| Назва: | Криптографічний алгоритм 3DES |
| Тип: | Реферати |
| Мова: | Українська |
| Розмiр: | 67,09 KB |
| Скачувань: | 52 |
Якщо використовувати DES для шифрування файлів на жорсткому диску, то часто міняти ключі малореально, тому що для цього необхідно розшифрувати а потім зашифрувати всі файли новим ключем. Замість цього можна створити головний ключ DES, яким буде зашифрований список ключів DES, використовуваних для шифрування файлів; у цьому випадку головний ключ можна змінювати так часто як це потрібно. Але тому що головний ключ більше привабливий для атаки чим окремі DES ключі, те його розумно шифрувати алгоритмом Triple DES.
На практиці використовуються трохи офіційно певні режими шифрування DES; кожний із цих режимів має різні властивості. Режим ECB (електронна кодова книга) послідовно шифрує кожен 64-бітний блок відкритого тексту тим самим 56-бітним ключем DES. У режимі CBC (формування ланцюжка блоку шифру) кожен 64-бітний блок відкритого тексту перед шифруванням DES ключем логічно підсумується (XOR) з попереднім блоком зашифрованого тексту. Таким чином, шифрування кожного наступного блоку залежить від попередніх блоків і тому той самий 64-бітний блок відкритого тексту може бути представлений різними блокам зашифрованого тексту залежно від його розміщення у вихідному повідомленні. CBC дозволяє захиститися від деяких атак, але не від повного пошуку або диференціального криптоаналіза. Режим CFB (шифрування зі зворотним зв'язком) дозволяє використати DES блоками довжиною менш 64 біт. Докладні описи різних режимів DES наведені в [NIS80]. Режим OFB власне кажучи дозволяє використати DES як потоковий шифр. З перерахованих режимів DES найбільше широко на практиці використається режим CBC, що є частиною декількох стандартів. Для підвищення захисту можна використати режим CBC з потрійним шифруванням.
Приклад шифрування:
BYTE buf[BUFFER_SIZE+8]; //8 - запас на padding
while(fSize)
{
if(!::ReadFile(hInFile,buf,BUFFER_SIZE,&dwLen,NULL)) //читаємо блок даних
break;
dwSzLow=dwLen;
if(!::CryptEncrypt(hKey,hHash,fSize<=BUFFER_SIZE,0,buf,&dwSzLow,sizeof(buf))) //шифруємо й хешируємо його
break;
if(!::WriteFile(hOutFile,buf,dwSzLow,&dwSzLow,NULL))
break;
fSize-=dwLen;
}
Застосування алгоритму шифрування 3DES
Операційна система Windows XP підтримує використання більш стійкого алгоритму симетричного шифрування, ніж використовуваного за умовчанням алгоритм DESX. Якщо користувачу потрібен симетричний алгоритм шифрування підвищеної стійкості, сумісний зі стандартом FIPS 140-1, потрібно включити алгоритм 3DES.
Включення алгоритму 3DES в системі Windows XP
Щоб включити алгоритм 3DES в операційній системі Windows XP, потрібно задіяти або політику локального комп’ютера, або відповідну групову політику в тому місці розміщення, домені чи організаційному підрозділі, де знаходяться відповідні комп’ютери.
Послідовно натисніть наступні елементи:
Computer configuration («Конфігурація комп’ютера»);
Windows settings («Конфігурація Windows»);
Security settings («Параметри безпеки»);
Local Policies («Локальні політики»);
Security Options («Параметри безпеки»).
Відкрийте об’єкт System cryptography: Use FIPS compliant algorithms for encryption («Системна криптографія: використати FIPS-сумісні алгоритми для шифрування»).
Виберіть перемикач Enabled («Ввімкнено»), як показано нижче, і натисніть кнопку OK.
Коли клієнт Windows XP ввімкнений, він може відкривати файли, зашифровані як алгоритмом DESX, так і алгоритмом 3DES. Але всі нові файли будуть шифруватися тільки новим алгоритмом 3DES.
Настройка об’єкта System cryptography: Use FIPS compliant algorithms («Системна криптографія: використовувати FIPS-сумісні алгоритми для шифрування»).
Не потрібно включати алгоритм 3DES, якщо користувачу потрібен доступ до зашифрованого файлу як з системи Windows 2000, так і з Windows XP. Операційна система Windows 2000 не підтримує алгоритм 3DES.
Стійкість ключів DES
На практиці використовуються трохи офіційно певні режими шифрування DES; кожний із цих режимів має різні властивості. Режим ECB (електронна кодова книга) послідовно шифрує кожен 64-бітний блок відкритого тексту тим самим 56-бітним ключем DES. У режимі CBC (формування ланцюжка блоку шифру) кожен 64-бітний блок відкритого тексту перед шифруванням DES ключем логічно підсумується (XOR) з попереднім блоком зашифрованого тексту. Таким чином, шифрування кожного наступного блоку залежить від попередніх блоків і тому той самий 64-бітний блок відкритого тексту може бути представлений різними блокам зашифрованого тексту залежно від його розміщення у вихідному повідомленні. CBC дозволяє захиститися від деяких атак, але не від повного пошуку або диференціального криптоаналіза. Режим CFB (шифрування зі зворотним зв'язком) дозволяє використати DES блоками довжиною менш 64 біт. Докладні описи різних режимів DES наведені в [NIS80]. Режим OFB власне кажучи дозволяє використати DES як потоковий шифр. З перерахованих режимів DES найбільше широко на практиці використається режим CBC, що є частиною декількох стандартів. Для підвищення захисту можна використати режим CBC з потрійним шифруванням.
Приклад шифрування:
BYTE buf[BUFFER_SIZE+8]; //8 - запас на padding
while(fSize)
{
if(!::ReadFile(hInFile,buf,BUFFER_SIZE,&dwLen,NULL)) //читаємо блок даних
break;
dwSzLow=dwLen;
if(!::CryptEncrypt(hKey,hHash,fSize<=BUFFER_SIZE,0,buf,&dwSzLow,sizeof(buf))) //шифруємо й хешируємо його
break;
if(!::WriteFile(hOutFile,buf,dwSzLow,&dwSzLow,NULL))
break;
fSize-=dwLen;
}
Застосування алгоритму шифрування 3DES
Операційна система Windows XP підтримує використання більш стійкого алгоритму симетричного шифрування, ніж використовуваного за умовчанням алгоритм DESX. Якщо користувачу потрібен симетричний алгоритм шифрування підвищеної стійкості, сумісний зі стандартом FIPS 140-1, потрібно включити алгоритм 3DES.
Включення алгоритму 3DES в системі Windows XP
Щоб включити алгоритм 3DES в операційній системі Windows XP, потрібно задіяти або політику локального комп’ютера, або відповідну групову політику в тому місці розміщення, домені чи організаційному підрозділі, де знаходяться відповідні комп’ютери.
Послідовно натисніть наступні елементи:
Computer configuration («Конфігурація комп’ютера»);
Windows settings («Конфігурація Windows»);
Security settings («Параметри безпеки»);
Local Policies («Локальні політики»);
Security Options («Параметри безпеки»).
Відкрийте об’єкт System cryptography: Use FIPS compliant algorithms for encryption («Системна криптографія: використати FIPS-сумісні алгоритми для шифрування»).
Виберіть перемикач Enabled («Ввімкнено»), як показано нижче, і натисніть кнопку OK.
Коли клієнт Windows XP ввімкнений, він може відкривати файли, зашифровані як алгоритмом DESX, так і алгоритмом 3DES. Але всі нові файли будуть шифруватися тільки новим алгоритмом 3DES.
Настройка об’єкта System cryptography: Use FIPS compliant algorithms («Системна криптографія: використовувати FIPS-сумісні алгоритми для шифрування»).
Не потрібно включати алгоритм 3DES, якщо користувачу потрібен доступ до зашифрованого файлу як з системи Windows 2000, так і з Windows XP. Операційна система Windows 2000 не підтримує алгоритм 3DES.
Стійкість ключів DES