Krievijas Federācijas tiesību aktu pārskatīšana: kriptogrāfija. Skzi - kas tas ir? kriptogrāfiskās informācijas aizsardzības līdzekļi Visizplatītākās SCS kategorijas

Datu šifrēšanas mehānismi sabiedrības informācijas drošības nodrošināšanai ir informācijas kriptogrāfiskā aizsardzība izmantojot kriptogrāfisko šifrēšanu.

Informācijas kriptogrāfijas aizsardzības metodes tiek izmantotas, lai apstrādātu, uzglabātu un pārraidītu informāciju plašsaziņas līdzekļos un sakaru tīklos.

Informācijas kriptogrāfiskā aizsardzība datu pārraides laikā lielos attālumos ir vienīgā uzticamā šifrēšanas metode.

Kriptogrāfija ir zinātne, kas pēta un apraksta datu informācijas drošības modeli. Kriptogrāfija paver risinājumus daudzām tīkla drošības problēmām: autentifikācija, konfidencialitāte, integritāte un mijiedarbības dalībnieku kontrole.

Termins "šifrēšana" nozīmē datu pārveidošanu formā, kas nav lasāma cilvēkiem un programmatūras sistēmām bez šifrēšanas-atšifrēšanas atslēgas. Informācijas drošības kriptogrāfijas metodes nodrošina informācijas drošības līdzekļus, tāpēc tā ir daļa no informācijas drošības jēdziena.

Informācijas drošības mērķi galu galā ir saistīti ar informācijas konfidencialitātes nodrošināšanu un informācijas aizsardzību datorsistēmās informācijas pārsūtīšanas procesā starp sistēmas lietotājiem tīklā.

Konfidenciālas informācijas aizsardzība, kuras pamatā ir kriptogrāfiskās informācijas aizsardzība, šifrē datus, izmantojot atgriezenisku transformāciju saimi, no kurām katra ir aprakstīta ar parametru, ko sauc par "atslēgu", un secību, kas nosaka katras transformācijas piemērošanas secību.

Kriptogrāfiskās informācijas aizsardzības metodes svarīgākā sastāvdaļa ir atslēga, kas ir atbildīga par transformācijas izvēli un tās veikšanas secību. Atslēga ir noteikta rakstzīmju secība, kas konfigurē kriptogrāfiskās informācijas aizsardzības sistēmas šifrēšanas un atšifrēšanas algoritmu. Katru šādu transformāciju unikāli nosaka atslēga, kas definē kriptogrāfijas algoritmu, kas nodrošina informācijas aizsardzību un informācijas sistēmas informācijas drošību.

Viens un tas pats kriptogrāfiskās informācijas aizsardzības algoritms var darboties dažādos režīmos, no kuriem katram ir noteiktas priekšrocības un trūkumi, kas ietekmē Krievijas informācijas drošības un informācijas drošības rīku uzticamību.

Simetriskās vai slepenās kriptogrāfijas metodoloģija.

Šajā metodikā informācijas aizsardzības, šifrēšanas un atšifrēšanas tehniskie līdzekļi, ko veic saņēmējs un sūtītājs, izmanto vienu un to pašu atslēgu, par kuru iepriekš tika panākta vienošanās arī pirms kriptogrāfijas inženierijas informācijas aizsardzības izmantošanas.

Gadījumā, ja atslēga nav apdraudēta, atšifrēšanas process automātiski autentificēs ziņojuma autoru, jo tikai viņam ir atslēga ziņojuma atšifrēšanai.

Tādējādi programmas informācijas aizsardzībai ar kriptogrāfiju pieņem, ka ziņojuma sūtītājs un adresāts ir vienīgās personas, kuras var zināt atslēgu, un tās kompromitēšana ietekmēs tikai šo divu informācijas sistēmas lietotāju mijiedarbību.

Organizatoriskās informācijas aizsardzības problēma šajā gadījumā būs aktuāla jebkurai kriptosistēmai, kas cenšas sasniegt mērķi aizsargāt informāciju vai aizsargāt informāciju internetā, jo simetriskās atslēgas starp lietotājiem ir jāsadala droši, tas ir, ir nepieciešams, lai informācija aizsardzība datortīklos, kur tiek pārraidītas atslēgas, bija augstā līmenī.

Jebkurš aparatūras-programmatūras informācijas drošības kriptosistēmas simetrisks šifrēšanas algoritms izmanto īsās atslēgas un ļoti ātri veic šifrēšanu, neskatoties uz lielu datu apjomu, kas atbilst informācijas aizsardzības mērķim.

Uz kriptosistēmas balstītiem datoru informācijas drošības rīkiem ir jāizmanto simetrisko atslēgu sistēmas šādā secībā:

· Informācijas drošības darbs sākas ar to, ka, pirmkārt, informācijas aizsardzība rada, izplata un uzglabā organizācijas informācijas aizsardzības simetrisku atslēgu;

Tālāk informācijas drošības speciālists vai informācijas drošības sistēmas nosūtītājs datortīklos izveido elektronisko parakstu, izmantojot teksta jaucējfunkciju un tekstam pievienojot iegūto jaucējrindu, kas droši jānosūta informācijas drošības organizācijai;

· Saskaņā ar informācijas drošības doktrīnu sūtītājs kriptogrāfiskās informācijas drošības rīkā izmanto ātru simetrisko šifrēšanas algoritmu kopā ar ziņojuma paketes simetrisko atslēgu un elektronisko parakstu, kas autentificē kriptogrāfiskās informācijas drošības rīka šifrēšanas sistēmas lietotāju. ;

· Šifrētu ziņojumu var droši pārsūtīt pat pa nedrošiem sakaru kanāliem, lai gan labāk to darīt informācijas drošības darba ietvaros. Bet simetriskā atslēga bez kļūmēm (saskaņā ar informācijas drošības doktrīnu) jāpārraida pa sakaru kanāliem programmatūras un aparatūras informācijas aizsardzības ietvaros;

· Informācijas drošības sistēmā visā informācijas drošības vēsturē saskaņā ar informācijas drošības doktrīnu adresāts paketes atšifrēšanai izmanto vienu un to pašu simetrisko algoritmu un to pašu simetrisko atslēgu, kas dod iespēju atjaunot sākotnējā ziņojuma tekstu. un atšifrē sūtītāja elektronisko parakstu informācijas drošības sistēmā;

· Informācijas drošības sistēmā adresātam tagad ir jāatdala elektroniskais paraksts no ziņojuma teksta;

· Tagad saņēmējs salīdzina agrāk un tagad saņemtos elektroniskos parakstus, lai pārbaudītu ziņojuma integritāti un tajā nav sagrozītu datu, ko sauc par datu pārraides integritāti informācijas drošības jomā.

Atvērta asimetriskā metodoloģija informācijas drošībai.

Zinot informācijas aizsardzības vēsturi, var saprast, ka šajā metodikā šifrēšanas un atšifrēšanas atslēgas ir atšķirīgas, lai gan tās tiek veidotas kopā. Šādā informācijas drošības sistēmā viena atslēga tiek izplatīta publiski, bet otra tiek pārraidīta slepeni, jo reiz šifrētus datus ar vienu atslēgu var atšifrēt tikai ar citu.

Visi asimetriskie kriptogrāfiskie informācijas aizsardzības līdzekļi ir informācijas drošības jomā strādājošo krekeru uzbrukumu mērķis, izmantojot tiešu atslēgu uzskaiti. Tāpēc šādā personas informācijas drošībā jeb informācijas psiholoģiskajā drošībā tiek izmantotas garās atslēgas, lai atslēgu uzskaitīšanas procesu padarītu par tik ilgu procesu, ka informācijas drošības sistēmas uzlaušana zaudēs jebkādu jēgu.

Pat tiem, kas veic informācijas maiņas kursa aizsardzību, nemaz nav noslēpums, ka, lai izvairītos no asimetrisko šifrēšanas algoritmu lēnuma, katram ziņojumam tiek izveidota pagaidu simetriskā atslēga, un pēc tam tikai tā tiek šifrēta ar asimetriskiem algoritmiem.

Informācijas psiholoģiskās drošības un personas informācijas drošības sistēmās asimetrisko atslēgu izmantošanai tiek izmantota šāda procedūra:

· Informācijas drošības jomā tiek veidotas un publiski izplatītas asimetriskas publiskās atslēgas. Personas informācijas drošības sistēmā slepenā asimetriskā atslēga tiek nosūtīta tās īpašniekam, un publiskā asimetriskā atslēga tiek glabāta datu bāzē un to administrē informācijas drošības sistēmas sertifikātu izsniegšanas centrs, kuru kontrolē informācijas drošības speciālists. Tad informācijas drošība, ko nekur nevar lejupielādēt bez maksas, nozīmē, ka abiem lietotājiem ir jāuzticas, ka šāda informācijas drošības sistēma droši izveido, administrē un izplata atslēgas, kuras izmanto visa informācijas aizsardzības organizācija. Vēl jo vairāk, ja katrā informācijas aizsardzības posmā atbilstoši informācijas aizsardzības pamatiem katru soli veic dažādas personas, tad slepenā ziņojuma saņēmējam jātic, ka atslēgu veidotājs iznīcināja viņu kopiju un nav nodrošinājis šīs atslēgas kādam citam, lai kāds tomēr varētu lejupielādēt informācijas aizsardzības rīku sistēmā pārsūtītās informācijas aizsardzību. Šādi strādā jebkurš informācijas drošības speciālists.

· Tālāk informācijas drošības pamati paredz, ka tiek izveidots teksta elektroniskais paraksts, un iegūtā vērtība tiek šifrēta ar asimetrisku algoritmu. Tad visi tie paši informācijas drošības pamati pieņem, ka sūtītāja slepenā atslēga tiek saglabāta rakstzīmju virknē un tā tiek pievienota tekstam, kas tiks pārraidīts informācijas drošības un informācijas drošības sistēmā, jo elektroniskais paraksts informācijas drošībā un informācijas drošībā var izveido elektronisko parakstu!

· Pēc tam informācijas aizsardzības sistēmas un līdzekļi atrisina sesijas atslēgas nodošanas adresātam problēmu.

· Tālāk informācijas drošības sistēmā sūtītājam jāiegūst organizācijas sertifikāta izdevējas iestādes asimetriskā publiskā atslēga un informācijas drošības tehnoloģija. Konkrētajā organizācijā un informācijas drošības tehnoloģijā nešifrētu publiskās atslēgas pieprasījumu pārtveršana ir visizplatītākais krekeru uzbrukums. Tieši tāpēc informācijas drošības organizācijā un tehnoloģijā var ieviest publiskās atslēgas autentiskumu apliecinošu sertifikātu sistēmu.

Tādējādi šifrēšanas algoritmi ietver atslēgu izmantošanu, kas ļauj 100% aizsargāt datus no tiem lietotājiem, kuri nezina atslēgu.

Informācijas aizsardzība lokālajos tīklos un informācijas aizsardzības tehnoloģijas, kā arī konfidencialitāte ir nepieciešamas, lai nodrošinātu informācijas glabāšanas integritāti. Tas ir, informācijas aizsardzībai lokālajos tīklos ir jāpārraida dati tā, lai pārraides un uzglabāšanas laikā dati paliktu nemainīgi.

Lai informācijas informācijas drošība nodrošinātu datu glabāšanas un pārraides integritāti, nepieciešams izstrādāt rīkus, kas konstatē jebkādus sākotnējo datu sagrozījumus, kuriem oriģinālajai informācijai tiek pievienota dublēšana.

Informācijas drošība Krievijā ar kriptogrāfiju atrisina integritātes jautājumu, pievienojot kādu kontrolsummu vai pārbaudes modeli, lai aprēķinātu datu integritāti. Tātad atkal informācijas drošības modelis ir kriptogrāfisks - atkarīgs no atslēgas. Saskaņā ar informācijas drošības novērtējumu, pamatojoties uz kriptogrāfiju, datu nolasīšanas spējas atkarība no slepenās atslēgas ir visuzticamākais instruments un tiek izmantots pat valsts informācijas drošības sistēmās.

Parasti uzņēmuma informācijas drošības, piemēram, banku informācijas drošības, auditā īpaša uzmanība tiek pievērsta iespējamībai veiksmīgi uzspiest sagrozītu informāciju, un informācijas kriptogrāfiskā aizsardzība ļauj šo varbūtību samazināt līdz niecīgai. līmenī. Līdzīgs informācijas drošības dienests šo varbūtību sauc par šifra imitācijas pretestības mēru vai šifrētu datu spēju izturēt hakeru uzbrukumu.

Informācijas aizsardzībai pret vīrusiem vai ekonomiskās informācijas aizsardzības sistēmām obligāti jāatbalsta lietotāja autentifikācija, lai identificētu sistēmas regulēto lietotāju un novērstu iebrucēju iekļūšanu sistēmā.

Lietotāju datu autentiskuma pārbaude un apstiprināšana visās informācijas mijiedarbības jomās ir svarīga neatņemama problēma, lai nodrošinātu jebkuras saņemtās informācijas un informācijas drošības sistēmas uzticamību uzņēmumā.

Banku informācijas drošība ir īpaši aktuāla pušu savstarpējo mijiedarbību neuzticēšanās problēmā, kur IS informācijas drošības jēdziens ietver ne tikai ārēju apdraudējumu no trešās puses, bet arī apdraudējumu informācijas drošībai (lekcijas) no lietotājiem.

Digitālais paraksts

informācijas drošības aizsardzība nesankcionēta

Dažkārt IP lietotāji vēlas atteikties no iepriekš uzņemtajām saistībām un mēģināt mainīt iepriekš izveidotos datus vai dokumentus. Krievijas Federācijas informācijas drošības doktrīna to ņem vērā un aptur šādus mēģinājumus.

Konfidenciālas informācijas aizsardzība, izmantojot vienu atslēgu, nav iespējama situācijā, kad viens lietotājs neuzticas otram, jo ​​sūtītājs var atteikt, ka ziņojums vispār tika nosūtīts. Turklāt, neskatoties uz konfidenciālās informācijas aizsardzību, otrais lietotājs var modificēt datus un piešķirt autorību citam sistēmas lietotājam. Protams, lai kāda būtu informācijas programmatūras aizsardzība vai informācijas inženiertehniskā aizsardzība, patiesība šajā strīdā nav noskaidrojama.

Digitālais paraksts šādā informācijas aizsardzības sistēmā datorsistēmās ir panaceja autorības problēmai. Informācijas aizsardzība datorsistēmās ar ciparparakstu satur 2 algoritmus: paraksta aprēķināšanai un tā pārbaudei. Pirmo algoritmu var izpildīt tikai autors, bet otrs ir publiski pieejams, lai ikviens jebkurā brīdī varētu pārbaudīt digitālā paraksta pareizību.

Šī raksta ideja radās, kad EFSOL speciālistiem tika uzdots analizēt informācijas drošības riskus restorānu biznesā un izstrādāt pasākumus to novēršanai. Viens no būtiskiem riskiem bija vadības informācijas aizturēšanas iespēja, un viens no pretpasākumiem bija grāmatvedības datu bāzu šifrēšana.

Es nekavējoties izdarīšu atrunu, ka visu iespējamo kriptovalūtu produktu vai risinājumu izskatīšana, pamatojoties uz konkrētām grāmatvedības sistēmām, neietilpst šī raksta ietvaros. Mūs interesē tikai personīgo šifrēšanas rīku salīdzinošā analīze, kurai esam izvēlējušies populārāko bezmaksas atvērtā pirmkoda risinājumu un pāris visvairāk reklamētos komerciālos analogus. Lai nepieredzējuši lietotāji nebaidās no frāzes "atvērtais kods" - tas nozīmē tikai to, ka ar izstrādi nodarbojas entuziastu grupa, kas ir gatava pieņemt ikvienu, kas vēlas viņiem palīdzēt.

Tātad, kāpēc mēs izvēlējāmies šo pieeju? Motivācija ir ārkārtīgi vienkārša.

  1. Dažādi uzņēmumi izmanto savu grāmatvedības sistēmu, tāpēc mēs izvēlamies šifrēšanas rīkus, kas nav piesaistīti konkrētai platformai - universāli.
  2. Personisko kriptoaizsardzību saprātīgāk ir izmantot mazos uzņēmumos, kur ar grāmatvedības programmu strādā 1-5 lietotāji. Lielajiem uzņēmumiem vadības informācijas noņemšana radīs lielākus finansiālus zaudējumus - tāpēc drošības risinājumi maksās daudz vairāk.
  3. Daudzu komerciālās informācijas šifrēšanas produktu analīzei nav jēgas: pietiek novērtēt dažus no tiem, lai veidotu izpratni par cenu un funkcionalitāti.

Pāriesim pie produktu salīdzināšanas, ko ir ērti izdarīt, pamatojoties uz šarnīra tabulu. Es apzināti analīzē izlaidu daudzas tehniskas detaļas (piemēram, aparatūras paātrinājuma vai daudzpavedienu atbalstu, vairākus loģiskos vai fiziskos procesorus), kas vidusmēra lietotājam sagādā galvassāpes. Pakavēsimies tikai pie funkcionalitātes, no kuras mēs patiešām varam izcelt priekšrocības.

rakurstabula
TrueCrypt Slepenais disks Zecurion Zdisk
Jaunākā versija pārskatīšanas laikā 7.1.a 4 Nav datu
Cena Par brīvu No 4240 rubļiem. uz 1 datoru No 5250 rubļiem. uz 1 datoru
Operētājsistēma Windows 7, Windows Vista, Windows XP, Windows Server 2003, Windows Server 2008: (32 bitu un 64 bitu);
Windows Server 2008 R2;
Windows 2000 SP4;

Mac OS X 10.7 Lion (32 bitu un 64 bitu versija);
Mac OS X 10.6 Snow Leopard; Mac OS X 10.5 Leopard;
Mac OS X 10.4 Tiger;

Linux (32 bitu un 64 bitu, kodols 2.6 vai saderīgs)

 Windows 7, Windows Vista, Windows XP: (32 bitu un 64 bitu) Windows 98;
Windows Me;
Windows NT darbstacija;
Windows 2000 Professional;
Windows XP;
Windows Vista
Iebūvēti šifrēšanas algoritmi AES
Čūska
Divas zivis		 Nav Nav
Kriptogrāfijas pakalpojumu sniedzēju (CSP) izmantošana Nav Microsoft uzlabotais CSP: trīskāršs DES un RC2
Secret Disk NG Crypto Pack: AES un Twofish;
CryptoPro CSP, Signal-COM CSP vai Vipnet CSP: GOST 28147-89		 rc5,
AES,
KRYPTON CSP: GOST 28147-89
XTS šifrēšanas režīms Nav Nav
Kaskādes šifrēšana AES-Twofish-Serpent;
Serpent-AES;
Serpent-Twofish-AES;
Divzivju čūska		 Nav Nav
Caurspīdīga šifrēšana
Sistēmas nodalījuma šifrēšana Nav
Autentifikācija pirms OS sāknēšanas Parole Pin + marķieris Nav
Diska nodalījuma šifrēšana Nav
Konteinera failu izveide
Slēpto nodalījumu izveide Nav Nav
Slēptās OS izveide Nav Nav
Portatīvā diska šifrēšana
Darbs ar portatīvajiem diskdziņiem Nav Nav
Tīklošana Nav
Vairāku spēlētāju režīms Ar NTFS palīdzību
Autentifikācija tikai ar paroli Nav Nav
Atslēgas faila autentifikācija Nav Nav
Atbalsts žetoniem un viedkartēm Atbalsta PKCS #11 2.0 vai jaunāku protokolu eToken PRO/32K USB atslēga (64K);
eToken PRO/72K USB sargspraudnis (Java);
Viedkarte eToken PRO/32K (64K);
Viedkarte eToken PRO/72K (Java);
Kombinācijas atslēga eToken NG-FLASH
eToken NG-OTP kombinētā atslēga
eToken PRO jebkur		 Rainbow iKey 10xx/20xx/30xx;
ruToken;
eToken R2/Pro
Avārijas atspējošana šifrētiem diskdziņiem Karstie taustiņi Karstie taustiņi Karstie taustiņi
Piespiedu paroles aizsardzība Nav
Spēja izmantot "Plusible Deniability" Nav Nav
Piegādes saturs Nav kastes versijas - izplatīšana tiek lejupielādēta no izstrādātāja vietnes eToken PRO Anywhere USB atslēga ar licenci produkta lietošanai;
Īsā rokasgrāmata drukātā veidā;
CD-ROM (izplatīšanas komplekts, detalizēta dokumentācija, MBR sāknēšanas daļa;
Iepakojums DVD kastē		 Licence;
USB atslēga un USB pagarinātājs;
Sadales disks; Dokumentācija drukātā veidā;
ACS-30S viedkaršu lasītājs/rakstītājs

Ievērojot žanra likumus, atliek tikai komentēt atsevišķus punktus un izcelt konkrētā risinājuma priekšrocības. Ar produktu cenām, kā arī ar atbalstītajām operētājsistēmām viss ir skaidrs. Atzīmēšu tikai faktu, ka TrueCrypt versijām MacOS un Linux ir savas lietošanas nianses, un tās instalēšana uz serveru platformām no Microsoft puses, lai arī sniedz zināmas priekšrocības, pilnībā nespēj aizstāt komerciālo datu aizsardzības sistēmu milzīgo funkcionalitāti. korporatīvais tīkls. Atgādināšu, ka mēs joprojām apsveram personīgo kriptoaizsardzību.

Iebūvēti algoritmi, kriptovalūtu nodrošinātāji, XTS un kaskādes šifrēšana

Kripto pakalpojumu sniedzēji, atšķirībā no iebūvētajiem šifrēšanas algoritmiem, ir atsevišķi spraudņu moduļi, kas nosaka programmas izmantoto kodēšanas (dekodēšanas) metodi. Kāpēc komerciālajos risinājumos tiek izmantotas kriptovalūtu pakalpojumu sniedzēju paketes? Atbildes ir vienkāršas, taču finansiāli pamatotas.

  1. Nav nepieciešams veikt izmaiņas programmā, lai pievienotu noteiktus algoritmus (lai samaksātu par programmētāju darbu) - vienkārši izveidojiet jaunu moduli vai pievienojiet trešo pušu risinājumus.
  2. Visā pasaulē tiek izstrādāti, pārbaudīti un ieviesti starptautiskie standarti, bet Krievijas valdības aģentūrām ir jāievēro FSTEC un FSB prasības. Šīs prasības ietver licencēšanu informācijas drošības rīku izveidei un izplatīšanai.
  3. Kripto pakalpojumu sniedzēji ir datu šifrēšanas līdzekļi, un pašām programmām nav nepieciešama izstrāde un izplatīšanas sertifikācija.

Kaskādes šifrēšana ir iespēja kodēt informāciju ar vienu algoritmu, kad tā jau ir kodēta ar citu. Šī pieeja, lai arī palēnina darbu, ļauj palielināt aizsargāto datu izturību pret uzlaušanu - jo vairāk “pretinieks” zina par šifrēšanas metodēm (piemēram, izmantoto algoritmu vai atslēgu rakstzīmju kopu), jo vieglāk tas ir. lai viņš atklāj informāciju.

XTS šifrēšanas tehnoloģija (uz XEX balstītais Tweaked CodeBook režīms (TCB) ar CipherText Stealing (CTS)) ir loģiska iepriekšējo XEX un LRW bloku šifrēšanas metožu attīstība, kurā tika atklātas ievainojamības. Tā kā lasīšanas/rakstīšanas darbības datu nesējos tiek veiktas pa sektoriem blokos, straumēšanas kodēšanas metožu izmantošana nav pieņemama. Tādējādi 2007. gada 19. decembrī XTS-AES šifrēšanas metode AES algoritmam tika aprakstīta un ieteicama starptautiskajā saglabātās informācijas aizsardzības standartā IEEE P1619.

Šajā režīmā tiek izmantotas divas atslēgas, no kurām pirmā tiek izmantota inicializācijas vektora ģenerēšanai, bet otrā ir datu šifrēšana. Metode darbojas saskaņā ar šādu algoritmu:

  1. ģenerē vektoru, šifrējot sektora numuru ar pirmo atslēgu;
  2. pievieno vektoru ar sākotnējo informāciju;
  3. šifrē pievienošanas rezultātu ar otro atslēgu;
  4. pievieno vektoru ar šifrēšanas rezultātu;
  5. reizina vektoru ar galīgā lauka ģenerējošo polinomu.

Nacionālais standartu un tehnoloģiju institūts iesaka izmantot XTS, lai šifrētu ierīces datus ar bloka iekšējo struktūru, jo tas:

  • aprakstīts pēc starptautiska standarta;
  • ir augsta veiktspēja, pateicoties provizorisko aprēķinu veikšanai un paralēlizēšanai;
  • ļauj apstrādāt patvaļīgu sektora bloku, aprēķinot inicializācijas vektoru.

Es arī atzīmēju, ka IEEE P1619 iesaka izmantot XTS metodi ar AES šifrēšanas algoritmu, tomēr režīma arhitektūra ļauj to izmantot kopā ar jebkuru citu bloku šifru. Tādējādi, ja ir nepieciešams sertificēt ierīci, kas īsteno caurspīdīgu šifrēšanu saskaņā ar Krievijas tiesību aktu prasībām, ir iespējams kopīgi izmantot XTS un GOST 28147-89.

Piedziņu avārijas izslēgšana, paroles ievadīšana "piespiedu kārtā", iesaistīšanās atteikums

Šifrētu disku avārijas atspējošana ir nenoliedzami nepieciešama funkcija situācijās, kad nepieciešama tūlītēja reakcija, lai aizsargātu informāciju. Bet kas notiks tālāk? “Pretinieks” redz sistēmu, kurā ir instalēta šifrēšanas aizsardzība, un disku, kuru sistēmas rīki nevar nolasīt. Secinājums par informācijas slēpšanu ir acīmredzams.

Pienāk "piespiešanas" stadija. "Pretinieks" izmantos fiziskus vai juridiskus līdzekļus, lai piespiestu īpašnieku izpaust informāciju. Pašmāju labi iedibinātais risinājums “paroles ievadīšana piespiedu kārtā” no kategorijas “Es nomiršu, bet nenodosi” kļūst mazsvarīgs. Nav iespējams izdzēst informāciju, kuru "pretinieks" iepriekš nokopēja, un viņš to darīs - nevilcinieties. Šifrēšanas atslēgas noņemšana tikai apstiprina, ka informācija ir patiešām svarīga, un rezerves atslēga noteikti ir kaut kur paslēpta. Un pat bez atslēgas informācija joprojām ir pieejama kriptanalīzei un uzlaušanai. Par to, cik ļoti šīs darbības tuvina informācijas īpašnieku juridiskam fiasko, es nestāstīšu, bet runāšu par loģisko ticamās noliegšanas metodi.

Slēpto nodalījumu un slēptās OS izmantošana neļaus "pretiniekam" pierādīt aizsargātās informācijas esamību. Šajā gaismā informācijas atklāšanas prasības kļūst absurdas. TrueCrypt izstrādātāji iesaka vēl vairāk aizsegt pēdas: papildus slēptajiem nodalījumiem vai operētājsistēmām izveidot šifrētus redzamus, kas satur maldinošus (fiktīvus) datus. “Pretinieks”, atklājis redzamas šifrētas sadaļas, uzstās uz to izpaušanu. Piespiedu kārtā izpaužot šādu informāciju, īpašnieks ne ar ko neriskē un atbrīvo sevi no aizdomām, jo ​​slēptās šifrētās sadaļās īsti noslēpumi paliks neredzami.

Apkopojot

Informācijas aizsardzībā ir ļoti daudz nianšu, taču ar apgaismotajām vajadzētu pietikt, lai summētu starprezultātus - galīgo lēmumu katrs pieņems pats. Bezmaksas programmas TrueCrypt priekšrocības ietver tās funkcionalitāti; iespēja ikvienam piedalīties testēšanā un uzlabošanā; pārmērīgs atklātās informācijas apjoms pieteikumā. Šo risinājumu ir radījuši cilvēki, kuri daudz zina par drošu informācijas glabāšanu un pastāvīgi pilnveido savu produktu, cilvēkiem, kuriem nepieciešams patiešām augsts uzticamības līmenis. Trūkumi ir atbalsta trūkums, augsta sarežģītība vidusmēra lietotājam, divu līmeņu autentifikācijas trūkums pirms OS palaišanas, nespēja savienot moduļus no trešo pušu kriptovalūtu nodrošinātājiem.

Komerciālie produkti ir pilni ar lietotāja aprūpi: tehniskais atbalsts, lielisks iepakojums, zemas izmaksas, sertificētas versijas, iespēja izmantot GOST 28147-89 algoritmu, vairāku lietotāju režīms ar ierobežotu divu līmeņu autentifikāciju. Tikai ierobežota funkcionalitāte un naivums, saglabājot šifrētu datu glabāšanas noslēpumu.

Atjaunināts: 2015. gada jūnijā.

Lai gan TrueCrypt 7.1a tika izlaists 2011. gada 7. februārī, tā joprojām ir pēdējā pilnībā funkcionējošā produkta versija.

Noslēpumainais stāsts ar TrueCrypt izstrādes pārtraukšanu ir kuriozs. 2014. gada 28. maijā visas iepriekšējās produkta versijas tika noņemtas no izstrādātāju vietnes un tika izlaista versija 7.2. Šī versija var atšifrēt tikai iepriekš šifrētus diskus un konteinerus - šifrēšanas funkcija ir noņemta. Kopš šī brīža vietne un programma aicina izmantot BitLocker, un TrueCrypt izmantošanu sauc par nedrošu.

Tas izraisīja tenku vilni internetā: programmas autori tika turēti aizdomās par “grāmatzīmes” iestatīšanu kodā. Bijušā NSA darbinieka Snoudena sniegtās informācijas par to, ka izlūkošanas aģentūras apzināti vājina kriptogrāfijas rīkus, lietotāji sāka vākt līdzekļus, lai pārbaudītu TrueCrypt kodu. Lai pārbaudītu programmu, tika savākti vairāk nekā 60 000 USD.

Revīzija pilnībā tika pabeigta līdz 2015. gada aprīlim. Koda analīze neatklāja nekādas grāmatzīmes, kritiskus arhitektūras trūkumus vai ievainojamības. Ir pierādīts, ka TrueCrypt ir labi izstrādāts kriptogrāfijas rīks, lai gan tas nav ideāls.

Tagad izstrādātāju ieteikumus pāriet uz Bitlocker daudzi uzskata par "kanārijputnu liecību". TrueCrypt autori vienmēr ir izsmējuši Bitlocker un jo īpaši tā drošību. Bitlocker izmantošana ir arī nepamatota programmas koda slēgtā rakstura un tā nepieejamības dēļ "jaunākajos" Windows izdevumos. Visa iepriekš minētā dēļ interneta sabiedrība sliecas uzskatīt, ka izstrādātājus ietekmē izlūkošanas aģentūras, un viņi ar savu klusēšanu dod mājienus par kaut ko svarīgu, nepatiesi iesakot Bitlocker.

Atgādināsim

TrueCrypt joprojām ir visspēcīgākais, uzticamākais un funkcionālākais kriptogrāfijas rīks. Gan audits, gan specdienestu spiediens to tikai apstiprina.

Zdisk un Secret Disk ir FSTEC sertificētas versijas. Tāpēc ir lietderīgi izmantot šos produktus, lai tie atbilstu Krievijas Federācijas tiesību aktu prasībām informācijas aizsardzības jomā, piemēram, personas datu aizsardzībai, kā to prasa Federālais likums 152-FZ un tam pakārtotie noteikumi. .



Tiem, kam ir nopietnas bažas par informācijas drošību, ir pieejams visaptverošs risinājums "Serveris Izraēlā", kurā visaptveroša pieeja datu aizsardzībai uzņēmumiem.

Sistēmas integrācija. Konsultācijas

Termins "kriptogrāfija" nāk no sengrieķu vārdiem "slēpts" un "rakstīšana". Frāze izsaka galveno kriptogrāfijas mērķi - tā ir pārraidītās informācijas noslēpuma aizsardzība un saglabāšana. Informācijas aizsardzība var notikt dažādos veidos. Piemēram, ierobežojot fizisko piekļuvi datiem, slēpjot pārraides kanālu, radot fiziskas grūtības pieslēgties sakaru līnijām utt.

Kriptogrāfijas mērķis

Atšķirībā no tradicionālajām kriptogrāfijas metodēm, kriptogrāfija uzņemas pilnīgu pārraides kanāla pieejamību iebrucējiem un nodrošina informācijas konfidencialitāti un autentiskumu, izmantojot šifrēšanas algoritmus, kas padara informāciju nepieejamu ārējai lasīšanai. Mūsdienīga kriptogrāfijas informācijas aizsardzības sistēma (CIPF) ir programmatūras un aparatūras datoru komplekss, kas nodrošina informācijas aizsardzību atbilstoši šādiem galvenajiem parametriem.

  • Konfidencialitāte- informācijas nolasīšanas neiespējamība personām, kurām nav atbilstošu piekļuves tiesību. Galvenā konfidencialitātes nodrošināšanas sastāvdaļa CIPF ir atslēga (atslēga), kas ir unikāla burtciparu kombinācija lietotāja piekļuvei konkrētam CIPF blokam.
  • Integritāte- nav iespējams veikt neatļautas izmaiņas, piemēram, rediģēt un dzēst informāciju. Lai to izdarītu, sākotnējai informācijai tiek pievienota atlaišana čeku kombinācijas veidā, ko aprēķina pēc kriptogrāfiskā algoritma un atkarībā no atslēgas. Tādējādi, nezinot atslēgu, informācijas pievienošana vai mainīšana kļūst neiespējama.
  • Autentifikācija- informācijas un to sūtītāju un saņēmēju autentiskuma apstiprinājums. Informācijai, kas tiek pārraidīta pa sakaru kanāliem, jābūt unikāli autentificētai pēc satura, izveides un pārraides laika, avota un saņēmēja. Jāatceras, ka draudu avots var būt ne tikai uzbrucējs, bet arī informācijas apmaiņā iesaistītās puses ar nepietiekamu savstarpēju uzticēšanos. Lai novērstu šādas situācijas, CIPF izmanto laika zīmogu sistēmu, lai nebūtu iespējams atkārtoti nosūtīt vai atgriezt informāciju un mainīt tās secību.

  • Autorība- informācijas lietotāja veikto darbību apstiprināšana un atteikuma neiespējamība. Visizplatītākais autentifikācijas veids ir EDS sistēma, kas sastāv no diviem algoritmiem: izveidot parakstu un to pārbaudīt. Intensīvi strādājot ar ECC, parakstu veidošanai un pārvaldībai ieteicams izmantot programmatūras sertifikācijas iestādes. Šādi centri var tikt ieviesti kā kriptogrāfiskās informācijas aizsardzības līdzeklis, pilnīgi neatkarīgi no iekšējās struktūras. Ko tas nozīmē organizācijai? Tas nozīmē, ka visus darījumus ar apstrādā neatkarīgas sertificētas organizācijas un autortiesību viltošana ir gandrīz neiespējama.

Šifrēšanas algoritmi

Pašlaik starp CIPF dominē atvērtie šifrēšanas algoritmi, izmantojot simetriskas un asimetriskas atslēgas, kuru garums ir pietiekams, lai nodrošinātu vēlamo kriptogrāfijas sarežģītību. Visizplatītākie algoritmi:

  • simetriskas atslēgas - krievu Р-28147.89, AES, DES, RC4;
  • asimetriskas atslēgas - RSA;
  • izmantojot jaucējfunkcijas - Р-34.11.94, MD4/5/6, SHA-1/2.

Daudzām valstīm ir savi nacionālie standarti.ASV tiek izmantots modificēts AES algoritms ar atslēgu 128-256 biti, bet Krievijas Federācijā elektroniskā paraksta algoritms R-34.10.2001 un bloku kriptogrāfijas algoritms R-28147.89. ar 256 bitu atslēgu. Atsevišķus nacionālo kriptogrāfijas sistēmu elementus ir aizliegts eksportēt ārpus valsts, darbībām CIPF attīstībai nepieciešama licencēšana.

Aparatūras kriptogrāfijas aizsardzības sistēmas

Aparatūras CIPF ir fiziskas ierīces, kas satur programmatūru informācijas šifrēšanai, ierakstīšanai un pārsūtīšanai. Šifrēšanas ierīces var izgatavot personīgo ierīču veidā, piemēram, ruToken USB šifrētājus un IronKey zibatmiņas, paplašināšanas kartes personālajiem datoriem, specializētus tīkla slēdžus un maršrutētājus, uz kuru pamata iespējams veidot pilnīgi drošus datortīklus.

Aparatūras CIPF tiek ātri instalētas un darbojas lielā ātrumā. Trūkumi - augstas, salīdzinot ar programmatūras un aparatūras-programmatūras CIPF, izmaksas un ierobežotas jaunināšanas iespējas.

Tāpat var atsaukties uz CIPF aparatūras blokiem, kas iebūvēti dažādās datu ierakstīšanas un pārsūtīšanas ierīcēs, kur nepieciešama šifrēšana un informācijas piekļuves ierobežošana. Šādas ierīces ietver automašīnu tahometrus, kas reģistrē transportlīdzekļu parametrus, dažus medicīnas iekārtu veidus utt. Pilnvērtīgai šādu sistēmu darbībai ir nepieciešama atsevišķa CIPF moduļa aktivizēšana, ko veic piegādātāja speciālisti.

Programmatūras kriptoaizsardzības sistēmas

Programmatūra CIPF ir īpaša programmatūras pakotne datu šifrēšanai datu nesējos (cietajos un zibatmiņas diskos, atmiņas kartēs, CD / DVD) un pārsūtot tos internetā (e-pasti, faili pielikumos, drošas tērzēšanas sarunas utt.). Ir diezgan daudz programmu, tostarp bezmaksas, piemēram, DiskCryptor. Programmatūra CIPF ietver arī drošus virtuālos informācijas apmaiņas tīklus, kas darbojas "interneta augšpusē" (VPN), HTTP interneta protokola paplašinājumu ar HTTPS šifrēšanas atbalstu un SSL - kriptogrāfijas informācijas pārsūtīšanas protokolu, ko plaši izmanto IP telefonijas sistēmās un interneta lietojumprogrammās. .

Programmatūras kriptogrāfiskās informācijas aizsardzības rīki galvenokārt tiek izmantoti internetā, mājas datoros un citās jomās, kur prasības sistēmas funkcionalitātei un stabilitātei nav īpaši augstas. Vai kā interneta gadījumā, kad vienlaikus ir jāizveido daudz dažādu drošu savienojumu.

Programmatūras un aparatūras kriptoaizsardzība

Apvieno labākās aparatūras un programmatūras CIPF sistēmu īpašības. Tas ir uzticamākais un funkcionālākais veids, kā izveidot drošas sistēmas un datu pārraides tīklus. Tiek atbalstītas visas lietotāja identifikācijas iespējas, gan aparatūras (USB disks vai viedkarte), gan "tradicionālās" - pieteikšanās un parole. Programmatūras un aparatūras kriptogrāfiskās informācijas aizsardzības rīki atbalsta visus mūsdienu šifrēšanas algoritmus, tiem ir liels funkciju kopums drošas darbplūsmas izveidei, pamatojoties uz ciparparakstu, visi nepieciešamie valsts sertifikāti. CIPF uzstādīšanu veic kvalificēts izstrādātāja personāls.

Uzņēmums "CRYPTO-PRO"

Viens no Krievijas kriptogrāfijas tirgus līderiem. Uzņēmums izstrādā pilnu informācijas aizsardzības programmu klāstu, izmantojot digitālos parakstus, pamatojoties uz starptautiskajiem un Krievijas kriptogrāfijas algoritmiem.

Uzņēmuma programmas tiek izmantotas komerciālo un valsts organizāciju elektroniskajā dokumentu pārvaldībā, grāmatvedības un nodokļu atskaišu iesniegšanai, dažādās pilsētu un budžeta programmās u.c. Uzņēmums ir izsniedzis vairāk nekā 3 miljonus licenču CryptoPRO CSP programmai un 700 sertifikācijas centru licences. "Crypto-PRO" nodrošina izstrādātājiem saskarnes kriptogrāfijas aizsardzības elementu iegulšanai savos un nodrošina pilnu konsultāciju pakalpojumu klāstu CIPF izveidei.

Kriptoprovider CryptoPro

Izstrādājot kriptogrāfiskās informācijas aizsardzības sistēmu CryptoPro CSP, tika izmantota Windows operētājsistēmā iebūvētā Kriptogrāfijas pakalpojumu sniedzēju kriptogrāfiskā arhitektūra. Arhitektūra ļauj pieslēgt papildu neatkarīgus moduļus, kas ievieš nepieciešamos šifrēšanas algoritmus. Ar moduļu palīdzību, kas darbojas, izmantojot CryptoAPI funkcijas, kriptogrāfisko aizsardzību var veikt gan programmatūras, gan aparatūras CIPF.

Galvenie pārvadātāji

Var izmantot dažādas privātās atslēgas, piemēram:

  • viedkartes un lasītāji;
  • elektroniskās slēdzenes un lasītāji, kas darbojas ar Touch Memory ierīcēm;
  • dažādas USB atslēgas un noņemamie USB diskdziņi;
  • Windows, Solaris, Linux sistēmas reģistra faili.

Kripto pakalpojumu sniedzēja funkcijas

CIPF CryptoPro CSP ir pilnībā sertificējis FAPSI, un to var izmantot:

2. Pilnīga datu konfidencialitāte, autentiskums un integritāte, izmantojot šifrēšanas un imitācijas aizsardzību saskaņā ar Krievijas šifrēšanas standartiem un TLS protokolu.

3. Programmas koda integritātes pārbaude un uzraudzība, lai novērstu nesankcionētas izmaiņas un piekļuvi.

4. Sistēmas aizsardzības regulējuma izveide.

Kriptogrāfiskie aizsardzības līdzekļi ir īpaši informācijas pārveidošanas līdzekļi un metodes, kā rezultātā tiek maskēts tās saturs. Galvenie kriptogrāfiskās slēgšanas veidi ir aizsargāto datu šifrēšana un kodēšana. Tajā pašā laikā šifrēšana ir slēgšanas veids, kurā katrs aizvērto datu raksturs tiek pakļauts neatkarīgai transformācijai; kodējot aizsargātos datus sadala blokos, kuriem ir semantiska nozīme, un katrs šāds bloks tiek aizstāts ar ciparu, alfabētisku vai kombinētu kodu. Šajā gadījumā tiek izmantotas vairākas dažādas šifrēšanas sistēmas: aizstāšana, permutācija, gamma, šifrēto datu analītiskā transformācija. Kombinētie šifri tiek plaši izmantoti, kad avota teksts tiek secīgi pārveidots, izmantojot divus vai pat trīs dažādus šifrus.

Kriptosistēmas darbības principi

Tipisks piemērs situācijas attēlam, kurā rodas kriptogrāfijas (šifrēšanas) uzdevums, ir parādīts 1. attēlā:

Rīsi. №1

1. attēlā A un B ir likumīgi aizsargātas informācijas lietotāji, viņi vēlas apmainīties ar informāciju, izmantojot publisko saziņas kanālu.

P - nelegāls lietotājs (pretinieks, hakeris), kurš vēlas pārtvert ziņojumus, kas tiek pārraidīti pa sakaru kanālu, un mēģināt no tiem iegūt viņu interesējošo informāciju. Šo vienkāršo shēmu var uzskatīt par modeli tipiskai situācijai, kurā tiek izmantotas kriptogrāfiskas informācijas aizsardzības metodes vai vienkārši šifrēšana.

Vēsturiski daži militārie vārdi ir iesakņojušies kriptogrāfijā (ienaidnieks, uzbrukums šifram utt.). Tie visprecīzāk atspoguļo atbilstošo kriptogrāfijas jēdzienu nozīmi. Tajā pašā laikā teorētiskajā kriptogrāfijā vairs netiek izmantota plaši pazīstamā militārā terminoloģija, kas balstīta uz koda koncepciju (jūras spēku kodi, ģenerālštāba kodi, kodu grāmatas, kodu apzīmējumi utt.). Fakts ir tāds, ka pēdējo desmitgažu laikā ir izveidota kodēšanas teorija - liels zinātnisks virziens, kas izstrādā un pēta metodes informācijas aizsardzībai no nejaušiem izkropļojumiem sakaru kanālos. Kriptogrāfija nodarbojas ar informācijas pārveidošanas metodēm, kas neļautu pretiniekam to iegūt no pārtvertajiem ziņojumiem. Tajā pašā laikā pa sakaru kanālu tiek pārraidīta nevis pati aizsargātā informācija, bet gan tās rezultāts

pārvērtības ar šifra palīdzību, un pretiniekam ir grūts uzdevums šifru uzlauzt. Šifra atvēršana (uzlauzšana) ir aizsargātas informācijas iegūšanas process no šifrēta ziņojuma, nezinot izmantoto šifru. Pretinieks var mēģināt nevis saņemt, bet gan iznīcināt vai pārveidot aizsargāto informāciju tās pārraides procesā. Tas ir ļoti atšķirīgs informācijas apdraudējums nekā noklausīšanās un šifra laušana. Lai aizsargātos pret šādiem draudiem

izstrādāt savas specifiskās metodes. Tāpēc ceļā no viena likumīga lietotāja pie cita informācija ir jāsargā dažādos veidos, pretoties dažādiem draudiem. Pastāv situācija, kad tiek izveidota dažāda veida saišu ķēde, kas aizsargā informāciju. Protams, ienaidnieks centīsies atrast vājāko posmu, lai iegūtu informāciju par viszemākajām izmaksām. Tas nozīmē, ka likumīgiem lietotājiem arī šis apstāklis ​​ir jāņem vērā savā aizsardzības stratēģijā: nav jēgas padarīt kādu saikni ļoti spēcīgu, ja ir acīmredzami vājākas saites ("vienlīdzīgas aizsardzības princips"). Labu šifru izdomāt ir smags darbs. Tāpēc ir vēlams pagarināt laba šifra kalpošanas laiku un izmantot to, lai šifrētu pēc iespējas vairāk ziņojumu. Bet tajā pašā laikā pastāv briesmas, ka ienaidnieks jau ir uzminējis (atvēris) šifru un nolasa aizsargāto informāciju. Ja tīkla šifram ir nomaināma atslēga, tad nomainot atslēgu, to var izdarīt tā, lai ienaidnieka izstrādātajām metodēm vairs nebūtu ietekmes.

Informācijas kriptogrāfiskās aizsardzības līdzekļi jeb saīsināti CIPF tiek izmantoti, lai nodrošinātu visaptverošu datu aizsardzību, kas tiek pārraidīta pa sakaru līnijām. Lai to izdarītu, ir jāievēro elektroniskā paraksta autorizācija un aizsardzība, saziņas pušu autentifikācija, izmantojot TLS un IPSec protokolus, kā arī paša sakaru kanāla aizsardzība, ja nepieciešams.

Krievijā kriptogrāfijas informācijas drošības rīku izmantošana pārsvarā ir klasificēta, tāpēc par šo tēmu ir maz publiski pieejamas informācijas.

CIPF izmantotās metodes

  • Datu autorizācija un to juridiskās nozīmes drošības nodrošināšana nosūtīšanas vai uzglabāšanas laikā. Lai to izdarītu, tiek izmantoti elektroniskā paraksta izveides un tā pārbaudes algoritmi saskaņā ar noteiktajiem RFC 4357 noteikumiem un tiek izmantoti sertifikāti saskaņā ar X.509 standartu.
  • Datu konfidencialitātes aizsardzība un to integritātes kontrole. Tiek izmantota asimetriskā šifrēšana un imitācijas aizsardzība, tas ir, pretdarbība datu viltošanai. Ievērots GOST R 34.12-2015.
  • Sistēmas un lietojumprogrammatūras aizsardzība. Neatļautu izmaiņu vai darbības traucējumu izsekošana.
  • Sistēmas svarīgāko elementu vadība stingrā saskaņā ar pieņemtajiem noteikumiem.
  • Datu apmaiņas pušu autentifikācija.
  • Savienojuma aizsardzība, izmantojot TLS protokolu.
  • IP savienojumu aizsardzība, izmantojot IKE, ESP, AH protokolus.

Metodes ir sīki aprakstītas šādos dokumentos: RFC 4357, RFC 4490, RFC 4491.

CIPF informācijas aizsardzības mehānismi

  1. Uzglabātās vai pārsūtītās informācijas konfidencialitāte tiek aizsargāta, izmantojot šifrēšanas algoritmus.
  2. Veidojot savienojumu, identifikācija tiek nodrošināta ar elektroniskā paraksta palīdzību, kad to izmanto autentifikācijas laikā (kā ieteikts X.509).
  3. Digitālo dokumentu plūsma tiek aizsargāta arī ar elektroniskā paraksta palīdzību kopā ar aizsardzību pret uzspiešanu vai atkārtošanu, vienlaikus tiek uzraudzīta elektroniskā paraksta pārbaudei izmantoto atslēgu uzticamība.
  4. Informācijas integritāte tiek nodrošināta ar digitālā paraksta palīdzību.
  5. Asimetriskas šifrēšanas līdzekļu izmantošana palīdz aizsargāt datus. Turklāt, lai pārbaudītu datu integritāti, var izmantot jaukšanas funkcijas vai imitācijas aizsardzības algoritmus. Tomēr šīs metodes neatbalsta dokumenta autorības noteikšanu.
  6. Atkārtošanas aizsardzību nodrošina elektroniskā paraksta kriptogrāfijas funkcijas šifrēšanai vai imitācijas aizsardzībai. Tajā pašā laikā katrai tīkla sesijai tiek pievienots unikāls identifikators, kas ir pietiekami ilgs, lai izslēgtu tā nejaušu sakritību, un apstiprināšanu veic saņēmēja puse.
  7. Aizsardzība pret uzspiešanu, tas ir, no iekļūšanas saziņā no ārpuses, tiek nodrošināta ar elektroniskā paraksta palīdzību.
  8. Cita aizsardzība – pret grāmatzīmēm, vīrusiem, operētājsistēmas modifikācijām u.c. – tiek nodrošināta ar dažādu kriptogrāfijas rīku, drošības protokolu, pretvīrusu programmatūras un organizatorisku pasākumu palīdzību.

Kā redzat, elektroniskā paraksta algoritmi ir būtiska kriptogrāfiskās informācijas aizsardzības līdzekļu sastāvdaļa. Tie tiks apspriesti turpmāk.

Prasības, lietojot CIPF

CIPF mērķis ir aizsargāt (pārbaudot elektronisko parakstu) atvērtos datus dažādās publiskās informācijas sistēmās un nodrošināt to konfidencialitāti (pārbaudot elektronisko parakstu, imitācijas aizsardzību, šifrēšanu, hash verifikāciju) korporatīvajos tīklos.

Lietotāja personas datu aizsardzībai tiek izmantots personisks kriptogrāfiskās informācijas aizsardzības līdzeklis. Taču īpaša uzmanība jāpievērš informācijai, kas attiecas uz valsts noslēpumu. Saskaņā ar likumu CIPF nevar izmantot darbam ar to.

Svarīgi: pirms CIPF instalēšanas vispirms ir jāpārbauda pati CIPF programmatūras pakotne. Šis ir pirmais solis. Parasti instalācijas pakotnes integritāti pārbauda, ​​salīdzinot no ražotāja saņemtās kontrolsummas.

Pēc instalēšanas jānosaka apdraudējuma līmenis, uz kura pamata var noteikt lietošanai nepieciešamos kriptogrāfiskās informācijas aizsardzības veidus: programmatūra, aparatūra un aparatūra-programmatūra. Jāpatur prātā arī tas, ka, organizējot kādu CIPF, ir jāņem vērā sistēmas atrašanās vieta.

Aizsardzības klases

Saskaņā ar Krievijas FSB 2014. gada 10. jūlija rīkojumu ar numuru 378, kas regulē kriptogrāfijas līdzekļu izmantošanu informācijas un personas datu aizsardzībai, ir noteiktas sešas klases: KS1, KS2, KS3, KB1, KB2, KA1. Aizsardzības klase konkrētai sistēmai tiek noteikta, analizējot datus par iebrucēja modeli, tas ir, no iespējamo sistēmas uzlaušanas veidu novērtējuma. Aizsardzība šajā gadījumā ir veidota no programmatūras un aparatūras kriptogrāfiskās informācijas aizsardzības.

AC (faktiskie draudi), kā redzams tabulā, ir 3 veidi:

  1. Pirmā veida draudi ir saistīti ar informācijas sistēmā izmantotās sistēmas programmatūras nedokumentētām iezīmēm.
  2. Otrā veida draudi ir saistīti ar informācijas sistēmā izmantotās lietojumprogrammatūras nedokumentētām iezīmēm.
  3. Trešā veida draudus sauc par visu pārējo.

Nedokumentēti līdzekļi ir programmatūras funkcijas un līdzekļi, kas nav aprakstīti oficiālajā dokumentācijā vai neatbilst tai. Tas nozīmē, ka to izmantošana var palielināt informācijas konfidencialitātes vai integritātes pārkāpšanas risku.

Skaidrības labad apsveriet pārkāpēju modeļus, kuru pārtveršanai ir nepieciešama viena vai otra kriptogrāfiskās informācijas aizsardzības rīku klase:

  • KS1 - iebrucējs darbojas no ārpuses, bez palīgiem sistēmas iekšienē.
  • KS2 ir iekšējā informācija, taču tai nav piekļuves CIPF.
  • KS3 ir iekšējā informācija, kas ir CIPF lietotājs.
  • KV1 ir iebrucējs, kas piesaista trešo pušu resursus, piemēram, kriptogrāfijas informācijas aizsardzības speciālistus.
  • KV2 ir iebrucējs, aiz kura darbības slēpjas institūts vai laboratorija, kas strādā kriptogrāfiskās informācijas aizsardzības rīku izpētes un izstrādes jomā.
  • KA1 - valstu speciālie dienesti.

Tādējādi KS1 var saukt par pamata aizsardzības klasi. Attiecīgi, jo augstāka ir aizsardzības klase, jo mazāk speciālistu spēj to nodrošināt. Piemēram, Krievijā saskaņā ar 2013. gada datiem bija tikai 6 organizācijas, kurām bija FSB sertifikāts un kuras varēja nodrošināt KA1 klases aizsardzību.

Izmantotie algoritmi

Apsveriet galvenos kriptogrāfiskās informācijas aizsardzības rīkos izmantotos algoritmus:

  • GOST R 34.10-2001 un atjaunināts GOST R 34.10-2012 - algoritmi elektroniskā paraksta izveidei un pārbaudei.
  • GOST R 34.11-94 un jaunākais GOST R 34.11-2012 - algoritmi jaucējfunkciju izveidei.
  • GOST 28147-89 un jaunāki GOST R 34.12-2015 - datu šifrēšanas un imitācijas aizsardzības algoritmu ieviešana.
  • Papildu kriptogrāfijas algoritmi ir RFC 4357.

Elektroniskais paraksts

Kriptogrāfiskās informācijas aizsardzības rīku izmantošana nav iedomājama bez elektroniskā paraksta algoritmu izmantošanas, kas gūst arvien lielāku popularitāti.

Elektroniskais paraksts ir īpaša dokumenta daļa, kas izveidota ar kriptogrāfiskām transformācijām. Tās galvenais uzdevums ir atklāt neatļautas izmaiņas un noteikt autorību.

Elektroniskā paraksta sertifikāts ir atsevišķs dokuments, kas apliecina tā īpašnieka elektroniskā paraksta autentiskumu un īpašumtiesības, izmantojot publisko atslēgu. Sertifikātu izsniedz sertifikācijas iestādes.

Elektroniskā paraksta sertifikāta īpašnieks ir persona, uz kuras vārda sertifikāts reģistrēts. Tas ir saistīts ar divām atslēgām: publisko un privāto. Privātā atslēga ļauj izveidot elektronisko parakstu. Publiskā atslēga ir paredzēta, lai pārbaudītu paraksta autentiskumu kriptogrāfiskās attiecības ar privāto atslēgu dēļ.

Elektroniskā paraksta veidi

Saskaņā ar Federālo likumu Nr. 63 elektroniskais paraksts ir sadalīts 3 veidos:

  • regulārs elektroniskais paraksts;
  • nekvalificēts elektroniskais paraksts;
  • kvalificēts elektroniskais paraksts.

Vienkāršs ES tiek izveidots, izmantojot paroles, kas tiek uzliktas datu atvēršanai un skatīšanai, vai līdzīgus līdzekļus, kas netieši apstiprina īpašnieku.

Nekvalificēts ES tiek izveidots, izmantojot kriptogrāfisko datu transformācijas, izmantojot privāto atslēgu. Tas ļauj apstiprināt personu, kas parakstījusi dokumentu, un konstatēt faktu, ka datos ir veiktas neatļautas izmaiņas.

Kvalificēti un nekvalificēti paraksti atšķiras tikai ar to, ka pirmajā gadījumā sertifikāts ES ir jāizsniedz FSB sertificētam sertifikācijas centram.

Elektroniskā paraksta darbības joma

Tālāk esošajā tabulā ir aplūkota EP darbības joma.

ES tehnoloģijas visaktīvāk tiek izmantotas dokumentu apmaiņā. Iekšējā darbplūsmā ES darbojas kā dokumentu apstiprinājums, tas ir, kā personīgais paraksts vai zīmogs. Ārējās dokumentu pārvaldības gadījumā ES klātbūtne ir kritiska, jo tas ir juridisks apstiprinājums. Tāpat ir vērts atzīmēt, ka ES parakstītos dokumentus var glabāt bezgalīgi un tie nezaudē savu juridisko nozīmi tādu faktoru dēļ kā dzēšami paraksti, bojāts papīrs utt.

Vēl viena joma, kurā pieaug elektronisko dokumentu pārvaldība, ir ziņošana regulatīvajām iestādēm. Daudzi uzņēmumi un organizācijas jau ir novērtējuši darba ērtības šajā formātā.

Saskaņā ar Krievijas Federācijas tiesību aktiem ikvienam pilsonim ir tiesības izmantot ES, izmantojot sabiedriskos pakalpojumus (piemēram, parakstot elektronisku pieteikumu iestādēm).

Tiešsaistes tirdzniecība ir vēl viena interesanta joma, kurā aktīvi tiek izmantots elektroniskais paraksts. Tas ir apliecinājums tam, ka izsolē piedalās reāla persona un viņa piedāvājumi uzskatāmi par ticamiem. Būtiski ir arī tas, ka jebkurš līgums, kas noslēgts ar ES palīdzību, iegūst juridisku spēku.

Elektroniskā paraksta algoritmi

  • Full Domain Hash (FDH) un publiskās atslēgas kriptogrāfijas standarti (PKCS). Pēdējais ir vesela standarta algoritmu grupa dažādām situācijām.
  • DSA un ECDSA ir ASV digitālā paraksta standarti.
  • GOST R 34.10-2012 - standarts elektronisko parakstu izveidei Krievijas Federācijā. Šis standarts aizstāja GOST R 34.10-2001, kas tika oficiāli pārtraukts pēc 2017. gada 31. decembra.
  • Eirāzijas savienība izmanto standartus, kas ir pilnīgi līdzīgi Krievijā noteiktajiem.
  • STB 34.101.45-2013 - Baltkrievijas standarts digitālajam elektroniskajam parakstam.
  • DSTU 4145-2002 - standarts elektroniskā paraksta izveidei Ukrainā un daudzos citos.

Jāņem vērā arī tas, ka ES izveides algoritmiem ir dažādi mērķi un mērķi:

  • Grupas elektroniskais paraksts.
  • Vienreizējs ciparparaksts.
  • Uzticams EP.
  • Kvalificēts un nekvalificēts paraksts utt.

SAISTĪTIE RAKSTI