Vene Föderatsiooni õigusaktide ülevaade: krüptograafia. Skzi - mis see on? krüptograafilise teabe kaitse vahendid SCS-i levinumad kategooriad

Andmete krüpteerimismehhanismid ühiskonna infoturbe tagamiseks on teabe krüptograafiline kaitse krüptograafilise krüptimise kaudu.

Infokaitse krüptograafilisi meetodeid kasutatakse teabe töötlemiseks, salvestamiseks ja edastamiseks meedias ja sidevõrkude kaudu.

Teabe krüptograafiline kaitse andmeedastuse ajal pika vahemaa tagant on ainus usaldusväärne krüpteerimismeetod.

Krüptograafia on teadus, mis uurib ja kirjeldab andmete infoturbe mudelit. Krüptograafia pakub lahendusi paljudele võrgu turvaprobleemidele: autentimine, konfidentsiaalsus, terviklikkus ja suhtlevate osalejate kontroll.

Mõiste "krüpteerimine" tähendab andmete muutmist kujule, mis pole inimestele ja tarkvarasüsteemidele loetav ilma krüpteerimis-dekrüpteerimisvõtmeta. Infoturbe krüptograafilised meetodid pakuvad infoturbe vahendeid, seega on see osa infoturbe kontseptsioonist.

Infoturbe eesmärgid taanduvad lõppkokkuvõttes teabe konfidentsiaalsuse tagamisele ja teabe kaitsmisele arvutisüsteemides süsteemi kasutajate vahelise võrgu kaudu teabe edastamise protsessis.

Krüptograafilise teabe turvalisusel põhinev konfidentsiaalse teabe turvalisus krüpteerib andmed pöörduvate teisenduste perekonna abil, millest igaüks on kirjeldatud parameetriga, mida nimetatakse "võtmeks" ja järjekorraga, mis määrab iga teisenduse rakendamise järjekorra.

Krüptograafilise teabe kaitsmise meetodi kõige olulisem komponent on võti, mis vastutab teisenduse ja selle teostamise järjekorra valimise eest. Võti on teatud märgijada, mis konfigureerib krüptograafilise teabe kaitsesüsteemi krüpteerimis- ja dekrüpteerimisalgoritmi. Iga selline teisendus on unikaalselt määratud võtmega, mis määratleb krüptoalgoritmi, mis tagab infokaitse ja infosüsteemi infoturbe.

Sama krüptograafiline teabekaitse algoritm võib töötada erinevates režiimides, millest igaühel on teatud eelised ja puudused, mis mõjutavad Venemaa infoturbe ja infoturbe tööriistade töökindlust.

Sümmeetriline või salajane krüptograafia metoodika.

Selle metoodika puhul kasutatakse teabe kaitsmise, krüptimise ja dekrüpteerimise tehnilistes vahendites saaja ja saatja poolt sama võtit, milles oli eelnevalt kokku lepitud juba enne krüptotehnilise teabekaitse kasutamist.

Juhul, kui võtit ei ole ohustatud, autentib dekrüpteerimisprotsess automaatselt sõnumi autori, kuna ainult tal on sõnumi dekrüpteerimiseks vajalik võti.

Seega eeldavad krüptograafiaga teabe kaitsmise programmid, et sõnumi saatja ja adressaat on ainsad isikud, kes saavad võtit teada ning selle kompromiss mõjutab ainult nende kahe infosüsteemi kasutaja suhtlemist.

Organisatsiooni infoturbe probleem on sel juhul asjakohane iga krüptosüsteemi jaoks, mis püüab saavutada eesmärki kaitsta teavet või kaitsta teavet Internetis, sest sümmeetrilised võtmed peavad olema kasutajate vahel turvaliselt jaotatud, see tähendab, et teave on vajalik. kaitse arvutivõrkudes, kus võtmeid edastatakse, oli kõrgel tasemel.

Riistvara-tarkvara infoturbe krüptosüsteemi mistahes sümmeetriline krüpteerimisalgoritm kasutab lühivõtmeid ja teostab krüptimise vaatamata suurele andmemahule väga kiiresti, mis täidab infokaitse eesmärki.

Krüptosüsteemipõhised arvutiteabeturbe tööriistad peaksid kasutama sümmeetrilisi võtmesüsteeme järgmises järjekorras:

· Infoturbe töö algab sellest, et esiteks loob, levitab ja salvestab infokaitse organisatsiooni infokaitse sümmeetrilise võtme;

Järgmisena loob infoturbe spetsialist või infoturbesüsteemi saatja arvutivõrkudes elektroonilise allkirja, kasutades teksti räsifunktsiooni ja lisades tekstile saadud räsistringi, mis tuleb turvaliselt edastada infoturbe organisatsioonile;

· Infoturbe doktriini kohaselt kasutab saatja krüptograafilises infoturbevahendis kiiret sümmeetrilist krüpteerimisalgoritmi koos sõnumipaketi sümmeetrilise võtmega ja elektroonilise allkirjaga, mis autentib krüptograafilise infoturbe tööriista krüpteerimissüsteemi kasutajat. ;

· Krüpteeritud sõnumit saab turvaliselt edastada ka turvamata sidekanalite kaudu, kuigi parem on seda teha infoturbe töö osana. Kuid sümmeetriline võti tuleb tõrgeteta (vastavalt infoturbe doktriinile) edastada sidekanalite kaudu tarkvara ja riistvara infokaitse raames;

· Infoturbesüsteemis läbi infoturbe ajaloo infoturbe doktriini järgi kasutab saaja paketi dekrüpteerimiseks sama sümmeetrilist algoritmi ja sama sümmeetrilist võtit, mis võimaldab taastada algse sõnumi teksti. ja dekrüpteerida infoturbesüsteemis saatja elektrooniline allkiri;

· Infoturbesüsteemis peab saaja nüüd eraldama elektroonilise allkirja sõnumi tekstist;

· Nüüd võrdleb saaja varem ja praegu saadud elektroonilisi allkirju, et kontrollida sõnumi terviklikkust ja moonutatud andmete puudumist selles, mida infoturbe valdkonnas nimetatakse andmeedastuse terviklikuks.

Infoturbe avatud asümmeetriline metoodika.

Teades infokaitse ajalugu, võib aru saada, et selle metoodika puhul on krüpteerimis- ja dekrüpteerimisvõtmed erinevad, kuigi need luuakse koos. Sellises infoturbesüsteemis levitatakse ühte võtit avalikult, teist aga edastatakse salaja, sest kord ühe võtmega krüpteeritud andmeid saab dekrüpteerida vaid teise võtmega.

Kõik asümmeetrilised krüptograafilised teabe kaitsmise vahendid on infoturbe valdkonnas tegutseva krakkeri rünnakute sihtmärgiks võtmete otsese loendamise teel. Seetõttu kasutatakse sellise inimese infoturbe või infopsühholoogilise turvalisuse puhul pikki võtmeid, et muuta võtmete loendamise protsess nii pikaks, et infoturbesüsteemi häkkimine kaotab mõtte.

Isegi info kursikaitse tegijatele pole sugugi saladus, et asümmeetriliste krüpteerimisalgoritmide aegluse vältimiseks luuakse igale sõnumile ajutine sümmeetriline võti ning seejärel krüpteeritakse ainult see asümmeetriliste algoritmidega.

Infopsühholoogilise turvalisuse ja isiku infoturbe süsteemid kasutavad asümmeetriliste võtmete kasutamiseks järgmist protseduuri:

· Infoturbe valdkonnas luuakse ja avalikult levitatakse asümmeetrilisi avalikke võtmeid. Isiklikus infoturbesüsteemis saadetakse salajane asümmeetriline võti selle omanikule ning avalik asümmeetriline võti salvestatakse andmebaasi ja seda haldab infoturbesüsteemi sertifikaate väljastav keskus, mida juhib infoturbe spetsialist. Seejärel tähendab infoturve, mida ei saa kuskilt tasuta alla laadida, seda, et mõlemad kasutajad peavad usaldama, et selline infoturbesüsteem loob, haldab ja levitab turvaliselt võtmeid, mida kasutab kogu infokaitseorganisatsioon. Veelgi enam, kui teabekaitse igas etapis sooritavad vastavalt teabekaitse põhitõdedele iga sammu erinevad isikud, siis salasõnumi saaja peab uskuma, et võtmete looja hävitas nende koopia ega esitanud need võtmed kellelegi teisele, et keegi ikka saaks infokaitsevahendite süsteemis edastatava teabe kaitse alla laadida. Nii töötab iga infoturbe professionaal.

· Lisaks näevad infoturbe põhitõed ette, et tekstile luuakse elektrooniline allkiri ja saadud väärtus krüpteeritakse asümmeetrilise algoritmiga. Siis eeldavad kõik samad infoturbe põhitõed, et saatja salavõti on salvestatud märgistringi ja see lisatakse infoturbe- ja infoturbesüsteemis edastatavale tekstile, kuna infoturbe ja infoturbe valdkonnas on elektrooniline allkiri oskab luua elektroonilist allkirja!

· Seejärel lahendavad infokaitsesüsteemid ja vahendid seansivõtme adressaadile edastamise probleemi.

· Edaspidi infoturbesüsteemis peab saatja hankima organisatsiooni sertifikaati väljastava asutuse asümmeetrilise avaliku võtme ja infoturbetehnoloogia. Teatud organisatsioonis ja infoturbetehnoloogias on krüpteerimata avaliku võtme taotluste pealtkuulamine kõige levinum kräkkerite rünnak. Seetõttu saab infoturbe korralduses ja tehnoloogias rakendada avaliku võtme autentsust kinnitavate sertifikaatide süsteemi.

Seega hõlmavad krüpteerimisalgoritmid võtmete kasutamist, mis võimaldab teil 100% kaitsta andmeid nende kasutajate eest, kes võtit ei tea.

Infokaitse kohalikes võrkudes Teabe säilitamise terviklikkuse tagamiseks on vaja infokaitsetehnoloogiaid ja konfidentsiaalsust. See tähendab, et teabe kaitsmine kohalikes võrkudes peab andmeid edastama nii, et andmed jääksid edastamise ja säilitamise ajal muutumatuks.

Selleks, et teabe infoturve tagaks andmete salvestamise ja edastamise terviklikkuse, on vaja välja töötada tööriistad, mis tuvastavad algandmete moonutused, mille puhul lisatakse algsele teabele liiasus.

Infoturve Venemaal krüptograafia abil lahendab terviklikkuse probleemi, lisades andmete terviklikkuse arvutamiseks mingi kontrollsumma või kontrollmustri. Nii et jällegi on infoturbe mudel krüptograafiline – võtmest sõltuv. Krüptograafial põhineva infoturbe hinnangu kohaselt on andmete lugemise võime sõltuvus salavõtmest kõige usaldusväärsem vahend ja seda kasutatakse isegi riigi infoturbesüsteemides.

Ettevõtte infoturbe, näiteks pankade infoturbe, auditis pööratakse reeglina erilist tähelepanu moonutatud info eduka pealesurumise tõenäosusele ning teabe krüptograafiline kaitse võimaldab seda tõenäosust vähendada kaduvväiseks. tasemel. Sarnane infoturbeteenus nimetab seda tõenäosust šifri jäljendamise takistuse mõõtmiseks ehk krüpteeritud andmete võimeks häkkeri rünnakule vastu seista.

Infokaitse viiruste eest või majandusinfo kaitsesüsteemid peavad tingimata toetama kasutaja autentimist, et tuvastada süsteemi reguleeritud kasutaja ja takistada sissetungija süsteemi sisenemist.

Kasutajaandmete autentsuse kontrollimine ja kinnitamine kõigis teabesuhtluse valdkondades on oluline lahutamatu probleem mis tahes saadud teabe ja ettevõtte infoturbesüsteemi usaldusväärsuse tagamisel.

Pankade infoturve on eriti terav omavahel suhtlevate osapoolte usaldamatuse probleemis, kus IS-i infoturbe mõiste hõlmab lisaks kolmanda osapoole välisele ohule ka ohtu infoturbele (loengud) kasutajatelt.

Digitaalne allkiri

infoturbe kaitse volitamata

Mõnikord soovivad IP kasutajad varem võetud kohustustest lahti öelda ja proovida muuta varem loodud andmeid või dokumente. Vene Föderatsiooni infoturbe doktriin võtab seda arvesse ja peatab sellised katsed.

Konfidentsiaalse teabe kaitsmine ühe võtmega on võimatu olukorras, kus üks kasutaja teist ei usalda, sest saatja võib siis keelduda sõnumi edastamisest. Lisaks, hoolimata konfidentsiaalse teabe kaitsest, saab teine ​​kasutaja andmeid muuta ja omistada autoriõiguse teisele süsteemi kasutajale. Loomulikult ei saa selles vaidluses tõde kindlaks teha, olgu teabe tarkvarakaitse või teabe insener-tehniline kaitse milline tahes.

Digitaalallkiri sellises infokaitsesüsteemis arvutisüsteemides on imerohi autorsuse probleemi lahendamiseks. Infokaitse digitaalallkirjaga arvutisüsteemides sisaldab 2 algoritmi: allkirja arvutamiseks ja selle kontrollimiseks. Esimest algoritmi saab täita ainult autor ja teine ​​on üldkasutatav, et igaüks saaks igal ajal digiallkirja õigsust kontrollida.

Selle artikli idee sündis, kui EFSOL-i spetsialistid said ülesandeks analüüsida infoturbe riske restoraniäris ja töötada välja meetmed nende vastu võitlemiseks. Üheks oluliseks riskiks oli juhtimisinfo arestimise võimalus ning üheks vastumeetmeks raamatupidamisandmebaaside krüpteerimine.

Teen kohe reservatsiooni, et kõigi võimalike krüptotoodete või konkreetsetel arvestussüsteemidel põhinevate lahenduste käsitlemine ei kuulu selle artikli raamidesse. Oleme huvitatud ainult isiklike krüpteerimistööriistade võrdlevast analüüsist, mille jaoks oleme valinud populaarseima tasuta avatud lähtekoodiga lahenduse ja paar enim reklaamitud kaubanduslikku analoogi. Las kogenematud kasutajad ärgu kartku väljendit "avatud lähtekoodiga" – see tähendab vaid seda, et arendusega tegeleb grupp entusiaste, kes on valmis vastu võtma kõiki, kes neid aidata tahavad.

Miks me siis sellise lähenemisviisi valisime? Motivatsioon on äärmiselt lihtne.

  1. Erinevad ettevõtted kasutavad oma raamatupidamissüsteemi, seega valime krüpteerimisvahendid, mis ei ole seotud kindla platvormiga – universaalsed.
  2. Isiklikku krüptokaitset on mõistlikum kasutada väikeettevõtetes, kus raamatupidamisprogrammiga töötab 1-5 kasutajat. Suurtele ettevõtetele toob juhtimisinfo eemaldamine kaasa suuremaid rahalisi kaotusi – seetõttu lähevad turvalahendused palju rohkem maksma.
  3. Paljude kommertsteabe krüpteerimistoodete analüüsil pole mõtet: piisab nende mõne hindamisest, et kujundada enda jaoks arusaam hinnast ja funktsionaalsusest.

Liigume edasi toodete võrdlemise juurde, mida on mugav teha pivot table alusel. Olen meelega jätnud välja palju tehnilisi detaile (näiteks riistvarakiirenduse või mitme lõimestamise tugi, mitu loogilist või füüsilist protsessorit), mis tavakasutajale peavalu valmistavad. Vaatleme vaid funktsionaalsust, mille eeliseid saame tõesti esile tõsta.

pöördetabel
TrueCrypt Salajane plaat Zecurion Zdisk
Viimane versioon ülevaatuse ajal 7.1a 4 Andmed puuduvad
Hind On vaba Alates 4240 hõõruda. 1 arvuti jaoks Alates 5250 hõõruda. 1 arvuti jaoks
Operatsioonisüsteem Windows 7, Windows Vista, Windows XP, Windows Server 2003, Windows Server 2008: (32-bitine ja 64-bitine);
Windows Server 2008 R2;
Windows 2000 hoolduspakett SP4;

Mac OS X 10.7 Lion (32-bitine ja 64-bitine);
Mac OS X 10.6 Snow Leopard; Mac OS X 10.5 Leopard;
Mac OS X 10.4 Tiger;

Linux (32-bitine ja 64-bitine, kernel 2.6 või ühilduv)

 Windows 7, Windows Vista, Windows XP: (32-bitine ja 64-bitine) Windows 98;
Windows Me;
Windows NT tööjaam;
Windows 2000 Professional;
Windows XP;
Windows Vista
Sisseehitatud krüpteerimisalgoritmid AES
Madu
Kaks kala		 Mitte Mitte
Krüptograafia pakkujate (CSP) kasutamine Mitte Microsofti täiustatud CSP: kolmik DES ja RC2
Secret Disk NG Crypto Pack: AES ja Twofish;
CryptoPro CSP, Signal-COM CSP või Vipnet CSP: GOST 28147-89		 rc5,
AES,
KRYPTON CSP: GOST 28147-89
XTS-krüpteerimisrežiim Jah Mitte Mitte
Kaskaadkrüptimine AES-Twofish-Serpent;
Serpent-AES;
Serpent-Twofish-AES;
Kahekala madu		 Mitte Mitte
Läbipaistev krüptimine Jah Jah Jah
Süsteemi partitsiooni krüptimine Jah Jah Mitte
Autentimine enne OS-i käivitamist Parool Pin + märk Mitte
Kettapartitsiooni krüptimine Jah Jah Mitte
Konteinerfailide loomine Jah Jah Jah
Peidetud partitsioonide loomine Jah Mitte Mitte
Peidetud OS-i loomine Jah Mitte Mitte
Kaasaskantava draivi krüptimine Jah Jah Jah
Töötamine kaasaskantavate draividega Jah Mitte Mitte
Võrgustiku loomine Jah Mitte Jah
Mitme mängijaga režiim NTFS-i abil Jah Jah
Ainult parooliga autentimine Jah Mitte Mitte
Võtmefaili autentimine Jah Mitte Mitte
Tokenite ja kiipkaartide tugi Toetab PKCS #11 2.0 või uuemat protokolli eToken PRO/32K USB-võti (64K);
eToken PRO/72K USB dongle (Java);
kiipkaart eToken PRO/32K (64K);
Kiipkaart eToken PRO/72K (Java);
Kombineeritud võti eToken NG-FLASH
eToken NG-OTP kombineeritud võti
eToken PRO kõikjal		 Rainbow iKey 10xx/20xx/30xx;
ruToken;
eToken R2/Pro
Krüpteeritud draivide hädaolukorra keelamine Kiirklahvid Kiirklahvid Kiirklahvid
Sunniviisiline paroolikaitse Mitte Jah Jah
Võimalus kasutada "usutavat eitamist" Jah Mitte Mitte
Tarne sisu Karbiversioon puudub – levitamine laaditakse alla arendaja saidilt eToken PRO Anywhere USB-võti koos litsentsiga toote kasutamiseks;
Kiirjuhend trükitud kujul;
CD-ROM (levituskomplekt, üksikasjalik dokumentatsioon, MBR alglaadimisosa;
DVD kasti pakkimine		 Litsents;
USB-võti ja USB-pikenduskaabel;
Jaotusketas; Trükitud dokumentatsioon;
ACS-30S kiipkaardilugeja/kirjutaja

Žanri seadusi järgides jääb üle vaid üksikute punktide kommenteerimine ja konkreetse lahenduse eeliste esiletoomine. Toodete hindadega ja ka toetatud operatsioonisüsteemidega on kõik selge. Märgin vaid tõsiasja, et MacOS-i ja Linuxi jaoks mõeldud TrueCrypti versioonidel on oma kasutusnüansid ning selle installimine Microsofti serveriplatvormidele, kuigi see annab teatud eeliseid, ei suuda täielikult asendada kommertsandmete kaitsesüsteemide tohutut funktsionaalsust. ettevõtte võrk. Tuletan meelde, et kaalume endiselt isiklikku krüptokaitset.

Sisseehitatud algoritmid, krüptoteenuse pakkujad, XTS ja kaskaadkrüptimine

Erinevalt sisseehitatud krüpteerimisalgoritmidest on krüptoteenuse pakkujad eraldi pistikmoodulid, mis määravad programmis kasutatava kodeerimise (dekodeerimise) meetodi. Miks kasutavad kommertslahendused krüptopakkujate pakette? Vastused on lihtsad, kuid rahaliselt põhjendatud.

  1. Teatud algoritmide lisamiseks (programmeerijate töö eest tasumiseks) pole vaja programmis muudatusi teha – piisab uue mooduli loomisest või kolmandate osapoolte lahenduste ühendamisest.
  2. Kogu maailmas töötatakse välja, testitakse ja rakendatakse rahvusvahelisi standardeid, kuid Venemaa valitsusasutuste jaoks on vaja järgida FSTECi ja FSB nõudeid. Need nõuded hõlmavad infoturbe tööriistade loomise ja levitamise litsentsimist.
  3. Krüptoteenuse pakkujad on andmete krüptimise vahendid ning programmid ise ei vaja arendus- ja levitamissertifikaati.

Kaskaadkrüptimine on võime kodeerida teavet ühe algoritmiga, kui see on juba teise algoritmiga kodeeritud. Kuigi see lähenemine aeglustab tööd, võimaldab teil suurendada kaitstud andmete vastupanuvõimet häkkimise vastu - mida rohkem "vastane" teab krüpteerimismeetoditest (näiteks kasutatav algoritm või võtmemärgikomplekt), seda lihtsam on see. et ta saaks teavet avaldada.

XTS-krüpteerimistehnoloogia (XEX-põhine Tweaked CodeBook mode (TCB) koos CipherText Stealingiga (CTS)) on loogiline edasiarendus varasematele XEX ja LRW plokkrüpteerimismeetoditele, milles avastati haavatavusi. Kuna salvestusmeediumite lugemis-/kirjutustoimingud tehakse sektorite kaupa plokkides, on voogesituse kodeerimismeetodite kasutamine vastuvõetamatu. Nii kirjeldati ja soovitati 19. detsembril 2007 AES-algoritmi XTS-AES krüpteerimismeetodit salvestatud teabe kaitsmise rahvusvaheline standard IEEE P1619.

See režiim kasutab kahte võtit, millest esimest kasutatakse lähtestamisvektori genereerimiseks ja teist andmete krüptimiseks. Meetod töötab vastavalt järgmisele algoritmile:

  1. genereerib vektori, krüpteerides sektori numbri esimese võtmega;
  2. lisab vektori algse teabega;
  3. krüpteerib liitmise tulemuse teise võtmega;
  4. lisab krüpteerimise tulemusega vektori;
  5. korrutab vektori lõpliku välja genereeriva polünoomiga.

Riiklik standardite ja tehnoloogia instituut soovitab kasutada XTS-i seadme andmete krüptimiseks ploki sisemise struktuuriga, kuna see:

  • kirjeldatud rahvusvahelise standardi järgi;
  • omab kõrget jõudlust tänu eelarvutuste ja paralleelsuse teostamisele;
  • võimaldab töödelda suvalise sektori plokki, arvutades initsialiseerimisvektori.

Samuti märgin, et IEEE P1619 soovitab kasutada XTS-meetodit koos AES-i krüpteerimisalgoritmiga, kuid režiimi arhitektuur võimaldab seda kasutada koos mis tahes muu plokkšifriga. Seega, kui on vaja sertifitseerida läbipaistvat krüptimist rakendavat seadet vastavalt Venemaa seadusandluse nõuetele, on võimalik XTS-i ja GOST 28147-89 ühiselt kasutada.

Ajamite hädaseiskamine, parooli sisestamine "sunni all", kaasamisest keeldumine

Krüpteeritud ketaste hädaolukorras keelamine on vaieldamatult vajalik funktsioon olukordades, mis nõuavad teabe kaitsmiseks viivitamatut reageerimist. Aga mis saab edasi? "Vastane" näeb süsteemi, millele on installitud krüptokaitse, ja ketast, mida süsteemitööriistad ei loe. Järeldus teabe varjamise kohta on ilmne.

Tuleb "sunni" etapp. "Vastane" kasutab füüsilisi või juriidilisi meetmeid, et sundida omanikku teavet avaldama. Kodumaine väljakujunenud lahendus "sunniviisiliselt parooli sisestamine" kategooriast "Ma suren, aga ma ei reeda" muutub ebaoluliseks. Teavet, mille "vastane" varem kopeeris, on võimatu kustutada ja ta teeb seda - ärge kartke. Krüpteerimisvõtme eemaldamine kinnitab ainult seda, et teave on tõesti oluline ja varuvõti on tingimata kuskil peidus. Ja isegi ilma võtmeta on teave krüptoanalüüsi ja häkkimise jaoks endiselt saadaval. Kui palju need teod teabeomanikku juriidilisele fiaskole lähemale viivad, ei hakka ma lahti seletama, küll aga räägin usutava eitamise loogilisest meetodist.

Peidetud partitsioonide ja peidetud OS-i kasutamine ei võimalda "vastasel" tõestada kaitstud teabe olemasolu. Selles valguses muutuvad avalikustamisnõuded absurdseks. TrueCrypti arendajad soovitavad jälgi veelgi varjata: lisaks peidetud partitsioonidele või operatsioonisüsteemidele luua krüpteeritud nähtavaid, mis sisaldavad petlikke (fiktiivseid) andmeid. "Vastane", olles avastanud nähtavad krüptitud lõigud, nõuab nende avalikustamist. Sellist infot sunniviisiliselt avaldades ei riski omanik millegagi ja vabastab end kahtlustest, sest varjatud krüpteeritud osadel jäävad tõelised saladused nähtamatuks.

Kokkuvõtteid tehes

Info kaitsmisel on väga palju nüansse, kuid vahepealsete tulemuste kokkuvõtmiseks peaks piisama ka valgustatud nüanssidest - lõpliku otsuse teeb igaüks ise. Tasuta programmi TrueCrypt eelised hõlmavad selle funktsionaalsust; võimalus kõigil osaleda testimises ja täiustamises; liiga palju avatud teavet rakenduse kohta. Selle lahenduse on loonud inimesed, kes teavad palju teabe turvalisest salvestamisest ja täiustavad pidevalt oma toodet, inimestele, kes vajavad tõeliselt kõrget usaldusväärsust. Puuduste hulka kuuluvad toetuse puudumine, tavakasutaja jaoks suur keerukus, kahetasandilise autentimise puudumine enne OS-i käivitamist, võimetus ühendada mooduleid kolmandate osapoolte krüptoteenuste pakkujatelt.

Kaubandustooted on täis kasutajahooldust: tehniline tugi, suurepärane pakend, madal hind, sertifitseeritud versioonid, GOST 28147-89 algoritmi kasutamise võimalus, mitme kasutaja režiim piiritletud kahetasandilise autentimisega. Ainult piiratud funktsionaalsus ja naiivsus krüptitud andmete salvestamise saladuse hoidmisel.

Värskendatud: juuni 2015.

Kuigi TrueCrypt 7.1a ilmus 7. veebruaril 2011, jääb see toote viimaseks täielikult toimivaks versiooniks.

Salapärane lugu TrueCrypti arendamise lõpetamisega on uudishimulik. 28. mail 2014 eemaldati arendajate saidilt kõik toote varasemad versioonid ja välja anti versioon 7.2. See versioon suudab dekrüpteerida ainult varem krüptitud kettaid ja konteinereid – krüpteerimisfunktsioon on eemaldatud. Sellest hetkest alates nõuavad sait ja programm BitLockeri kasutamist ning TrueCrypti kasutamist nimetatakse ebaturvaliseks.

See tekitas Internetis kuulujuttude laine: programmi autoreid kahtlustati koodi “järjehoidja” seadmises. NSA endise töötaja Snowdeni teabest, et luureagentuurid nõrgendavad teadlikult krüptotööriistu, hakkasid kasutajad koguma raha TrueCrypti koodi auditeerimiseks. Programmi testimiseks koguti üle 60 000 dollari.

Audit viidi täielikult lõpule 2015. aasta aprilliks. Koodianalüüs ei näidanud järjehoidjaid, kriitilisi arhitektuurivigu ega haavatavusi. TrueCrypt on osutunud hästi läbimõeldud krüptotööriistaks, kuigi mitte täiuslikuks.

Nüüd näevad paljud arendajate nõuannet Bitlockerile üle minna kui "kanaari tõendit". TrueCrypti autorid on Bitlockerit ja eriti selle turvalisust alati naeruvääristanud. Bitlockeri kasutamine on ebamõistlik ka programmikoodi suletud olemuse ja selle ligipääsmatuse tõttu Windowsi "nooremates" väljaannetes. Kõige eelneva tõttu kipub internetikogukond uskuma, et arendajaid mõjutavad luureagentuurid ning nad vihjavad oma vaikimisega millelegi olulisele, soovitades ebasiiralt Bitlockerit.

Teeme kokkuvõtte

TrueCrypt on jätkuvalt kõige võimsam, usaldusväärsem ja funktsionaalsem krüptograafiatööriist. Nii audit kui ka eriteenistuste surve ainult kinnitavad seda.

Zdiskil ja Secret Diskil on FSTEC-sertifikaadiga versioonid. Seetõttu on mõttekas kasutada neid tooteid, et järgida Vene Föderatsiooni teabekaitsealaste õigusaktide nõudeid, näiteks isikuandmete kaitset, nagu on nõutud föderaalseaduses 152-FZ ja selle alluvates määrustes.



Neile, kes tunnevad tõsist muret teabe turvalisuse pärast, on terviklik lahendus "Server Iisraelis", milles terviklik lähenemisviis andmekaitsele ettevõtetele.

Süsteemi integreerimine. Konsulteerimine

Mõiste "krüptograafia" pärineb vanakreeka sõnadest "varjatud" ja "kirjutamine". Fraas väljendab krüptograafia peamist eesmärki - see on edastatava teabe kaitse ja saladuse säilitamine. Teabekaitse võib toimuda mitmel viisil. Näiteks piirates füüsilist juurdepääsu andmetele, varjates edastuskanalit, tekitades füüsilisi raskusi sideliinidega ühenduse loomisel jne.

Krüptograafia eesmärk

Erinevalt traditsioonilistest krüptomeetoditest eeldab krüptograafia edastuskanali täielikku kättesaadavust sissetungijate jaoks ning tagab teabe konfidentsiaalsuse ja autentsuse krüpteerimisalgoritmide abil, mis muudavad teabe välisele lugemisele kättesaamatuks. Kaasaegne krüptograafiline teabekaitsesüsteem (CIPF) on tarkvara ja riistvaraline arvutikompleks, mis tagab teabe kaitse vastavalt järgmistele põhiparameetritele.

  • Konfidentsiaalsus- teabe lugemise võimatus isikutel, kellel puuduvad vastavad juurdepääsuõigused. CIPF-i konfidentsiaalsuse tagamise põhikomponent on võti (võti), mis on ainulaadne tähtnumbriline kombinatsioon kasutaja juurdepääsuks konkreetsele CIPF-plokile.
  • Terviklikkus- volitamata muudatuste, näiteks teabe muutmise ja kustutamise võimatus. Selleks lisatakse algsele infole redundantsus krüptoalgoritmiga arvutatud tšekikombinatsioonina ja olenevalt võtmest. Seega muutub võtit teadmata info lisamine või muutmine võimatuks.
  • Autentimine- teabe ning seda saatvate ja vastuvõtvate osapoolte õigsuse kinnitamine. Sidekanalite kaudu edastatav teave peab olema sisu, loomise ja edastamise aja, allika ja vastuvõtja poolt üheselt autentitud. Tuleb meeles pidada, et ohtude allikaks võib olla mitte ainult ründaja, vaid ka ebapiisava vastastikuse usaldusega teabevahetusega seotud osapooled. Selliste olukordade vältimiseks kasutab CIPF ajatemplite süsteemi, et muuta võimatuks teabe uuesti saatmine või tagastamine ning järjekorra muutmine.

  • Autorsus- teabe kasutaja tehtud toimingute kinnitamine ja keeldumise võimatus. Kõige tavalisem viis autentimiseks on EDS-süsteem, mis koosneb kahest algoritmist: allkirja loomiseks ja selle kontrollimiseks. Intensiivsel ECC-ga töötamisel on soovitatav kasutada allkirjade loomiseks ja haldamiseks tarkvara sertifitseerimisasutusi. Selliseid keskusi saab rakendada krüptograafilise teabe kaitse vahendina, täiesti sõltumatult sisemisest struktuurist. Mida see organisatsiooni jaoks tähendab? See tähendab, et kõiki tehinguid ettevõttega töötlevad sõltumatud sertifitseeritud organisatsioonid ja autorsuse võltsimine on peaaegu võimatu.

Krüpteerimisalgoritmid

Praegu domineerivad CIPF-i hulgas avatud krüpteerimisalgoritmid, mis kasutavad sümmeetrilisi ja asümmeetrilisi võtmeid, mille pikkus on piisav soovitud krüptograafilise keerukuse tagamiseks. Kõige tavalisemad algoritmid:

  • sümmeetrilised võtmed - vene Р-28147.89, AES, DES, RC4;
  • asümmeetrilised võtmed - RSA;
  • räsifunktsioonide kasutamine - Р-34.11.94, MD4/5/6, SHA-1/2.

Paljudes riikides kehtivad oma riiklikud standardid.USA-s kasutatakse modifitseeritud AES-algoritmi võtmega 128-256 bitti ning Vene Föderatsioonis elektroonilise allkirja algoritmi R-34.10.2001 ja plokkrüptograafilist algoritmi R-28147.89. 256-bitise võtmega. Riiklike krüptosüsteemide mõningaid elemente on keelatud eksportida väljapoole riiki, CIPF-i arendamiseks on vaja litsentsi.

Riistvara krüptokaitsesüsteemid

Riistvaralised CIPF-id on füüsilised seadmed, mis sisaldavad teabe krüpteerimiseks, salvestamiseks ja edastamiseks mõeldud tarkvara. Krüpteerimisseadmeid saab valmistada personaalsete seadmete kujul, nagu ruToken USB kodeerijad ja IronKey mälupulgad, personaalarvutite laienduskaardid, spetsiaalsed võrgulülitid ja ruuterid, mille baasil on võimalik ehitada täiesti turvalisi arvutivõrke.

Riistvaralised CIPF-id installitakse kiiresti ja töötavad suurel kiirusel. Puudused - kõrge, võrreldes tarkvara ja riistvara-tarkvara CIPF-iga, hind ja piiratud versiooniuuendusvõimalused.

Samuti on võimalik viidata erinevatesse andmete salvestamise ja edastamise seadmetesse sisseehitatud CIPF-i riistvaraplokkidele, kus on vajalik krüpteerimine ja teabele juurdepääsu piiramine. Selliste seadmete hulka kuuluvad auto tahhomeetrid, mis salvestavad sõidukite parameetreid, teatud tüüpi meditsiiniseadmeid jne. Selliste süsteemide täieõiguslikuks tööks on vaja CIPF-mooduli eraldi aktiveerimist tarnija spetsialistide poolt.

Tarkvara krüptokaitse süsteemid

Tarkvara CIPF on spetsiaalne tarkvarapakett andmete krüptimiseks andmekandjatel (kõva- ja välkmälukettad, mälukaardid, CD / DVD) ja Interneti kaudu edastamisel (e-kirjad, failid manustes, turvalised vestlused jne). Programme on üsna palju, sealhulgas tasuta, näiteks DiskCryptor. Tarkvara CIPF sisaldab ka turvalisi virtuaalseid teabevahetusvõrke, mis töötavad "üle Interneti" (VPN), HTTP Interneti-protokolli laiendus, mis toetab HTTPS-krüptimist ja SSL-i – krüptograafilist teabeedastusprotokolli, mida kasutatakse laialdaselt IP-telefonisüsteemides ja Interneti-rakendustes.

Tarkvaralisi krüptograafilisi infokaitsevahendeid kasutatakse peamiselt Internetis, koduarvutites ja muudes valdkondades, kus nõuded süsteemi funktsionaalsusele ja stabiilsusele ei ole väga kõrged. Või nagu interneti puhul, kui tuleb korraga luua palju erinevaid turvalisi ühendusi.

Tarkvara ja riistvara krüptokaitse

Ühendab CIPF-süsteemide riist- ja tarkvara parimad omadused. See on kõige usaldusväärsem ja funktsionaalsem viis turvaliste süsteemide ja andmeedastusvõrkude loomiseks. Toetatud on kõik kasutaja tuvastamise võimalused, nii riistvaralised (USB-draiv või kiipkaart) kui ka "traditsioonilised" – sisselogimine ja parool. Tark- ja riistvaralised krüptograafilise teabe kaitse tööriistad toetavad kõiki kaasaegseid krüpteerimisalgoritme, omavad suurt funktsioonide komplekti digitaalallkirjal põhineva turvalise töövoo loomiseks, kõik vajalikud olekusertifikaadid. CIPF-i paigaldamise teostavad arendaja kvalifitseeritud töötajad.

Ettevõte "CRYPTO-PRO"

Üks Venemaa krüptograafiaturu liidreid. Ettevõte arendab rahvusvahelistel ja Venemaa krüptoalgoritmidel põhinevaid digitaalallkirju kasutades täielikku valikut teabekaitseprogramme.

Ettevõtte programme kasutatakse äri- ja valitsusasutuste elektroonilises dokumendihalduses, raamatupidamise ja maksuaruandluse esitamisel, erinevates linna- ja eelarveprogrammides jne. Ettevõte on CryptoPRO CSP programmi jaoks väljastanud üle 3 miljoni litsentsi ja 700 sertifitseerimiskeskuste litsentsid. "Crypto-PRO" pakub arendajatele liideseid krüptograafiliste kaitseelementide manustamiseks ja pakub täielikku valikut nõustamisteenuseid CIPF-i loomiseks.

Krüptopakkuja CryptoPro

Krüptoinformatsiooni kaitsesüsteemi CryptoPro CSP väljatöötamisel kasutati Windowsi operatsioonisüsteemi sisseehitatud Cryptographic Service Providers krüptograafilist arhitektuuri. Arhitektuur võimaldab ühendada täiendavaid sõltumatuid mooduleid, mis rakendavad vajalikke krüpteerimisalgoritme. CryptoAPI funktsioonide kaudu töötavate moodulite abil saab krüptokaitset teostada nii tarkvara kui ka riistvara CIPF poolt.

Võtmekandjad

Kasutada saab erinevaid privaatvõtmeid, näiteks:

  • kiipkaardid ja lugejad;
  • Puutemäluseadmetega töötavad elektroonilised lukud ja lugejad;
  • mitmesugused USB-võtmed ja eemaldatavad USB-draivid;
  • Windowsi, Solarise, Linuxi süsteemiregistrifailid.

Krüptoteenuse pakkuja funktsioonid

CIPF CryptoPro CSP on täielikult sertifitseeritud FAPSI poolt ja seda saab kasutada:

2. Andmete täielik konfidentsiaalsus, autentsus ja terviklikkus, kasutades krüptimist ja imitatsioonikaitset vastavalt Venemaa krüpteerimisstandarditele ja TLS-protokollile.

3. Programmikoodi terviklikkuse kontrollimine ja jälgimine, et vältida volitamata muudatusi ja juurdepääsu.

4. Süsteemikaitse määruse koostamine.

Krüptograafilised kaitsevahendid on teabe teisendamise erivahendid ja meetodid, mille tulemusena selle sisu varjatakse. Peamised krüptograafilise sulgemise tüübid on kaitstud andmete krüpteerimine ja kodeerimine. Samal ajal on krüpteerimine teatud tüüpi sulgemine, mille puhul suletavate andmete iga tähemärki muudetakse iseseisvalt; kodeerimisel jagatakse kaitstud andmed semantilist tähendust omavateks plokkideks ning iga selline plokk asendatakse numbrilise, tähestikulise või kombineeritud koodiga. Sel juhul kasutatakse mitmeid erinevaid krüpteerimissüsteeme: asendus, permutatsioon, gamma, krüpteeritud andmete analüütiline teisendus. Kombineeritud šifreid kasutatakse laialdaselt, kui lähtetekst teisendatakse järjestikku kahe või isegi kolme erineva šifri abil.

Krüptosüsteemi tööpõhimõtted

Tüüpiline näide pildist olukorrast, kus krüptograafia (krüpteerimise) ülesanne tekib, on näidatud joonisel 1:

Riis. №1

Joonisel 1 on A ja B kaitstud teabe seaduslikud kasutajad, nad soovivad vahetada teavet avaliku sidekanali kaudu.

P - illegaalne kasutaja (vastane, häkker), kes soovib pealt kuulata sidekanali kaudu edastatavaid sõnumeid ja püüda neist talle huvipakkuvat teavet ammutada. Seda lihtsat skeemi võib pidada tüüpilise olukorra mudeliks, kus kasutatakse krüptograafilisi teabe kaitsmise meetodeid või lihtsalt krüptimist.

Ajalooliselt on mõned sõjalised sõnad krüptograafiasse juurdunud (vaenlane, rünnak šifri vastu jne). Need peegeldavad kõige täpsemalt vastavate krüptograafiliste mõistete tähendust. Samas ei kasutata teoreetilises krüptograafias enam laialt tuntud koodi mõistel põhinevat sõjalist terminoloogiat (mereväe koodid, kindralstaabi koodid, koodiraamatud, kooditähistused jne). Fakt on see, et viimastel aastakümnetel on välja kujunenud kodeerimise teooria - suur teaduslik suund, mis arendab ja uurib meetodeid teabe kaitsmiseks kommunikatsioonikanalite juhuslike moonutuste eest. Krüptograafia tegeleb teabe muutmise meetoditega, mis ei võimalda vastasel seda pealtkuulatud sõnumitest eraldada. Samas ei edastata sidekanali kaudu enam mitte kaitstud infot ennast, vaid selle tulemust

teisendusi šifri abil ja vastase jaoks on keeruline ülesanne šifri purustamine. Šifri avamine (murdmine) on protsess, mille käigus saadakse krüpteeritud sõnumist kaitstud teave, teadmata kasutatavat šifrit. Vastane võib püüda kaitstud teavet selle edastamise käigus mitte vastu võtta, vaid hävitada või muuta. See on hoopis teist tüüpi oht teabele kui pealtkuulamine ja šifri murdmine. Et kaitsta selliste ohtude eest

välja töötada oma spetsiifilised meetodid. Seetõttu tuleb teel ühelt õiguspäraselt kasutajalt teisele teavet kaitsta mitmel viisil, tõrjudes vastu erinevatele ohtudele. Tekib olukord, kus teavet kaitseb erinevat tüüpi linkide kett. Loomulikult püüab vaenlane leida nõrgima lüli, et jõuda teabeni madalaima hinnaga. See tähendab, et ka õigustatud kasutajad peaksid seda asjaolu oma kaitsestrateegias arvesse võtma: pole mõtet teha mõnda seost väga tugevaks, kui seal on ilmselgelt nõrgemad lülid ("kaitse võrdse tugevuse põhimõte"). Hea šifri leidmine on raske töö. Seetõttu on soovitav pikendada hea šifri kasutusiga ja kasutada seda võimalikult paljude sõnumite krüpteerimiseks. Kuid samas on oht, et vaenlane on šifri juba ära arvanud (avanud) ja loeb kaitstud informatsiooni. Kui võrgušifril on vahetatav võti, siis võtit asendades saab seda teha nii, et vaenlase väljatöötatud meetodid enam ei mõju.

Teabe krüptograafilise kaitse vahendeid või lühidalt CIPF-i kasutatakse sideliinide kaudu edastatavate andmete igakülgse kaitse tagamiseks. Selleks on vaja järgida elektroonilise allkirja autoriseerimist ja kaitset, TLS-i ja IPSec-protokolle kasutades suhtlevate osapoolte autentimist ning vajadusel sidekanali enda kaitset.

Venemaal on krüptograafiliste infoturbevahendite kasutamine enamasti salastatud, mistõttu on sellel teemal vähe avalikult kättesaadavat teavet.

CIPF-is kasutatud meetodid

  • Andmete autoriseerimine ja nende õigusliku tähtsuse ohutuse tagamine edastamise või säilitamise ajal. Selleks kasutatakse elektroonilise allkirja loomise ja selle kontrollimise algoritme vastavalt kehtestatud RFC 4357 regulatsioonidele ning sertifikaate vastavalt X.509 standardile.
  • Andmete konfidentsiaalsuse kaitse ja nende terviklikkuse kontroll. Kasutatakse asümmeetrilist krüptimist ja imitatsioonikaitset, st andmete võltsimise vastu võitlemist. Vastas GOST R 34.12-2015.
  • Süsteemi ja rakendustarkvara kaitse. Volitamata muudatuste või talitlushäirete jälgimine.
  • Süsteemi kõige olulisemate elementide haldamine rangelt kooskõlas vastuvõetud määrustega.
  • Andmeid vahetavate osapoolte autentimine.
  • Ühenduse kaitse TLS-protokolli abil.
  • IP-ühenduste kaitse IKE, ESP, AH protokollide abil.

Meetodeid kirjeldatakse üksikasjalikult järgmistes dokumentides: RFC 4357, RFC 4490, RFC 4491.

CIPF-i teabekaitse mehhanismid

  1. Salvestatud või edastatud teabe konfidentsiaalsus on kaitstud krüpteerimisalgoritmide kasutamisega.
  2. Ühenduse loomisel tagatakse tuvastamine elektroonilise allkirja abil, kui seda kasutatakse autentimise ajal (nagu soovitab X.509).
  3. Digitaalset dokumendivoogu kaitseb ka elektrooniline allkiri koos kaitsega pealesurumise või kordamise eest, samas jälgitakse elektrooniliste allkirjade kontrollimiseks kasutatavate võtmete usaldusväärsust.
  4. Teabe terviklikkus tagatakse digitaalallkirja abil.
  5. Asümmeetriliste krüpteerimisfunktsioonide kasutamine aitab kaitsta andmeid. Lisaks saab andmete terviklikkuse kontrollimiseks kasutada räsifunktsioone või imitatsioonikaitsealgoritme. Need meetodid ei toeta aga dokumendi autorsuse määramist.
  6. Taasesituse kaitse toimub elektroonilise allkirja krüptograafiliste funktsioonide abil krüptimise või jäljendamise kaitseks. Samal ajal lisatakse igale võrguseansile kordumatu identifikaator, mis on piisavalt pikk, et välistada selle juhuslik kokkulangevus, ja kontrolli teostab vastuvõttev osapool.
  7. Kaitse pealesurumise, st väljastpoolt suhtlusse tungimise eest, tagatakse elektroonilise allkirjaga.
  8. Muu kaitse – järjehoidjate, viiruste, operatsioonisüsteemi modifikatsioonide jms eest – tagatakse erinevate krüptograafiliste tööriistade, turvaprotokollide, viirusetõrjetarkvara ja organisatsiooniliste meetmete kaudu.

Nagu näete, on elektroonilise allkirja algoritmid krüptograafilise teabe kaitse vahendite oluline osa. Neid arutatakse allpool.

Nõuded CIPF-i kasutamisel

CIPF on suunatud avaandmete kaitsmisele (elektroonilise allkirja kontrollimise teel) erinevates avalikes infosüsteemides ja nende konfidentsiaalsuse tagamisele (elektroonilise allkirja kontrollimine, imitatsioonikaitse, krüpteerimine, räsitõendamine) ettevõtete võrkudes.

Kasutaja isikuandmete kaitsmiseks kasutatakse isiklikku krüptograafilise teabe kaitsevahendit. Erilist tähelepanu tuleks aga pöörata riigisaladusega seotud teabele. Seaduse järgi ei saa CIPF-i sellega töötamiseks kasutada.

Tähtis: enne CIPF-i installimist tuleb kõigepealt kontrollida CIPF-i tarkvarapaketti ennast. See on esimene samm. Tavaliselt kontrollitakse installipaketi terviklikkust tootjalt saadud kontrollsummade võrdlemise teel.

Peale paigaldamist tuleks määrata ohutase, mille alusel saab määrata kasutamiseks vajalikud krüptoinformatsiooni kaitse tüübid: tarkvara, riistvara ja riistvara-tarkvara. Samuti tuleb meeles pidada, et mõne CIPF-i korraldamisel on vaja arvestada süsteemi asukohaga.

Kaitseklassid

Vastavalt Venemaa FSB 10. juuli 2014 korraldusele nr 378, mis reguleerib krüptograafiliste vahendite kasutamist teabe ja isikuandmete kaitsmiseks, on määratletud kuus klassi: KS1, KS2, KS3, KB1, KB2, KA1. Konkreetse süsteemi kaitseklass määratakse sissetungija mudeli andmete analüüsi põhjal, st süsteemi häkkimise võimalike viiside hindamise põhjal. Kaitse on sel juhul ehitatud tarkvara ja riistvara krüptograafilise teabe kaitsest.

AC (tegelikud ohud), nagu tabelist näha, on kolme tüüpi:

  1. Esimest tüüpi ohud on seotud infosüsteemis kasutatava süsteemitarkvara dokumenteerimata omadustega.
  2. Teist tüüpi ohud on seotud infosüsteemis kasutatava rakendustarkvara dokumenteerimata omadustega.
  3. Kolmanda tüübi ohtu nimetatakse kogu ülejäänud.

Dokumenteerimata funktsioonid on tarkvara funktsioonid ja omadused, mida ametlikus dokumentatsioonis ei ole kirjeldatud või mis ei vasta sellele. See tähendab, et nende kasutamine võib suurendada teabe konfidentsiaalsuse või terviklikkuse rikkumise ohtu.

Selguse huvides kaaluge rikkujate mudeleid, mille pealtkuulamiseks on vaja ühte või teist tüüpi krüptograafilise teabe kaitsevahendeid:

  • KS1 - sissetungija tegutseb väljastpoolt, ilma abilisteta süsteemi sees.
  • KS2 on insaider, kuid tal pole juurdepääsu CIPF-ile.
  • KS3 on sisering, kes on CIPF-i kasutaja.
  • KV1 on sissetungija, mis meelitab ligi kolmandate osapoolte ressursse, näiteks krüptograafilise teabe kaitse spetsialiste.
  • KV2 on sissetungija, kelle tegevuse taga on krüptoinformatsiooni kaitsevahendite uurimise ja arendamise alal töötav instituut või labor.
  • KA1 - riikide eriteenistused.

Seega võib KS1 nimetada põhikaitseklassiks. Seega, mida kõrgem on kaitseklass, seda vähem spetsialiste suudab seda pakkuda. Näiteks Venemaal oli 2013. aasta andmetel ainult 6 organisatsiooni, millel oli FSB sertifikaat ja mis suutsid pakkuda klassi KA1 kaitset.

Kasutatud algoritmid

Mõelge krüptograafilise teabe kaitse tööriistades kasutatavatele peamistele algoritmidele:

  • GOST R 34.10-2001 ja uuendatud GOST R 34.10-2012 - algoritmid elektroonilise allkirja loomiseks ja kontrollimiseks.
  • GOST R 34.11-94 ja uusim GOST R 34.11-2012 - räsifunktsioonide loomise algoritmid.
  • GOST 28147-89 ja uuemad GOST R 34.12-2015 - andmete krüptimise ja jäljendamise kaitse algoritmide rakendamine.
  • Täiendavad krüptoalgoritmid on RFC 4357-s.

Elektrooniline allkiri

Krüptograafiliste teabekaitsevahendite kasutamist ei saa ette kujutada ilma üha enam populaarsust koguvate elektrooniliste allkirjade algoritmide kasutamiseta.

Elektrooniline allkiri on krüptograafiliste teisendustega loodud dokumendi eriline osa. Selle peamine ülesanne on avastada volitamata muudatusi ja määrata autorsus.

Elektroonilise allkirja sertifikaat on eraldiseisev dokument, mis tõendab elektroonilise allkirja autentsust ja omandiõigust selle omaniku poolt avaliku võtme abil. Sertifikaadi väljastavad sertifitseerimisasutused.

Elektroonilise allkirja sertifikaadi omanik on isik, kelle nimele sertifikaat on registreeritud. See on seotud kahe võtmega: avalik ja privaatne. Privaatvõti võimaldab luua elektroonilist allkirja. Avalik võti on mõeldud allkirja autentsuse kontrollimiseks privaatvõtme krüptograafilise seose tõttu.

Elektroonilise allkirja tüübid

Vastavalt föderaalseadusele nr 63 on elektrooniline allkiri jagatud kolme tüüpi:

  • tavaline elektrooniline allkiri;
  • kvalifitseerimata elektrooniline allkiri;
  • kvalifitseeritud elektrooniline allkiri.

Lihtne ES luuakse andmete avamisel ja vaatamisel määratud paroolide või sarnaste vahenditega, mis kaudselt kinnitavad omanikku.

Kvalifitseerimata ES luuakse privaatvõtme abil krüptograafiliste andmete teisenduste abil. See võimaldab kinnitada dokumendile allakirjutanud isikut ja tuvastada andmetes tehtud volitamata muudatusi.

Kvalifitseeritud ja kvalifitseerimata allkirjad erinevad ainult selle poolest, et esimesel juhul peab ES-i sertifikaadi väljastama FSB poolt sertifitseeritud sertifitseerimiskeskus.

Elektroonilise allkirja ulatus

Alljärgnev tabel käsitleb EP ulatust.

ES-tehnoloogiaid kasutatakse kõige aktiivsemalt dokumentide vahetamisel. Sisemises töövoos toimib ES dokumentide kinnitajana ehk isikliku allkirja või pitserina. Välise dokumendihalduse puhul on ES-i olemasolu kriitiline, kuna see on juriidiline kinnitus. Samuti väärib märkimist, et ES-i allkirjastatud dokumente saab säilitada tähtajatult ja need ei kaota oma õiguslikku tähendust selliste tegurite tõttu nagu kustutatavad allkirjad, kahjustatud paber jne.

Reguleerivatele asutustele aruandlus on teine ​​valdkond, kus elektrooniline dokumendihaldus kasvab. Paljud ettevõtted ja organisatsioonid on selles formaadis töötamise mugavust juba hinnanud.

Vastavalt Vene Föderatsiooni seadusele on igal kodanikul õigus kasutada ES-i avalike teenuste kasutamisel (näiteks asutustele elektroonilise avalduse allkirjastamine).

Veebikaubandus on veel üks huvitav valdkond, kus elektroonilist allkirja kasutatakse aktiivselt. See on kinnitus sellele, et oksjonil osaleb reaalne isik ja tema ettepanekuid võib pidada usaldusväärseteks. Samuti on oluline, et iga ES-i abiga sõlmitud leping omandaks juriidilise jõu.

Elektroonilise allkirja algoritmid

  • Full Domain Hash (FDH) ja avaliku võtme krüptograafiastandardid (PKCS). Viimane on terve rühm standardseid algoritme erinevate olukordade jaoks.
  • DSA ja ECDSA on USA digitaalallkirja standardid.
  • GOST R 34.10-2012 - Vene Föderatsiooni elektrooniliste allkirjade loomise standard. See standard asendas GOST R 34.10-2001, mis lõpetati ametlikult pärast 31. detsembrit 2017.
  • Euraasia Liit kasutab standardeid, mis on täiesti sarnased Venemaa omadega.
  • STB 34.101.45-2013 – Valgevene digitaalse elektroonilise allkirja standard.
  • DSTU 4145-2002 - standard elektroonilise allkirja loomiseks Ukrainas ja paljudes teistes.

Samuti tuleb märkida, et ES-i loomise algoritmidel on erinevad eesmärgid ja eesmärgid:

  • Grupi elektrooniline allkiri.
  • Ühekordne digiallkiri.
  • Usaldusväärne EP.
  • Kvalifitseeritud ja kvalifitseerimata allkiri jne.

SEOTUD ARTIKLID