Имитовставка
Имитовставка — это блок данных фиксированного размера, вырабатываемый по определённому алгоритму из исходного сообщения и секретного ключа и добавляемый к этому сообщению для обеспечения его целостности и подлинности (аутентификации). В отличие от электронной подписи, имитовставка не требует использования асимметричных криптографических алгоритмов и, как правило, применяется в симметричных системах шифрования для защиты от навязывания ложных данных.
История и происхождение
Понятие имитовставки возникло в рамках советской и российской криптографической школы. В западной терминологии ему наиболее близко соответствует понятие код аутентификации сообщения (Message Authentication Code, MAC). Разработка теории имитовставки была связана с необходимостью защиты систем передачи данных от активных атак, при которых злоумышленник может не только перехватывать, но и модифицировать или подменять передаваемые сообщения.
Первые практические реализации имитовставок появились в середине XX века вместе с развитием компьютерных сетей и систем управления. В СССР стандартизация алгоритмов выработки имитовставки была проведена в рамках государственных стандартов шифрования, в частности, в ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования», где имитовставка определялась как один из режимов работы блочного шифра.
Принцип работы
Имитовставка вычисляется на основе всего сообщения (или его части) и секретного ключа, известного отправителю и получателю. Алгоритм её выработки устроен таким образом, что:
- Детерминированность: при одном и том же сообщении и ключе имитовставка всегда одинакова.
- Чувствительность к изменениям: любое изменение сообщения (даже одного бита) с высокой вероятностью приводит к полному изменению имитовставки.
- Однонаправленность: зная сообщение и имитовставку, практически невозможно восстановить ключ или вычислить имитовставку для другого сообщения без знания ключа.
Получатель, получив сообщение и приложенную к нему имитовставку, самостоятельно вычисляет имитовставку по тому же алгоритму и сравнивает её с полученной. Если значения совпадают, сообщение считается подлинным и не модифицированным. Если не совпадают — сообщение отвергается.
Классификация имитовставок
По способу вычисления
- На основе блочных шифров — наиболее распространённый тип. Имитовставка вырабатывается путём шифрования блоков сообщения в одном из режимов (например, CBC-MAC, CMAC, OMAC). В российской практике используется режим выработки имитовставки, описанный в ГОСТ 28147-89 и его преемниках (ГОСТ Р 34.13-2015, ГОСТ Р 34.12-2015).
- На основе хеш-функций — так называемые HMAC (Hash-based Message Authentication Code). Вычисляются путём хеширования сообщения с ключом по специальной схеме (RFC 2104). Примеры: HMAC-SHA256, HMAC-GOST R 34.11-2012 («Стрибог»).
- На основе потоковых шифров — реже встречающийся тип, где имитовставка вырабатывается с использованием гаммы шифра.
По длине
Длина имитовставки может варьироваться в зависимости от алгоритма и требований безопасности. В российских стандартах типичная длина составляет 32 или 64 бита (для ГОСТ 28147-89) и до 256 бит (для современных алгоритмов). Чем длиннее имитовставка, тем выше уровень защиты от подбора, но больше накладные расходы на передачу.
Применение
Имитовставка используется в различных областях, где требуется обеспечить целостность и аутентичность данных при передаче по открытым каналам связи:
- Банковские системы — защита платёжных поручений, межбанковских сообщений (например, в системах SWIFT, АРМ КБР).
- Криптографические протоколы — аутентификация сообщений в протоколах TLS, IPsec, SSH.
- Системы управления и телеметрии — защита команд управления от подмены в промышленных сетях, системах «умный дом», АСУ ТП.
- Файловые системы и архивы — проверка целостности зашифрованных данных, хранящихся на носителе.
- Электронный документооборот — подтверждение подлинности документов, защищённых симметричным шифрованием.
Отличие от электронной подписи
Имитовставка и электронная подпись (ЭП) решают схожие задачи, но имеют принципиальные различия:
| Характеристика | Имитовставка | Электронная подпись |
|---|---|---|
| Ключи | Симметричные (один секретный ключ у отправителя и получателя) | Асимметричные (закрытый ключ у отправителя, открытый — у всех) |
| Свойство неотказуемости | Отсутствует (получатель может подделать сообщение, так как знает ключ) | Присутствует (только владелец закрытого ключа мог создать подпись) |
| Скорость вычисления | Высокая | Относительно низкая |
| Сфера применения | Закрытые системы, где отправитель и получатель доверяют друг другу | Открытые системы, публичные сети, юридически значимый документооборот |
Таким образом, имитовставка эффективна в ситуациях, где обе стороны заранее обменялись секретным ключом и доверяют друг другу, но требуется защита от внешнего злоумышленника. Электронная подпись необходима, когда требуется доказать авторство перед третьей стороной.
Стандартизация в России
В Российской Федерации алгоритмы выработки имитовставки регламентируются следующими стандартами:
- ГОСТ 28147-89 — определяет режим выработки имитовставки (32 или 64 бита) на основе блочного шифра «Магма».
- ГОСТ Р 34.13-2015 — «Режимы работы блочных шифров», включает режим имитовставки (IMIT) для алгоритмов «Магма» и «Кузнечик».
- ГОСТ Р 34.12-2015 — описывает сами блочные шифры «Магма» (64-битный блок) и «Кузнечик» (128-битный блок).
- ГОСТ Р 34.11-2012 — «Функция хеширования», на основе которой может строиться HMAC (ГОСТ Р 34.11-2012 HMAC).
Эти стандарты обязательны для применения в государственных информационных системах и системах, обрабатывающих информацию ограниченного доступа.
Криптостойкость и атаки
Безопасность имитовставки определяется длиной ключа, длиной самой имитовставки и стойкостью используемого алгоритма. Основные виды атак:
- Атака подбора ключа — полный перебор всех возможных ключей. Предотвращается достаточной длиной ключа (не менее 128 бит для современных систем).
- Атака подбора имитовставки — злоумышленник пытается угадать правильную имитовставку для поддельного сообщения. Вероятность успеха составляет 1/2^n, где n — длина имитовставки в битах. Для n=32 вероятность равна 1/4 294 967 296, что считается приемлемым для многих приложений, но для критичных систем рекомендуется n≥64.
- Атака на основе известных пар «сообщение — имитовставка» — злоумышленник собирает статистику, пытаясь выявить закономерности. Современные алгоритмы (CMAC, HMAC) устойчивы к таким атакам при правильном использовании.
- Атака удлинения (length extension attack) — характерна для некоторых хеш-функций (MD5, SHA-1, SHA-2), но не для HMAC, так как схема HMAC предотвращает этот тип атаки.
Интересные факты
- В ранних версиях ГОСТ 28147-89 длина имитовставки составляла 32 бита, что при высокой скорости передачи данных (например, в спутниковой связи) приводило к конечной, но не нулевой вероятности успешной подмены блока. Впоследствии стандарт был дополнен возможностью использования 64-битной имитовставки.
- В некоторых системах имитовставка может вырабатываться не на всё сообщение, а только на его критически важную часть (например, на поле суммы или идентификатор), что ускоряет вычисления, но снижает уровень защиты.
- Понятие «имитовставка» в российской криптографии часто используется как синоним «кода аутентификации сообщения» (MAC), однако в строгом смысле имитовставка — это частный случай MAC, реализованный на основе блочного шифра в режиме сцепления блоков.
Источники
- ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования».
- ГОСТ Р 34.13-2015 «Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров».
- ГОСТ Р 34.12-2015 «Информационная технология. Криптографическая защита информации. Блочные шифры».
- ГОСТ Р 34.11-2012 «Информационная технология. Криптографическая защита информации. Функция хеширования».
- RFC 2104 «HMAC: Keyed-Hashing for Message Authentication».
- Шнайер Б. «Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си».
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →