Izrada samostanog kriptografskog modula

1. UVOD

U današnjem informacijskom dobu svjedoci smo razvoja elektroničkih puteva koji prenose ogromne količine vrijednih komercijalnih, znanstvenih i osobnih informacija između pojedinaca, financijskih ustanova, tvrtki i vladinih organizacija. Velike računalne mreže kao što je Internet, s velikim stupnjem pristupa podacima, čine ove podatke ranjivim s obzirom na privatnost, vjerodostojnost i krađu. Kao rezultat, na svjetskom tržištu postoji veliki pritisak da se elektroničke transakcije načine sigurnima. Skupina velikih američkih računalnih tvrtki Computer Systems Policy Project [1] procjenjuje potencijalni porast prihoda koji se stvara zbog većih sigurnosnih zahtjeva samo u SAD-u na oko 30-60 milijardi dolara do godine 2000. Procjenjuju i da će potencijalna izloženost globalnih korisnika zbog nedostatka sigurnosti biti između 320 i 640 milijardi dolara do godine 2000.
Kriptografija[2] istražuje metode zaštite informacije, njene vjerodostojnosti i porijekla. U informacijskom društvu, kriptografija je kritična komponenta. Kriptografija je toliko zapanjujuća i zbog velike povezanosti između teorije i prakse. Napredak u teoriji jedne godine, već se iduće godine upotrebljava u proizvodima i standardima. Svaki teorijski napredak ponekad znači da je prošlogodišnji prijedlog imao neočekivane slabosti. Kako teorija brzo napreduje, često mnogi prijedlozi zavise o još nedokazanim pretpostavkama. Teorijski rad unaprijeđuje praktični, a praktični dio pruža izazov i nadahnuće teorijskom dijelu. Svaki put kada se neka metoda zaštite pokaže nedovoljnom, nešto se nauči i to se znanje upotrijebi za izradu nove i bolje metode.
Napredak u postojećim kriptografskim mehanizmima nastavlja se sa stalno rastućim tempom, da bi zadovoljio potrebe širenja informacijskog društva u kojem živimo. Teško je danas zamisliti ozbiljnu poslovnu aplikaciju koja u sebi nema riješen sigurnosni podsustav, počev od bankarskih aplikacija, internet-dućana, pa sve do samih operacijskih sustava. Upravo zbog tako brzog razvoja i promjena kriptografskih algoritama javlja se smjernica odvajanja kriptografskog podsustava od ostatka aplikacije. Time se olakšava zamjena i unapređivanje kriptografskog sustava, bez veće promjene glavne aplikacije.
Odvojeni kriptografski modul s jednostavnim sučeljem visoke razine omogućava programeru bez prethodnog iskustva u kriptografiji laku i brzu ugradnju kriptografskih algoritama u njegov proizvod. Laka i brza ugradnja znači i manje troškove razvoja proizvoda. Vanjska implementacija modula omogućava laganu modularnu zamjenu kriptografskog algoritma kada je vrijeme za nadogradnju uz minimalne promjene na proizvodu.
U ovom radu se opisuje izrada kriptografskog modula CryptoLib koji implementira po jedan algoritam za učinkovito kriptiranje podataka[3], razmjenu ključeva i potpisivanje. Pri odabiru algoritama koji su bili dostupni presudila je njihova sigurnost. Po mišljenjima većine poznatih stručnjaka u kriptografiji, jedan od najboljih algoritam za simetrično kriptiranje podataka je IDEA, koja se do danas pokazala bez većih slabosti. Nepisani standard za razmjenu ključeva je RSA algoritam, koji je, iako star više od 20 godina, još uvijek siguran za dovoljno dugačke ključeve. Najbolji odabir algoritma za pripremanje poruka za potpis je SHA.
Sučelje kriptografskog modula CryptoLib je izvedeno iz funkcija već postojećeg CryptoAPI[4] sučelja radi pojednostavljenja upotrebe kriptografskog modula. Slični nazivi funkcija i isti parametri omogućavaju veliku brzinu implementacije novog kriptografskog modula u već postojeće proizvode koji rade sa CryptoAPIsučeljem. Ipak, sučelje CryptoLib je bitno pojednostavljeno u odnosu na CryptoAPI i oblikovano je u smjeru konkretne primjene, a to je u ovom slučaju sigurna komunikacija između dva korisnika.
Cilj ovog rada je razmotriti sve mogućnosti i probleme pri izradi kriptografskog modula u višekorisničkom i višezadaćnom operacijskom sustavu.