Kriptoqrafik mühafizə vasitələrinin iş prinsipləri

Kriptoqrafiya məlumatın şifrlənməsini nəzərdə tutur. Şifrələnmiş məlumat yalnız açıq mətni oxuma haqqı olan istifadəçi tərəfindən deşifr edilə bilər. Şifrləmə məlumatın təhlükəsizliyinə tam zəmanət vermir amma onun icazəsiz istifadəsini dəfələrlə məhdudlaşdırır. Bu mətni deşifrləyib oxumaq üçün açar sözünü və şifrləmə alqoritmini bilmək lazımdır. Şifrlənəcək mətn açıq mətn adlanır, bu mətn şifrləmə açarından istifadə etməklə şifrləmə alqoritmi vasitəsilə şifrlənir.

Kriptoqrafiyada şifrələnmənin 2 əsas üsulu var: simmetrik və asimmetrik.

Simmetrik şifrləmə üsulunda eyni açar (gizli saxlanılan) həm məlumatı şifrləmək, həm də deşifrləmək üçün istifadə olunur. Olduqca effektiv (sürətli və etibarlı) simmetrik şifrləmə metodları var. Simmetrik şifrləmə alqoritmlərindən DES, 3-DES, IDEA, FEAL, Skipcack, RC2, RC4, RC5, CAST, Blowfish kimi blok şifrləri və bir sıra axın şifrləri (RC4, A5) daha geniş istifadə olunur.

Əsas nöqsanı: məxfi açar həm göndərənə, həm də alana məlum olmalıdır. Bu bir tərəfdən məxfi açarların tam məxfi kanalla göndərilməsi problemini yaradır. Digər tərəfdən alan tərəf şifrlənmiş və deşifrlənmiş məlumatın varlığı əsasında bu məlumatı konkret göndərəndən almasını sübut edə bilməz. Çünki belə məlumatı o özü də yarada bilər.

Asimmetrik kriptoqrafiyada iki açardan istifadə olunur. Onlardan biri açıq açar (sahibinin ünvanı ilə birlikdə nəşr oluna bilər) şifrləmə üçün istifadə olunur, digəri gizli açar (yalnız alana məlum) deşifrləmə üçün istifadə olunur. Rəqəmsal imza alqoritmlərində gizli açar şifrləmə, açıq açar isə deşifrləmə üçün istifadə edilir. Açıq açara görə uyğun gizli açarın tapılması çox böyük həcmdə hesablamalar tələb edir, hesablama texnikasının hazırki inkişaf səviyyəsində bu məsələ qeyri-mümkün hesab edilir. Asimmetrik şifrləmə alqoritmlərinə misal olaraq RSA, ElGamal, Şnorr və s. alqoritmlərini göstərmək olar.

Əsas nöqsanı sürətin aşağı olmasıdır. Buna görə onlar simmetrik metodlarla birgə işlədilir. Məsələn, açarların göndərilməsi məsələsini həll etmək üçün əvvəlcə məlumat təsadüfi açarla simmetrik metodla şifrlənir, sonra həmin təsadüfi açarı alan tərəfin açıq asimmetrik açarı ilə şifrləyirlər, bundan sonra məlumat və şifrlənmiş açar şəbəkə ilə ötürülür.

Asimmetrik metodlardan istifadə etdikdə, (istifadəçi, açıq açar) cütünün həqiqiliyinə zəmanət tələb olunur. Bu məsələnin həlli üçün rəqəmsal sertifikatdan istifadə edilir. Rəqəmsal sertifikat xüsusi sertifikasiya mərkəzləri tərəfindən verilir. Rəqəmsal sertifikatda aşağıdakı verilənlər olur: sertifikatın seriya nömrəsi; sertifikatın sahibinin adı; sertifikatın sahibinin açıq açarı; sertifikatın fəaliyyət müddəti; elektron imza alqoritminin identifikatoru; sertifikasiya mərkəzinin adı və s. Sertifikat onu verən sertifikasiya mərkəzinin rəqəmsal imzası ilə təsdiq edilir.

Bütövlüyə nəzarət üçün kriptoqrafik heş-funksiyalar istifadə edilir. Heş-funksiya adətən müəyyən alqoritm şəklində realizə edilir, belə alqoritm ixtiyari uzunluqlu məlumat üçün uzunluğu sabit heş-kod hesablamağa imkan verir. Praktikada 128 bit və daha artıq uzunluqda heş-kod generasiya edən heş-funksiyalardan istifadə edilir.

Heş-funksiyanın xassələri elədir ki, onun köməyi ilə alınan heş-kod məlumatla "möhkəm" bağlı olur. Məlumatın hətta bir biti dəyişdikdə belə heş-kodun bitlərinin yarısı dəyişir. Heş-funksiyaya misal olaraq MD2, MD4, MD5, RIPEMD, SHA1 və s. alqoritmlərini göstərmək olar.

Elektron Gizlilik İnformasiya Mərkəzi (Electronic Privacy Information Center, EPIC) 1998-ci ildə əksər dünya ölkələrində kriptoqrafiya sahəsində milli siyasət və qanunvericiliyin vəziyyəti barəsində hesabat hazırlamışdı. Bu hesabatda ölkələr qəbul etdikləri və həyata keçirdikləri kriptoqrafiyaya nəzarət siyasətinin xarakterindən asılı olaraq yaşıl, sarı və qırmızı rənglə şərti işarələnmiş üç qrupa bölünüb:yaşıl qrup – kriptoqrafiyanın tətbiqini praktiki olaraq məhdudlaşdırmayan ölkələr;sarı qrup – ölkə daxilində kriptoqrafiyanın tətbiqi və ikili təyinatlı proqram vasitələrinin ixracına müəyyən nəzarəti həyata keçirmək niyyətində olan ölkələr:qırmızı qrup – kriptoqrafiyaya və ölkə daxilində onun tətbiqinə nəzarət edən ölkələr.