В. Р. Гинзбург Перевод с английского
жүктеу/скачать 2,74 Mb. Pdf көрінісі
|
практическая криптография
Глава 3. Введение в криптографию Тем не менее, что бы ни включало в себя понятие шага, он всегда может быть выполнен компьютером за очень короткое время. Иногда на выполне- ние шага требуется одна временн´ая единица, а иногда — миллион единиц, однако в терминах нагрузки, необходимой для осуществления криптографи- ческих атак, порядок в один миллион не играет сколько-нибудь значимой роли. Простота выполнения пошагового анализа атак существенно переве- шивает его погрешности. При необходимости вы всегда сможете провести по- дробный анализ, чтобы определить, сколько именно работы включает в себя выполнение одного шага. Для получения быстрых оценок принято полагать, что на выполнение одного шага требуется одна временн´ая единица. Любой современной системе вполне достаточно 128-битового уровня без- опасности. Это означает, что осуществление любой атаки на систему потребу- ет, как минимум, 2 128 шагов. Среднестатистическая криптографическая си- стема, созданная в наши дни, скорее всего, проработает около 30 лет и долж- на обеспечивать конфиденциальность данных на протяжении приблизитель- но еще 20 лет с момента окончания использования системы. Таким образом, нам нужно гарантировать безопасность системы на протяжении следующих 50 лет. Это было бы нелегкой задачей, если бы на помощь не пришел закон Мура, адаптированный к криптографии. Согласно ему для современных си- стем достаточно 128-битового уровня безопасности [62]. Вообще говоря, нам могло бы хватить 110 или даже 100 бит, однако криптографических алгорит- мов, рассчитанных на такие ключи, не существует, поэтому мы воспользуемся 128-битовыми ключами. Приведенная выше концепция уровня безопасности построена на прибли- жениях. Мы измеряем только объем работы, который должен проделать зло- умышленник, и не учитываем такие аспекты, как обмен данными с памятью или взаимодействие с атакуемой системой. Анализ нагрузки на злоумыш- ленника — задача отнюдь не простая. Дальнейшее усложнение модели еще более затрудняет анализ и существенно повышает вероятность упустить ка- кой-нибудь важный момент. Поскольку стоимость использования простого и консервативного подхода относительно невелика, мы отдаем предпочтение простой концепции уровня безопасности. 3.8 Производительность Каждый раз при разработке новой системы мы получаем массу жалоб по поводу высоких затрат, связанных со скоростью и производительностью. Вот что мы думаем по этому поводу. Прежде всего, безопасность не бывает бесплатной. Если вы хотите обес- печить безопасность своих систем, готовьтесь хорошо заплатить. Те, кто не 3.8. Производительность 57 в состоянии позволить себе такие расходы, могут не рассчитывать на высокий уровень безопасности. Все очень просто. Современное программное обеспече- ние затрачивает громадное количество циклов работы процессора на рисова- ние красивых трехмерных окошек с альфа-сопряжением, которые нисколько или почти нисколько не улучшают функциональность. Безопасность — одна из главных проблем современной индустрии. Несмотря на это, люди упорно не желают тратить на нее столько процессорного времени, сколько уходит на рисование красивых окошек. Разрабатывая криптографическую систему, мы пытаемся сделать ее как можно более эффективной. Тем не менее, начиная с определенного момента, каждая единица прироста производительности обходится слишком дорого. Любое уклонение от проторенной дорожки в сфере обеспечения безопасно- сти оборачивается необходимостью проведения масштабного анализа, гаран- тирующего, что мы не допустили ошибку и не занимаемся разработкой заве- домо слабой системы. Проведение такого анализа требует привлечения опыт- ных специалистов по криптографии, а их услуги обходятся весьма недешево. В большинстве случаев клиентам намного дешевле купить быстрый компью- тер, чем ввязываться во все проблемы и расходы, касающиеся разработки и реализации более эффективной системы безопасности. Для большинства компьютеров системные требования криптографиче- ских алгоритмов не составляют проблемы. Современные процессоры настоль- ко быстры, что могут справиться практически с любым потоком данных. На- пример, шифрование канала передачи данных, обладающего пропускной спо- собностью 100 Мбит/с, с помощью алгоритма AES отнимает всего лишь 20% процессорного времени старенького процессора Pentium III 1 ГГц. (В реаль- ной жизни эта величина еще меньше, поскольку добиться скорости передачи данных 100 Мбит/с невозможно из-за особенностей протокола обмена данны- ми.) Подождав еще пару месяцев, вы сможете купить по той же цене гораздо более мощный процессор, а значит, затраты на повышение производитель- ности будут равны нулю. Одна компания когда-то жаловалась на высокую стоимость шифрования канала передачи данных с пропускной способностью 1 Гбит/с. Машина, которая обрабатывала эти данные, стоила более полумил- лиона долларов. Думается, эта компания могла бы позволить себе установить дополнительный процессор или обновить материнскую плату для ускорения обработки криптографии. Иногда применение криптографии действительно приводит к появлению “узких мест” в производительности системы. Хорошим примером являются Web-серверы, использующие большое число SSL-соединений. Процедура ини- циализации SSL-соединения предполагает применение шифрования с откры- тым ключом и требует большого объема вычислительной мощности на сто- роне сервера. Разумеется, мы могли бы разработать замену протоколу SSL, |