Стандарт подготовлен Академией криптографии Российской Федерации, внесён Техническим комитетом по стандартизации ТК 026 «Криптографическая защита информации».
Основная часть документа содержит определения 199 терминов; ещё 16 терминов в приложении А и 22 термина в приложении Б.
Во вводной части документа отмечается:
«Настоящий стандарт устанавливает основные термины с соответствующими определениями, применяемые при проведении работ по стандартизации в области криптографической защиты информации.
В целях унификации терминологии при разработке математического аппарата в области криптографической защиты информации, а также в целях исключения разночтений с терминологией смежных областей деятельности в настоящем стандарте приведены термины из ГОСТ Р 7.0.8, ГОСТ Р 34.10, ГОСТ Р 34.11, ГОСТ Р 34.12, ГОСТ Р 34.13, ГОСТ Р 50922, ГОСТ Р 56205, ГОСТ Р 56498, ГОСТ Р ИСО/ МЭК 27000, ГОСТ Р 57149.»
К сожалению, с первых же определений видны недодуманность и «недоделанность» этого документа. Допустим, я хочу понять, что же такое та самая «криптография», которой, собственно, стандарт и посвящён. Читаем:
1. Криптография (cryptography): Область теоретических и прикладных исследований и практической деятельности, которая связана с разработкой и применением методов криптографической защиты информации.
Примечание — Криптография как область теоретических и прикладных исследований подразделяется на криптографический синтез и криптографический анализ, а как область практической деятельности решает вопросы разработки и применения СКЗИ (см. статью 182), реализующих криптосистемы.
Это понятие определяется через понятие «криптографическая защита информации». Смотрим его определение:
3. Криптографическая защита информации (cryptographic protection of information): Защита информации с мощью её криптографического преобразования. [ГОСТ Р 50922—2006, статья 2.2.3]
Итак, следующая остановка – «криптографическое преобразование»:
5. Криптографическое преобразование (cryptographic transformation): Процесс преобразования представляющих информацию данных с целью обеспечения криптографической стойкости, допускающий математическое описание.
Примечание — Основным принципом, лежащим в основе почти всех методов криптографической защиты информации, является зависимость криптографических преобразований от сохраняемых в тайне криптографических ключей.
Едем дальше:
13. (Криптографическая) стойкость ((cryptographic) security): Свойство криптографической системы или отдельного криптографического механизма, характеризующее способность противостоять атакам на криптографическую систему (криптографический механизм).
Пример — Стойкость шифра к атакам по восстановлению ключа по известным открытому и шифрованному текстам, стойкость криптографической хеш-функции к нахождению коллизий, стойкость предварительного распределения ключей при компрометации части ключей.
Примечания:
1. Различают два основных подхода к определению стойкости — определение практической стойкости (см. статью 15) и определение теоретической стойкости (см. статью 16).
2. Стойкость криптографической системы зависит от стойкости применяемых в ней криптографических механизмов и от способа их использования в общей конструкции криптографической системы.
Теперь нам нужно разобраться уже с тремя(!) терминами – «криптографическая система», «криптографический механизм» и, отдельно, «атака на криптографическую систему (криптографический механизм)» :) Итак:
2. Криптографическая система; криптосистема (cryptographic system; cryptosystem): Структурированная совокупность конкретных способов решения поставленных задач защиты информации на основе применения методов криптографической защиты информации.
Примечания
1. Криптографическая система содержит основную функциональную подсистему, обеспечивающую решение поставленных задач защиты информации, и необходимую для ее функционирования ключевую систему.
2. В качестве составных частей основной функциональной подсистемы могут выступать шифр (см. статью 105), код аутентификации (см. статью 168), схема цифровой подписи (см. статью 135), криптографический протокол аутентификации сторон (см. статью 180) или другие криптографические механизмы, обеспечивающие решение конкретных задач защиты информации.
3. В зависимости от типов применяемых криптографических ключей различают симметричные (см. статью 18), асимметричные (см. статью 19) и гибридные (см. статью 20) криптосистемы.
8. Криптографический механизм (cryptographic mechanism): Криптографический алгоритм или криптографический протокол, применяемый в криптографической системе для обеспечения решения конкретной задачи защиты информации или создания и функционирования ее ключевой системы.
Пример — Шифр, протокол аутентификации сторон, схема цифровой подписи, криптографическая хеш-функция, алгоритм формирования штампа времени, генератор ключей.
14. Атака на криптосистему [криптографический механизм] (attack on the cryptosystem [cryptographic mechanism]): Воздействие на криптографическую систему (криптографический механизм), осуществляемое при конкретных исходных данных о ее (его) функционировании без полного знания сохраняемых в тайне ее (его) параметров и направленное на нарушение хотя бы одной из ее (его) целевых функций по решению конкретной задачи защиты информации.
Пример — Атака на шифр с подобранным открытым текстом, атака на систему криптозащиты с подменой сообщения, подмена стороны информационного обмена на основе компрометации долговременного ключа, подбор пароля протокола аутентификации стороны по набору ранее переданных сообщений, восстановление зашифрованного аналогового сигнала по переставленным фрагментам.
Примечание — Различают два типа атак: активная атака предполагает воздействие на работу криптосистемы (криптографического механизма), например, путем повторной передачи, имитации или подмены передаваемых сообщений; пассивная атака осуществляется без воздействия на функционирование криптосистемы (криптографического механизма) путем перехвата передаваемых сообщений или хранящихся зашифрованных данных и последующего их анализа с целью нахождения неизвестных параметров.
На очередном уровне термино-шизофрении, нам потребуются определения «методов криптографической защиты информации» (которое почему-то отсутствует :)), «криптографического алгоритма», «криптографического протокола» и «ключевой системы» - а мы ведь всё ещё не узнали смысл слова «криптография»!
9. Криптографический алгоритм (cryptographic algorithm): Алгоритм, описывающий процесс криптографического преобразования информации.
10. Криптографический протокол (cryptographic protocol): Коммуникационный протокол, реализованный с применением криптографических алгоритмов для решения задач защиты информации, в рамках которого стороны информационного взаимодействия последовательно выполняют определенные действия и обмениваются сообщениями.
21. Ключевая система (key system): Подсистема криптографической системы, с помощью которой обеспечивается создание криптографических ключей, необходимых для ее функционирования, и управление ими на основе инфраструктуры управления ключами.
Мы прошли уже 6 уровней, нам ещё идти и идти, а между тем понятие «криптография» от этого стало только загадочнее. Как говорится, «бывает хуже, но реже»…
Думаете, понятие «криптографии» столь сакральное, что простому человеку не под силу его определить? :) Вряд ли – во всяком случае, самые «свежие» определения, которое предлагает Международная организация по стандартизации, следующее:
Криптография (cryptography) - дисциплина, охватывающая принципы, средства и методы преобразования данных, применяемые для сокрытия их информационного содержания (контента), предотвращения их недетектируемой модификации и/или предотвращения их несанкционированного использования. [Источник: ISO 17090-1:2021, 3.2.9, см. https://www.iso.org/obp/ui#iso:std:iso:17090:-1:ed-3:v1:en:term:3.2.9 ]
Криптография (cryptography) - принципы, средства и методы преобразования данных с целью скрыть их информационное содержание (контент), предотвратить их недетектируемую модификацию и/или предотвратить их несанкционированное использование. [Источник: ISO/TS 17573-2:2020, 3.53, см. https://www.iso.org/obp/ui#iso:std:iso:ts:17573:-2:ed-1:v1:en:term:3.53 ]
Как по мне, определение ИСО и понятнее, и дружественнее по отношению к пользователям, в то время, как определение ПНСТ – видимо, это уже стало профессиональной привычной разработчиков этого документа – весьма удачно «скрывает информационное содержание» определяемого понятия :)
Содержание стандарта следующее:
Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
Алфавитный указатель терминов на русском языке
Алфавитный указатель эквивалентов терминов на английском языке
Приложение А (справочное): Вспомогательные термины и определения в области криптографической защиты информации, не включенные в раздел 3 настоящего стандарта
Приложение Б (справочное): Термины и определения, применяемые в областях деятельности, смежных с криптографической защитой информации
Библиография
Источник: сайт Росстандарта
https://protect.gost.ru/v.aspx?control=8&baseC=6&page=0&id=235280
Комментариев нет:
Отправить комментарий