Az adattitkosítási mechanizmusok a társadalom információbiztonságát biztosítják információk kriptográfiai védelme kriptográfiai titkosításon keresztül.

Az információvédelem kriptográfiai módszereit használják információk feldolgozására, tárolására és továbbítására a médián és a kommunikációs hálózatokon keresztül.

Az információ kriptográfiai védelme a nagy távolságra történő adatátvitel során az egyetlen megbízható titkosítási módszer.

A kriptográfia olyan tudomány, amely az adatok információbiztonsági modelljét tanulmányozza és leírja. A kriptográfia számos hálózati biztonsági probléma megoldását kínálja: hitelesítés, titoktartás, integritás és az interakcióban részt vevő résztvevők ellenőrzése.

A "titkosítás" kifejezés az adatok emberi és szoftverrendszerek által nem olvasható formába történő átalakítását jelenti titkosítási-visszafejtő kulcs nélkül. Az információbiztonság kriptográfiai módszerei az információbiztonság eszközeit jelentik, így része az információbiztonság fogalmának.

Az információbiztonság céljai végső soron az információk bizalmasságának biztosításában és a számítógépes rendszerekben található információk védelmében merülnek fel a rendszer felhasználói közötti hálózaton keresztüli információtovábbítás során.

A kriptográfiai információvédelemen alapuló bizalmas információvédelem reverzibilis transzformációk családjával titkosítja az adatokat, amelyek mindegyikét egy "kulcsnak" nevezett paraméter és egy olyan sorrend írja le, amely meghatározza az egyes átalakítások alkalmazásának sorrendjét.

Az információvédelem kriptográfiai módszerének legfontosabb összetevője a kulcs, amely felelős az átalakítás megválasztásáért és a végrehajtás sorrendjéért. A kulcs egy bizonyos karaktersorozat, amely konfigurálja a kriptográfiai információvédelmi rendszer titkosítási és visszafejtési algoritmusát. Minden ilyen transzformációt egyedileg határoz meg egy kulcs, amely meghatároz egy kriptográfiai algoritmust, amely biztosítja az információs rendszer információvédelmét és információbiztonságát.

Ugyanaz a kriptográfiai információvédelmi algoritmus különböző módokban működhet, amelyek mindegyikének vannak bizonyos előnyei és hátrányai, amelyek befolyásolják az oroszországi információbiztonsági és információbiztonsági eszközök megbízhatóságát.

Szimmetrikus vagy titkos kriptográfiai módszertan.

Ebben a módszertanban az információvédelem, a titkosítás és a visszafejtés technikai eszközei a címzett és a küldő által ugyanazt a kulcsot használják, amelyről korábban már a kriptográfiai mérnöki információvédelem alkalmazása előtt is megállapodtak.

Abban az esetben, ha a kulcs nem sérült, a visszafejtési folyamat automatikusan hitelesíti az üzenet szerzőjét, mivel csak neki van az üzenet visszafejtéséhez szükséges kulcs.

Így az információ titkosítással történő védelmére szolgáló programok azt feltételezik, hogy az üzenet feladója és címzettje az egyetlen személy, aki ismerheti a kulcsot, és annak kompromittálása csak az információs rendszer két felhasználójának interakcióját érinti.

A szervezeti információvédelem problémája ebben az esetben minden olyan kriptorendszer számára releváns lesz, amely az információk védelmére vagy az információk védelmére törekszik az interneten, mert a szimmetrikus kulcsokat biztonságosan kell elosztani a felhasználók között, vagyis szükséges, hogy az információ a kulcsokat továbbító számítógépes hálózatok védelme magas szintű volt.

A hardver-szoftver információbiztonsági titkosítási rendszer bármely szimmetrikus titkosítási algoritmusa rövid kulcsokat használ, és a titkosítást a nagy adatmennyiség ellenére nagyon gyorsan végzi el, ami kielégíti az információvédelem célját.

A kriptográfiai rendszer alapú számítógépes információbiztonsági eszközöknek szimmetrikus kulcsrendszereket kell használniuk a következő sorrendben:

· Az információbiztonság munkája azzal kezdődik, hogy először az információvédelem létrehozza, szétosztja és tárolja a szervezeti információvédelem szimmetrikus kulcsát;

· Ezt követően a számítógépes hálózatok információbiztonsági szakembere vagy az információbiztonsági rendszer feladója a szöveg hash funkciójával és az így létrejövő hash karakterlánccal a szöveghez hozzáadva elektronikus aláírást készít, amelyet biztonságosan továbbítani kell az információbiztonsági szervezetnek;

· Az információbiztonság doktrínája szerint a küldő gyors szimmetrikus titkosítási algoritmust használ a kriptográfiai információbiztonsági eszközben, az üzenetcsomaghoz tartozó szimmetrikus kulccsal és a kriptográfiai információbiztonsági eszköz titkosítási rendszerének felhasználóját hitelesítő elektronikus aláírással együtt. ;

· A titkosított üzenet biztonságosan továbbítható még nem biztonságos kommunikációs csatornákon is, bár jobb, ha ezt az információbiztonsági munka részeként tesszük. De a szimmetrikus kulcsot hiba nélkül továbbítani kell (az információbiztonság doktrínája szerint) kommunikációs csatornákon a szoftver és hardver információvédelem keretein belül;

· Az információbiztonsági rendszerben az információbiztonság története során az információbiztonság doktrínája szerint a címzett ugyanazt a szimmetrikus algoritmust használja a csomag visszafejtésére és ugyanazt a szimmetrikus kulcsot, amely lehetővé teszi az eredeti üzenet szövegének visszaállítását. és dekódolja a feladó elektronikus aláírását az információbiztonsági rendszerben;

· Az információbiztonsági rendszerben a címzettnek el kell választania az elektronikus aláírást az üzenet szövegétől;

· Most a címzett összehasonlítja a korábban és most kapott elektronikus aláírásokat, hogy ellenőrizze az üzenet sértetlenségét és a benne lévő torzított adatok hiányát, amit az információbiztonság területén adatátvitel integritásának nevezünk.

Nyílt aszimmetrikus módszertan az információbiztonsághoz.

Az információvédelem történetének ismeretében érthető, hogy ebben a módszertanban a titkosítási és visszafejtési kulcsok különböznek egymástól, bár ezek együtt jönnek létre. Egy ilyen információbiztonsági rendszerben az egyik kulcsot nyilvánosan osztják ki, a másikat pedig titokban továbbítják, mivel az egyik kulccsal titkosított adatot csak egy másik kulccsal lehet visszafejteni.

Az információvédelem minden aszimmetrikus kriptográfiai eszköze az információbiztonság területén működő feltörő támadások célpontja a kulcsok közvetlen felsorolásával. Ezért egy személy ilyen információbiztonságában vagy információpszichológiai biztonságban hosszú kulcsokat használnak arra, hogy a kulcsok számbavételének folyamatát olyan hosszú folyamattá tegyék, hogy az információbiztonsági rendszer feltörése értelmetlenné válik.

Egyáltalán nem titok még azok számára sem, akik az információk árfolyamvédelmét végzik, hogy az aszimmetrikus titkosítási algoritmusok lassúságának elkerülése érdekében minden üzenethez ideiglenes szimmetrikus kulcsot készítenek, majd csak azt titkosítják aszimmetrikus algoritmusokkal.

Az információpszichológiai és egy személy információbiztonsági rendszerei a következő eljárást alkalmazzák az aszimmetrikus kulcsok használatára:

· Az információbiztonság területén aszimmetrikus nyilvános kulcsokat hoznak létre és terjesztenek nyilvánosan. Az egyén információbiztonsági rendszerében a titkos aszimmetrikus kulcsot elküldik a tulajdonosának, a nyilvános aszimmetrikus kulcsot pedig az adatbázisban tárolják és az információbiztonsági rendszer tanúsítványkibocsátó központja kezeli, amelyet az információbiztonsági szakember irányít. . Ezután az információbiztonság, amely sehonnan nem tölthető le ingyen, azt jelenti, hogy mindkét felhasználónak bíznia kell abban, hogy egy ilyen információbiztonsági rendszer biztonságosan hoz létre, adminisztrál és terjeszt olyan kulcsokat, amelyeket a teljes információvédelmi szervezet használ. Még inkább, ha az információvédelem minden szakaszában az információvédelem alapjainak megfelelően minden lépést más-más személyek hajtanak végre, akkor a titkos üzenet címzettjének el kell hinnie, hogy a kulcsok létrehozója megsemmisítette a másolatát, és nem biztosította ezeket a kulcsokat másnak, hogy valaki mégis letölthesse az információvédelmi eszközök rendszerében továbbított információk védelmét. Így működik minden információbiztonsági szakember.

· Továbbá az információbiztonság alapjai előírják, hogy létrejön a szöveg elektronikus aláírása, és az így kapott értéket aszimmetrikus algoritmussal titkosítják. Ekkor ugyanazok az információbiztonsági alapok azt feltételezik, hogy a küldő titkos kulcsát egy karakterláncban tárolják, és hozzáadják az információbiztonsági és információbiztonsági rendszerben továbbítandó szöveghez, mivel az információbiztonsági és információbiztonsági elektronikus aláírás hozzon létre elektronikus aláírást!

· Ezután az információvédelmi rendszerek és eszközök megoldják a munkamenet kulcsának a címzetthez való továbbításának problémáját.

· A továbbiakban az információbiztonsági rendszerben a feladónak meg kell kapnia a szervezet tanúsítványkibocsátó hatóságának aszimmetrikus nyilvános kulcsát és az információbiztonsági technológiát. Egy adott szervezetben és információbiztonsági technológiában a titkosítatlan nyilvános kulcsra vonatkozó kérések elfogása a legáltalánosabb támadás a crackerek részéről. Éppen ezért az információbiztonság szervezetében és technológiájában megvalósítható a nyilvános kulcs hitelességét igazoló tanúsítványok rendszere.

Így a titkosítási algoritmusok kulcsok használatát foglalják magukban, ami lehetővé teszi az adatok 100%-os védelmét azoktól a felhasználóktól, akik nem ismerik a kulcsot.

Információvédelem helyi hálózatokbanés az információvédelmi technológiáknak a titkossággal együtt biztosítaniuk kell az információtárolás integritását. Vagyis a helyi hálózatok információvédelmének úgy kell adatokat továbbítania, hogy az adatok változatlanok maradjanak az átvitel és tárolás során.

Annak érdekében, hogy az információk információbiztonsága biztosítsa az adattárolás és -továbbítás sértetlenségét, olyan eszközök kidolgozása szükséges, amelyek észlelik az eredeti adatok esetleges torzulását, amihez az eredeti információhoz redundanciát adnak.

Az oroszországi információbiztonság a kriptográfiával úgy oldja meg az integritás kérdését, hogy valamilyen ellenőrző összeget vagy ellenőrző mintát ad hozzá az adatok integritásának kiszámításához. Tehát ismét az információbiztonsági modell kriptográfiai - kulcsfüggő. A titkosításon alapuló információbiztonság megítélése szerint az adatolvasási képesség titkos kulcstól való függése a legmegbízhatóbb eszköz, sőt állami információbiztonsági rendszerekben is használják.

Egy vállalkozás információbiztonságának, például a bankok információbiztonságának auditja főszabály szerint kiemelt figyelmet fordít a torz információk sikeres kiszabásának valószínűségére, az információk kriptográfiai védelme pedig lehetővé teszi ennek a valószínűségének elhanyagolható mértékű csökkentését. szint. Egy hasonló információbiztonsági szolgálat ezt a valószínűséget a titkosítás imitációs ellenállásának mértékének, vagy a titkosított adatok azon képességének nevezi, hogy ellenálljon a hacker támadásainak.

A vírusok elleni információvédelemnek vagy a gazdasági információvédelmi rendszereknek szükségszerűen támogatniuk kell a felhasználói hitelesítést annak érdekében, hogy azonosítani lehessen a rendszer szabályozott felhasználóját, és megakadályozzák a behatoló bejutását a rendszerbe.

A felhasználói adatok hitelességének ellenőrzése és megerősítése az információs interakció minden területén fontos szerves probléma a kapott információk és a vállalat információbiztonsági rendszerének megbízhatósága szempontjából.

A bankok információbiztonsága különösen kiélezett az egymással interakcióba lépő felek bizalmatlanságának problémájában, ahol az IS információbiztonságának fogalma nemcsak egy harmadik féltől származó külső fenyegetést foglal magában, hanem az információbiztonsági fenyegetést is (előadások) felhasználóktól.

Digitális aláírás

jogosulatlan információbiztonsági védelem

Előfordul, hogy az IP-felhasználók vissza akarják utasítani korábban vállalt kötelezettségeiket, és megpróbálják megváltoztatni a korábban létrehozott adatokat vagy dokumentumokat. Az Orosz Föderáció információbiztonsági doktrínája ezt figyelembe veszi, és leállítja az ilyen próbálkozásokat.

A bizalmas információk egyetlen kulccsal történő védelme lehetetlen olyan helyzetben, amikor az egyik felhasználó nem bízik a másikban, mert a küldő ekkor megtagadhatja az üzenet továbbítását. Továbbá a bizalmas információk védelme ellenére a második felhasználó módosíthatja az adatokat, és a szerzőséget a rendszer másik felhasználójához rendelheti. Természetesen, legyen szó szoftveres információvédelemről vagy információ mérnöki védelméről, ebben a vitában nem állapítható meg az igazság.

A számítógépes rendszerek ilyen információvédelmi rendszerében a digitális aláírás csodaszer a szerzőség problémájára. A digitális aláírással ellátott számítógépes rendszerek információvédelme 2 algoritmust tartalmaz: az aláírás kiszámítására és ellenőrzésére. Az első algoritmust csak a szerző hajthatja végre, a második pedig nyilvános, így mindenki bármikor ellenőrizheti a digitális aláírás helyességét.

A cikk ötlete akkor született, amikor az EFSOL szakembereit az éttermi üzletág információbiztonsági kockázatainak elemzésével és az ellenük fellépő intézkedések kidolgozásával bízták meg. Az egyik jelentős kockázatot a vezetői információk lefoglalásának lehetősége jelentette, az egyik ellenintézkedés pedig a számviteli adatbázisok titkosítása volt.

Azonnal fenntartással élek azzal kapcsolatban, hogy az összes lehetséges kriptográfiai termék vagy konkrét számviteli rendszeren alapuló megoldás mérlegelése nem tartozik e cikk hatálya alá. Csupán a személyes titkosítási eszközök összehasonlító elemzésére vagyunk kíváncsiak, amelyekhez a legnépszerűbb ingyenes nyílt forráskódú megoldást és a legtöbbet népszerűsített kereskedelmi analógot választottuk. A tapasztalatlan felhasználók ne féljenek a "nyílt forráskódú" kifejezéstől - ez csak azt jelenti, hogy egy olyan rajongó csoport vesz részt a fejlesztésben, akik készek elfogadni mindenkit, aki segíteni akar nekik.

Akkor miért választottuk ezt a megközelítést? A motiváció rendkívül egyszerű.

1. Különböző cégek saját számviteli rendszerüket használják, ezért olyan titkosítási eszközöket választunk, amelyek nem kötöttek egy adott platformhoz - univerzális.
2. A személyes kriptovédelmet célszerűbb alkalmazni kisvállalkozásoknál, ahol 1-5 felhasználó dolgozik a könyvelő programmal. A nagyvállalatok számára a vezetői információk eltávolítása nagyobb anyagi veszteséggel jár – ezért a biztonsági megoldások sokkal többe kerülnek.
3. Számos kereskedelmi információ-titkosítási termék elemzése értelmetlen: elég néhányat értékelni, hogy megértse az árakat és a funkcionalitást.

Térjünk át a termékek összehasonlítására, amelyet kényelmesen elvégezhetünk egy pivot tábla alapján. Szándékosan kihagytam az elemzésből sok olyan technikai részletet (például hardveres gyorsítás vagy többszálú támogatás, több logikai vagy fizikai processzor), amelyek fejfájást okoznak az átlagfelhasználóknak. Maradjunk csak azoknál a funkcióknál, amelyek előnyeit igazán kiemelhetjük.

Pivot tábla

	TrueCrypt	Titkos lemez	Zecurion Zdisk
A felülvizsgálat idején a legújabb verzió	7.1a	4	Nincs adat
Ár	Ingyenes	4240 dörzsöléstől. 1 számítógéphez	5250 dörzsöléstől. 1 számítógéphez
Operációs rendszer	Windows 7, Windows Vista, Windows XP, Windows Server 2003, Windows Server 2008: (32 bites és 64 bites); Windows Server 2008 R2; Windows 2000 SP4; Mac OS X 10.7 Lion (32 bites és 64 bites); Mac OS X 10.6 Snow Leopard; Mac OS X 10.5 Leopard; Mac OS X 10.4 Tiger; Linux (32 bites és 64 bites, kernel 2.6 vagy kompatibilis)	Windows 7, Windows Vista, Windows XP: (32 bites és 64 bites)	Windows 98; Windows Me; Windows NT munkaállomás; Windows 2000 Professional; Windows XP; Windows Vista
Beépített titkosítási algoritmusok	AES Kígyó Kéthal	Nem	Nem
Kriptográfiai szolgáltatók (CSP-k) használata	Nem	Microsoft Enhanced CSP: hármas DES és RC2 Secret Disk NG Crypto Pack: AES és Twofish; CryptoPro CSP, Signal-COM CSP vagy Vipnet CSP: GOST 28147-89	rc5, AES, KRYPTON CSP: GOST 28147-89
XTS titkosítási mód	Igen	Nem	Nem
Lépcsőzetes titkosítás	AES-Twofish-Serpent; Serpent-AES; Serpent-Twofish-AES; Kéthal kígyó	Nem	Nem
Átlátszó titkosítás	Igen	Igen	Igen
Rendszerpartíció titkosítása	Igen	Igen	Nem
Hitelesítés az operációs rendszer indítása előtt	Jelszó	Pin + token	Nem
Lemezpartíció titkosítása	Igen	Igen	Nem
Tárolófájlok létrehozása	Igen	Igen	Igen
Rejtett partíciók létrehozása	Igen	Nem	Nem
Rejtett operációs rendszer létrehozása	Igen	Nem	Nem
Hordozható meghajtó titkosítás	Igen	Igen	Igen
Munkavégzés hordozható meghajtókkal	Igen	Nem	Nem
Hálózatépítés	Igen	Nem	Igen
Többjátékos mód	NTFS segítségével	Igen	Igen
Csak jelszóval történő hitelesítés	Igen	Nem	Nem
Kulcsfájl hitelesítés	Igen	Nem	Nem
Tokenek és intelligens kártyák támogatása	PKCS #11 2.0 vagy újabb protokoll támogatása	eToken PRO/32K USB kulcs (64K); eToken PRO/72K USB dongle (Java); Intelligens kártya eToken PRO/32K (64K); Intelligens kártya eToken PRO/72K (Java); Kombinációs kulcs eToken NG-FLASH eToken NG-OTP kombinált kulcs eToken PRO bárhol	Rainbow iKey 10xx/20xx/30xx; ruToken; eToken R2/Pro
A titkosított meghajtók vészhelyzeti letiltása	Gyorsbillentyűk	Gyorsbillentyűk	Gyorsbillentyűk
Kényszer jelszavas védelem	Nem	Igen	Igen
A „Plusible Deniability” használatának képessége	Igen	Nem	Nem
A szállítás tartalma	Nincs dobozos verzió – a disztribúció letöltése a fejlesztő webhelyéről történik	eToken PRO Anywhere USB kulcs a termék használati engedéllyel; Gyors útmutató nyomtatott formában; CD-ROM (elosztó készlet, részletes dokumentáció, MBR rendszerindító rész; Csomagolás DVD doboz	Engedély; USB kulcs és USB hosszabbító kábel; Elosztó lemez; Dokumentáció nyomtatott formában; ACS-30S Smart Card olvasó/író

A műfaji törvényeket követve csak az egyes pontokhoz kell hozzászólni és egy-egy megoldás előnyeit kiemelni. Minden világos a termékárakkal, valamint a támogatott operációs rendszerekkel kapcsolatban. Csak azt a tényt jegyzem meg, hogy a TrueCrypt for MacOS és Linux verzióinak megvannak a maga használati árnyalatai, és a Microsoft szerverplatformokra történő telepítése, bár bizonyos előnyökkel jár, teljesen képtelen helyettesíteni a kereskedelmi adatvédelmi rendszerek hatalmas funkcionalitását. vállalati hálózat. Hadd emlékeztesselek arra, hogy még mindig fontolgatjuk a személyes kriptovédelmet.

Beépített algoritmusok, titkosítási szolgáltatók, XTS és lépcsőzetes titkosítás

A kriptográfiai szolgáltatók a beépített titkosítási algoritmusokkal ellentétben külön beépülő modulok, amelyek meghatározzák a program által használt kódolási (dekódolási) módszert. Miért használják a kereskedelmi megoldások kriptográfiai szolgáltatók csomagjait? A válaszok egyszerűek, de anyagilag indokolt.

1. Nincs szükség a program módosítására bizonyos algoritmusok hozzáadásához (a programozók munkájának kifizetéséhez) - csak hozzon létre egy új modult vagy csatlakoztassa harmadik féltől származó megoldásokat.
2. Világszerte nemzetközi szabványokat fejlesztenek, tesztelnek és hajtanak végre, de az orosz kormányzati szerveknek meg kell felelniük az FSTEC és az FSB követelményeinek. Ezek a követelmények magukban foglalják az információbiztonsági eszközök létrehozásának és terjesztésének engedélyezését.
3. A kriptográfiai szolgáltatók az adatok titkosításának eszközei, és maguk a programok nem igényelnek fejlesztési és terjesztési tanúsítványt.

A lépcsőzetes titkosítás az információ egy algoritmussal való kódolásának képessége, amikor azt egy másik algoritmussal már kódolták. Ez a megközelítés, bár lassítja a munkát, lehetővé teszi a védett adatok hackeléssel szembeni ellenállásának növelését - minél többet tud az „ellenfél” a titkosítási módszerekről (például a használt algoritmusról vagy a kulcskarakterkészletről), annál könnyebb. hogy közöljön információkat.

Az XTS titkosítási technológia (XEX-alapú Tweaked CodeBook mód (TCB) CipherText Stealing (CTS)) a korábbi XEX és LRW blokk titkosítási módszerek logikus továbbfejlesztése, amelyben sebezhetőségeket fedeztek fel. Mivel az adathordozón az olvasási/írási műveleteket szektoronként blokkokban hajtják végre, a streaming kódolási módszerek alkalmazása elfogadhatatlan. Így 2007. december 19-én az AES-algoritmus XTS-AES titkosítási módszerét ismertette és ajánlotta a tárolt információk védelmére szolgáló IEEE P1619 nemzetközi szabvány.

Ez a mód két kulcsot használ, amelyek közül az első az inicializálási vektor generálására, a második pedig az adatok titkosítására szolgál. A módszer a következő algoritmus szerint működik:

1. vektort generál a szektorszám első kulccsal való titkosításával;
2. hozzáadja a vektort az eredeti információhoz;
3. titkosítja az összeadás eredményét a második kulccsal;
4. hozzáad egy vektort a titkosítási eredményhez;
5. megszorozza a vektort a véges mező generáló polinomjával.

A National Institute of Standards and Technology az XTS használatát javasolja az eszközadatok blokk belső szerkezetű titkosításához, mert:

• nemzetközi szabvány szerint írják le;
• nagy teljesítménnyel rendelkezik az előzetes számítások és a párhuzamosítások elvégzésének köszönhetően;
• lehetővé teszi egy tetszőleges szektorblokk feldolgozását inicializálási vektor kiszámításával.

Azt is megjegyzem, hogy az IEEE P1619 az XTS módszer használatát javasolja az AES titkosítási algoritmussal, azonban a mód architektúra lehetővé teszi bármely más blokk titkosítással együtt történő használatát. Így, ha az orosz jogszabályok követelményeinek megfelelően átlátszó titkosítást megvalósító eszköz tanúsítására van szükség, lehetőség van az XTS és a GOST 28147-89 együttes használatára.

A meghajtók vészleállítása, jelszóbevitel "kényszer hatására", a részvétel megtagadása

A titkosított lemezek vészhelyzeti letiltása tagadhatatlanul szükséges funkció olyan helyzetekben, amelyek azonnali reagálást igényelnek az információk védelme érdekében. De mi történik ezután? Az „ellenfél” egy olyan rendszert lát, amelyen titkosítási védelem van telepítve, és egy lemezt, amely nem olvasható a rendszereszközök által. Az információk eltitkolására vonatkozó következtetés nyilvánvaló.

Eljön a „kényszer” szakasza. Az "ellenfél" fizikai vagy jogi eszközökkel kényszeríti a tulajdonost az információ közzétételére. A „meghalok, de nem árulom el” kategóriából „meghalok, de nem árulom el” kategóriából a „kényszer jelszó megadása” itthon jól bevált megoldás irrelevánssá válik. Lehetetlen törölni azokat az információkat, amelyeket az "ellenfél" korábban másolt, és megteszi - ne habozzon. A titkosítási kulcs eltávolítása csak azt erősíti meg, hogy az információ valóban fontos, és a tartalék kulcs szükségszerűen el van rejtve valahol. És még kulcs nélkül is elérhető információ a kriptográfiai elemzéshez és a hackeléshez. Nem részletezem, hogy ezek az akciók mennyire viszik közelebb az információ birtokosát a jogi fiaskóhoz, de a valószínű tagadás logikus módszeréről beszélek.

A rejtett partíciók és a rejtett operációs rendszer használata nem teszi lehetővé, hogy az "ellenfél" bizonyítsa a védett információk létezését. Ennek fényében a közzétételi követelmények abszurddá válnak. A TrueCrypt fejlesztői a nyomok további elfedését javasolják: a rejtett partíciók vagy operációs rendszerek mellett készítsenek titkosított, látható partíciókat is, amelyek megtévesztő (fiktív) adatokat tartalmaznak. Az „ellenfél”, miután felfedezett látható titkosított részeket, ragaszkodni fog ezek felfedéséhez. Az ilyen információk kényszerű felfedésével a tulajdonos semmit sem kockáztat, és mentesül a gyanútól, mert a rejtett titkosított részeken a valódi titkok láthatatlanok maradnak.

Összegzés

Az információvédelemben nagyon sok árnyalat van, de a köztes eredmények összegzéséhez elegendőnek kell lennie a világítóknak - a végső döntést mindenki maga hozza meg. Az ingyenes TrueCrypt program előnyei közé tartozik a funkcionalitása; mindenki számára a tesztelésben és a fejlesztésben való részvétel lehetősége; túl sok nyílt információ az alkalmazásról. Ezt a megoldást olyan emberek alkották meg, akik sokat tudnak az információ biztonságos tárolásáról, és folyamatosan fejlesztik termékeiket, azoknak, akiknek igazán magas szintű megbízhatóságra van szükségük. A hátrányok közé tartozik a támogatás hiánya, az átlagos felhasználó számára nagy bonyolultság, a kétszintű hitelesítés hiánya az operációs rendszer indítása előtt, valamint a harmadik féltől származó kriptográfiai szolgáltatók moduljainak csatlakoztatásának hiánya.

A kereskedelmi termékek tele vannak felhasználói gondoskodással: műszaki támogatás, kiváló csomagolás, alacsony költség, tanúsított verziók, a GOST 28147-89 algoritmus használatának lehetősége, többfelhasználós mód, kétszintű azonosítással. Csak korlátozott funkcionalitás és naivitás a titkosított adatok tárolásának titkosságának megőrzésében.

Frissítve: 2015. június.

Bár a TrueCrypt 7.1a 2011. február 7-én jelent meg, ez továbbra is a termék utolsó, teljesen működőképes verziója.

A titokzatos történet a TrueCrypt fejlesztésének befejezésével érdekes. 2014. május 28-án a termék összes korábbi verzióját eltávolították a fejlesztők oldaláról, és megjelent a 7.2-es verzió. Ez a verzió csak a korábban titkosított lemezeket és tárolókat tudja visszafejteni – a titkosítási funkciót eltávolították. Ettől a pillanattól kezdve a webhely és a program a BitLocker használatát kéri, a TrueCrypt használatát pedig nem biztonságosnak nevezik.

Ez pletykahullámot váltott ki az interneten: a program készítőit azzal gyanúsították, hogy „könyvjelzőt” tettek a kódba. A korábbi NSA-alkalmazott, Snowden információi alapján, miszerint a titkosszolgálatok szándékosan gyengítik a kriptográfiai eszközöket, a felhasználók pénzt gyűjtenek a TrueCrypt kód ellenőrzésére. Több mint 60 000 dollár gyűlt össze a program tesztelésére.

Az ellenőrzés 2015 áprilisára teljesen lezárult. A kódelemzés nem tárt fel könyvjelzőket, kritikus architektúrahibákat vagy sebezhetőségeket. A TrueCrypt jól megtervezett kriptográfiai eszköznek bizonyult, bár nem tökéletes.

Most a fejlesztők Bitlockerre váltásra vonatkozó tanácsát sokan "kanári bizonyítéknak" tekintik. A TrueCrypt szerzői mindig is nevetségessé tették a Bitlockert és különösen annak biztonságát. A Bitlocker használata a programkód zártsága és a Windows "fiatalabb kiadásaiban" való elérhetetlensége miatt is indokolatlan. A fentiek miatt az internetes közösség hajlamos azt hinni, hogy a fejlesztőket titkosszolgálatok befolyásolják, és valami fontosra utalnak a hallgatásukkal, és őszintén ajánlják a Bitlockert.

Foglaljuk össze

A TrueCrypt továbbra is a legerősebb, legmegbízhatóbb és legfunkcionálisabb kriptográfiai eszköz. Mind az ellenőrzés, mind a szakszolgálatok nyomása ezt csak megerősíti.

A Zdisk és a Secret Disk FSTEC tanúsítvánnyal rendelkezik. Ezért ésszerű ezeket a termékeket használni az Orosz Föderáció információvédelmi jogszabályainak, például a személyes adatok védelmének követelményeinek való megfeleléshez, ahogyan azt a 152-FZ szövetségi törvény és annak alárendelt rendeletei előírják. .

Azok számára, akik komolyan aggódnak az információbiztonság miatt, létezik egy átfogó megoldás „Szerver Izraelben”, amelyben átfogó adatvédelmi megközelítést vállalkozások.

Rendszerintegráció. Tanácsadó

A „kriptográfia” kifejezés az ókori görög „rejtett” és „írás” szavakból származik. Ez a kifejezés a kriptográfia fő célját fejezi ki - ez a továbbított információ titkosságának védelme és megőrzése. Az információvédelem többféleképpen történhet. Például az adatokhoz való fizikai hozzáférés korlátozása, az átviteli csatorna elrejtése, a kommunikációs vonalakhoz való csatlakozás fizikai nehézségei stb.

A kriptográfia célja

A hagyományos kriptográfiai módszerekkel ellentétben a kriptográfia feltételezi az átviteli csatorna teljes elérhetőségét a behatolók számára, és biztosítja az információk bizalmasságát és hitelességét olyan titkosítási algoritmusok segítségével, amelyek az információkat hozzáférhetetlenné teszik a külső olvasás számára. A modern kriptográfiai információvédelmi rendszer (CIPF) egy szoftver és hardver számítógép-komplexum, amely az alábbi főbb paraméterek szerint biztosítja az információvédelmet.

• Titoktartás- a megfelelő hozzáférési jogokkal nem rendelkező személyek nem tudják elolvasni az információkat. A CIPF titkosságának biztosításának fő összetevője a kulcs (kulcs), amely egy egyedi alfanumerikus kombináció, amellyel a felhasználó hozzáférhet egy adott CIPF blokkhoz.
• Sértetlenség- a jogosulatlan változtatások lehetetlensége, mint például az információk szerkesztése és törlése. Ennek érdekében az eredeti információhoz redundanciát adunk egy kriptográfiai algoritmus által kiszámított és a kulcstól függően ellenőrző kombináció formájában. Így a kulcs ismerete nélkül lehetetlenné válik az információ hozzáadása vagy megváltoztatása.
• Hitelesítés- az információ és az azt küldő és fogadó felek hitelességének megerősítése. A kommunikációs csatornákon továbbított információt a tartalom, a keletkezés és továbbítás időpontja, a forrás és a címzett egyedileg hitelesíteni kell. Nem szabad megfeledkezni arról, hogy a fenyegetés forrása nem csak egy támadó lehet, hanem az információcserében részt vevő felek is, akiknek nincs kellő kölcsönös bizalomuk. Az ilyen helyzetek elkerülése érdekében a CIPF időbélyegző rendszert használ, hogy lehetetlenné tegye az információk újraküldését vagy visszaküldését, valamint a sorrend megváltoztatását.

• Szerzőség- az információ felhasználója által végrehajtott műveletek visszautasításának megerősítése és lehetetlensége. A hitelesítés legelterjedtebb módja az EDS rendszer, amely két algoritmusból áll: aláírás létrehozásáról és ellenőrzéséről. Ha intenzíven dolgozik az ECC-vel, ajánlatos szoftvertanúsító hatóságokat használni az aláírások létrehozásához és kezeléséhez. Az ilyen központok a kriptográfiai információvédelem eszközeként, a belső struktúrától teljesen függetlenül is megvalósíthatók. Mit jelent ez a szervezet számára? Ez azt jelenti, hogy minden tranzakciót független tanúsított szervezetek dolgoznak fel, és a szerzői jog hamisítása szinte lehetetlen.

Titkosítási algoritmusok

Jelenleg a CIPF között a szimmetrikus és aszimmetrikus kulcsokat használó nyílt titkosítási algoritmusok uralkodnak, amelyek hosszúsága elegendő a kívánt kriptográfiai összetettség biztosításához. A leggyakoribb algoritmusok:

• szimmetrikus kulcsok - orosz Р-28147.89, AES, DES, RC4;
• aszimmetrikus kulcsok - RSA;
• hash függvények használatával - Р-34.11.94, MD4/5/6, SHA-1/2.

Számos ország rendelkezik saját nemzeti szabványokkal, az USA-ban egy módosított AES algoritmust használnak 128-256 bites kulccsal, az Orosz Föderációban pedig az R-34.10.2001 elektronikus aláírási algoritmust és az R-28147.89 blokk-kriptográfiai algoritmust. 256 bites kulccsal. A nemzeti kriptográfiai rendszerek egyes elemeinek kivitele tilos az országon kívülre, a CIPF fejlesztésére irányuló tevékenységekhez engedély szükséges.

Hardveres kriptográfiai védelmi rendszerek

A hardver CIPF olyan fizikai eszközök, amelyek szoftvert tartalmaznak az információk titkosításához, rögzítéséhez és továbbításához. A titkosító eszközök személyi eszközök formájában készülhetnek, például ruToken USB titkosítók és IronKey flash meghajtók, személyi számítógépek bővítőkártyái, speciális hálózati switchek és routerek, amelyek alapján teljesen biztonságos számítógépes hálózatok építhetők ki.

A hardver CIPF gyorsan telepíthető és nagy sebességgel működik. Hátrányok - magas, a szoftver és a hardver-szoftver CIPF-hez képest, költség és korlátozott frissítési lehetőségek.

Hivatkozhatunk a különféle eszközökbe épített hardveres CIPF blokkokra is az adatok rögzítésére és továbbítására, ahol titkosításra és az információkhoz való hozzáférés korlátozására van szükség. Ilyen eszközök például az autós fordulatszámmérők, amelyek rögzítik a járművek paramétereit, bizonyos típusú orvosi berendezések stb. Az ilyen rendszerek teljes értékű működéséhez a CIPF modul külön aktiválása szükséges a szállító szakemberei által.

Szoftverek titkosítási védelmi rendszerei

Szoftver A CIPF egy speciális szoftvercsomag a tárolóeszközökön (merevlemezeken és flash meghajtókon, memóriakártyákon, CD-n/DVD-n) és az interneten keresztül továbbított adatok titkosításához (e-mailek, csatolt fájlok, biztonságos csevegés stb.). Elég sok program létezik, köztük ingyenesek is, például a DiskCryptor. A CIPF szoftver tartalmaz biztonságos virtuális információcsere-hálózatokat is, amelyek „az Internet tetején” (VPN) működnek, a HTTP Internet protokoll kiterjesztése, amely támogatja a HTTPS titkosítást és az SSL-t – az IP-telefonrendszerekben és internetes alkalmazásokban széles körben használt kriptográfiai információátviteli protokollt. .

A szoftveres kriptográfiai információvédelmi eszközöket elsősorban az interneten, otthoni számítógépeken és más olyan területeken alkalmazzák, ahol nem túl magasak a követelmények a rendszer funkcionalitásával és stabilitásával szemben. Vagy mint az internet esetében, amikor egyszerre sok különböző biztonságos kapcsolatot kell létrehozni.

Szoftver és hardver kriptovédelem

A hardver és szoftver CIPF rendszerek legjobb tulajdonságait egyesíti. Ez a legmegbízhatóbb és legfunkcionálisabb módja a biztonságos rendszerek és adatátviteli hálózatok létrehozásának. Minden felhasználó azonosítási lehetőség támogatott, mind a hardver (USB-meghajtó vagy intelligens kártya), mind a "hagyományos" - bejelentkezés és jelszó. A szoftveres és hardveres kriptográfiai információvédelmi eszközök minden modern titkosítási algoritmust támogatnak, számos funkcióval rendelkeznek a digitális aláíráson alapuló biztonságos munkafolyamat létrehozásához, az összes szükséges állapottanúsítvánnyal. A CIPF telepítését a fejlesztő szakképzett személyzete végzi.

CRYPTO-PRO cég

Az orosz kriptográfiai piac egyik vezetője. A cég az információvédelmi programok teljes skáláját fejleszti digitális aláírással, nemzetközi és orosz kriptográfiai algoritmusok alapján.

A cég programjait kereskedelmi és kormányzati szervezetek elektronikus dokumentumkezelésében, számviteli és adóbevallás benyújtására, különböző városi és költségvetési programokban stb. használják. A cég több mint 3 millió licencet adott ki a CryptoPRO CSP programhoz és 700 tanúsító központok engedélyei. A "Crypto-PRO" interfészeket biztosít a fejlesztőknek a kriptográfiai védelmi elemek saját magukba ágyazásához, és teljes körű tanácsadási szolgáltatást nyújt a CIPF létrehozásához.

CryptoProvider CryptoPro

A CryptoPro CSP kriptográfiai információvédelmi rendszer fejlesztése során a Cryptographic Service Providers Windows operációs rendszerbe épített kriptográfiai architektúráját alkalmaztuk. Az architektúra lehetővé teszi további független modulok csatlakoztatását, amelyek megvalósítják a szükséges titkosítási algoritmusokat. A CryptoAPI funkciókon keresztül működő modulok segítségével a kriptográfiai védelem mind szoftveres, mind hardveres CIPF által végrehajtható.

Kulcshordozók

Különféle privát kulcsok használhatók, mint például:

• intelligens kártyák és olvasók;
• Touch Memory eszközökkel működő elektronikus zárak és olvasók;
• különféle USB-kulcsok és cserélhető USB-meghajtók;
• Windows, Solaris, Linux rendszerleíró adatbázis fájlok.

A kriptográfiai szolgáltató funkciói

A CIPF CryptoPro CSP teljes mértékben a FAPSI által tanúsított, és a következőkre használható:

2. Az adatok teljes titkossága, hitelessége és integritása titkosítással és utánzásvédelemmel az orosz titkosítási szabványoknak és a TLS protokollnak megfelelően.

3. A programkód sértetlenségének ellenőrzése és felügyelete a jogosulatlan változtatások és hozzáférés megelőzése érdekében.

4. Rendszervédelmi szabályzat megalkotása.

A kriptográfiai védelmi eszközök az információátalakítás speciális eszközei és módszerei, amelyek eredményeként a tartalom elfedik. A kriptográfiai lezárások fő típusai a titkosítás és a védett adatok kódolása. A titkosítás ugyanakkor a lezárás egy olyan típusa, amelyben a lezárandó adatok minden szimbóluma független átalakításnak van kitéve; kódoláskor a védett adatokat blokkokra osztják, amelyeknek szemantikai jelentése van, és minden ilyen blokkot numerikus, alfabetikus vagy kombinált kóddal helyettesítenek. Ebben az esetben többféle titkosítási rendszert alkalmaznak: helyettesítés, permutáció, gamma, titkosított adatok analitikai átalakítása. A kombinált titkosításokat széles körben használják, amikor a forrásszöveget szekvenciálisan konvertálják két vagy akár három különböző rejtjel segítségével.

A kriptorendszer működési elvei

Egy tipikus példa egy olyan helyzet képére, amelyben a titkosítás (titkosítás) feladata felmerül, az 1. ábrán látható:

Rizs. №1

Az 1. ábrán A és B a védett információ jogos felhasználói, nyilvános kommunikációs csatornán akarnak információt cserélni.

P - illegális felhasználó (ellenfél, hacker), aki egy kommunikációs csatornán keresztül továbbított üzeneteket akar elfogni, és megpróbálja kivonni belőlük az őt érdeklő információkat. Ez az egyszerű séma egy tipikus helyzet modelljének tekinthető, amelyben az információvédelem kriptográfiai módszereit vagy éppen a titkosítást alkalmazzák.

Történelmileg néhány katonai szó beépült a kriptográfiába (ellenség, támadás a titkosítás ellen stb.). Ezek tükrözik a legpontosabban a megfelelő kriptográfiai fogalmak jelentését. Ugyanakkor a széles körben ismert, kód fogalmán alapuló katonai terminológia (haditengerészeti kódok, vezérkar kódjai, kódkönyvek, kódmegjelölések stb.) már nem használatos az elméleti titkosításban. Az a tény, hogy az elmúlt évtizedekben kialakult a kódolás elmélete - egy nagy tudományos irány, amely módszereket fejleszt és tanulmányoz az információknak a kommunikációs csatornák véletlenszerű torzulásaitól való védelmére. A kriptográfia olyan információátalakítási módszerekkel foglalkozik, amelyek nem teszik lehetővé az ellenfél számára, hogy kivonja azt az elfogott üzenetekből. Ugyanakkor már nem magát a védett információt továbbítják a kommunikációs csatornán, hanem annak eredménye

transzformációk a rejtjel használatával, és az ellenfél számára nehéz feladat a rejtjel feltörése. A titkosítás megnyitása (feltörése) az a folyamat, amelynek során védett információhoz jutunk egy titkosított üzenetből anélkül, hogy ismernénk a használt titkosítást. Az ellenfél megpróbálhatja nem megkapni, hanem megsemmisíteni vagy módosítani a védett információt annak továbbítása során. Ez egy egészen más típusú fenyegetés az információkkal szemben, mint a lehallgatás és a titkosítás feltörése. Az ilyen fenyegetések elleni védekezés

kidolgozták saját módszereiket. Ezért az egyik jogos felhasználótól a másikhoz vezető úton az információkat különféle módon védeni kell, ellenállva a különféle fenyegetéseknek. Létezik olyan helyzet, amikor különböző típusú kapcsolatokból álló láncolat védi az információkat. Természetesen az ellenség a leggyengébb láncszemet keresi, hogy a legalacsonyabb költséggel juthasson el az információhoz. Ez azt jelenti, hogy a jogos felhasználóknak ezt a körülményt is figyelembe kell venniük védelmi stratégiájukban: nincs értelme bizonyos kapcsolatot nagyon erőssé tenni, ha nyilvánvalóan gyengébb láncszemek vannak ("a védelem egyenlő erősségének elve"). Jó titkosítást kitalálni kemény munka. Ezért kívánatos a jó titkosítás élettartamának növelése, és a lehető legtöbb üzenet titkosítására használni. Ugyanakkor fennáll annak a veszélye, hogy az ellenség már kitalálta (felnyitotta) a titkosítást, és elolvassa a védett információt. Ha a hálózati rejtjel rendelkezik cserélhető kulccsal, akkor a kulcs cseréjével megtehető, hogy az ellenség által kifejlesztett módszerek már ne fejtsenek ki hatást.

Az információ kriptográfiai védelmét vagy röviden CIPF-et a kommunikációs vonalakon továbbított adatok átfogó védelmére használják. Ehhez be kell tartani az elektronikus aláírás engedélyezését és védelmét, a kommunikáló felek TLS és IPSec protokollokat használó hitelesítését, valamint szükség esetén magának a kommunikációs csatornának a védelmét.

Oroszországban a kriptográfiai információbiztonsági eszközök használata többnyire titkosított, így kevés nyilvánosan elérhető információ áll rendelkezésre erről a témáról.

A CIPF-ben használt módszerek

• Az adatok engedélyezése és jogi jelentőségük biztonságának biztosítása a továbbítás vagy tárolás során. Ehhez az elektronikus aláírás létrehozására és ellenőrzésére szolgáló algoritmusokat használnak a megállapított RFC 4357 előírásoknak megfelelően, és tanúsítványokat használnak az X.509 szabvány szerint.
• Az adatok titkosságának védelme és sértetlenségük ellenőrzése. Aszimmetrikus titkosítást és utánzatvédelmet alkalmaznak, vagyis az adathamisítás elleni védekezést. Megfelel a GOST R 34.12-2015.
• Rendszer- és alkalmazásszoftverek védelme. A jogosulatlan változtatások vagy meghibásodások nyomon követése.
• A rendszer legfontosabb elemeinek kezelése szigorúan az elfogadott előírásoknak megfelelően.
• Az adatcserét végző felek hitelesítése.
• Kapcsolatvédelem TLS protokollal.
• IP-kapcsolatok védelme IKE, ESP, AH protokollok használatával.

A módszereket a következő dokumentumok ismertetik részletesen: RFC 4357, RFC 4490, RFC 4491.

CIPF információvédelmi mechanizmusok

1. A tárolt vagy továbbított információk titkosságát titkosítási algoritmusok védik.
2. A kapcsolat létesítésekor az azonosítás elektronikus aláírással történik a hitelesítés során (az X.509 ajánlása szerint).
3. A digitális dokumentumfolyamot elektronikus aláírással, valamint rákényszerítés- és ismétlődés elleni védelemmel is védik, miközben az elektronikus aláírás ellenőrzésére használt kulcsok megbízhatóságát is figyelemmel kísérik.
4. Az információ sértetlenségét digitális aláírás biztosítja.
5. Az aszimmetrikus titkosítási funkciók használata segít az adatok védelmében. Ezen kívül kivonatoló függvények vagy imitációs védelmi algoritmusok is használhatók az adatok sértetlenségének ellenőrzésére. Ezek a módszerek azonban nem támogatják egy dokumentum szerzőjének meghatározását.
6. Az újrajátszás elleni védelem az elektronikus aláírás kriptográfiai funkciói által történik titkosítás vagy utánzatvédelem céljából. Ugyanakkor minden hálózati munkamenethez egyedi azonosító kerül hozzáadásra, amely elég hosszú ahhoz, hogy kizárja a véletlen egybeesését, és az ellenőrzést a fogadó fél hajtja végre.
7. A kényszerítés, azaz a külső kommunikációba való behatolás elleni védelmet elektronikus aláírás biztosítja.
8. Az egyéb védelmet - könyvjelzők, vírusok, operációs rendszer módosítások stb. ellen - különféle kriptográfiai eszközök, biztonsági protokollok, vírusirtó szoftverek és szervezeti intézkedések biztosítják.

Mint látható, az elektronikus aláírási algoritmusok a kriptográfiai információvédelem eszközeinek alapvető részét képezik. Az alábbiakban lesz szó róluk.

A CIPF használatára vonatkozó követelmények

A CIPF célja a nyílt adatok védelme (elektronikus aláírás ellenőrzésével) a különböző nyilvános információs rendszerekben, és a titkosságuk biztosítása (elektronikus aláírás ellenőrzésével, imitációvédelemmel, titkosítással, hash ellenőrzéssel) a vállalati hálózatokban.

A felhasználó személyes adatainak védelmére személyes titkosítási információvédelmi eszközt alkalmaznak. Különös figyelmet kell azonban fordítani az államtitokkal kapcsolatos információkra. A törvény szerint a CIPF-et nem lehet vele dolgozni.

Fontos: a CIPF telepítése előtt az első lépés, hogy ellenőrizze magát a CIPF szoftvercsomagot. Ez az első lépés. A telepítőcsomag sértetlenségét általában a gyártótól kapott ellenőrző összegek összehasonlításával ellenőrzik.

Telepítés után meg kell határozni a fenyegetettség mértékét, amely alapján meghatározható a használathoz szükséges kriptográfiai információvédelem típusai: szoftver, hardver és hardver-szoftver. Azt is szem előtt kell tartani, hogy néhány CIPF megszervezésénél figyelembe kell venni a rendszer helyét.

Védelmi osztályok

Az oroszországi FSB 2014. július 10-i, 378. számú rendelete szerint, amely az információk és a személyes adatok védelmére szolgáló kriptográfiai eszközök használatát szabályozza, hat osztályt határoztak meg: KS1, KS2, KS3, KB1, KB2, KA1. Egy adott rendszer védelmi osztályát a behatoló modelljére vonatkozó adatok elemzése határozza meg, vagyis a rendszer feltörésének lehetséges módjainak értékelése. A védelem ebben az esetben szoftveres és hardveres kriptográfiai információvédelemből épül fel.

Az AC (tényleges fenyegetések), amint az a táblázatból is látható, 3 típusa létezik:

1. Az első típusú fenyegetések az információs rendszerben használt rendszerszoftver nem dokumentált jellemzőihez kapcsolódnak.
2. A második típusú fenyegetések az információs rendszerben használt alkalmazási szoftverek nem dokumentált jellemzőihez kapcsolódnak.
3. A harmadik típus veszélyét az összes többinek nevezik.

A nem dokumentált funkciók a szoftver azon funkciói és jellemzői, amelyek nem szerepelnek a hivatalos dokumentációban, vagy nem felelnek meg annak. Vagyis használatuk növelheti az információk titkosságának vagy integritásának megsértésének kockázatát.

Az egyértelműség kedvéért vegye figyelembe a szabálysértők modelljeit, amelyek elfogásához a kriptográfiai információvédelmi eszközök egyik vagy másik osztálya szükséges:

• KS1 - a behatoló kívülről, a rendszeren belüli segítők nélkül cselekszik.
• A KS2 bennfentes, de nem fér hozzá a CIPF-hez.
• A KS3 egy bennfentes, aki a CIPF felhasználója.
• A KV1 egy behatoló, amely vonzza a külső forrásokat, például a kriptográfiai információvédelmi szakembereket.
• A KV2 egy behatoló, aki mögött egy intézet vagy laboratórium áll, amely a kriptográfiai információvédelmi eszközök tanulmányozásával és fejlesztésével foglalkozik.
• KA1 - államok speciális szolgáltatásai.

Így a KS1 alapvédelmi osztálynak nevezhető. Ennek megfelelően minél magasabb a védelmi osztály, annál kevesebb szakember képes azt biztosítani. Például Oroszországban a 2013-as adatok szerint csak 6 olyan szervezet volt, amely rendelkezett az FSB tanúsítvánnyal, és képes volt KA1 osztályú védelmet nyújtani.

Használt algoritmusok

Tekintsük a kriptográfiai információvédelmi eszközökben használt fő algoritmusokat:

• GOST R 34.10-2001 és frissített GOST R 34.10-2012 - algoritmusok az elektronikus aláírás létrehozására és ellenőrzésére.
• GOST R 34.11-94 és legújabb GOST R 34.11-2012 - algoritmusok hash függvények létrehozásához.
• GOST 28147-89 és újabb GOST R 34.12-2015 - adattitkosítási és imitációs védelmi algoritmusok megvalósítása.
• További kriptográfiai algoritmusok találhatók az RFC 4357-ben.

Elektronikus aláírás

A kriptográfiai információvédelmi eszközök alkalmazása nem képzelhető el az egyre nagyobb népszerűségnek örvendő elektronikus aláírási algoritmusok alkalmazása nélkül.

Az elektronikus aláírás a titkosítási átalakításokkal létrehozott dokumentum speciális része. Fő feladata a jogosulatlan változtatások felderítése és a szerzőség megállapítása.

Az elektronikus aláírás tanúsítványa egy különálló dokumentum, amely nyilvános kulccsal igazolja az elektronikus aláírás valódiságát és tulajdonosa általi tulajdonjogát. A tanúsítványt a tanúsító hatóságok állítják ki.

Az elektronikus aláírási tanúsítvány tulajdonosa az a személy, akinek a nevére a tanúsítványt bejegyezték. Két kulccsal van társítva: nyilvános és privát. A privát kulcs lehetővé teszi elektronikus aláírás létrehozását. A nyilvános kulcs célja, hogy ellenőrizze az aláírás hitelességét a titkos kulccsal való kriptográfiai kapcsolat miatt.

Az elektronikus aláírás típusai

A 63. számú szövetségi törvény szerint az elektronikus aláírás 3 típusra oszlik:

• rendszeres elektronikus aláírás;
• minősíthetetlen elektronikus aláírás;
• minősített elektronikus aláírás.

Az egyszerű ES-t az adatok megnyitásakor és megtekintésére kiszabott jelszavak vagy hasonló eszközök segítségével hozzák létre, amelyek közvetett módon megerősítik a tulajdonost.

A minősítetlen ES titkos kulcsot használó kriptográfiai adatátalakítások segítségével jön létre. Ez lehetővé teszi a dokumentumot aláíró személy megerősítését és annak megállapítását, hogy az adatokban jogosulatlan módosítás történt.

A minősített és a minősítés nélküli aláírások csak abban különböznek, hogy az első esetben az ES tanúsítványát az FSB által hitelesített hitelesítő központnak kell kiállítania.

Az elektronikus aláírás hatálya

Az alábbi táblázat az EP hatályát tárgyalja.

Az ES-technológiákat legaktívabban a dokumentumok cseréjében használják. A belső munkafolyamatban az ES dokumentumok jóváhagyásaként, azaz személyes aláírásként vagy pecsétként működik. Külső dokumentumkezelés esetén kritikus az ES megléte, mivel ez jogi megerősítés. Azt is érdemes megjegyezni, hogy az ES által aláírt dokumentumok korlátlan ideig tárolhatók, és nem veszítenek jogi jelentőségükből olyan tényezők miatt, mint a törölhető aláírások, a papír sérülése stb.

A szabályozó hatóságok felé történő jelentéstétel egy másik olyan terület, ahol az elektronikus dokumentumkezelés egyre növekszik. Sok vállalat és szervezet már értékelte az ebben a formátumban való munkavégzés kényelmét.

Az Orosz Föderáció törvényei szerint minden állampolgárnak joga van az ES-t használni a közszolgáltatások igénybevételekor (például a hatóságok számára benyújtott elektronikus kérelem aláírásakor).

Az online kereskedés egy másik érdekes terület, ahol az elektronikus aláírást aktívan használják. Ez azt igazolja, hogy valós személy vesz részt az aukción, és ajánlatai megbízhatónak tekinthetők. Fontos az is, hogy az ES segítségével kötött szerződések jogerőt szerezzenek.

Elektronikus aláírási algoritmusok

• Full Domain Hash (FDH) és nyilvános kulcsú titkosítási szabványok (PKCS). Ez utóbbi szabványos algoritmusok egész csoportja különféle helyzetekre.
• A DSA és az ECDSA az Egyesült Államok digitális aláírási szabványai.
• GOST R 34.10-2012 - az elektronikus aláírások létrehozásának szabványa az Orosz Föderációban. Ez a szabvány felváltotta a GOST R 34.10-2001 szabványt, amelyet 2017. december 31-e után hivatalosan megszüntettek.
• Az Eurázsiai Unió olyan szabványokat alkalmaz, amelyek teljesen hasonlóak az oroszországihoz.
• STB 34.101.45-2013 - Fehérorosz szabvány a digitális elektronikus aláíráshoz.
• DSTU 4145-2002 - az elektronikus aláírás létrehozásának szabványa Ukrajnában és sok másban.

Azt is meg kell jegyezni, hogy az ES létrehozására szolgáló algoritmusoknak különböző céljai és céljai vannak:

• Csoportos elektronikus aláírás.
• Egyszeri digitális aláírás.
• Megbízható EP.
• Minősített és minősítetlen aláírás stb.