04 курс

Спринт 4

Пакеты hash, crypto. Безопасность информации
5/5
Введение в спринт 4
Хеширование и шифрование
Авторизация: JSON Web Token
Инкремент 14
Что вы узнали
Многопоточность
9/9
Тема 1/2: Пакеты hash, crypto. Безопасность информации → Урок 2/5

Пакеты hash, crypto. Безопасность информации

Лиза
Привет, ребята! Как я по вам соскучилась!
Саша
Привет, Лиз!
Лиза
Вот на всякий случай запасные ключи от коттеджа. Ваши комнаты на втором этаже. Располагайтесь. Скоро камин растопим.
Саша
О, класс.
Саш, а как там с чемоданом?
Лиза
А что с чемоданом?
Саша
Маленькая проблема. Мы похитили Диминого гофера. Точнее, она сама забралась к нам в багаж.
Лиза
Она?
Саша
Да, её зовут Галя. Но кажется, я понял, как разгадать шифр и вызволить её из чемодана.
Ура!
Лиза
Не сомневалась, что у тебя получится.
Сегодня у нас лекция от Саши про криптографию, завтра мастер-класс про авторизацию, а вечером брейншторм. Будем думать, как применить эти технологии в наших сервисах.
В цифровом мире данные — наиболее важный и одновременно наиболее уязвимый элемент системы. Хакеры изобретают новые способы взлома сайтов и приложений. Целью атак могут быть личные данные пользователей или программный код. Столкнуться с утечкой — значит потерять доверие аудитории. Мало кто захочет пользоваться сервисом, разработчики которого не заботятся о защите конфиденциальной информации.
Сервис, который вы написали, выполняя инкременты, уже достаточно большой и сложный. Вы подключили базу данных и организовали обмен информацией между сервером и клиентом. Пришло время сделать ваш сервис безопаснее.
В этой теме вы научитесь:
  • работать с криптостойким генератором случайных чисел (он применяется для создания ключей и паролей);
  • вычислять хеши SHA-256 и MD5 (хеши используются для контроля целостности и подписывания данных);
  • подписывать данные (подпись нужна для генерации токенов);
  • зашифровывать и расшифровывать данные алгоритмом симметричного шифрования AES;
  • защищать данные и пароли.
image

Хеширование и шифрование

Наука о методах защиты информации путём использования алгоритмов шифрования, хеширования и подписывания называется криптографией (cryptography). Цель — обеспечить безопасность данных, а именно:
  • конфиденциальность (невозможность для посторонних прочесть информацию);
  • целостность (невозможность незаметно изменить информацию);
  • аутентификацию (возможность проверить и подтвердить подлинность авторства и других свойств объекта).
Шифрование (encryption), или алгоритм шифрования, — это технология кодирования и декодирования данных. Цель шифрования — сделать данные недоступными для чтения постороннему наблюдателю, даже если их удалось перехватить. Современные алгоритмы шифрования используют сложные математические вычисления и один или несколько ключей шифрования. Благодаря этому можно зашифровать сообщение, но практически невозможно его расшифровать, не зная ключей.
При кодировании данных взаимодействуют отправитель и получатель. Отправитель шифрует и подписывает сообщения, а получатель — расшифровывает и проверяет подписи.
Алгоритмы шифрования бывают симметричные и асимметричные. В симметричных алгоритмах отправитель и получатель используют один и тот же ключ.
С помощью симметричного ключа алгоритм преобразует сообщение из обычного текста в зашифрованный.
Алгоритм преобразует зашифрованный текст в обычный с помощью того же симметричного ключа.
В асимметричных алгоритмах для шифрования данных используются приватные и публичные ключи. Например, пользователь в чате отправляет вам данные, зашифрованные вашим публичным ключом, но расшифровать их сможете только вы — своим приватным ключом. Также вы можете подписать файл или сообщение приватным ключом, а другой человек — проверить его подлинность, зная публичный ключ.
Открытый (публичный) ключ доступен всем. Он используется для шифрования данных. Закрытый (приватный) ключ известен только владельцу. Используется для расшифровки данных.
Применение асимметричных алгоритмов значительно упрощает обмен ключами, так как публичные ключи могут передаваться по открытым каналам связи. Тема асимметричных алгоритмов очень объёмная, поэтому не включена в этот курс. Рассмотрим подробно только симметричные ключи.
Саша
Есть несколько способов защитить данные. Самый простой — создать шифр с помощью генератора случайных чисел.
Одноразовые пароли, которые приходят в смс, когда я покупаю что-то в интернет-магазине, создаются таким генератором?
Саша
Да. Ещё комбинации рандомных чисел используются при генерации ключей и цифровых подписей.

Генераторы случайных чисел

Генератор псевдослучайных чисел — это генератор, который производит случайные байты на основе стартового числа seed и математического алгоритма. Зная число seed, можно повторить дальнейшую последовательность байт.
Чтобы написать программу для генерации случайных чисел на Go, можно использовать пакет math/rand стандартной библиотеки. Рассмотрим, как работают псевдослучайные числа, которые предлагает этот пакет. Напишем простую программу:
GO
package main

import (
    "fmt"
    "math/rand"
)

func main() {
    // NewSource возвращает новый псевдослучайный источник с заданным значением.
    sec1 := rand.New(rand.NewSource(10))
    sec2 := rand.New(rand.NewSource(10))

    for i := 0; i < 5; i++ {
        // генерация случайных значений из источников
        rnd1 := sec1.Int()
        rnd2 := sec2.Int()
        if rnd1 != rnd2 {
            fmt.Println("Сгенерированная случайным образом последовательность")
            break
        } else {
            fmt.Printf("rnd1: %d, rnd2: %d\n", rnd1, rnd2)
        }
    }
}
После запуска программы получим примерно такой вывод (у вас он может быть другим — это же рандом):
BASH
$ go run main.go
rnd1: 5221277731205826435, rnd2: 5221277731205826435
rnd1: 3852159813000522384, rnd2: 3852159813000522384
rnd1: 8532807521486154107, rnd2: 8532807521486154107
rmd1: 3888302351045490779, rnd2: 3888302351045490779
rmd1: 4512466281294657143, rnd2: 4512466281294657143
Обратите внимание, что значения повторяются. Этот вариант генерации псевдослучайных чисел криптографически ненадёжен. И вот почему. Он позволяет генерировать одинаковую последовательность с одинаковым номером seed, используя метод Source(). Такой подход обычно применяется в тестах, так как он воспроизводит последовательность чисел.
Пакет math/rand не подходит для генерации чувствительных данных, например куки-файлов, токенов или ключей. Для подобных задач генератор случайных чисел должен сохранять непредсказуемость и быть стойким к дешифрованию.
А можно как-то проверить, насколько надёжен генератор случайных чисел?
Саша
Да, конечно. Для этого существует тест на следующий бит.
Что он проверяет?
Саша
Криптостойкость. Тест должен предсказать следующий бит в последовательности случайных чисел, учитывая, что предыдущие биты уже известны. Если генератор случайных чисел будет стойким к дешифровке, то предсказать следующий бит, а значит, заполучить секретные данные практически невозможно.
Даже если злоумышленник знает предыдущие биты?
Саша
Верно. Можно сказать, что это «тест на случайность».

Криптостойкий генератор случайных чисел

Выделяют два основных способа атак:
  • Первый — вычислить алгоритм генератора и математически вывести число seed на основе N чисел из последовательности.
  • Второй — перебрать все последовательности под различными стартовыми числами seed. Так как в приложениях в качестве seed обычно используется текущее время, злоумышленникам гораздо легче подобрать значения.
От подобных атак спасает криптостойкий генератор случайных чисел. Он производит байты на основе энтропии, порождаемой аппаратно. Такую случайность нельзя предугадать, поэтому невозможно вывести всю последовательность. Этот генератор реализован на уровне операционной системы.
Энтропия, или информационная энтропия, — это мера неопределённости. Чем больше неопределённость, тем больше энтропия.
В Go сгенерировать криптостойкие случайные байты можно функцией rand.Read() из пакета crypto/rand. В параметре функции нужно передать слайс байт ненулевой длины, который будет заполнен случайными байтами. Размер слайса не изменяется.
Чтобы использовать полученный слайс байт, например для куки-файлов, нужно дополнительно его закодировать. Это можно сделать функцией hex.EncodeToString() из пакета encoding/hex:
GO
package main

import (
    "crypto/rand"
    "encoding/hex"
    "fmt"
)

func main() {
    // определяем слайс байт нужной длины
    b := make([]byte, 16)
    _, err := rand.Read(b) // записываем байты в слайс b
    if err != nil {
        fmt.Printf("error: %v\n", err)
        return
    }

    fmt.Println(hex.EncodeToString(b))
}
В отличие от простого генератора псевдослучайных чисел, этот код будет каждый раз при запуске выводить новую последовательность байт.
Функция hex.EncodeToString() возвращает строку в 16-теричном формате.

Задание 1/4

Напишите функцию, которая будет генерировать слайс случайных байт. Размер слайса передаётся параметром.
Функция должна возвращать слайс в виде строки в кодировке base64. Используйте пакет encoding/base64.

Хеширование

Хеш-функция — это функция, преобразующая произвольный массив данных в строку фиксированной длины. Строка состоит из букв и цифр и представляет собой набор байтов. Длина строки зависит не от объёма данных, которые хешируются, а от используемого алгоритма.
С работой хеш-функции можно встретиться при регистрации нового адреса электронной почты. Созданные пользователем логин и пароль пропускаются через определённую хеш-функцию — значение хеша записывается в базу данных. После регистрации, когда пользователь вводит логин и пароль для входа, они снова пропускаются через хеш-функцию. Значение хеша сравнивается с тем, которое было записано в базу данных. Если значения совпадают, пользователь успешно войдёт в систему.
Результат работы хеш-функции называют хешем. Например, строка «Yandex Practicum» после хеширования алгоритмом MD5 (Message Digest 5) выглядит так:
TEXT
1b126d63a8122a2f7c34d9983a4301d0
А строка «I love Yandex Practicum» — так:
TEXT
b9652aa716b126cf8a393aa6d848ee4b
Длина хеша осталась той же, несмотря на то что вторая строка была длиннее.
Одно из основных требований к хеш-функции — уникальность получаемого хеша и практически полное отсутствие коллизий. Коллизия — это совпадение результатов хеш-функции при разных входящих данных. Обработка разных наборов данных не должна выдавать одинаковое значение хеша.
Хеши бывают криптографические и некриптографические. Некриптографические хеш-функции возвращают слишком короткую последовательность байт. Например, CRC32 и CRC64 (Cyclic Redundancy Check) возвращают 32- и 64-битные целые числа, что соответствует четырём и восьми байтам. Из-за этого часто возникают коллизии.
Особенность криптографических хеш-функций в том, что получить из результата изначальные данные или коллизию вычислительно сложно.
Если коллизию получить легко, это проблема. Например, если вы используете для создания подписи слабую хеш-функцию (MD5, SHA-1), то изначальные данные можно подделать. И вам не удастся это обнаружить, ведь хеш совпадает.
image

Криптографические хеш-функции

Разберём подробнее криптографические хеш-функции. В Go есть общий для всех хеш-функций интерфейс — hash.Hash.
Для примера вычислим хеш функции SHA-256 (Secure Hash Algorithm). Реализация этой функции представлена в пакете crypto/sha256.
GO
package main

import (
    "crypto/sha256"
    "fmt"
)

func main() {
    src := []byte("Здесь могло быть написано, чем Go лучше Rust. " +
        "Но после хеширования уже не прочитаешь.")

    // создаём новый hash.Hash, вычисляющий контрольную сумму SHA-256
    h := sha256.New()
    // передаём байты для хеширования
    h.Write(src)
    // вычисляем хеш
    dst := h.Sum(nil)

    fmt.Printf("%x", dst)
}
Если у вас есть байтовый слайс, то посчитать хеш SHA-256 можно вызовом одной функции: Sum256(data []byte). Она возвращает массив из 32 байт — это длина получаемого хеша.
Ещё одна популярная хеш-функция — MD5 из пакета crypto/md5. Она работает очень быстро и возвращает хеш длиной 16 байт. Хотя MD5 не рекомендуют использовать из-за низкой криптостойкости, эту функцию всё ещё применяют для подсчёта контрольных сумм файлов и хеширования некритичной информации.

Задание 2/4

Допишите программу, которая считает хеш случайной последовательности в 512 байт при помощи алгоритма MD5. Используйте интерфейс hash.Hash и функцию md5.Sum([]byte).
GO
package main

import (
    "bytes"
    "crypto/md5"
    "crypto/rand"
    "fmt"
)

func main() {
    var (
        data  []byte         // слайс случайных байт
        hash1 []byte         // хеш с использованием интерфейса hash.Hash
        hash2 [md5.Size]byte // хеш, возвращаемый функцией md5.Sum
    )
    // допишите код
    // 1) сгенерируйте data длиной 512 байт
    // 2) вычислите hash1 с использованием md5.New
    // 3) вычислите hash2 функцией md5.Sum

    // ...

    // hash2[:] приводит массив байт к слайсу
    if bytes.Equal(hash1, hash2[:]) {
        fmt.Println("Всё правильно! Хеши равны")
    } else {
        fmt.Println("Что-то пошло не так")
    }
}

Подпись данных

При обмене данными по сети получателю важно идентифицировать отправителя и быть уверенным, что после отправки в эти данные не вносились изменения. В бумажных документах такой проблемы нет, потому что содержание документа и рукописная подпись автора закреплены на бумаге, то есть связаны физическим носителем данных. В электронных документах эта связь отсутствует.
Чтобы можно было проверить целостность данных и подлинность автора, используется цифровая подпись. Для этого создаётся определённая последовательность байт. При больших объёмах данных лучше вычислять и подписывать их хеш.
Рассмотрим, как можно подписывать данные при обмене информацией по сети. Предположим, новым пользователям приложения сервер выдаёт токены и пишет их в куки. При повторном обращении юзера сервер читает куки и идентифицирует пользователя. Как защититься от генерации и использования токенов посторонними лицами? Одно из решений — подписывать и проверять токены секретным ключом, который хранится на сервере.
Создадим подпись данных с помощью алгоритма HMAC (Hash-based Message Authentication Code). В отличие от обычных хеш-функций, для функции hmac.New(h func() hash.Hash, key []byte) hash.Hash нужно указать используемую криптографическую хеш-функцию и ключ.
GO
package main

import (
    "crypto/hmac"
    "crypto/rand"
    "crypto/sha256"
    "fmt"
)

func generateRandom(size int) ([]byte, error) {
    // генерируем случайную последовательность байт
    b := make([]byte, size)
    _, err := rand.Read(b)
    if err != nil {
        return nil, err
    }

    return b, nil
}

func main() {
    // подписываемое сообщение
    src := []byte("Видишь гофера? Нет. И я нет. А он есть.")

    // создаём случайный ключ
    key, err := generateRandom(16)
    if err != nil {
        fmt.Printf("error: %v\n", err)
        return
    }

    // подписываем алгоритмом HMAC, используя SHA-256
    h := hmac.New(sha256.New, key)
    h.Write(src)
    dst := h.Sum(nil)

    fmt.Printf("%x", dst)
}
В этом примере невозможно проверить исходную строку и полученную подпись, так как случайный ключ исчез после завершения программы. Чтобы проверить подлинность подписи, нужно произвести две операции:
  1. Заново пересчитать подпись с тем же ключом.
  2. Функцией hmac.Equal проверить, что подписи совпадают.

Задание 3/4

Представьте, что вы получили сообщение, представленное строкой байтов в 16-теричном формате, состоящее из идентификатора uint32 и подписи. Проверьте подпись алгоритмом HMAC, используя хеш-функцию SHA-256 и секретный ключ. Выведите значение идентификатора.
GO
package main

import (
    "crypto/hmac"
    "crypto/sha256"
    "encoding/binary"
    "encoding/hex"
    "fmt"
)

var secretkey = []byte("secret key")

func main() {
    var (
        data []byte // декодированное сообщение с подписью
        id   uint32 // значение идентификатора
        err  error
        sign []byte // HMAC-подпись от идентификатора
    )
    msg := "048ff4ea240a9fdeac8f1422733e9f3b8b0291c969652225e25c5f0f9f8da654139c9e21"

    // допишите код
    // 1) декодируйте msg в data
    // 2) получите идентификатор из первых четырёх байт,
    //    используйте функцию binary.BigEndian.Uint32
    // 3) вычислите HMAC-подпись sign для этих четырёх байт

    // ...

    if hmac.Equal(sign, data[4:]) {
        fmt.Println("Подпись подлинная. ID:", id)
    } else {
        fmt.Println("Подпись неверна. Где-то ошибка")
    }
}
Программа должна вывести: Подпись подлинная. ID: 76543210.

Шифрование

Как уже было сказано, алгоритмы шифрования делятся на симметричные и асимметричные. Симметричные требуют для шифрования и расшифровки один и тот же ключ, асимметричные работают с приватными и публичными ключами.
image
Рассмотрим подробнее симметричные алгоритмы. Базовый интерфейс симметричного шифрования — cipher.Block из пакета crypto/cipher.
Зашифруем и расшифруем текст с помощью алгоритма AES (Advanced Encryption Standard). Это блочный алгоритм, размер блока — 16 байт.
Для работы алгоритма нужно сгенерировать ключ из 16, 24 или 32 байт. В зависимости от размера ключа будет выбрано шифрование AES-128, AES-192 или AES-256. Чем длиннее ключ, тем более криптостойким получится шифр.
GO
package main

import (
    "crypto/aes"
    "crypto/rand"
    "fmt"
)

func generateRandom(size int) ([]byte, error) {
    // генерируем криптостойкие случайные байты в b
    b := make([]byte, size)
    _, err := rand.Read(b)
    if err != nil {
        return nil, err
    }

    return b, nil
}

func main() {
    src := []byte("Слепой банкир") // данные, которые хотим зашифровать
    fmt.Printf("original: %s\n", src)

    // константа aes.BlockSize определяет размер блока, она равна 16 байтам
    key, err := generateRandom(aes.BlockSize) // ключ шифрования
    if err != nil {
        fmt.Printf("error: %v\n", err)
        return
    }

    // получаем cipher.Block
    aesblock, err := aes.NewCipher(key)
    if err != nil {
        fmt.Printf("error: %v\n", err)
        return
    }

    dst := make([]byte, aes.BlockSize) // зашифровываем
    aesblock.Encrypt(dst, src)
    fmt.Printf("encrypted: %x\n", dst)

    src2 := make([]byte, aes.BlockSize) // расшифровываем
    aesblock.Decrypt(src2, dst)
    fmt.Printf("decrypted: %s\n", src2)
}
Обратите внимание, что в примере получается зашифровать только сообщение, совпадающее по длине с ключом шифрования. На практике это неудобно.
Рассмотрим, как можно зашифровать сообщение произвольной длины. Нужен алгоритм, который делил бы данные на блоки, преобразовывал и подавал их на вход алгоритму AES. Для этого можно воспользоваться алгоритмом GCM (Galois/Counter Mode).
image
Для работы GCM нужно дополнительно сгенерировать вектор инициализации из 12 байт. Вектор должен быть уникальным для каждой процедуры шифрования. Если переиспользовать один и тот же вектор, можно атаковать алгоритм, подавая на вход данные с разницей в один байт, и по косвенным признакам вычислить ключ шифрования.
GO
package main

import (
    "crypto/aes"
    "crypto/cipher"
    "crypto/rand"
    "fmt"
)

func generateRandom(size int) ([]byte, error) {
    // генерируем криптостойкие случайные байты в b
    b := make([]byte, size)
    _, err := rand.Read(b)
    if err != nil {
        return nil, err
    }

    return b, nil
}

func main() {
    src := []byte("Ключ от сердца") // данные, которые хотим зашифровать
    fmt.Printf("original: %s\n", src)

    // будем использовать AES-256, создав ключ длиной 32 байта
    key, err := generateRandom(2 * aes.BlockSize) // ключ шифрования
    if err != nil {
        fmt.Printf("error: %v\n", err)
        return
    }

    // NewCipher создает и возвращает новый cipher.Block. 
    // Ключевым аргументом должен быть ключ AES, 16, 24 или 32 байта 
    // для выбора AES-128, AES-192 или AES-256.
    aesblock, err := aes.NewCipher(key)
    if err != nil {
        fmt.Printf("error: %v\n", err)
        return
    }

    // NewGCM возвращает заданный 128-битный блочный шифр
    aesgcm, err := cipher.NewGCM(aesblock)
    if err != nil {
        fmt.Printf("error: %v\n", err)
        return
    }

    // создаём вектор инициализации
    nonce, err := generateRandom(aesgcm.NonceSize())
    if err != nil {
        fmt.Printf("error: %v\n", err)
        return
    }

    dst := aesgcm.Seal(nil, nonce, src, nil) // зашифровываем
    fmt.Printf("encrypted: %x\n", dst)

    src2, err := aesgcm.Open(nil, nonce, dst, nil) // расшифровываем
    if err != nil {
        fmt.Printf("error: %v\n", err)
        return
    }
    fmt.Printf("decrypted: %s\n", src2)
}

Задание 4/4

Итак, у вас есть зашифрованное сообщение и пароль. Расшифруйте текст, если известно, что:
  • сообщение зашифровано алгоритмами GCM и AES-256;
  • ключ шифрования получен из пароля хеш-функцией SHA-256;
  • для вектора инициализации используются последние байты ключа.
GO
package main

import (
    "crypto/aes"
    "crypto/cipher"
    "crypto/sha256"
    "encoding/hex"
    "fmt"
)

const (
    password = "x35k9f"
    msg      = `0ba7cd8c624345451df4710b81d1a349ce401e61bc7eb704ca` +
        `a84a8cde9f9959699f75d0d1075d676f1fe2eb475cf81f62ef` +
        `f701fee6a433cfd289d231440cf549e40b6c13d8843197a95f` +
        `8639911b7ed39a3aec4dfa9d286095c705e1a825b10a9104c6` +
        `be55d1079e6c6167118ac91318fe`
)

func main() {
    // допишите код
    // 1) получите ключ из password, используя sha256.Sum256
    // 2) создайте aesblock и aesgcm
    // 3) получите вектор инициализации aesgcm.NonceSize() байт с конца ключа
    // 4) декодируйте сообщение msg в двоичный формат
    // 5) расшифруйте и выведите данные

    // ...
}
Саша
Сегодня вы узнали про криптографию, хеширование и шифрование в Go и уже можете сделать свой сервис безопасным для пользователей.
Завтра расскажу, как защитить данные и пароли.
Лиза
А теперь будем чаёвничать и слушать ваши рассказы о поездке в Берлин. Не терпится узнать, как всё прошло.
Саша
Обязательно расскажем. Непонятно только, что делать с этими двумя… гоферами.
Лиза
Ну, одна Goлова хорошо, а две лучше. Пусть резвятся.

Дополнительные материалы