length extension attack) — характерна для некоторых хеш-функций (MD5, SHA-1, SHA-2), но не для HMAC, так как схема HMAC предотвращает этот тип атаки.

Интересные факты

  • В ранних версиях ГОСТ 28147-89 длина имитовставки составляла 32 бита, что при высокой скорости передачи данных (например, в спутниковой связи) приводило к конечной, но не нулевой вероятности успешной подмены блока. Впоследствии стандарт был дополнен возможностью использования 64-битной имитовставки.
  • В некоторых системах имитовставка может вырабатываться не на всё сообщение, а только на его критически важную часть (например, на поле суммы или идентификатор), что ускоряет вычисления, но снижает уровень защиты.
  • Понятие «имитовставка» в российской криптографии часто используется как синоним «кода аутентификации сообщения» (MAC), однако в строгом смысле имитовставка — это частный случай MAC, реализованный на основе блочного шифра в режиме сцепления блоков.

Источники

  • ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования».
  • ГОСТ Р 34.13-2015 «Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров».
  • ГОСТ Р 34.12-2015 «Информационная технология. Криптографическая защита информации. Блочные шифры».
  • ГОСТ Р 34.11-2012 «Информационная технология. Криптографическая защита информации. Функция хеширования».
  • RFC 2104 «HMAC: Keyed-Hashing for Message Authentication».
  • Шнайер Б. «Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си».

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →