Mekanisme enkripsi data untuk memastikan keamanan informasi masyarakat adalah perlindungan kriptografi informasi melalui enkripsi kriptografi.

Metode kriptografi perlindungan informasi digunakan untuk memproses, menyimpan dan mengirimkan informasi pada media dan melalui jaringan komunikasi.

Perlindungan kriptografik informasi selama transmisi data jarak jauh adalah satu-satunya metode enkripsi yang dapat diandalkan.

Kriptografi adalah ilmu yang mempelajari dan menggambarkan model keamanan informasi data. Kriptografi membuka solusi untuk banyak masalah keamanan jaringan: otentikasi, kerahasiaan, integritas, dan kontrol peserta yang berinteraksi.

Istilah "Enkripsi" berarti transformasi data ke dalam bentuk yang tidak dapat dibaca oleh manusia dan sistem perangkat lunak tanpa kunci enkripsi-dekripsi. Metode kriptografi keamanan informasi menyediakan sarana keamanan informasi, sehingga merupakan bagian dari konsep keamanan informasi.

Tujuan keamanan informasi pada akhirnya turun untuk memastikan kerahasiaan informasi dan melindungi informasi dalam sistem komputer dalam proses transmisi informasi melalui jaringan antara pengguna sistem.

Perlindungan informasi rahasia berdasarkan perlindungan informasi kriptografi mengenkripsi data menggunakan keluarga transformasi reversibel, yang masing-masing dijelaskan oleh parameter yang disebut "kunci" dan urutan yang menentukan urutan penerapan setiap transformasi.

Komponen terpenting dari metode kriptografi untuk melindungi informasi adalah kunci, yang bertanggung jawab untuk memilih transformasi dan urutan pelaksanaannya. Kuncinya adalah urutan karakter tertentu yang mengkonfigurasi algoritma enkripsi dan dekripsi dari sistem perlindungan informasi kriptografi. Setiap transformasi tersebut secara unik ditentukan oleh kunci yang mendefinisikan algoritma kriptografi yang memberikan perlindungan informasi dan keamanan informasi dari sistem informasi.

Algoritme perlindungan informasi kriptografi yang sama dapat beroperasi dalam mode yang berbeda, yang masing-masing memiliki kelebihan dan kekurangan tertentu yang memengaruhi keandalan alat keamanan informasi dan keamanan informasi Rusia.

Metodologi kriptografi simetris atau rahasia.

Dalam metodologi ini, sarana teknis perlindungan informasi, enkripsi dan dekripsi oleh penerima dan pengirim menggunakan kunci yang sama, yang sebelumnya telah disepakati bahkan sebelum penggunaan perlindungan informasi rekayasa kriptografi.

Dalam kasus di mana kunci belum dikompromikan, proses dekripsi akan secara otomatis mengotentikasi pembuat pesan, karena hanya dia yang memiliki kunci untuk mendekripsi pesan.

Jadi, program untuk melindungi informasi dengan kriptografi mengasumsikan bahwa pengirim dan penerima pesan adalah satu-satunya orang yang dapat mengetahui kuncinya, dan komprominya akan mempengaruhi interaksi hanya dua pengguna sistem informasi ini.

Masalah perlindungan informasi organisasi dalam hal ini akan relevan untuk setiap kriptosistem yang mencoba mencapai tujuan melindungi informasi atau melindungi informasi di Internet, karena kunci simetris harus didistribusikan di antara pengguna dengan aman, yaitu, informasi itu perlu perlindungan di jaringan komputer di mana kunci ditransmisikan, berada pada tingkat tinggi.

Setiap algoritma enkripsi simetris dari sistem kriptografi keamanan informasi perangkat keras-perangkat lunak menggunakan kunci pendek dan melakukan enkripsi dengan sangat cepat, meskipun ada sejumlah besar data, yang memenuhi tujuan perlindungan informasi.

Alat keamanan informasi komputer berbasis kriptosistem harus menggunakan sistem kunci simetris dengan urutan sebagai berikut:

· Pekerjaan keamanan informasi dimulai dengan fakta bahwa, pertama, perlindungan informasi menciptakan, mendistribusikan, dan menyimpan kunci simetris dari perlindungan informasi organisasi;

· Selanjutnya, spesialis keamanan informasi atau pengirim sistem keamanan informasi di jaringan komputer membuat tanda tangan elektronik menggunakan fungsi hash dari teks dan menambahkan string hash yang dihasilkan ke teks, yang harus dikirimkan dengan aman ke organisasi keamanan informasi;

· Menurut doktrin keamanan informasi, pengirim menggunakan algoritma enkripsi simetris cepat dalam alat keamanan informasi kriptografi bersama dengan kunci simetris untuk paket pesan dan tanda tangan elektronik yang mengotentikasi pengguna sistem enkripsi alat keamanan informasi kriptografi ;

· Pesan terenkripsi dapat ditransmisikan dengan aman bahkan melalui saluran komunikasi yang tidak aman, meskipun lebih baik melakukan ini sebagai bagian dari pekerjaan keamanan informasi. Tetapi kunci simetris harus ditransmisikan tanpa gagal (sesuai dengan doktrin keamanan informasi) melalui saluran komunikasi dalam kerangka perlindungan informasi perangkat lunak dan perangkat keras;

· Dalam sistem keamanan informasi sepanjang sejarah keamanan informasi, menurut doktrin keamanan informasi, penerima menggunakan algoritma simetris yang sama untuk mendekripsi paket dan kunci simetris yang sama, yang memungkinkan untuk mengembalikan teks pesan asli dan mendekripsi tanda tangan elektronik pengirim dalam sistem keamanan informasi;

· Dalam sistem keamanan informasi, penerima sekarang harus memisahkan tanda tangan elektronik dari teks pesan;

· Sekarang, penerima membandingkan tanda tangan elektronik yang diterima sebelumnya dan sekarang untuk memeriksa integritas pesan dan tidak adanya data yang terdistorsi di dalamnya, yang disebut integritas transmisi data di bidang keamanan informasi.

Buka metodologi asimetris untuk keamanan informasi.

Mengetahui sejarah perlindungan informasi, orang dapat memahami bahwa dalam metodologi ini, kunci enkripsi dan dekripsi berbeda, meskipun dibuat bersama. Dalam sistem keamanan informasi seperti itu, satu kunci didistribusikan secara publik, dan yang lainnya ditransmisikan secara rahasia, karena data yang dienkripsi dengan satu kunci hanya dapat didekripsi dengan kunci lainnya.

Semua sarana kriptografi asimetris untuk melindungi informasi adalah target serangan oleh seorang cracker yang bertindak di bidang keamanan informasi dengan enumerasi kunci secara langsung. Oleh karena itu, dalam keamanan informasi seseorang atau keamanan psikologis informasi, kunci panjang digunakan untuk membuat proses penghitungan kunci menjadi proses yang panjang sehingga peretasan sistem keamanan informasi akan kehilangan akal.

Sama sekali bukan rahasia bahkan bagi mereka yang membuat perlindungan nilai tukar informasi bahwa untuk menghindari kelambatan algoritma enkripsi asimetris, kunci simetris sementara dibuat untuk setiap pesan, dan kemudian hanya dienkripsi dengan algoritma asimetris.

Sistem informasi keamanan psikologis dan keamanan informasi seseorang menggunakan prosedur berikut untuk menggunakan kunci asimetris:

· Di bidang keamanan informasi, kunci publik asimetris dibuat dan didistribusikan secara publik. Dalam sistem keamanan informasi individu, kunci asimetris rahasia dikirim ke pemiliknya, dan kunci asimetris publik disimpan dalam database dan dikelola oleh pusat penerbitan sertifikat sistem keamanan informasi, yang dikendalikan oleh spesialis keamanan informasi. . Kemudian, keamanan informasi, yang tidak dapat diunduh secara gratis di mana pun, menyiratkan bahwa kedua pengguna harus percaya bahwa sistem keamanan informasi semacam itu secara aman membuat, mengelola, dan mendistribusikan kunci yang digunakan oleh seluruh organisasi perlindungan informasi. Terlebih lagi, jika pada setiap tahap perlindungan informasi, sesuai dengan dasar-dasar perlindungan informasi, setiap langkah dilakukan oleh orang yang berbeda, maka penerima pesan rahasia harus percaya bahwa pencipta kunci menghancurkan salinannya dan tidak memberikan kunci-kunci ini kepada orang lain sehingga seseorang masih dapat mengunduh perlindungan informasi yang dikirimkan dalam sistem alat perlindungan informasi. Beginilah cara kerja profesional keamanan informasi.

· Selanjutnya, dasar-dasar keamanan informasi menetapkan bahwa tanda tangan elektronik dari teks dibuat, dan nilai yang dihasilkan dienkripsi dengan algoritme asimetris. Kemudian semua dasar keamanan informasi yang sama mengasumsikan bahwa kunci rahasia pengirim disimpan dalam string karakter dan ditambahkan ke teks yang akan ditransmisikan dalam sistem keamanan informasi dan keamanan informasi, karena tanda tangan elektronik dalam keamanan informasi dan keamanan informasi dapat membuat tanda tangan elektronik!

· Kemudian sistem perlindungan informasi dan sarana memecahkan masalah mentransfer kunci sesi ke penerima.

· Selanjutnya dalam sistem keamanan informasi, pengirim harus memperoleh kunci publik asimetris dari otoritas penerbit sertifikat organisasi dan teknologi keamanan informasi. Dalam organisasi tertentu dan teknologi keamanan informasi, intersepsi permintaan tidak terenkripsi untuk kunci publik adalah serangan paling umum oleh cracker. Oleh karena itu, dalam organisasi dan teknologi keamanan informasi, sistem sertifikat yang mengkonfirmasi keaslian kunci publik dapat diterapkan.

Dengan demikian, algoritme enkripsi melibatkan penggunaan kunci, yang memungkinkan Anda melindungi data 100% dari pengguna yang tidak mengetahui kunci tersebut.

Perlindungan informasi di jaringan lokal dan teknologi perlindungan informasi serta kerahasiaan diperlukan untuk memastikan integritas penyimpanan informasi. Artinya, perlindungan informasi dalam jaringan lokal harus mengirimkan data sedemikian rupa sehingga data tetap tidak berubah selama transmisi dan penyimpanan.

Agar keamanan informasi informasi untuk memastikan integritas penyimpanan dan transmisi data, perlu untuk mengembangkan alat yang mendeteksi distorsi data asli, yang redundansi ditambahkan ke informasi asli.

Keamanan informasi di Rusia dengan kriptografi memecahkan masalah integritas dengan menambahkan semacam checksum atau pola cek untuk menghitung integritas data. Jadi sekali lagi model keamanan informasi adalah kriptografi - bergantung pada kunci. Menurut penilaian keamanan informasi berbasis kriptografi, ketergantungan kemampuan membaca data pada kunci rahasia adalah alat yang paling dapat diandalkan dan bahkan digunakan dalam sistem keamanan informasi negara.

Sebagai aturan, audit keamanan informasi suatu perusahaan, misalnya, keamanan informasi bank, memberikan perhatian khusus pada kemungkinan berhasilnya menerapkan informasi yang terdistorsi, dan perlindungan informasi kriptografi memungkinkan untuk mengurangi kemungkinan ini ke tingkat yang dapat diabaikan. tingkat. Layanan keamanan informasi serupa menyebut probabilitas ini sebagai ukuran resistensi tiruan dari sandi, atau kemampuan data terenkripsi untuk menahan serangan peretas.

Perlindungan informasi terhadap virus atau sistem perlindungan informasi ekonomi harus mendukung otentikasi pengguna untuk mengidentifikasi pengguna sistem yang diatur dan mencegah penyusup memasuki sistem.

Verifikasi dan konfirmasi keaslian data pengguna di semua bidang interaksi informasi merupakan masalah integral penting untuk memastikan keandalan informasi yang diterima dan sistem keamanan informasi di perusahaan.

Keamanan informasi bank sangat akut dalam masalah ketidakpercayaan pihak-pihak yang berinteraksi satu sama lain, di mana konsep keamanan informasi SI tidak hanya mencakup ancaman eksternal dari pihak ketiga, tetapi juga ancaman terhadap keamanan informasi (perkuliahan). dari pengguna.

Tanda tangan digital

perlindungan keamanan informasi tidak sah

Terkadang pengguna IP ingin menolak kewajiban yang diterima sebelumnya dan mencoba mengubah data atau dokumen yang dibuat sebelumnya. Doktrin keamanan informasi Federasi Rusia memperhitungkan hal ini dan menghentikan upaya semacam itu.

Melindungi informasi rahasia menggunakan satu kunci tidak mungkin dilakukan dalam situasi di mana satu pengguna tidak mempercayai yang lain, karena pengirim kemudian dapat menolak bahwa pesan itu dikirim sama sekali. Selanjutnya, terlepas dari perlindungan informasi rahasia, pengguna kedua dapat memodifikasi data dan mengatribusikan kepengarangan ke pengguna lain dari sistem. Secara alami, apa pun perlindungan perangkat lunak informasi atau rekayasa perlindungan informasi, kebenaran tidak dapat ditentukan dalam perselisihan ini.

Tanda tangan digital dalam sistem perlindungan informasi seperti itu dalam sistem komputer adalah obat mujarab untuk masalah kepengarangan. Perlindungan informasi dalam sistem komputer dengan tanda tangan digital berisi 2 algoritma: untuk menghitung tanda tangan dan untuk memverifikasinya. Algoritme pertama hanya dapat dijalankan oleh penulis, dan yang kedua berada di domain publik sehingga setiap orang dapat memeriksa kebenaran tanda tangan digital kapan saja.

Ide untuk artikel ini lahir ketika spesialis EFSOL ditugaskan untuk menganalisis risiko keamanan informasi dalam bisnis restoran dan mengembangkan langkah-langkah untuk melawannya. Salah satu risiko yang signifikan adalah kemungkinan penyitaan informasi manajemen, dan salah satu tindakan pencegahannya adalah enkripsi database akuntansi.

Saya akan segera membuat reservasi bahwa pertimbangan semua kemungkinan produk atau solusi kripto berdasarkan sistem akuntansi tertentu tidak termasuk dalam cakupan artikel ini. Kami hanya tertarik pada analisis komparatif alat enkripsi pribadi, di mana kami telah memilih solusi open source gratis yang paling populer dan beberapa analog komersial yang paling dipromosikan. Biarkan pengguna yang tidak berpengalaman tidak takut dengan frasa "sumber terbuka" - itu hanya berarti bahwa sekelompok penggemar terlibat dalam pengembangan yang siap menerima siapa pun yang ingin membantu mereka.

Jadi mengapa kami mengambil pendekatan ini? Motivasinya sangat sederhana.

1. Perusahaan yang berbeda menggunakan sistem akuntansi mereka sendiri, jadi kami memilih alat enkripsi yang tidak terikat pada platform tertentu - universal.
2. Lebih masuk akal untuk menggunakan perlindungan kripto pribadi di perusahaan kecil di mana 1-5 pengguna bekerja dengan program akuntansi. Untuk perusahaan besar, penghapusan informasi manajemen akan menyebabkan kerugian finansial yang lebih besar - oleh karena itu, solusi keamanan akan jauh lebih mahal.
3. Analisis banyak produk enkripsi informasi komersial tidak masuk akal: cukup mengevaluasi beberapa di antaranya untuk membentuk pemahaman tentang harga dan fungsionalitas untuk Anda sendiri.

Mari beralih ke membandingkan produk, yang mudah dilakukan berdasarkan tabel pivot. Saya sengaja mengabaikan banyak detail teknis (seperti dukungan untuk akselerasi perangkat keras atau multithreading, beberapa prosesor logis atau fisik) dalam analisis yang membuat rata-rata pengguna pusing. Mari kita hanya memikirkan fungsionalitas dari mana kita benar-benar dapat menyoroti manfaatnya.

tabel pivot

	TrueCrypt	Disk Rahasia	Zecurion Zdisk
Versi terbaru pada saat peninjauan	7.1a	4	Tidak ada data
Harga	Gratis	Dari 4 240 gosok. untuk 1 komputer	Dari 5250 gosok. untuk 1 komputer
Sistem operasi	Windows 7, Windows Vista, Windows XP, Windows Server 2003, Windows Server 2008: (32-bit dan 64-bit); Windows Server 2008 R2; Windows 2000 SP4; Mac OS X 10.7 Lion (32-bit dan 64-bit); Mac OS X 10.6 Macan Tutul Salju; Mac OS X 10.5 Leopard; Mac OS X 10.4 Macan; Linux (32-bit dan 64-bit, kernel 2.6 atau kompatibel)	Windows 7, Windows Vista, Windows XP: (32-bit dan 64-bit)	Jendela 98; Windows Saya; Stasiun Kerja Windows NT; Windows 2000 Profesional; Windows XP; Windows Vista
Algoritma enkripsi bawaan	AES Ular Dua ikan	Bukan	Bukan
Menggunakan Penyedia Kriptografi (CSP)	Bukan	Microsoft Enhanced CSP: Triple DES dan RC2 Disk Rahasia NG Crypto Pack: AES dan Twofish; CryptoPro CSP, Signal-COM CSP atau Vipnet CSP: GOST 28147-89	rc5, AES, KRYPTON CSP: GOST 28147-89
Mode enkripsi XTS	Ya	Bukan	Bukan
Enkripsi bertingkat	AES-Dua Ikan-Ular; Ular-AES; Ular-Dua Ikan-AES; Ular Dua Ikan	Bukan	Bukan
Enkripsi Transparan	Ya	Ya	Ya
Enkripsi partisi sistem	Ya	Ya	Bukan
Otentikasi sebelum OS boot	Kata sandi	Pin + token	Bukan
Enkripsi partisi disk	Ya	Ya	Bukan
Membuat file kontainer	Ya	Ya	Ya
Membuat partisi tersembunyi	Ya	Bukan	Bukan
Membuat OS tersembunyi	Ya	Bukan	Bukan
Enkripsi Drive Portabel	Ya	Ya	Ya
Bekerja dengan drive portabel	Ya	Bukan	Bukan
Jaringan	Ya	Bukan	Ya
Mode multipemain	Melalui NTFS	Ya	Ya
Otentikasi hanya kata sandi	Ya	Bukan	Bukan
Otentikasi file kunci	Ya	Bukan	Bukan
Dukungan untuk token dan kartu pintar	Mendukung protokol PKCS #11 2.0 atau lebih tinggi	kunci USB eToken PRO/32K (64K); eToken PRO/72K USB dongle (Jawa); Kartu pintar eToken PRO/32K (64K); Kartu pintar eToken PRO/72K (Jawa); Kunci kombinasi eToken NG-FLASH Kunci Gabungan eToken NG-OTP eToken PRO Di Mana Saja	Pelangi iKey 10xx/20xx/30xx; ruToken; eToken R2/Pro
Nonaktifkan Darurat Drive Terenkripsi	Tombol pintas	Tombol pintas	Tombol pintas
Perlindungan kata sandi paksa	Bukan	Ya	Ya
Kemampuan untuk menggunakan "Plausible Deniability"	Ya	Bukan	Bukan
Isi pengiriman	Tidak ada versi kotak - distribusi diunduh dari situs pengembang	eToken PRO Anywhere USB key dengan lisensi untuk menggunakan produk; Panduan cepat dalam bentuk cetak; CD-ROM (kit distribusi, dokumentasi terperinci, bagian boot MBR; Kemasan kotak DVD	Lisensi; Kunci USB dan kabel ekstensi USB; Disk distribusi; Dokumentasi dalam bentuk cetak; Pembaca/Penulis Kartu Cerdas ACS-30S

Mengikuti hukum genre, tetap hanya mengomentari poin individu dan menyoroti keuntungan dari solusi tertentu. Semuanya jelas dengan harga produk, serta dengan sistem operasi yang didukung. Saya hanya akan mencatat fakta bahwa versi TrueCrypt untuk MacOS dan Linux memiliki nuansa penggunaannya sendiri, dan menginstalnya pada platform server dari Microsoft, meskipun memberikan keuntungan tertentu, sama sekali tidak mampu menggantikan fungsi besar sistem perlindungan data komersial di sebuah jaringan perusahaan. Izinkan saya mengingatkan Anda bahwa kami masih mempertimbangkan perlindungan kripto pribadi.

Algoritme bawaan, penyedia kripto, XTS, dan enkripsi bertingkat

Penyedia Crypto, tidak seperti algoritme enkripsi bawaan, adalah modul plug-in terpisah yang menentukan metode penyandian (decoding) yang digunakan oleh program. Mengapa solusi komersial menggunakan paket penyedia kripto? Jawabannya sederhana, tetapi dapat dibenarkan secara finansial.

1. Tidak perlu membuat perubahan pada program untuk menambahkan algoritme tertentu (untuk membayar pekerjaan pemrogram) - cukup buat modul baru atau sambungkan solusi pihak ketiga.
2. Di seluruh dunia, standar internasional sedang dikembangkan, diuji, dan diterapkan, tetapi untuk lembaga pemerintah Rusia perlu mematuhi persyaratan FSTEC dan FSB. Persyaratan ini menyiratkan lisensi pembuatan dan distribusi alat keamanan informasi.
3. Penyedia kripto adalah sarana enkripsi data, dan program itu sendiri tidak memerlukan sertifikasi pengembangan dan distribusi.

Enkripsi bertingkat adalah kemampuan untuk mengkodekan informasi dengan satu algoritma ketika telah dikodekan dengan yang lain. Pendekatan ini, meskipun memperlambat pekerjaan, memungkinkan Anda untuk meningkatkan ketahanan data yang dilindungi terhadap peretasan - semakin banyak "lawan" tahu tentang metode enkripsi (misalnya, algoritme yang digunakan atau rangkaian karakter kunci), semakin mudah itu baginya untuk mengungkapkan informasi.

Teknologi enkripsi XTS (mode Tweaked CodeBook (TCB) berbasis XEX dengan CipherText Stealing (CTS))) adalah pengembangan logis dari metode enkripsi blok XEX dan LRW sebelumnya, di mana kerentanan ditemukan. Karena operasi baca/tulis pada media penyimpanan dilakukan sektor per sektor dalam blok, penggunaan metode pengkodean streaming tidak dapat diterima. Jadi, pada 19 Desember 2007, metode enkripsi XTS-AES untuk algoritma AES dijelaskan dan direkomendasikan oleh standar internasional untuk melindungi informasi yang disimpan IEEE P1619.

Mode ini menggunakan dua kunci, yang pertama digunakan untuk menghasilkan vektor inisialisasi, dan yang kedua untuk mengenkripsi data. Metode ini bekerja sesuai dengan algoritma berikut:

1. menghasilkan vektor dengan mengenkripsi nomor sektor dengan kunci pertama;
2. menambahkan vektor dengan informasi asli;
3. mengenkripsi hasil penambahan dengan kunci kedua;
4. menambahkan vektor dengan hasil enkripsi;
5. mengalikan vektor dengan polinomial pembangkit dari medan berhingga.

Institut Nasional Standar dan Teknologi merekomendasikan penggunaan XTS untuk mengenkripsi data perangkat dengan struktur internal blok karena:

• dijelaskan oleh standar internasional;
• memiliki kinerja tinggi karena kinerja perhitungan awal dan paralelisasi;
• memungkinkan pemrosesan blok sektor arbitrer dengan menghitung vektor inisialisasi.

Saya juga mencatat bahwa IEEE P1619 merekomendasikan penggunaan metode XTS dengan algoritma enkripsi AES, namun, arsitektur mode memungkinkannya untuk digunakan bersama dengan cipher blok lainnya. Jadi, jika perlu untuk mengesahkan perangkat yang menerapkan enkripsi transparan sesuai dengan persyaratan undang-undang Rusia, dimungkinkan untuk menggunakan XTS dan GOST 28147-89 bersama-sama.

Shutdown darurat drive, entri kata sandi "di bawah tekanan", penolakan keterlibatan

Penonaktifan darurat disk terenkripsi adalah fitur yang tidak dapat disangkal diperlukan dalam situasi yang memerlukan respons instan untuk melindungi informasi. Tapi apa yang terjadi selanjutnya? "Lawan" melihat sistem di mana perlindungan kripto diinstal dan disk yang tidak dapat dibaca oleh alat sistem. Kesimpulan tentang penyembunyian informasi sudah jelas.

Ada tahap "pemaksaan". "Lawan" akan menggunakan tindakan fisik atau hukum untuk memaksa pemilik mengungkapkan informasi. Solusi mapan domestik "memasukkan kata sandi di bawah paksaan" dari kategori "Saya akan mati, tetapi saya tidak akan mengkhianati" menjadi tidak relevan. Tidak mungkin untuk menghapus informasi yang sebelumnya disalin oleh "lawan", dan dia akan melakukannya - jangan ragu. Menghapus kunci enkripsi hanya mengonfirmasi bahwa informasi tersebut benar-benar penting, dan kunci cadangan harus disembunyikan di suatu tempat. Dan bahkan tanpa kunci, informasi masih tersedia untuk analisis sandi dan peretasan. Saya tidak akan menguraikan seberapa besar tindakan ini membawa pemilik informasi lebih dekat ke kegagalan hukum, tetapi saya akan berbicara tentang metode logis dari penyangkalan yang masuk akal.

Penggunaan partisi tersembunyi dan OS tersembunyi tidak akan memungkinkan "lawan" untuk membuktikan keberadaan informasi yang dilindungi. Dalam terang ini, persyaratan pengungkapan menjadi tidak masuk akal. Pengembang TrueCrypt merekomendasikan untuk mengaburkan jejak lebih lanjut: selain partisi atau sistem operasi tersembunyi, buat yang terlihat terenkripsi yang berisi data menipu (fiktif). "Lawan", setelah menemukan bagian terenkripsi yang terlihat, akan bersikeras untuk mengungkapkannya. Dengan mengungkapkan informasi tersebut di bawah tekanan, pemilik tidak mengambil risiko apa pun dan menghilangkan kecurigaan, karena rahasia nyata akan tetap tidak terlihat di bagian terenkripsi yang tersembunyi.

Meringkas

Ada banyak sekali nuansa dalam melindungi informasi, tetapi yang terang harus cukup untuk meringkas hasil antara - setiap orang akan membuat keputusan akhir untuk dirinya sendiri. Keuntungan dari program gratis TrueCrypt termasuk fungsinya; kesempatan bagi setiap orang untuk berpartisipasi dalam pengujian dan peningkatan; jumlah informasi terbuka yang berlebihan pada aplikasi. Solusi ini dibuat oleh orang-orang yang tahu banyak tentang penyimpanan informasi yang aman dan terus meningkatkan produk mereka, untuk orang-orang yang membutuhkan tingkat keandalan yang sangat tinggi. Kerugiannya termasuk kurangnya dukungan, kompleksitas tinggi untuk rata-rata pengguna, kurangnya otentikasi dua tingkat sebelum memulai OS, ketidakmampuan untuk menghubungkan modul dari penyedia crypto pihak ketiga.

Produk komersial penuh dengan perawatan pengguna: dukungan teknis, pengemasan yang sangat baik, biaya rendah, versi bersertifikat, kemampuan untuk menggunakan algoritma GOST 28147-89, mode multi-pengguna dengan otentikasi dua tingkat yang dibatasi. Hanya fungsionalitas dan naif yang terbatas dalam menjaga kerahasiaan penyimpanan data terenkripsi.

Diperbarui: Juni 2015.

Meskipun TrueCrypt 7.1a dirilis pada 7 Februari 2011, itu tetap menjadi versi produk yang berfungsi penuh terakhir.

Kisah misterius dengan penghentian pengembangan TrueCrypt sangat menarik. Pada 28 Mei 2014, semua versi produk sebelumnya telah dihapus dari situs pengembang dan versi 7.2 dirilis. Versi ini hanya dapat mendekripsi disk dan wadah yang dienkripsi sebelumnya - fitur enkripsi telah dihapus. Sejak saat itu, situs dan program menyerukan penggunaan BitLocker, dan penggunaan TrueCrypt disebut tidak aman.

Ini menyebabkan gelombang gosip di Internet: penulis program dicurigai menetapkan "bookmark" dalam kode. Dipicu oleh informasi dari mantan karyawan NSA Snowden bahwa badan intelijen sengaja melemahkan alat kriptografi, pengguna mulai mengumpulkan dana untuk mengaudit kode TrueCrypt. Lebih dari $60.000 dikumpulkan untuk menguji program tersebut.

Audit selesai sepenuhnya pada April 2015. Analisis kode tidak mengungkapkan bookmark apa pun, kelemahan arsitektur kritis, atau kerentanan. TrueCrypt telah terbukti menjadi alat kriptografi yang dirancang dengan baik, meskipun tidak sempurna.

Sekarang saran pengembang untuk beralih ke Bitlocker dilihat oleh banyak orang sebagai "bukti kenari". Penulis TrueCrypt selalu mengejek Bitlocker dan keamanannya pada khususnya. Menggunakan Bitlocker juga tidak masuk akal karena sifat kode program yang tertutup dan tidak dapat diaksesnya dalam edisi Windows yang "lebih muda". Karena semua hal di atas, komunitas Internet cenderung percaya bahwa pengembang dipengaruhi oleh badan intelijen, dan mereka mengisyaratkan sesuatu yang penting dengan diam, dengan tidak tulus merekomendasikan Bitlocker.

Mari kita rekap

TrueCrypt terus menjadi alat kriptografi yang paling kuat, andal, dan fungsional. Baik audit maupun tekanan dari dinas khusus hanya mengkonfirmasi hal ini.

Zdisk dan Secret Disk memiliki versi bersertifikat FSTEC. Oleh karena itu, masuk akal untuk menggunakan produk ini untuk mematuhi persyaratan undang-undang Federasi Rusia di bidang perlindungan informasi, misalnya, perlindungan data pribadi, sebagaimana disyaratkan oleh Undang-Undang Federal 152-FZ dan peraturan bawahannya. .

Bagi mereka yang sangat peduli dengan keamanan informasi, ada solusi komprehensif "Server di Israel", di mana pendekatan komprehensif untuk perlindungan data perusahaan.

Integrasi sistem. Konsultasi

Istilah "kriptografi" berasal dari kata Yunani kuno untuk "tersembunyi" dan "menulis". Ungkapan tersebut mengungkapkan tujuan utama kriptografi - ini adalah perlindungan dan pelestarian kerahasiaan informasi yang dikirimkan. Perlindungan informasi dapat terjadi dengan berbagai cara. Misalnya, dengan membatasi akses fisik ke data, menyembunyikan saluran transmisi, membuat kesulitan fisik dalam menghubungkan ke jalur komunikasi, dll.

Tujuan kriptografi

Tidak seperti metode kriptografi tradisional, kriptografi mengasumsikan ketersediaan penuh saluran transmisi untuk penyusup dan memastikan kerahasiaan dan keaslian informasi menggunakan algoritma enkripsi yang membuat informasi tidak dapat diakses oleh orang luar membaca. Sistem perlindungan informasi kriptografi modern (CIPF) adalah kompleks perangkat lunak dan perangkat keras komputer yang memberikan perlindungan informasi sesuai dengan parameter utama berikut.

• Kerahasiaan- ketidakmungkinan membaca informasi oleh orang yang tidak memiliki hak akses yang sesuai. Komponen utama untuk memastikan kerahasiaan dalam CIPF adalah kunci (key), yang merupakan kombinasi alfanumerik unik untuk akses pengguna ke blok CIPF tertentu.
• Integritas- ketidakmungkinan perubahan yang tidak sah, seperti mengedit dan menghapus informasi. Untuk melakukan ini, redundansi ditambahkan ke informasi asli dalam bentuk kombinasi cek yang dihitung oleh algoritma kriptografi dan tergantung pada kuncinya. Dengan demikian, tanpa mengetahui kuncinya, menambah atau mengubah informasi menjadi tidak mungkin.
• Autentikasi- konfirmasi keaslian informasi dan pihak yang mengirim dan menerimanya. Informasi yang ditransmisikan melalui saluran komunikasi harus diautentikasi secara unik berdasarkan konten, waktu pembuatan dan transmisi, sumber dan penerima. Harus diingat bahwa sumber ancaman tidak hanya penyerang, tetapi juga pihak-pihak yang terlibat dalam pertukaran informasi dengan rasa saling percaya yang tidak memadai. Untuk mencegah situasi seperti itu, CIPF menggunakan sistem cap waktu untuk membuatnya tidak mungkin untuk mengirim ulang atau mengembalikan informasi dan mengubah urutannya.

• Kepengarangan- konfirmasi dan ketidakmungkinan penolakan tindakan yang dilakukan oleh pengguna informasi. Cara paling umum untuk mengotentikasi adalah sistem EDS terdiri dari dua algoritma: membuat tanda tangan dan memverifikasinya. Saat bekerja secara intensif dengan ECC, disarankan untuk menggunakan otoritas sertifikasi perangkat lunak untuk membuat dan mengelola tanda tangan. Pusat-pusat tersebut dapat diimplementasikan sebagai sarana perlindungan informasi kriptografi, sepenuhnya independen dari struktur internal. Apa artinya ini bagi organisasi? Ini berarti bahwa semua transaksi dengan diproses oleh organisasi bersertifikat independen dan pemalsuan kepengarangan hampir tidak mungkin.

Algoritma enkripsi

Saat ini, di antara CIPF, algoritma enkripsi terbuka menggunakan kunci simetris dan asimetris dengan panjang yang cukup untuk memberikan kompleksitas kriptografi yang diinginkan. Algoritma yang paling umum:

• kunci simetris - Rusia -28147.89, AES, DES, RC4;
• kunci asimetris - RSA;
• menggunakan fungsi hash - -34.11.94, MD4/5/6, SHA-1/2.

Banyak negara memiliki standar nasional sendiri.Di AS, algoritma AES yang dimodifikasi dengan kunci 128-256 bit digunakan, dan di Federasi Rusia, algoritma tanda tangan elektronik R-34.10.2001 dan algoritma kriptografi blok R-28147.89 dengan kunci 256-bit. Beberapa elemen sistem kriptografi nasional dilarang untuk diekspor ke luar negeri, kegiatan untuk pengembangan CIPF memerlukan lisensi.

Sistem perlindungan kripto perangkat keras

Hardware CIPF adalah perangkat fisik yang berisi perangkat lunak untuk mengenkripsi, merekam dan mengirimkan informasi. Perangkat enkripsi dapat dibuat dalam bentuk perangkat pribadi, seperti enkripsi USB ruToken dan flash drive IronKey, kartu ekspansi untuk komputer pribadi, sakelar dan router jaringan khusus, yang menjadi dasar untuk membangun jaringan komputer yang sepenuhnya aman.

CIPF perangkat keras dipasang dengan cepat dan beroperasi dengan kecepatan tinggi. Kekurangan - tinggi, dibandingkan dengan perangkat lunak dan perangkat keras-perangkat lunak CIPF, biaya dan opsi peningkatan terbatas.

Dimungkinkan juga untuk merujuk ke blok CIPF perangkat keras yang dibangun ke dalam berbagai perangkat untuk merekam dan mentransmisikan data, di mana enkripsi dan pembatasan akses ke informasi diperlukan. Perangkat tersebut termasuk takometer mobil yang merekam parameter kendaraan, beberapa jenis peralatan medis, dll. Untuk operasi penuh dari sistem tersebut, aktivasi terpisah dari modul CIPF oleh spesialis pemasok diperlukan.

Sistem perlindungan kripto perangkat lunak

Software CIPF adalah paket software khusus untuk mengenkripsi data pada media penyimpanan (hard dan flash drive, kartu memori, CD/DVD) dan saat dikirimkan melalui Internet (email, file dalam attachment, secure chat, dll). Ada cukup banyak program, termasuk yang gratis, misalnya DiskCryptor. Perangkat lunak CIPF juga mencakup jaringan pertukaran informasi virtual aman yang beroperasi "di atas Internet" (VPN), perpanjangan protokol Internet HTTP dengan dukungan untuk enkripsi HTTPS dan SSL - protokol transfer informasi kriptografi yang banyak digunakan dalam sistem telepon IP dan aplikasi Internet .

Alat perlindungan informasi kriptografi perangkat lunak terutama digunakan di Internet, di komputer rumah dan di area lain di mana persyaratan untuk fungsionalitas dan stabilitas sistem tidak terlalu tinggi. Atau seperti dalam kasus Internet, ketika Anda harus membuat banyak koneksi aman yang berbeda pada saat yang bersamaan.

Perlindungan kripto perangkat lunak dan perangkat keras

Menggabungkan kualitas terbaik dari sistem CIPF perangkat keras dan perangkat lunak. Ini adalah cara paling andal dan fungsional untuk menciptakan sistem dan jaringan transmisi data yang aman. Semua opsi identifikasi pengguna didukung, baik perangkat keras (USB-drive atau kartu pintar) dan yang "tradisional" - login dan kata sandi. Perangkat lunak dan perangkat keras alat perlindungan informasi kriptografi mendukung semua algoritme enkripsi modern, memiliki serangkaian besar fungsi untuk membuat alur kerja yang aman berdasarkan tanda tangan digital, semua sertifikat status yang diperlukan. Instalasi CIPF dilakukan oleh personel pengembang yang berkualifikasi.

Perusahaan "CRYPTO-PRO"

Salah satu pemimpin pasar kriptografi Rusia. Perusahaan mengembangkan berbagai program perlindungan informasi menggunakan tanda tangan digital berdasarkan algoritma kriptografi internasional dan Rusia.

Program perusahaan digunakan dalam manajemen dokumen elektronik organisasi komersial dan pemerintah, untuk pengajuan akuntansi dan pelaporan pajak, di berbagai program kota dan anggaran, dll. Perusahaan telah mengeluarkan lebih dari 3 juta lisensi untuk program CryptoPRO CSP dan 700 lisensi untuk pusat sertifikasi. "Crypto-PRO" memberi pengembang antarmuka untuk menanamkan elemen perlindungan kriptografi ke dalam elemen mereka sendiri dan menyediakan berbagai layanan konsultasi untuk pembuatan CIPF.

Cryptoprovider CryptoPro

Saat mengembangkan sistem perlindungan informasi kriptografi CryptoPro CSP, arsitektur kriptografi dari Penyedia Layanan Kriptografi yang dibangun ke dalam sistem operasi Windows digunakan. Arsitektur memungkinkan Anda untuk menghubungkan modul independen tambahan yang menerapkan algoritma enkripsi yang diperlukan. Dengan bantuan modul yang bekerja melalui fungsi CryptoAPI, perlindungan kriptografi dapat dilakukan oleh CIPF perangkat lunak dan perangkat keras.

Pembawa utama

Berbagai kunci privat dapat digunakan, seperti:

• kartu pintar dan pembaca;
• kunci elektronik dan pembaca yang bekerja dengan perangkat Memori Sentuh;
• berbagai kunci USB dan drive USB yang dapat dilepas;
• Windows, Solaris, file registri sistem Linux.

Fungsi penyedia kripto

CIPF CryptoPro CSP sepenuhnya disertifikasi oleh FAPSI dan dapat digunakan untuk:

2. Lengkapi kerahasiaan, keaslian dan integritas data menggunakan enkripsi dan perlindungan imitasi sesuai dengan standar Rusia untuk enkripsi dan protokol TLS.

3. Memeriksa dan memantau integritas kode program untuk mencegah perubahan dan akses yang tidak sah.

4. Pembuatan regulasi proteksi sistem.

Sarana perlindungan kriptografis adalah sarana dan metode khusus untuk transformasi informasi, sebagai akibatnya isinya disembunyikan. Jenis utama penutupan kriptografi adalah enkripsi dan pengkodean data yang dilindungi. Pada saat yang sama, enkripsi adalah jenis penutupan di mana setiap karakter data yang ditutup mengalami transformasi independen; saat pengkodean, data yang dilindungi dibagi menjadi blok yang memiliki arti semantik, dan setiap blok tersebut diganti dengan kode numerik, alfabet atau gabungan. Dalam hal ini, beberapa sistem enkripsi yang berbeda digunakan: substitusi, permutasi, gamma, transformasi analitik data terenkripsi. Cipher gabungan banyak digunakan, ketika teks sumber dikonversi secara berurutan menggunakan dua atau bahkan tiga cipher yang berbeda.

Prinsip operasi kriptosistem

Contoh khas dari gambar situasi di mana tugas kriptografi (enkripsi) muncul ditunjukkan pada Gambar 1:

Beras. №1

Pada Gambar 1, A dan B adalah pengguna sah dari informasi yang dilindungi, mereka ingin bertukar informasi melalui saluran komunikasi publik.

P - pengguna ilegal (lawan, peretas) yang ingin mencegat pesan yang dikirim melalui saluran komunikasi dan mencoba mengekstrak informasi yang menarik baginya dari mereka. Skema sederhana ini dapat dianggap sebagai model situasi tipikal di mana metode kriptografi untuk melindungi informasi atau hanya enkripsi digunakan.

Secara historis, beberapa kata militer telah mengakar dalam kriptografi (musuh, serangan terhadap sandi, dll.). Mereka paling akurat mencerminkan arti dari konsep kriptografi yang sesuai. Pada saat yang sama, terminologi militer yang dikenal luas berdasarkan konsep kode (kode angkatan laut, kode Staf Umum, buku kode, sebutan kode, dll.) Tidak lagi digunakan dalam kriptografi teoretis. Faktanya adalah bahwa selama beberapa dekade terakhir, sebuah teori pengkodean telah terbentuk - arah ilmiah besar yang mengembangkan dan mempelajari metode untuk melindungi informasi dari distorsi acak dalam saluran komunikasi. Kriptografi berkaitan dengan metode mengubah informasi yang tidak akan memungkinkan musuh untuk mengekstraknya dari pesan yang dicegat. Pada saat yang sama, bukan lagi informasi yang dilindungi itu sendiri yang ditransmisikan melalui saluran komunikasi, tetapi hasil darinya

transformasi dengan bantuan sandi, dan untuk musuh ada tugas yang sulit untuk memecahkan sandi. Membuka (cracking) sebuah cipher adalah proses memperoleh informasi yang dilindungi dari pesan terenkripsi tanpa mengetahui cipher yang digunakan. Musuh mungkin mencoba untuk tidak menerima, tetapi menghancurkan atau mengubah informasi yang dilindungi dalam proses pengirimannya. Ini adalah jenis ancaman yang sangat berbeda terhadap informasi daripada menguping dan memecahkan sandi. Untuk melindungi dari ancaman seperti itu

mengembangkan metode khusus mereka sendiri. Oleh karena itu, dalam perjalanan dari satu pengguna yang sah ke pengguna yang lain, informasi harus dilindungi dengan berbagai cara, melawan berbagai ancaman. Ada situasi rantai berbagai jenis tautan yang melindungi informasi. Secara alami, musuh akan berusaha menemukan tautan terlemah untuk mendapatkan informasi dengan biaya terendah. Ini berarti bahwa pengguna yang sah juga harus mempertimbangkan keadaan ini dalam strategi perlindungan mereka: tidak masuk akal untuk membuat beberapa tautan menjadi sangat kuat jika ada tautan yang jelas-jelas lebih lemah ("prinsip kekuatan perlindungan yang setara"). Menghasilkan sandi yang bagus adalah kerja keras. Oleh karena itu, diinginkan untuk meningkatkan masa pakai sandi yang baik dan menggunakannya untuk mengenkripsi pesan sebanyak mungkin. Tetapi pada saat yang sama, ada bahaya bahwa musuh telah menebak (membuka) sandi dan membaca informasi yang dilindungi. Jika network cipher memiliki key yang dapat diganti, maka dengan mengganti key tersebut dapat dilakukan agar metode yang dikembangkan oleh musuh tidak lagi berpengaruh.

Sarana perlindungan kriptografi informasi, atau CIPF untuk jangka pendek, digunakan untuk memberikan perlindungan yang komprehensif dari data yang ditransmisikan melalui jalur komunikasi. Untuk melakukan ini, perlu untuk mematuhi otorisasi dan perlindungan tanda tangan elektronik, otentikasi pihak yang berkomunikasi menggunakan protokol TLS dan IPSec, serta perlindungan saluran komunikasi itu sendiri, jika perlu.

Di Rusia, penggunaan alat keamanan informasi kriptografi sebagian besar dirahasiakan, jadi hanya ada sedikit informasi yang tersedia untuk umum tentang topik ini.

Metode yang digunakan dalam CIPF

• Otorisasi data dan memastikan keamanan signifikansi hukumnya selama transmisi atau penyimpanan. Untuk melakukan ini, algoritme untuk membuat tanda tangan elektronik dan verifikasinya digunakan sesuai dengan peraturan RFC 4357 yang ditetapkan dan menggunakan sertifikat sesuai dengan standar X.509.
• Perlindungan kerahasiaan data dan kontrol integritasnya. Enkripsi asimetris dan perlindungan imitasi digunakan, yaitu, penangkalan terhadap spoofing data. Memenuhi GOST R 34.12-2015.
• Perlindungan sistem dan perangkat lunak aplikasi. Melacak perubahan atau malfungsi yang tidak sah.
• Manajemen elemen terpenting dari sistem sesuai dengan peraturan yang diadopsi.
• Otentikasi pihak yang bertukar data.
• Perlindungan koneksi menggunakan protokol TLS.
• Perlindungan koneksi IP menggunakan protokol IKE, ESP, AH.

Metode dijelaskan secara rinci dalam dokumen berikut: RFC 4357, RFC 4490, RFC 4491.

Mekanisme CIPF untuk perlindungan informasi

1. Kerahasiaan informasi yang disimpan atau dikirimkan dilindungi oleh penggunaan algoritma enkripsi.
2. Saat membuat koneksi, identifikasi diberikan melalui tanda tangan elektronik saat digunakan selama otentikasi (seperti yang direkomendasikan oleh X.509).
3. Aliran dokumen digital juga dilindungi dengan tanda tangan elektronik bersama dengan perlindungan terhadap pengenaan atau pengulangan, sementara keandalan kunci yang digunakan untuk memverifikasi tanda tangan elektronik dipantau.
4. Integritas informasi dijamin melalui tanda tangan digital.
5. Menggunakan fitur enkripsi asimetris membantu melindungi data. Selain itu, fungsi hashing atau algoritma perlindungan imitasi dapat digunakan untuk memeriksa integritas data. Namun, metode ini tidak mendukung penentuan kepengarangan dokumen.
6. Perlindungan replay terjadi dengan fungsi kriptografi tanda tangan elektronik untuk enkripsi atau perlindungan imitasi. Pada saat yang sama, pengidentifikasi unik ditambahkan ke setiap sesi jaringan, cukup lama untuk mengecualikan kebetulan yang tidak disengaja, dan verifikasi dilaksanakan oleh pihak penerima.
7. Perlindungan terhadap pengenaan, yaitu dari penetrasi komunikasi dari luar, diberikan melalui tanda tangan elektronik.
8. Perlindungan lainnya - terhadap bookmark, virus, modifikasi sistem operasi, dll. - disediakan melalui berbagai alat kriptografi, protokol keamanan, perangkat lunak antivirus, dan tindakan organisasi.

Seperti yang Anda lihat, algoritme tanda tangan elektronik adalah bagian mendasar dari sarana perlindungan informasi kriptografi. Mereka akan dibahas di bawah ini.

Persyaratan saat menggunakan CIPF

CIPF ditujukan untuk melindungi (dengan memverifikasi tanda tangan elektronik) data terbuka di berbagai sistem informasi publik dan memastikan kerahasiaannya (dengan memverifikasi tanda tangan elektronik, perlindungan imitasi, enkripsi, verifikasi hash) di jaringan perusahaan.

Sarana pribadi perlindungan informasi kriptografi digunakan untuk melindungi data pribadi pengguna. Namun, perhatian khusus harus diberikan pada informasi yang berkaitan dengan rahasia negara. Secara hukum, CIPF tidak dapat digunakan untuk bekerja dengannya.

Penting: sebelum menginstal CIPF, langkah pertama adalah memeriksa paket perangkat lunak CIPF itu sendiri. Ini adalah langkah pertama. Biasanya, integritas paket instalasi diverifikasi dengan membandingkan checksum yang diterima dari pabrikan.

Setelah instalasi, Anda harus menentukan tingkat ancaman, atas dasar itu Anda dapat menentukan jenis perlindungan informasi kriptografi yang diperlukan untuk digunakan: perangkat lunak, perangkat keras dan perangkat keras-perangkat lunak. Juga harus diingat bahwa ketika mengatur beberapa CIPF, perlu mempertimbangkan lokasi sistem.

Kelas perlindungan

Menurut perintah FSB Rusia tertanggal 10 Juli 2014, nomor 378, yang mengatur penggunaan sarana kriptografi untuk melindungi informasi dan data pribadi, enam kelas didefinisikan: KS1, KS2, KS3, KB1, KB2, KA1. Kelas perlindungan untuk sistem tertentu ditentukan dari analisis data pada model penyusup, yaitu, dari penilaian kemungkinan cara untuk meretas sistem. Proteksi dalam hal ini dibangun dari proteksi informasi kriptografi software dan hardware.

AC (ancaman aktual), seperti yang terlihat dari tabel, ada 3 jenis:

1. Ancaman jenis pertama dikaitkan dengan fitur tidak terdokumentasi dalam perangkat lunak sistem yang digunakan dalam sistem informasi.
2. Ancaman jenis kedua terkait dengan fitur tidak terdokumentasi dalam perangkat lunak aplikasi yang digunakan dalam sistem informasi.
3. Ancaman tipe ketiga disebut semua yang lain.

Fitur tidak berdokumen adalah fungsi dan fitur perangkat lunak yang tidak dijelaskan dalam dokumentasi resmi atau tidak sesuai dengannya. Artinya, penggunaannya dapat meningkatkan risiko melanggar kerahasiaan atau integritas informasi.

Untuk kejelasan, pertimbangkan model pelanggar, untuk intersepsi yang membutuhkan satu atau beberapa kelas alat perlindungan informasi kriptografi:

• KS1 - penyusup bertindak dari luar, tanpa pembantu di dalam sistem.
• KS2 adalah orang dalam, tetapi tidak memiliki akses ke CIPF.
• KS3 adalah orang dalam yang merupakan pengguna CIPF.
• KV1 adalah penyusup yang menarik sumber daya pihak ketiga, seperti spesialis perlindungan informasi kriptografi.
• KV2 adalah penyusup yang di balik tindakannya adalah lembaga atau laboratorium yang bergerak di bidang mempelajari dan mengembangkan alat perlindungan informasi kriptografi.
• KA1 - layanan khusus negara bagian.

Dengan demikian, KS1 dapat disebut sebagai kelas perlindungan dasar. Dengan demikian, semakin tinggi kelas perlindungan, semakin sedikit spesialis yang mampu menyediakannya. Misalnya, di Rusia, menurut data tahun 2013, hanya ada 6 organisasi yang memiliki sertifikat dari FSB dan mampu memberikan perlindungan kelas KA1.

Algoritma yang digunakan

Pertimbangkan algoritma utama yang digunakan dalam alat perlindungan informasi kriptografi:

• GOST R 34.10-2001 dan GOST R 34.10-2012 yang diperbarui - algoritme untuk membuat dan memverifikasi tanda tangan elektronik.
• GOST R 34.11-94 dan GOST R 34.11-2012 terbaru - algoritma untuk membuat fungsi hash.
• GOST 28147-89 dan yang lebih baru GOST R 34.12-2015 - implementasi enkripsi data dan algoritma perlindungan imitasi.
• Algoritma kriptografi tambahan ada di RFC 4357.

Tanda tangan elektronik

Penggunaan alat perlindungan informasi kriptografi tidak dapat dibayangkan tanpa penggunaan algoritma tanda tangan elektronik, yang semakin populer.

Tanda tangan elektronik adalah bagian khusus dari dokumen yang dibuat oleh transformasi kriptografi. Tugas utamanya adalah mendeteksi perubahan yang tidak sah dan menentukan kepengarangan.

Sertifikat tanda tangan elektronik adalah dokumen terpisah yang membuktikan keaslian dan kepemilikan tanda tangan elektronik oleh pemiliknya dengan menggunakan kunci publik. Sertifikat dikeluarkan oleh otoritas sertifikasi.

Pemilik sertifikat tanda tangan elektronik adalah orang yang atas namanya sertifikat itu didaftarkan. Ini terkait dengan dua kunci: publik dan pribadi. Kunci pribadi memungkinkan Anda membuat tanda tangan elektronik. Kunci publik dimaksudkan untuk memverifikasi keaslian tanda tangan karena hubungan kriptografi dengan kunci pribadi.

Jenis tanda tangan elektronik

Menurut Undang-Undang Federal No. 63, tanda tangan elektronik dibagi menjadi 3 jenis:

• tanda tangan elektronik biasa;
• tanda tangan elektronik tanpa pengecualian;
• tanda tangan elektronik yang memenuhi syarat.

ES sederhana dibuat menggunakan kata sandi yang dikenakan saat membuka dan melihat data, atau cara serupa yang secara tidak langsung mengonfirmasi pemiliknya.

ES yang tidak memenuhi syarat dibuat menggunakan transformasi data kriptografi menggunakan kunci pribadi. Ini memungkinkan Anda untuk mengonfirmasi orang yang menandatangani dokumen dan menetapkan fakta bahwa perubahan tidak sah telah dilakukan pada data.

Tanda tangan yang memenuhi syarat dan tidak memenuhi syarat hanya berbeda dalam kasus pertama, sertifikat untuk ES harus dikeluarkan oleh pusat sertifikasi yang disertifikasi oleh FSB.

Lingkup tanda tangan elektronik

Tabel di bawah ini membahas ruang lingkup EP.

Teknologi ES paling aktif digunakan dalam pertukaran dokumen. Dalam alur kerja internal, ES bertindak sebagai persetujuan dokumen, yaitu sebagai tanda tangan atau stempel pribadi. Dalam hal pengelolaan dokumen eksternal, keberadaan ES sangat penting, karena merupakan konfirmasi hukum. Perlu juga dicatat bahwa dokumen yang ditandatangani oleh ES dapat disimpan tanpa batas waktu dan tidak kehilangan signifikansi hukumnya karena faktor-faktor seperti tanda tangan yang dapat dihapus, kertas yang rusak, dll.

Pelaporan kepada pihak berwenang adalah bidang lain di mana manajemen dokumen elektronik berkembang. Banyak perusahaan dan organisasi telah menghargai kenyamanan bekerja dalam format ini.

Menurut hukum Federasi Rusia, setiap warga negara memiliki hak untuk menggunakan ES saat menggunakan layanan publik (misalnya, menandatangani aplikasi elektronik untuk otoritas).

Perdagangan online adalah area menarik lainnya di mana tanda tangan elektronik digunakan secara aktif. Ini adalah konfirmasi fakta bahwa orang sungguhan berpartisipasi dalam pelelangan dan proposalnya dapat dianggap andal. Juga penting bahwa setiap kontrak yang dibuat dengan bantuan ES memperoleh kekuatan hukum.

Algoritme tanda tangan elektronik

• Hash Domain Penuh (FDH) dan Standar Kriptografi Kunci Publik (PKCS). Yang terakhir adalah seluruh kelompok algoritma standar untuk berbagai situasi.
• DSA dan ECDSA adalah standar tanda tangan digital AS.
• GOST R 34.10-2012 - standar untuk membuat tanda tangan elektronik di Federasi Rusia. Standar ini menggantikan GOST R 34.10-2001, yang secara resmi dihentikan setelah 31 Desember 2017.
• Uni Eurasia menggunakan standar yang benar-benar mirip dengan yang ada di Rusia.
• STB 34.101.45-2013 - Standar Belarusia untuk tanda tangan elektronik digital.
• DSTU 4145-2002 - standar untuk membuat tanda tangan elektronik di Ukraina dan banyak lainnya.

Perlu juga dicatat bahwa algoritma untuk membuat ES memiliki tujuan dan tujuan yang berbeda:

• Tanda tangan elektronik grup.
• Tanda tangan digital satu kali.
• EP terpercaya
• Tanda tangan yang memenuhi syarat dan tidak memenuhi syarat, dll.