Zip File, мамкины хаЦкеры. В прошлом видео мы с вами изучили симметричные криптосистемы, хеширование и рассмотрели безопасные варианты хранения ваших паролей. Нынче, настало время поговорить об ассиметричном способе шифрования и…барабанная дробь. Электронной цифровой подписи. Так что, если вам интересна данная тема. Устраивайтесь по удобней, наливайте себе чаёчек покрепче. И будем начинать нашу традиционную инфобезовскую душнину. Погнали.

 

 

Симметричные криптосистемы обладают двумя существенным недостатками:

Первый связан с проблемой распространения секретных ключей. Нужно придумать как передать взаимодействующим сторонам секретные ключи, которые требуются для реализации защищенного обмена сообщениями и при этом учесть, что ключи периодически должны меняться.

А также решить вопрос, с построением второй криптосистемы или закрытого канала для непосредственной передачи ключа. Помимо этого, никуда не уходит проблема обеспечения подлинности и авторства принимаемых сообщений.

Традиционно при бумажном документообороте подпись человека гарантирует подлинность подписанного документа. А как это реализовано в электронном документообороте? Какой механизм позволит подписывать документы и гарантировать при этом их подлинность?

Во всём этом мы с вами сейчас разберёмся. Первые предпосылки появления ассиметричных криптосистем появились в 1976 году в статье «новые направления криптографии», в которой рассказывалось про возможность реализации связи без явной передачи ключа.

Общая схема работы выглядела следующим образом. Участники обмена сообщениями генерируют два ключа: открытый и закрытый, он же секретный. Эти ключи по определенному математическому правилу зависят друг от друга.

Открытый ключ известен любому, кто желает передать сообщение. А вот закрытый ключ известен только получателю сообщения.

Передаваемое сообщение шифруется открытым ключом. Ну а дешифрование, как вы уже поняли, осуществляется с использованием секретного ключика.

Для обеспечения надежной защиты к ассиметричной модели предъявляются всего два ключевых требования. Первое, исходное сообщение преобразуется таким образом, что невозможно его восстановить на основе открытого ключа.

И второе, имея в распоряжении только открытый ключ – нельзя получить закрытую часть.

Вообще вся концепция асимметричных криптографических систем с открытым ключом основана на применении так называемых односторонних функций. Это как с односторонним движением на дороге. Можно проехать в одну сторону и весьма проблематично это сделать в другую.

Основной критерий — возможность преобразования X➝Y при отсутствии эффективных вычислительных возможностей алгоритмов обратного преобразования Y➝X.

Т.е. зная цифры 5 и 6 получить цифру 30 легко. Но зная только цифру 30 мы не можем однозначно сказать из каких цифр это число получилось. Это может быть 5 и 6, 3 и 10, 30 и 1 и т.д.

И смысл в том, что в одну сторону получить нужно значение очень легко, а в другую сложно. Не сказать, что прям совсем невозможно. Но потребуется весьма большое количество операций.

Ассиметричное шифрование применяется много где. Однако, пожалуй, основным профилем является именно распространение ключей. В качестве самостоятельного шифрования оно не очень годится, так как сильно нагружает вычислительные ресурсы.

Кстати, о ресурсах. Если вам необходима база для практики, рекомендую обратить внимание на проверенный сервис SptintBox, о котором я уже неоднократно упоминал в своих роликах.

Отличие Спринтбокс от обычного хостинга в том, что тут ресурсы не распределяются между всеми аккаунтами на сервере. Каждому пользователю выделяется собственный набор вычислительных мощностей.

Благодаря этому, вы не будете зависеть от соседей по серверу и сможете делать со своими боксами, буквально, что захотите. Так что если намерены создать какой-то сложный проект для которого обычный хостинг никак не годится, боксы это хорошая альтернатива.

Помимо прочего на сервисе можно настроить резервное копирование и снапшоты, подключаться к серверам по SSH и FTP, добавить к ним дополнительное хранилище до 1 Тб.

Ну и само собой поиграться с настройками файрвола и подключить защиту от внешних DDoS-атак. Короче для сетевой практики это прямо мастхэв. Можно запросто деплоить ботов для Телеграма, ВК и Дискорда.

Накатывать готовые дистрибутивы или ставить свои собственные сборки ОСей. Можно поднять сервер Майнкрафт для игор с корешами. Принцип, как в Лего. Вы ограничены только умениями и рамками вашей фантазией.

Есть даже дистрибутивы с VPN, поднять которые не составит труда даже для тех, кто только начинает свой путь в IT.

А управлять созданными боксами можно через удобную Панель управления или в Telegram-боте. Он может вывести вам нужную информацию, перезапустить бокс и даже создать новый буквально в несколько кликов.

Если вдруг тупанёте и не сможете разобраться, вам на помощь придёт техподдержка. Там ребята всегда на связи. И днём, и ночью. Кроме того, можно воспользоваться Базой знаний, в которой есть масса полезных статей.

В общем, если хотите изучать системы и сети не только в теории, а действительно погрузиться в эту историю с головой – велком. Ссылка на KVM VDS от SprintBox будет в описании.

Там же будет мой фирменный промокод, по которому ещё и 50% кешбек получите. Короче переходите скорее и регайтесь. Не пожалеете. Сам пользуюсь уже несколько лет и доволен как слон.

Ассиметричная история - это хороший инструмент аутентификации, в том числе для решения вопросов электронной подписи и такое шифрование часто используют для механизмов построения сложных криптографических протоколов.

Далее давайте рассмотрим алгоритм Диффи-Хеллма, который в том числе применяется и в шифровании внутри всем известного мессенджера Телеграм. Так вот.

Основной принцип данного алгоритма заключается в том, что каждая из взаимодействующих сторон обладает секретным и открытым ключом. И если объединить «своё» секретное значение с «общим» открытым значением, то каждая из сторон сможет создать одинаковое секретное значение.

Сейчас постараюсь разжевать по подробней. Есть П – это простое число. Есть Джи – первообразный корень по модулю П. Есть функция Эйлера. И есть mod представляющая собой остаток от деления двух чисел, т.е. та самая односторонняя функция.

Число П и Джи связаны. А и Б выбирают случайно и независимо друг от друга по одному большому натуральному числу. Они же закрытые ключи, которые мы дальше будем использовать.

В свою очередь А и Б вычисляют открытые ключи с помощью операции MOD. И затем обмениваются ими. Ну а на последнем шаге уже вычисляется общий ключ внутренне представляющий собой одно и тоже число.

По итогу оба абонента с помощью своего закрытого ключа и сгенерированного открытого ключа получают одинаковые закрытые ключи.

Если интересна математика и хочется поразбираться подробнее, можете поставить видосик на паузу и самостоятельно разобрать слайд с примером на числах.

Подобных алгоритмов с открытым ключом существует немало. Диффи-Хеллман лишь один из примеров. Ещё на слуху алгоритм Эль-Гамаля, Рабина, ну и конечно же RSA, буквы которого означают первые буквы фамилий Rivest, Shamir и Adleman.

Асимметричное шифрование в современных технологиях

Если говорить про современные наработки в области ассиметричного шифрования, то нельзя не отметить 1991 год и момент, когда Филипп Циммерман выложил в сеть первую версию PGP, которая является наиболее популярной и по сей день.

Изначально механизм PGP предназначался для защищённого обмена по электронной почте, но после его появления стандарты и алгоритмы стали развиваться очень стремительно.

Помните да, в прошлом видео рассказывал про AES пришедший на смену DES. Всякие отечественные наработки по ГОСТу с говорящими названиями в стиле «Магма», «Кузнечик».

Вообще согласно статистике по сервисам гугла, сегодня зашифрованный трафик уверенно стремится к отметке в 100 проц. Да и вы сами наверняка замечали, что сайтов без замочка HTTPs практически не осталось. А ведь ещё недавно, в 2014 году, даже гугл не особо запаривался по этому поводу.

То ли дело Telegram. Данный мессенджер изначально разрабатывался с собственным протоколом шифровки в основе которого лежит связка AES, Диффи-Хеллмана и хешей.

Все ключи в диалогах генерируются и хранятся непосредственно на устройствах. Этот формат называют сквозным шифрованием и именно по этой причине на запрос правоохранительных органов предоставить ключи шифрования, Дуров честно ответил, что они хранятся у пользователей.

Нооо, как говорится и тут есть нюанс. В публичных чатах в телеге используется не сквозное, а обычное шифрование, типа client-server. Так что не шалите в комментах уповая на полную анонимность. Эти данные властьимущим ребята предоставят за милую душу.

Электронная подпись

Электронная подпись — это современный аналог обычной ручной подписи на бумаге. В ГОСТе по делопроизводству можно найти определения документу, официальному и электронному документу, а также понять в какой именно момент бумажка обретает юр. силу.

Кстати, ещё нюанс. Термин ЭЦП на сегодняшний день утратил свою актуальность и теперь следует использовать вариант без цифры. В 63 ФЗ, есть все основные определения касающиеся подписей.

Помимо ЭП, тут упоминается ключ, представляющий собой уникальную последовательность символов для создания подписи. Ключ проверки необходимый для того, чтобы удостовериться в подлинности.

И, собственно, сам сертификат, выдаваемый удостоверяющим центром. Тут же упоминается, что для формирования подписи используются ассиметричные алгоритмы, благодаря которым у нас появляется секретный ключ для подписания и открытая часть для проверки подлинности.

Если проводить аналогии, то в случае с ручной подписью её ставит автор, а в случае с ЭПшкой – владелец. Для проверки в первом случае используется образец подписи, а во втором каждый кто имеет открытый ключ.

Обычную подпись, если она уникальная, подделать достаточно трудно, ну а электронную практически невозможно. При этом, что та, что та подпись является неоспоримой.

Самое важное отличие, пожалуй, в том, что электронная подпись в отличие от обычной запросто может быть передана отдельно от документа. Тогда, как руку человека вы передать как токен явно не сможете.

Окей. Давайте разберёмся с принципом работы ЭП. Берём некое сообщение и применяем к нему хеш-функцию. Получив дайджест с помощью закрытого ключа, вычисляем подпись.

Соответственно сообщение будет являться подписанным в случае, если к нему будет применена эта самая подпись. На стадии проверки электронная подпись, которая является зашифрованным хешем расшифровывается с помощью открытого ключа.

Расшифрованный хеш сравнивается с хешем от сообщения и если всё верно – сообщение является подлинным. Ну а если хеши не совпадают, значит сообщение было изменено на каком-то этапе.

Физические лица сталкиваются с электронной подписью при подаче налоговой декларации и при оформлении загран-паспорта. Юридические используют подписи для проведения оплаты дистрибьюторам через банк.

Напишите кстати в комментарии для какой деятельности лично вы применяли и применяете электронные подписи. Потому что мне кажется, что я не в курсе и половины возможных сфер применения.

Зато, я точно знаю, что электронные подписи делятся на простые и усиленные, которые в свою очередь могут быть квалифицированными и не квалифицированными.

Простой называют подпись, которая посредством использования кодов, паролей или иных средств просто подтверждает факт формирования электронной подписи определенным лицом.

Короче, как говорят в среде безопасников, филькина грамота. А вот неквалифицированная усиленная подпись, это уже гораздо серьёзней. Во-первых, она может быть получена, только в результате криптографического преобразования информации с использованием ключа электронной подписи.

Во-вторых, она однозначно позволяет определить лицо, подписавшее электронный документ, а также обнаружить факт внесения изменений в документ после момента его подписания;

Ну а самой крутой, само собой является квалифицированная ЭПшка, помимо вышесказанного, ещё и имеет ключ проверки, указанный в квалифицированном сертификате.

И для её создания и проверки используются средства электронной подписи, имеющие подтверждение соответствия требованиям, установленным в 63 Федеральным законом.

Простая ЭП может представлять собой комбинацию из логина и пароля, таким образом идентифицируя вас, как лицо. Неквалифицированная помимо идентификации ещё и подтверждает подлинность подписанного документа.

И в принципе, по обоюдной договорённости может приравниваться к бумажной подписи и в принципе в больших компаниях в основном её и используют.

Из нюансов, ей нельзя пока что подписывать документы, связанные с охраной труда. Т.е. всякие плановые проверки знаний, инструктажи и прочую ересь. Ну а в целом, она ничем не хуже квалифицированной, разве что последняя ещё и дополнительной бумажкой из УЦ подтверждается.

Ах да, и после подписания таковой давать заднюю уже не получится. Сразу же возникают юридические последствия. Поэтому будьте очень внимательны, если работаете с квалом.

Получить подпись такого типа может как юрлицо, так и физики. Для этого необходимо создать и отправить заявку в удостоверяющий центр для получения сертификата.

Далее необходимо лично явиться с токеном в удостоверяющий центр и после того, как там удостоверяться в подлинности вашей личности, проверив все документы, вы получите подпись.

Для юр.лиц там уже чуть больше головняков, как правило приходится первую подпись создавать по доверенности и это дело в 100 из 100 случаев вешают на айтишников.

Но благо процедура продления не такая убогая и если руки прямые – перевыпустить новую подпись можно онлайн. Главное прикрепить нужные документы, не лопухнуться с вводимыми данными и дело в шляпе.

Окей, друзья. Мы с вами изучили основные принципы асимметричной криптографии и познакомились с таким важнейшим понятием, как электронная подпись.

Узнали, чем простая подпись отличается от усиленной, почему квалифицированная самая топовая и как происходит процесс получения ЭП в удостоверяющем центре.

В следующем видео, мы поговорим про особенности инфраструктуры с открытым ключом (PKI), а также коснёмся вопросов нормативного регулирования криптографии.

Так что обязательно подпишись, чтобы не пропустить выход следующего сюжета. Колокольчик ведь на ютубе не зря придумали. Он нужен для того, чтобы в него звенеть и радовать блогера, снимающего полезный контент.

Да, кстати, лайки тоже приветствуются. Тем более, что я помимо видоса подготовил для вас домашнее задание с практикой по ассиметричному шифрованию.

Проделав его, вы научитесь шифровать данные с помощью публичного ключа и расшифровывать с помощью приватного. Ну а само задание ищите на сайте академии матёрых IT-спецов.

Всё как обычно, по высшему классу, чтоб вы учились путным вещам, а не фигнёй страдали, ломая вайфаи. Становитесь серьёзнее и вставайте на путь реального инфобеза.

На сим всё. С вами, как обычно, был Денчик. Спасибо, что досмотрели до конца данный ролик. До новых встреч, мои кайфные друже. Всем пока.