Подробно о шифровании в Cryptia Secure Messenger

Шифрование соединений клиентов с сервером Cryptia.

Трафик между клиентом и сервером шифруется используя TLS v 1.1.

Шифрование прямых соединений между клиентами.

Прямое соединение между клиентами включают в себя два канала UDP. По первому каналу передаются сигнальные сообщения и файлы, а по второму трафик реального времени (голос/видео).  Каждый из каналов шифруется проверенным симметричным алгоритмом шифрования (по умолчанию AES-256, но возможна настройка и на другие алгоритмы, входящие в OpenSSL 1.0:  AES-128, AES-192, BlowFish, Camelia-128, Camelia-192, Camelia-256, CAST5, DES, TripleDes, IDEA, SEED, а также ГОСТ 28147-89). Ключи шифрования  - сеансовые. Для согласования сеансовых симметричных ключей используется алгоритм Diffi-Hellman (DH) или ECDH, а для защиты от атаки на алгоритм Diffi-Hellman обмен параметрами и публичными ключами подписывается цифровой подписью клиентов, основанной на ассиметричных алгоритмах (RSA, DSA, ECDSA).

Ключевым моментом является то, что клиент сам генерирует себе пары ключей, для ассиметричных алгоритмов, а также набор параметров для алгоритма Diffie-Hellman. Для генерации используется библиотека openSSL, встроенная в клиентскую программу, однако, пользователь может и самостоятельно сгенерировать ключи при помощи общедоступной утилиты openSSL, или же любой другой подобной, которой он доверяет, а после импортировать ключи в Сryptia Secure Messenger. Есть также возможность экспорта ключей в файлы стандартных форматов для последующего анализа.

Симметричное шифрование

Режим симметричного шифрования каналов отличается.  Для  сигнального канала используется режим шифрования  CFB (cipher feedback). Данный метод в ГОСТ 28147—89 называется «режим гаммирования с обратной связью».

Для канала реального времени используется режим шифрования CTR (Counter Mode).
Выбор CTR режима обусловлен тем, что нам не требуется обеспечивать 100% надежность доставки пакетов. Для речи задержка является гораздо более критичным параметром. Соответственно нам нужно иметь возможность синхронизации шифротекста в случае пропадания пакетов, вместо того чтобы переотправками пакетов добиваться идентичности отправленного и полученного потоков. Размер передаваемого пакета с данными реального времени, как правило, больше чем размер блока симметричного алгоритма шифрования, поэтому внутри пакета блоки сцепляются, используя режим OFB (output feedback mode) или CFB.

Подробнее о режимах шифрования можно прочитать здесь:  режимы шифрования

В системе используется 4 шифра и 4 вектора инициализации. По два на каждый канал и разные для направлений передачи.  В качестве значений шифров и векторов инициализации используются определенные фрагменты выходного значения алгоритма диффи-хеллмана, который используется для выработки согласованного сеансового ключа.

Алгоритм Диффи — Хеллмана (DH)

Подробнее об алгоритме Диффи - Хеллмана можно прочитать здесь:
http://ru.wikipedia.org/wiki/Diffie-Hellman
В клиенте cryptia этот алгоритм используется для согласования сеансовых ключей симметричных алгоритмов шифрования.
Для работы алгоритма требуется чтобы у клиентов был набор параметров алгоритма. Генерация параметров алгоритма DH длительный и ресурсоемкий процесс, поэтому параметры генерируются заранее (каждым пользователем самостоятельно). Это можно сделать при помощи генератора встроенного в клиентскую программу, или же при помощи бесплатной и общедоступной утилиты openSSL (www.openssl.org), или же при помощи собственной утилиты, которой пользователь доверяет. Генерация ключевых параметров длиной 1024 бит на современном PC занимает от десятков секунд, до минуты, в то время как на генерацию параметров длиной 4096 бит может потребоваться несколько часов. 

В чистом виде алгоритм Диффи-Хеллмана уязвим к атаке – «человек посредине», поэтому для противодействия такому виду атак, сообщения содержащие сеансовые открытые ключи алгоритма должны быть защищены от подмены (но не от перехвата). Для этого сообщения подписываются каждой стороной, цифровой подписью, основанной на ассиметричном алгоритме. Кроме того, в подпись также входит уникальный номер соединения – случайное число, которое формируется сервером, и передается обеим сторонам через защищенное соединение с сервером. Это сделано для предотвращения, гипотетической атаки, связанной с воспроизведением злоумышленником ранее записанных сообщений обмена ключами.

Цифровые подписи, приватные ключи, запросы сертификатов, сертификаты.

Алгоритмы цифровой подписи основываются на ассиметричной криптографии.
Каждый клиент сам себе генерирует пару ключей (публичный / приватный). Для цифровой подписи сообщения требуется приватный ключ, тогда как для проверки подписи достаточно публичного ключа.
Пользователь самостоятельно генерирует себе пару ключей при помощи встроенного в клиентскую программу генератора, или же использует бесплатную и общедоступную утилиту openSSL (www.openssl.org), или же при помощи собственной утилиты, которой пользователь доверяет. Однако если пользователь А передавал свой публичный ключ пользователю В не лично из рук в руки, а каким либо образом через сеть, как пользователь, B может быть уверен в том, что это он получил на самом деле публичный ключ пользователя А? Ведь по пути передачи ключа может находиться злоумышленник, который сгенерирует свою пару ключей и передаст пользователю A свой ключ вместо ключа пользователя B, а дальше сможет вмешиваться в обмен.

Эта проблема устраняется при помощи инфраструктуры публичных ключей (PKI).

Приватный ключ и Публичный ключ – это просто наборы параметров алгоритма. Приватный ключ пользователь хранит у себя (возможно зашифровать приватный ключ паролем, тогда при его использовании этот пароль потребуется вводить), а публичный ключ предполагается раздавать другим пользователям. Однако просто набор параметров раздавать небезопасно. Проблема описана выше. Для ее устранения другим пользователям передается не просто набор параметров (собственно публичный ключ), а специальный файл, в котором помимо публичного ключа содержится информация о том, чей это ключ – субъект ключа, а также цифровая подпись и информация о том кто выдал сертификат (чья цифровая подпись стоит). Такой файл называется «сертификат публичного ключа пользователя».  Для того чтобы из публичного ключа, получить сертификат публичного ключа пользователь формирует специальный файл – «Запрос сертификата», в котором помимо публичного ключа хранится информация о субъекте ключа, и отправляет этот файл запроса в «Доверенный центр сертификации ключей» по защищенному от подмены каналу связи. А уже  «Доверенный центр сертификации ключей», получив файл запроса сертификата, формирует «сертификат публичного ключа пользователя», в который заносит информацию о себе (Издатель / Issuer), срок действительности сертификата, а также свою цифровую подпись.

А как пользователь может проверить подпись чужого сертификата? Очевидно, что для этого у него должен быть публичный ключ (сертификат публичного ключа) того, кто этот сертификат подписал, и пользователь должен этому человеку (органу) доверять. Или же сертификат того, кто подписал сертификат пользователя, в свою очередь заверен цифровой подписью того, кому пользователь доверяет. Это называется цепочка сертификации.

Корневой сертификат это сертификат находящийся в самом конце цепочки сертификации.

Существует еще понятие самоподписанный сертификат (self-signed). Это означает сертификат, который подписан его же публичным ключом. Реально такая подпись ничего не дает, однако файл сертификата получается соответствующим спецификации (с подписью). Любой человек может сформировать самоподписанный сертификат с субъектом,  например Microsoft corporation. Использование клиентских самоподписанных сертификатов настоятельно не рекомендуется, и по-умолчанию, запрещено в клиентской программе Cryptia.  Все корневые сертификаты самоподписанные – по определению. Поэтому надо быть очень осторожным с установкой корневого сертификата. Как правило, корневые сертификаты встраиваются производителем в устройства или в операционную систему.
Сервер cryptia.com совмещает в себе сервер соединений и сервер центра сертификации ключей, Сертификат сервера cryptia.com, подписан доверенным центром сертификации, а сертификат этого доверенного центра встроен во все экземпляры клиентской программы Cryptia.

Отзыв сертификата.

Предположим, что ваш приватный ключ утерян. Или еще хуже: вам пришлось его отдать злоумышленнику. А сертификат публичного ключа, соответствующий этому приватному ключу, роздан другим пользователям. Как обезопаситься от несанкционированного использования приватного ключа?  Можно, конечно, связаться со всеми кому был роздан сертификат и попросить удалить его, ну а если с кем-то связаться не удалось? Проще отозвать сертификат. Вы отправляете в центр сертификации заявку на отзыв сертификата, и центр сертификации отмечает в своей базе данных этот сертификат, как отозванный, а также заносит его в специальный «Список отозванных сертификатов».  Точно так же как если вы потеряли паспорт – желательно написать заявление об утере, а орган, выдавший паспорт, в свою очередь поместит его в список утерянных паспортов. Клиентская программа должна, перед тем как использовать чужой сертификат, проверить, не отозван ли он.  Это делается несколькими способами.

CRL (Certificate revocation list). Центр сертификации формирует список отозванных сертификатов и предоставляет доступ к нему клиентам.

CRL delta. Похоже на CRL, но только клиент получает не весь список, а только обновление списка, начиная с какой-то даты. Предполагается что клиент хранит старые списки.

OCSP (Online certificate status protocol). Протокол онлайновой проверки статуса сертификата. Клиент соединяется с сервером центра сертификации и запрашивает статус конкретного сертификата.
Так как сервер Cryptia совмещает в себе сервер Центра сертификации и сервер соединений он передает клиенту список отозванных сертификатов другого клиента в момент попытки установить с ним соединение. Это сделано для увеличения производительности и снижения сетевого трафика.

Механизм установления прямого зашифрованного соединения между клиентами.

Для того чтобы установить прямое зашифрованное соединение между клиентами А и B требуется следующее:

Инициатор соединения  - клиент A.
Клиент A должен иметь сгенерированный набор параметров для алгоритма DH (ECDH)(или несколько наборов).
Клиент A должен иметь сертификат публичного ключа клиента B (или несколько сертификатов).
Клиент B должен иметь сертификат публичного ключа клиента A (или несколько сертификатов).
Клиенты A и B должны быть соединены с сервером Cryptia.

1. Клиент A передает серверу Cryptia сообщение, в котором указывает, что желает установить прямое соединение с клиентом B. Сервер генерирует случайное число, являющееся идентификатором соединения. Сервер передает сообщение клиенту B, в котором передает идентификатор соединения и запрашивает у клиента B его временные номера портов UDP для этого сеанса.

2. Клиент B запоминает идентификатор соединения, открывает временные UDP порты для соединения и передает их серверу.

3. Сервер передает клиенту А текущий IP адрес клиента B, номера портов клиента B, полученные на шаге 2, а также идентификатор соединения.

Все дальнейшее общение происходит между клиентами A и B напрямую, минуя сервер.

4. Клиент A передает клиенту В сообщение содержащее список своих сертификатов, список имеющихся у него сертификатов клиента B, список поддерживаемых симметричных алгоритмов (в порядке предпочтения) и список хеш-функций от своих  наборов параметров DH (или ECDH).

5. Клиент B выбирает из полученного списка сертификатов клиента А, сертификат имеющийся у него, из своих сертификатов сертификат имеющийся у клиента A, из списка поддерживаемых симметричных алгоритмов первый же поддерживаемый им, а также ищет в своем Кеше параметров DH, для данного клиента А набор параметров с таким же значением хеш-функции как ему передано клиентом А. Клиент B передает клиенту A индексы выбранных сертификатов, симметричного алгоритма и, если найдено, индекс найденного у себя набора параметров DH клиента А.

6. Клиент A передает клиенту B сообщение содержащее следующие поля:

Параметры DH, если клиент B на шаге 5 не нашел их в своем Кеше. Если параметры найдены клиентом B, то клиент A их не передает.

Свой публичный DH ключ, рассчитанный на выбранном наборе параметров DH. Сгенерированный секретный ключ DH хранится в его ОЗУ.

Цифровую подпись, которая рассчитывается по выбранному набору параметров DH, публичному ключу DH и уникальному идентификатору сеанса, полученному от сервера на шаге 3. Цифровая подпись делается на приватном ключе, той пары ключей сертификат от которой нашел клиент B на шаге 5.

7. Клиент B проверяет подпись сообщения. Для проверки подписи используется публичный ключ, из выбранного им сертификата клиента А.

Если подпись подтверждается, то клиент В генерирует свой секретный сеансовый ключ DH, рассчитывает свой публичный ключ DH из него, а также рассчитывает согласованный ключ из своего секретного ключа и публичного ключа клиента А,  и передает клиенту А сообщение, которое содержит его публичный ключ DH, а также подпись его публичного ключа DH. Подпись делается на приватном ключе, той пары ключей, сертификат от которой имеется у клиента A. (Согласованно на шагах 4 и 5)

8. Клиент A проверяет подпись сообщения. Для проверки подписи используется публичный ключ, из сертификата, который клиент B выбрал и передал клиенту A на шаге 5.  Если подпись подтверждается, то клиент A рассчитывает согласованный ключ из своего секретного ключа DH и публичного ключа DH клиента B.

Далее весь трафик между клиентами идет зашифрованным симметричным алгоритмом, который согласован на шагах 4-5.

Примечания:

1. Шаги 1-3 приведены в сильно упрощенном виде, важном для понимания криптографии. В реальной системе на этих шагах, если нужно, осуществляется ряд служебных обменов между сервером и каждым из клиентов для прохождения NAT. С точки зрения криптографии важно, то что после завершения этих операций клиенты А и B имеют одинаковый идентификатор сеанса, полученный по защищенному каналу от сервера, клиент А имеет внешний IP адрес и порты клиента B и инфраструктура сети «подготовлена» для доставки пакетов от A до B (проложены туннели через NAT).

2. Долговременная стойкость к вскрытию сеанса, определяется длиной ключа алгоритма DH (ECDH), а не длиной ключа, используемой для цифровой подписи. Ключ для цифровой подписи не обязан быть очень длинным, так как времени на подделку подписи у злоумышленника имеется максимум 20 сек (время в течении которого клиент ожидает ответа от противоположного клиента). Подделанная через 1 мин подпись уже никому не нужна и несет угрозы для вскрытия сеанса.

3. Сервер не знает и не может знать, какой набор параметров DH (ECDH) и какие ключи использовались для установки соединения, так как все эти параметры передаются от клиента до клиента напрямую.

4. Параметры DH (ECDH) передаются от клиента инициатора, до клиента получателя в открытом виде, что не несет в себе никакой угрозы, однако это делается только при первом установлении соединения. Клиент-получатель кеширует, полученные параметры DH (ECDH) клиента-инициатора и при последующих соединениях эти параметры  передаваться не будут. Есть возможность вручную занести набор параметров в Кеш. В этом случае параметры DH (ECDH) вообще никогда не будут передаваться в открытом виде, а задача вскрытия будет состоять в решении уравнения с 3!!! Неизвестными, тогда как это уравнение (A=g^a mod p) даже с одним неизвестным «a» на данном этапе никто не умеет решать, иначе чем полным перебором, что бессмысленно.

5. В описании шагов 4-5 используется «список сертификатов». На самом деле сами сертификаты не передаются, а передаются значения SubjectKeyID из сертификата, являющие собой значение хеш-функции вычисленной от определенных полей сертификата.

6. Если согласованный по DH (ECDH) ключ короче чем 1536 бит, которые нужны для того чтобы использовать 4 ключа по 256 бит и 4 вектора инициализации по 128 бит, то в этом случае используется криптостойкий генератор псевдослучайных последовательностей, используя алгоритм AES, а сформированное по DH (ECDH) значение используется качестве ключа для AES (и вектора инициализации).

7. На шагах 1 и 3 сервер передает клиентам также список отозванных сертификатов другой стороны если таковые имеются, а клиентская программа далее не пытается их использовать.

Контрольный код

Контрольный код это простой инструмент проверки пользователями отсутствия «человека - посредине».  В результате работы алгоритма DH обе стороны соединения получат согласованный ключ (один и тот же). Длина этого ключа будет равна длине параметров алгоритма DH (минимум 1024 бита). Контрольный код - это 32 битный хеш от согласованного ключа. Разумеется, код должен получиться одинаковым на обеих сторонах. Этот код показывается в окне пользователю, и пользователи могут голосом удостовериться в идентичности.  Контрольный код не передается через сеть и нигде не сохраняется. На самом деле это избыточная защита.

Преймущества согласования ключей по Диффи-Хеллману перед шифрованием случайного ключа ассиметричным алгоритмом (PGP и др.).

PGP (GNUPG)  также использует для шифрования файлов проверенные симметричные алгоритмы, в которых в качестве ключа используется случайный сеансовый ключ, который в свою очередь шифруется ассиметричным алгоритмом (EL Gamal-Encryption или RSA). Такая схема имеет существенный недостаток:
Предположим, что злоумышленник имеет возможность, регистрировать все ваши сеансы.  Разумеется, он не может их расшифровать ни в том, ни в другом случае.  Однако, если когда-нибудь он получит доступ к секретному ключу, во втором случае он сможет расшифровать все имеющиеся в его распоряжении, ранее записанные сообщения. В случае согласования ключей по Диффи-Хеллману компрометация секретного ключа не ведет к расшифровке ранее записанных сообщений, так как сеансовые секретные ключи алгоритма Диффи-Хелмана существуют только в ОЗУ короткое время и вообще никуда не передаются и нигде не сохраняются.
Если старые сеансы связи представляют собой какую-либо ценность, то в случае использования схемы с шифрованием случайного ключа вы рискуете, что злоумышленниками будет предпринята попытка «добыть» ваш секретный ключ.  Насколько неприятно для вас будут действия, обозначенные словом «добыть» решайте сами.  В случае же использования схемы согласования ключа по Диффи-Хелману, вы можете, по требованию, отдавать ваш секретный ключ, не опасаясь при этом расшифровки старых сеансов связи.

Политика выдачи клиентских сертификатов сервисом Cryptia.com

Запросы на получение сертификата принимаются только по встроенному в Cryptia Secure Messenger протоколу.

Пользователь, отправляющий запрос на сертификат, должен успешно пройти аутентификацию на сервере, при помощи пароля или другой пары ключей.

Поле CN (commonName) сертификата должно соответствовать Login пользователя на сервере. Запросы в которых CN не соответствуют Login отвергаются.

Из поля Subject удаляются все поля, кроме поля CN (commonName). Сервер подписывается только под тем, что он может проверить.

Серийный номер сертификата имеет длину 64 бита.
Срок начала действия сертификата устанавливается в текущее время в момент генерации сертификата.
В расширенных полях сертификата (X509 Extension) содержится следующая информация:

Key Usage: Digital Signature.
Subject Key Identifier: HASH SHA1.
Basic constraints: CA: FALSE
Authority Key Identifier: HASH SHA1 – Subject Name

Запрос на сертификат может быть отменен только до завершения генерации сертификата сервером. Позже можно только отзывать сертификат.

Запросы на отзыв сертификата принимаются только по встроенному в Cryptia Secure Messenger протоколу.

Пользователь, отправляющий запрос на отзыв сертификата, должен успешно пройти аутентификацию на сервере.

После завершения процедуры отзыва сертификата вернуть статус сертификата в рабочий невозможно.

Версии

Cryptia client x86 for Debian based Linux distro
Cryptia client x86 for RPM based Linux distro

Cryptia client x64 for Debian based Linux distro
Cryptia client x64 for RPM based Linux distro

Cryptia client for Mac OS X

Cryptia client for Windows

Cryptia SIP Gateway

Корпоративное решение для компаний, желающих интегрировать защищенные коммуникации с клиентами в имеющуюся инфраструктуру.

Интегрируйте безопасные решения в имеющуюся корпоративную инфраструктуру

Как правило в работающих компаниях имеется телефонная инфраструктура и отлаженные бизнес-процессы. Предлагаемое решение позволяет внедрить защищенные голосовые коммуникации не меняя работающую инфраструктуру и без переобучения персонала. Корпоративный клиент устанавливает на своем сервере наше ПО, которое конвертирует защищенный трафик из интернета в незащищенный SIP трафик и заводит его в свою офисную АТС. Практически все новые офисные АТС поддерживают SIP. Даже если АТС клиента не поддерживает SIP, на рынке имеется достаточное количество решений конвертирующих трафик SIP в обычные аналоговые телефонные линии, которые заводятся в любую офисную АТС.

Бизнес-аккаунт

Пакеты	Цена
Корпоративный сервер сертификации ключей (CA) Преймущества: Вся криптография под контролем. Сервер может быть не виден. Недостатки: В случае если трафик идет через сервер ретрансляции на сервере может остаться мета-информация о соединении как то: количество байт/пакетов отправленных/принятых.	US$499/год
Корпоративный сервер ретрансляции трафика Преймущества: Мета-информация о соединениях ограничена только фактом установки соединения между абонентами с датой и временем. Недостатки: Сервер должен иметь прямой IP адрес. Требуется администратор, который бы следил за его работоспособностью.	US$399/год
Корпоративный сервер хранения. Преймущества: Весь архив принятых и полученных сообщений/файлов под контролем. Недостатки: Сервер должен иметь прямой IP адрес. Требуется администратор, который бы следил за его работоспособностью.	US$499/год
Пакет: Корпоративный сервер сертификации+корпоративный сервер ретрансляции трафика	US$850/год
Пакет: Свой CA + свой Relay + свой Storage	US$999/год
Полностью свои сервера. Преймущества: Все под полным контролем. Недостатки: Невозможно соедениться абонентам не входящим в вашу корпорацию. Требуется квалифицированный администратор, на плечи котороголожатся все сложности с администрированием сервиса, отражением DOS атак и.т.д.	-
Кастомизированные клиенты с логотипами заказчика и требуемыми функциями	-