Preskúmanie legislatívy Ruskej federácie: Kryptografia. Skzi - čo to je? prostriedky ochrany kryptografických informácií Najbežnejšie kategórie SCS

Mechanizmy šifrovania údajov na zabezpečenie informačnej bezpečnosti spoločnosti sú kryptografická ochrana informácií prostredníctvom kryptografického šifrovania.

Kryptografické metódy ochrany informácií sa používajú na spracovanie, ukladanie a prenos informácií na médiách a cez komunikačné siete.

Kryptografická ochrana informácií pri prenose dát na veľké vzdialenosti je jedinou spoľahlivou metódou šifrovania.

Kryptografia je veda, ktorá študuje a popisuje model informačnej bezpečnosti údajov. Kryptografia otvára riešenia mnohých problémov s bezpečnosťou siete: autentifikácia, dôvernosť, integrita a kontrola interagujúcich účastníkov.

Termín „šifrovanie“ znamená transformáciu údajov do formy, ktorá nie je čitateľná pre ľudí a softvérové systémy bez šifrovacieho a dešifrovacieho kľúča. Kryptografické metódy informačnej bezpečnosti poskytujú prostriedky informačnej bezpečnosti, preto sú súčasťou koncepcie informačnej bezpečnosti.

Ciele informačnej bezpečnosti v konečnom dôsledku spočívajú v zabezpečení dôvernosti informácií a ochrane informácií v počítačových systémoch v procese prenosu informácií cez sieť medzi používateľmi systému.

Ochrana dôverných informácií založená na ochrane kryptografických informácií šifruje údaje pomocou rodiny reverzibilných transformácií, z ktorých každá je opísaná parametrom nazývaným „kľúč“ a poradím, ktoré určuje poradie, v ktorom sa každá transformácia použije.

Najdôležitejšou zložkou kryptografickej metódy ochrany informácií je kľúč, ktorý je zodpovedný za výber transformácie a poradie, v ktorom sa vykonáva. Kľúč je určitá sekvencia znakov, ktorá konfiguruje šifrovací a dešifrovací algoritmus systému ochrany kryptografických informácií. Každá takáto transformácia je jednoznačne určená kľúčom, ktorý definuje kryptografický algoritmus, ktorý zabezpečuje informačnú ochranu a informačnú bezpečnosť informačného systému.

Rovnaký algoritmus ochrany kryptografických informácií môže fungovať v rôznych režimoch, z ktorých každý má určité výhody a nevýhody, ktoré ovplyvňujú spoľahlivosť ruskej informačnej bezpečnosti a nástrojov informačnej bezpečnosti.

Metodika symetrickej alebo tajnej kryptografie.

V tejto metodike technické prostriedky ochrany informácií, šifrovanie a dešifrovanie príjemcom a odosielateľom používajú rovnaký kľúč, ktorý bol predtým dohodnutý ešte pred použitím kryptografickej inžinierskej ochrany informácií.

V prípade, že kľúč nebol kompromitovaný, proces dešifrovania automaticky overí autora správy, pretože iba on má kľúč na dešifrovanie správy.

Programy na ochranu informácií kryptografiou teda predpokladajú, že odosielateľ a adresát správy sú jediné osoby, ktoré môžu poznať kľúč a jeho kompromitácia ovplyvní interakciu iba týchto dvoch používateľov informačného systému.

Problém ochrany informácií organizácie v tomto prípade bude relevantný pre každý kryptosystém, ktorý sa snaží dosiahnuť cieľ ochrany informácií alebo ochrany informácií na internete, pretože symetrické kľúče musia byť distribuované medzi používateľmi bezpečne, to znamená, že je potrebné, aby informácie ochrana v počítačových sieťach, kde sa prenášajú kľúče, bola na vysokej úrovni.

Akýkoľvek symetrický šifrovací algoritmus hardvérovo-softvérového informačného bezpečnostného kryptosystému využíva krátke kľúče a vykonáva šifrovanie veľmi rýchlo, napriek veľkému množstvu dát, čo spĺňa účel ochrany informácií.

Nástroje na zabezpečenie počítačových informácií založené na kryptosystémoch by mali používať systémy symetrických kľúčov v tomto poradí:

· Práca na informačnej bezpečnosti sa začína skutočnosťou, že po prvé, ochrana informácií vytvára, distribuuje a uchováva symetrický kľúč ochrany informácií organizácie;

· Ďalej špecialista informačnej bezpečnosti alebo odosielateľ systému informačnej bezpečnosti v počítačových sieťach vytvorí elektronický podpis pomocou hašovacej funkcie textu a výsledný hašovací reťazec doplní do textu, ktorý musí byť bezpečne odovzdaný organizácii informačnej bezpečnosti;

· Podľa doktríny informačnej bezpečnosti odosielateľ používa rýchly symetrický šifrovací algoritmus v kryptografickom informačnom bezpečnostnom nástroji spolu so symetrickým kľúčom k paketu správy a elektronickým podpisom, ktorý autentifikuje užívateľa šifrovacieho systému kryptografického informačného bezpečnostného nástroja. ;

· Šifrovaná správa môže byť bezpečne prenášaná aj cez nezabezpečené komunikačné kanály, aj keď je lepšie to urobiť v rámci informačnej bezpečnosti. Symetrický kľúč sa však musí bez problémov prenášať (podľa doktríny informačnej bezpečnosti) prostredníctvom komunikačných kanálov v rámci softvérovej a hardvérovej ochrany informácií;

· V systéme informačnej bezpečnosti v celej histórii informačnej bezpečnosti, podľa doktríny informačnej bezpečnosti, príjemca používa rovnaký symetrický algoritmus na dešifrovanie paketu a rovnaký symetrický kľúč, čo umožňuje obnoviť text pôvodnej správy a dešifrovať elektronický podpis odosielateľa v informačnom bezpečnostnom systéme;

· V systéme informačnej bezpečnosti musí príjemca oddeliť elektronický podpis od textu správy;

· Teraz príjemca porovnáva elektronické podpisy prijaté skôr a teraz, aby skontroloval integritu správy a neprítomnosť skreslených údajov v nej, čo sa nazýva integrita prenosu údajov v oblasti informačnej bezpečnosti.

Otvorená asymetrická metodológia informačnej bezpečnosti.

Keď poznáme históriu ochrany informácií, je možné pochopiť, že v tejto metodológii sú šifrovacie a dešifrovacie kľúče odlišné, hoci sú vytvorené spoločne. V takomto informačnom bezpečnostnom systéme je jeden kľúč distribuovaný verejne a druhý tajne, pretože raz zašifrované dáta jedným kľúčom je možné dešifrovať iba iným.

Všetky asymetrické kryptografické prostriedky ochrany informácií sú terčom útokov crackera pôsobiaceho v oblasti informačnej bezpečnosti priamym vyčíslením kľúčov. Preto sa pri takejto informačnej bezpečnosti človeka alebo informačnej psychologickej bezpečnosti používajú dlhé kľúče, aby bol proces enumerácie kľúčov taký dlhý, že hacknutie systému informačnej bezpečnosti stratí akýkoľvek zmysel.

Ani pre tých, ktorí sa venujú kurzovej ochrane informácií, nie je vôbec tajomstvo, že pre zamedzenie pomalosti asymetrických šifrovacích algoritmov sa pre každú správu vytvorí dočasný symetrický kľúč a až potom sa zašifruje asymetrickými algoritmami.

Systémy informačno-psychologickej bezpečnosti a informačnej bezpečnosti osoby využívajú pri používaní asymetrických kľúčov nasledujúci postup:

· V oblasti informačnej bezpečnosti sa vytvárajú a verejne distribuujú asymetrické verejné kľúče. V informačnom bezpečnostnom systéme jednotlivca je tajný asymetrický kľúč zaslaný jeho majiteľovi a verejný asymetrický kľúč je uložený v databáze a spravovaný certifikačným strediskom informačného bezpečnostného systému, ktoré je riadené špecialistom informačnej bezpečnosti. . Informačná bezpečnosť, ktorú nemožno nikde stiahnuť zadarmo, potom znamená, že obaja používatelia musia dôverovať, že takýto systém informačnej bezpečnosti bezpečne vytvorí, spravuje a distribuuje kľúče, ktoré používa celá organizácia na ochranu informácií. O to viac, ak v každom štádiu ochrany informácií, podľa základov ochrany informácií, každý krok vykonávajú iné osoby, potom sa príjemca tajnej správy musí domnievať, že tvorca kľúčov zničil ich kópiu a neposkytol tieto kľúče komukoľvek inému, aby si ešte niekto mohol stiahnuť ochranu informácií prenášaných v systéme nástrojov ochrany informácií. Takto pracuje každý odborník na informačnú bezpečnosť.

· Základy informačnej bezpečnosti ďalej stanovujú, že sa vytvorí elektronický podpis textu a výsledná hodnota sa zašifruje asymetrickým algoritmom. Potom všetky rovnaké základy informačnej bezpečnosti predpokladajú, že tajný kľúč odosielateľa je uložený v reťazci znakov a je pridaný k textu, ktorý sa bude prenášať v systéme informačnej bezpečnosti a informačnej bezpečnosti, pretože elektronický podpis v informačnej bezpečnosti a informačnej bezpečnosti môže vytvorte elektronický podpis!

· Potom systémy a prostriedky ochrany informácií riešia problém prenosu kľúča relácie príjemcovi.

· Ďalej v systéme informačnej bezpečnosti musí odosielateľ získať asymetrický verejný kľúč certifikačnej autority organizácie a technológie informačnej bezpečnosti. V danej organizácii a technológii informačnej bezpečnosti je zachytenie nešifrovaných požiadaviek na verejný kľúč najčastejším útokom crackerov. Preto je možné v organizácii a technológii informačnej bezpečnosti implementovať systém certifikátov potvrdzujúcich pravosť verejného kľúča.

Šifrovacie algoritmy teda zahŕňajú použitie kľúčov, ktoré vám umožňujú 100% chrániť údaje pred používateľmi, ktorí kľúč nepoznajú.

Ochrana informácií v lokálnych sieťach a technológie ochrany informácií spolu s dôvernosťou sú potrebné na zabezpečenie integrity uchovávania informácií. To znamená, že ochrana informácií v miestnych sieťach musí prenášať údaje takým spôsobom, aby údaje zostali počas prenosu a uchovávania nezmenené.

Aby informačná bezpečnosť informácií zabezpečila integritu ukladania a prenosu údajov, je potrebné vyvinúť nástroje, ktoré odhalia akékoľvek skreslenie pôvodných údajov, pre ktoré sa k pôvodným informáciám pridáva redundancia.

Informačná bezpečnosť v Rusku s kryptografiou rieši problém integrity pridaním nejakého kontrolného súčtu alebo kontrolného vzoru na výpočet integrity údajov. Takže opäť je model informačnej bezpečnosti kryptografický – závislý od kľúča. Podľa hodnotenia informačnej bezpečnosti na základe kryptografie je závislosť schopnosti čítať dáta na tajnom kľúči najspoľahlivejším nástrojom a využíva sa dokonca aj v štátnych informačných bezpečnostných systémoch.

Audit informačnej bezpečnosti podniku, napríklad informačnej bezpečnosti bánk, spravidla venuje osobitnú pozornosť pravdepodobnosti úspešného uloženia skreslených informácií a kryptografická ochrana informácií umožňuje znížiť túto pravdepodobnosť na zanedbateľnú hodnotu. úrovni. Podobná služba informačnej bezpečnosti nazýva túto pravdepodobnosť mierou odolnosti voči napodobeniu šifry alebo schopnosti šifrovaných dát odolať útoku hackera.

Ochrana informácií pred vírusmi alebo systémy na ochranu ekonomických informácií musia nevyhnutne podporovať autentifikáciu používateľa, aby bolo možné identifikovať regulovaného používateľa systému a zabrániť narušiteľovi vstúpiť do systému.

Overenie a potvrdenie pravosti používateľských údajov vo všetkých oblastiach interakcie informácií je dôležitým integrálnym problémom zabezpečenia spoľahlivosti akýchkoľvek prijatých informácií a systému informačnej bezpečnosti v podniku.

Informačná bezpečnosť bánk je akútna najmä v probléme nedôvery strán vzájomne sa ovplyvňujúcich, kde pojem informačná bezpečnosť IS zahŕňa nielen vonkajšie ohrozenie zo strany tretej strany, ale aj ohrozenie informačnej bezpečnosti (prednášky) od používateľov.

Digitálny podpis

ochrana bezpečnosti informácií neoprávnená

Používatelia IP niekedy chcú odmietnuť predtým prijaté záväzky a pokúsiť sa zmeniť predtým vytvorené údaje alebo dokumenty. Doktrína informačnej bezpečnosti Ruskej federácie s tým počíta a takéto pokusy zastavuje.

Ochrana dôverných informácií pomocou jedného kľúča je nemožná v situácii, keď jeden používateľ neverí druhému, pretože odosielateľ potom môže odmietnuť, že správa bola vôbec odoslaná. Okrem toho, napriek ochrane dôverných informácií, môže druhý používateľ upraviť údaje a priradiť autorstvo inému používateľovi systému. Prirodzene, bez ohľadu na softvérovú ochranu informácií alebo inžiniersku ochranu informácií, v tomto spore nemožno zistiť pravdu.

Digitálny podpis v takomto systéme ochrany informácií v počítačových systémoch je všeliekom na problém autorstva. Ochrana informácií v počítačových systémoch digitálnym podpisom obsahuje 2 algoritmy: na výpočet podpisu a na jeho overenie. Prvý algoritmus môže vykonať iba autor a druhý je vo verejnej sfére, aby si každý mohol kedykoľvek skontrolovať správnosť digitálneho podpisu.

Myšlienka tohto článku sa zrodila, keď špecialisti EFSOL dostali za úlohu analyzovať riziká informačnej bezpečnosti v reštauračnom biznise a vyvinúť opatrenia na ich odstránenie. Jedným z významných rizík bola možnosť zabavenia manažérskych informácií a jedným z protiopatrení bolo šifrovanie účtovných databáz.

Okamžite urobím výhradu, že zvažovanie všetkých možných krypto produktov alebo riešení založených na konkrétnych účtovných systémoch nie je v rozsahu tohto článku. Zaujíma nás iba porovnávacia analýza osobných šifrovacích nástrojov, pre ktoré sme vybrali najobľúbenejšie bezplatné open source riešenie a niekoľko najpropagovanejších komerčných analógov. Nech sa neskúsení používatelia neboja slovného spojenia „open source“ – znamená to len, že vývoju sa venuje skupina nadšencov, ktorí sú pripravení prijať každého, kto im chce pomôcť.

Prečo sme teda zvolili tento prístup? Motivácia je veľmi jednoduchá.

Rôzne spoločnosti používajú vlastný účtovný systém, preto volíme šifrovacie nástroje, ktoré nie sú viazané na konkrétnu platformu – univerzálne.
Je rozumnejšie používať osobnú kryptoochranu v malých podnikoch, kde s účtovným programom pracuje 1-5 používateľov. Pre veľké spoločnosti bude odstránenie manažérskych informácií znamenať väčšie finančné straty – bezpečnostné riešenia preto budú stáť oveľa viac.
Analýza mnohých produktov na šifrovanie komerčných informácií nemá zmysel: stačí ohodnotiť niekoľko z nich, aby ste sami pochopili cenu a funkčnosť.

Prejdime k porovnávaniu produktov, ktoré je vhodné robiť na základe kontingenčnej tabuľky. Pri analýze som zámerne vynechal mnoho technických detailov (ako je podpora hardvérovej akcelerácie alebo multithreadingu, viacerých logických alebo fyzických procesorov), z ktorých bežného používateľa bolí hlava. Pozastavme sa len pri funkcionalite, z ktorej vieme reálne vyzdvihnúť výhody.

kontingenčnej tabuľky

	TrueCrypt	Tajný disk	Zecurion Zdisk
Najnovšia verzia v čase kontroly	7.1a	4	Žiadne dáta
cena	Je zadarmo	Od 4 240 rub. pre 1 počítač	Od 5250 rub. pre 1 počítač
Operačný systém	Windows 7, Windows Vista, Windows XP, Windows Server 2003, Windows Server 2008: (32-bitový a 64-bitový); Windows Server 2008 R2; Windows 2000 SP4; Mac OS X 10.7 Lion (32-bitový a 64-bitový); Mac OS X 10.6 Snow Leopard; Mac OS X 10.5 Leopard; Mac OS X 10.4 Tiger; Linux (32-bitový a 64-bitový, jadro 2.6 alebo kompatibilný)	Windows 7, Windows Vista, Windows XP: (32-bitový a 64-bitový)	Windows 98; Windows Me; Windows NT Workstation; Windows 2000 Professional; Windows XP; Windows Vista
Vstavané šifrovacie algoritmy	AES Had Dve ryby	nie	nie
Používanie poskytovateľov kryptografických služieb (CSP)	nie	Microsoft Enhanced CSP: Triple DES a RC2 Secret Disk NG Crypto Pack: AES a Twofish; CryptoPro CSP, Signal-COM CSP alebo Vipnet CSP: GOST 28147-89	rc5, AES, KRYPTON CSP: GOST 28147-89
Režim šifrovania XTS	Áno	nie	nie
Kaskádové šifrovanie	AES-Twofish-Serpent; Serpent-AES; Serpent-Twofish-AES; Had s dvoma rybami	nie	nie
Transparentné šifrovanie	Áno	Áno	Áno
Šifrovanie systémových oddielov	Áno	Áno	nie
Overenie pred zavedením OS	heslo	Pin + token	nie
Šifrovanie diskových oddielov	Áno	Áno	nie
Vytváranie kontajnerových súborov	Áno	Áno	Áno
Vytváranie skrytých oddielov	Áno	nie	nie
Vytvorenie skrytého OS	Áno	nie	nie
Šifrovanie prenosných diskov	Áno	Áno	Áno
Práca s prenosnými diskami	Áno	nie	nie
vytváranie sietí	Áno	nie	Áno
Režim pre viacerých hráčov	Prostredníctvom NTFS	Áno	Áno
Overenie iba heslom	Áno	nie	nie
Autentifikácia kľúčovým súborom	Áno	nie	nie
Podpora tokenov a čipových kariet	Podporuje protokol PKCS #11 2.0 alebo vyšší	USB kľúč eToken PRO/32K (64K); eToken PRO/72K USB dongle (Java); Smart karta eToken PRO/32K (64K); Smart karta eToken PRO/72K (Java); Kombinovaný kľúč eToken NG-FLASH Kombinovaný kľúč eToken NG-OTP eToken PRO kdekoľvek	Rainbow iKey 10xx/20xx/30xx; ruToken; eToken R2/Pro
Núdzové vypnutie šifrovaných diskov	Klávesové skratky	Klávesové skratky	Klávesové skratky
Nátlaková ochrana heslom	nie	Áno	Áno
Schopnosť používať "Plausible Deniability"	Áno	nie	nie
Obsah dodávky	Žiadna krabicová verzia – distribúcia sa sťahuje zo stránky vývojára	USB kľúč eToken PRO Anywhere s licenciou na používanie produktu; Rýchla príručka v tlačenej forme; CD-ROM (distribučná súprava, podrobná dokumentácia, bootovacia časť MBR; Balenie DVD boxu	Licencia; USB kľúč a USB predlžovací kábel; Distribučný disk; Dokumentácia v tlačenej forme; Čítačka/zapisovačka čipových kariet ACS-30S

V súlade so zákonitosťami žánru ostáva už len komentovať jednotlivé body a vyzdvihnúť výhody konkrétneho riešenia. Všetko je jasné s cenami produktov, ako aj s podporovanými operačnými systémami. Poznamenám len skutočnosť, že verzie TrueCrypt pre MacOS a Linux majú svoje vlastné nuansy použitia a ich inštalácia na serverové platformy od spoločnosti Microsoft, hoci poskytuje určité výhody, je úplne neschopná nahradiť obrovskú funkčnosť komerčných systémov ochrany údajov v podnikovú sieť. Pripomínam, že stále zvažujeme osobnú kryptoochranu.

Vstavané algoritmy, poskytovatelia kryptomien, XTS a kaskádové šifrovanie

Poskytovatelia kryptomien, na rozdiel od vstavaných šifrovacích algoritmov, sú samostatne zásuvné moduly, ktoré určujú metódu kódovania (dekódovania), ktorú program používa. Prečo komerčné riešenia využívajú balíčky poskytovateľov kryptomien? Odpovede sú jednoduché, no finančne opodstatnené.

Nie je potrebné vykonávať zmeny v programe na pridávanie určitých algoritmov (platiť za prácu programátorov) - stačí vytvoriť nový modul alebo pripojiť riešenia tretích strán.
Na celom svete sa vyvíjajú, testujú a implementujú medzinárodné štandardy, ale pre ruské vládne agentúry je potrebné dodržiavať požiadavky FSTEC a FSB. Tieto požiadavky zahŕňajú udeľovanie licencií na vytváranie a distribúciu nástrojov informačnej bezpečnosti.
Poskytovatelia kryptomien sú prostriedkami na šifrovanie údajov a samotné programy nevyžadujú certifikáciu vývoja a distribúcie.

Kaskádové šifrovanie je schopnosť zakódovať informácie jedným algoritmom, ak už boli zakódované iným. Tento prístup, aj keď spomaľuje prácu, vám umožňuje zvýšiť odolnosť chránených údajov proti hackingu - čím viac „oponent“ vie o metódach šifrovania (napríklad použitý algoritmus alebo znaková sada kľúča), tým ľahšie je aby zverejnil informácie.

Technológia šifrovania XTS (režim Tweaked CodeBook (TCB) založený na XEX s CipherText Stealing (CTS)) je logickým vývojom predchádzajúcich metód šifrovania blokov XEX a LRW, v ktorých boli objavené slabé miesta. Keďže operácie čítania/zápisu na pamäťových médiách sa vykonávajú sektor po sektore v blokoch, použitie metód kódovania prúdov je neprijateľné. Preto 19. decembra 2007 bola metóda šifrovania XTS-AES pre algoritmus AES opísaná a odporúčaná medzinárodným štandardom na ochranu uložených informácií IEEE P1619.

Tento režim používa dva kľúče, z ktorých prvý sa používa na generovanie inicializačného vektora a druhý na šifrovanie údajov. Metóda funguje podľa nasledujúceho algoritmu:

vygeneruje vektor zašifrovaním čísla sektora prvým kľúčom;
pridá vektor k pôvodnej informácii;
zašifruje výsledok sčítania druhým kľúčom;
pridá vektor s výsledkom šifrovania;
vynásobí vektor generovaným polynómom konečného poľa.

Národný inštitút pre štandardy a technológie odporúča používať XTS na šifrovanie údajov zariadenia pomocou blokovej vnútornej štruktúry, pretože:

popísané medzinárodnou normou;
má vysoký výkon vďaka vykonaniu predbežných výpočtov a paralelizácie;
umožňuje spracovať ľubovoľný sektorový blok výpočtom inicializačného vektora.

Poznamenávam tiež, že IEEE P1619 odporúča používať metódu XTS so šifrovacím algoritmom AES, avšak architektúra režimu umožňuje jej použitie v spojení s akoukoľvek inou blokovou šifrou. Ak je teda potrebné certifikovať zariadenie, ktoré implementuje transparentné šifrovanie v súlade s požiadavkami ruskej legislatívy, je možné použiť XTS a GOST 28147-89 spoločne.

Núdzové vypnutie pohonov, zadanie hesla „pod nátlakom“, odmietnutie zapojenia

Núdzové vypnutie šifrovaných diskov je nepopierateľne nevyhnutnou funkciou v situáciách, ktoré vyžadujú okamžitú reakciu na ochranu informácií. Ale čo bude ďalej? „Oponent“ vidí systém, na ktorom je nainštalovaná ochrana proti šifrovaniu, a disk, ktorý systémovými nástrojmi nie je možné čítať. Záver o zatajovaní informácií je zrejmý.

Prichádza fáza „nátlaku“. „Oponent“ použije fyzické alebo právne opatrenia, aby prinútil vlastníka zverejniť informácie. Domáce osvedčené riešenie „zadanie hesla pod nátlakom“ z kategórie „Zomriem, ale neprezradím“ sa stáva irelevantným. Nie je možné vymazať informácie, ktoré „oponent“ predtým skopíroval, a urobí to - neváhajte. Odstránenie šifrovacieho kľúča len potvrdzuje, že informácie sú skutočne dôležité a náhradný kľúč je niekde nevyhnutne skrytý. A dokonca aj bez kľúča sú informácie stále dostupné na kryptoanalýzu a hackovanie. Nebudem rozvádzať, do akej miery tieto akcie približujú vlastníka informácie k právnemu fiasku, ale porozprávam o logickej metóde hodnoverného popierania.

Použitie skrytých oddielov a skrytého operačného systému neumožní „oponentovi“ dokázať existenciu informácií, ktoré sú chránené. V tomto svetle sa požiadavky na zverejňovanie stávajú absurdnými. Vývojári TrueCrypt odporúčajú ďalej zahmlievať stopy: okrem skrytých partícií alebo operačných systémov vytvorte aj zašifrované viditeľné, ktoré obsahujú klamlivé (fiktívne) údaje. „Oponent“, ktorý objavil viditeľné zašifrované časti, bude trvať na ich zverejnení. Zverejnením takýchto informácií pod nátlakom majiteľ nič neriskuje a zbaví sa podozrenia, pretože skutočné tajomstvá zostanú na skrytých zašifrovaných oddieloch neviditeľné.

Zhrnutie

Pri ochrane informácií existuje veľa nuancií, ale tie osvetlené by mali stačiť na zhrnutie priebežných výsledkov - konečné rozhodnutie urobí každý sám. Medzi výhody bezplatného programu TrueCrypt patrí jeho funkčnosť; možnosť pre každého zúčastniť sa testovania a zlepšovania; nadmerné množstvo otvorených informácií v aplikácii. Toto riešenie vytvorili ľudia, ktorí vedia veľa o bezpečnom ukladaní informácií a neustále zdokonaľujú svoj produkt, pre ľudí, ktorí potrebujú skutočne vysokú úroveň spoľahlivosti. Medzi nevýhody patrí nedostatočná podpora, vysoká zložitosť pre bežného používateľa, nedostatok dvojúrovňovej autentifikácie pred spustením OS, nemožnosť pripojiť moduly od poskytovateľov kryptomien tretích strán.

Komerčné produkty sú plné používateľskej starostlivosti: technická podpora, vynikajúce balenie, nízke náklady, certifikované verzie, možnosť používať algoritmus GOST 28147-89, režim pre viacerých používateľov s oddelenou dvojúrovňovou autentifikáciou. Len obmedzená funkcionalita a naivita pri zachovávaní tajomstva ukladania šifrovaných dát naruší.

Aktualizované: jún 2015.

Hoci TrueCrypt 7.1a bol vydaný 7. februára 2011, zostáva poslednou plne funkčnou verziou produktu.

Kuriózny je záhadný príbeh s ukončením vývoja TrueCryptu. Dňa 28. mája 2014 boli zo stránky vývojárov odstránené všetky predchádzajúce verzie produktu a bola vydaná verzia 7.2. Táto verzia dokáže dešifrovať iba predtým zašifrované disky a kontajnery – funkcia šifrovania bola odstránená. Od tohto momentu stránka a program volajú po použití BitLockera a používanie TrueCryptu sa nazýva nezabezpečené.

To vyvolalo vlnu klebiet na internete: autori programu boli podozriví z nastavenia „záložky“ v kóde. Na základe informácií od bývalého zamestnanca NSA Snowdena, že spravodajské agentúry zámerne oslabujú kryptografické nástroje, používatelia začali zbierať prostriedky na audit kódu TrueCrypt. Na testovanie programu sa vyzbieralo viac ako 60 000 dolárov.

Audit bol úplne ukončený do apríla 2015. Analýza kódu neodhalila žiadne záložky, kritické architektonické chyby alebo zraniteľnosti. TrueCrypt sa ukázal ako dobre navrhnutý kryptografický nástroj, aj keď nie dokonalý.

Teraz radu vývojárov prejsť na Bitlocker mnohí vnímajú ako „dôkaz kanárika“. Autori TrueCrypt vždy zosmiešňovali Bitlocker a najmä jeho bezpečnosť. Používanie Bitlockeru je tiež nerozumné z dôvodu uzavretosti programového kódu a jeho nedostupnosti v „mladších“ vydaniach Windows. Kvôli všetkému vyššie uvedenému má internetová komunita tendenciu veriť, že vývojári sú ovplyvňovaní spravodajskými agentúrami a oni svojím mlčaním naznačujú niečo dôležité a neúprimne odporúčajú Bitlocker.

Poďme si to zrekapitulovať

TrueCrypt je aj naďalej najvýkonnejším, najspoľahlivejším a najfunkčnejším kryptografickým nástrojom. Audit aj tlak špeciálnych služieb to len potvrdzujú.

Zdisk a Secret Disk majú certifikované verzie FSTEC. Preto má zmysel používať tieto produkty na splnenie požiadaviek právnych predpisov Ruskej federácie v oblasti ochrany informácií, napríklad ochrany osobných údajov, ako to vyžaduje federálny zákon 152-FZ a jeho podriadené predpisy .

Pre tých, ktorí sa vážne zaujímajú o bezpečnosť informácií, existuje komplexné riešenie „Server v Izraeli“, v ktorom komplexný prístup k ochrane údajov podnikov.

Integrácia systému. Poradenstvo

Termín „kryptografia“ pochádza zo starogréckych slov pre „skryté“ a „písanie“. Fráza vyjadruje hlavný účel kryptografie – je to ochrana a zachovanie tajomstva prenášaných informácií. Ochrana informácií môže prebiehať rôznymi spôsobmi. Napríklad obmedzením fyzického prístupu k údajom, skrytím prenosového kanála, vytváraním fyzických ťažkostí pri pripájaní ku komunikačným linkám atď.

Účel kryptografie

Na rozdiel od tradičných kryptografických metód kryptografia predpokladá plnú dostupnosť prenosového kanála pre votrelcov a zaisťuje dôvernosť a autentickosť informácií pomocou šifrovacích algoritmov, ktoré znemožňujú prístup k informáciám zvonka. Moderný kryptografický systém ochrany informácií (CIPF) je softvérový a hardvérový počítačový komplex, ktorý poskytuje ochranu informácií podľa nasledujúcich hlavných parametrov.

Dôvernosť- nemožnosť čítania informácií osobami, ktoré nemajú príslušné prístupové práva. Hlavnou zložkou zabezpečenia dôvernosti v CIPF je kľúč (kľúč), čo je jedinečná alfanumerická kombinácia pre prístup užívateľa ku konkrétnemu bloku CIPF.
bezúhonnosť- nemožnosť neoprávnených zmien, ako je úprava a vymazanie informácií. Na tento účel sa k pôvodnej informácii pridáva redundancia vo forme kontrolnej kombinácie vypočítanej kryptografickým algoritmom v závislosti od kľúča. Bez znalosti kľúča je teda pridávanie alebo zmena informácií nemožná.
Overenie- potvrdenie pravosti informácií a strán, ktoré ich odosielajú a prijímajú. Informácie prenášané komunikačnými kanálmi musia byť jednoznačne overené obsahom, časom vytvorenia a prenosu, zdrojom a príjemcom. Treba mať na pamäti, že zdrojom hrozieb môže byť nielen útočník, ale aj strany zapojené do výmeny informácií s nedostatočnou vzájomnou dôverou. Aby sa takýmto situáciám zabránilo, CIPF používa systém časových pečiatok, ktoré znemožňujú opätovné odoslanie alebo vrátenie informácií a zmenu ich poradia.

Autorstvo- potvrdenie a nemožnosť odmietnutia úkonov vykonaných používateľom informácií. Najbežnejším spôsobom autentifikácie je systém EDS, ktorý pozostáva z dvoch algoritmov: na vytvorenie podpisu a na jeho overenie. Pri intenzívnej spolupráci s ECC sa odporúča využívať softvérové certifikačné autority na vytváranie a správu podpisov. Takéto centrá môžu byť implementované ako prostriedok ochrany kryptografických informácií úplne nezávisle od vnútornej štruktúry. Čo to znamená pre organizáciu? To znamená, že všetky transakcie sú spracovávané nezávislými certifikovanými organizáciami a falšovanie autorstva je takmer nemožné.

Šifrovacie algoritmy

V súčasnosti medzi CIPF prevládajú otvorené šifrovacie algoritmy využívajúce symetrické a asymetrické kľúče s dĺžkou dostatočnou na poskytnutie požadovanej kryptografickej zložitosti. Najbežnejšie algoritmy:

symetrické kľúče - ruské Р-28147.89, AES, DES, RC4;
asymetrické kľúče - RSA;
pomocou hašovacích funkcií - Р-34.11.94, MD4/5/6, SHA-1/2.

Mnoho krajín má svoje vlastné národné štandardy.V USA sa používa upravený algoritmus AES s kľúčom 128-256 bitov a v Ruskej federácii algoritmus elektronického podpisu R-34.10.2001 a blokový kryptografický algoritmus R-28147.89 s 256-bitovým kľúčom. Niektoré prvky národných kryptografických systémov sú zakázané na export mimo krajiny, aktivity na rozvoj CIPF si vyžadujú licenciu.

Hardvérové systémy na ochranu pred kryptomenami

Hardvérové CIPF sú fyzické zariadenia obsahujúce softvér na šifrovanie, zaznamenávanie a prenos informácií. Šifrovacie zariadenia môžu byť vyrobené vo forme osobných zariadení, ako sú USB šifrovače ruToken a flash disky IronKey, rozširujúce karty pre osobné počítače, špecializované sieťové prepínače a smerovače, na základe ktorých je možné budovať úplne bezpečné počítačové siete.

Hardvérové CIPF sa rýchlo inštalujú a fungujú pri vysokej rýchlosti. Nevýhody - vysoké v porovnaní so softvérovým a hardvérovo-softvérovým CIPF, cena a obmedzené možnosti upgradu.

Je tiež možné odkázať na hardvérové bloky CIPF zabudované do rôznych zariadení na zaznamenávanie a prenos údajov, kde sa vyžaduje šifrovanie a obmedzenie prístupu k informáciám. Medzi takéto prístroje patria automobilové tachometre, ktoré zaznamenávajú parametre vozidiel, niektoré druhy zdravotníckej techniky a pod. Pre plnohodnotnú prevádzku takýchto systémov je potrebná samostatná aktivácia modulu CIPF odborníkmi dodávateľa.

Systémy softvérovej kryptoochrany

Softvér CIPF je špeciálny softvérový balík na šifrovanie údajov na pamäťových médiách (pevné a flash disky, pamäťové karty, CD / DVD) a pri prenose cez internet (e-maily, súbory v prílohách, zabezpečené chaty atď.). Existuje pomerne veľa programov, vrátane bezplatných, napríklad DiskCryptor. Softvér CIPF zahŕňa aj bezpečné virtuálne siete na výmenu informácií fungujúce „na internete“ (VPN), rozšírenie internetového protokolu HTTP s podporou šifrovania HTTPS a SSL – protokolu na prenos kryptografických informácií, ktorý sa široko používa v systémoch IP telefónie a internetových aplikáciách. .

Nástroje softvérovej kryptografickej ochrany informácií sa využívajú najmä na internete, na domácich počítačoch a v iných oblastiach, kde nie sú požiadavky na funkčnosť a stabilitu systému príliš vysoké. Alebo ako v prípade internetu, keď musíte súčasne vytvárať veľa rôznych bezpečných spojení.

Softvérová a hardvérová kryptoochrana

Spája najlepšie kvality hardvérových a softvérových systémov CIPF. Toto je najspoľahlivejší a najfunkčnejší spôsob vytvárania bezpečných systémov a sietí na prenos dát. Podporované sú všetky možnosti identifikácie používateľov, hardvérové (USB disk alebo čipová karta), ako aj „tradičné“ – prihlasovacie meno a heslo. Softvérové a hardvérové nástroje na ochranu kryptografických informácií podporujú všetky moderné šifrovacie algoritmy, majú veľkú sadu funkcií na vytvorenie bezpečného pracovného postupu založeného na digitálnom podpise, všetky požadované štátne certifikáty. Inštaláciu CIPF vykonáva kvalifikovaný personál vývojára.

Spoločnosť "CRYPTO-PRO"

Jeden z lídrov ruského kryptografického trhu. Spoločnosť vyvíja celý rad programov na ochranu informácií pomocou digitálnych podpisov založených na medzinárodných a ruských kryptografických algoritmoch.

Programy spoločnosti sa využívajú pri elektronickej správe dokumentov obchodných a štátnych organizácií, na podávanie účtovných a daňových výkazov, v rôznych mestských a rozpočtových programoch a pod. Spoločnosť vydala viac ako 3 milióny licencií na program CryptoPRO CSP a 700 licencie pre certifikačné centrá. "Crypto-PRO" poskytuje vývojárom rozhrania na zabudovanie prvkov kryptografickej ochrany do ich vlastných a poskytuje celý rad konzultačných služieb na vytvorenie CIPF.

Poskytovateľ kryptomien CryptoPro

Pri vývoji systému ochrany kryptografických informácií CryptoPro CSP bola použitá kryptografická architektúra poskytovateľov kryptografických služieb zabudovaná do operačného systému Windows. Architektúra umožňuje pripojiť ďalšie nezávislé moduly, ktoré implementujú požadované šifrovacie algoritmy. Pomocou modulov pracujúcich cez funkcie CryptoAPI môže byť kryptografická ochrana vykonávaná softvérovým aj hardvérovým CIPF.

Kľúčoví nosiči

Môžu sa použiť rôzne súkromné kľúče, ako napríklad:

Smart karty a čítačky;
elektronické zámky a čítačky pracujúce s dotykovými pamäťovými zariadeniami;
rôzne USB kľúče a vymeniteľné USB disky;
Súbory systémového registra Windows, Solaris, Linux.

Funkcie poskytovateľa kryptomien

CIPF CryptoPro CSP je plne certifikovaný FAPSI a možno ho použiť na:

2. Úplná dôvernosť, autentickosť a integrita údajov pomocou šifrovania a ochrany proti imitácii v súlade s ruskými štandardmi pre šifrovanie a protokolom TLS.

3. Kontrola a monitorovanie integrity programového kódu, aby sa zabránilo neoprávneným zmenám a prístupu.

4. Vytvorenie predpisu ochrany systému.

Kryptografické prostriedky ochrany sú špeciálne prostriedky a metódy transformácie informácie, v dôsledku čoho je jej obsah maskovaný. Hlavnými typmi kryptografického uzáveru sú šifrovanie a kódovanie chránených údajov. Šifrovanie je zároveň typ uzáveru, pri ktorom každý znak uzatváraných údajov podlieha nezávislej transformácii; pri kódovaní sú chránené dáta rozdelené do blokov, ktoré majú sémantický význam a každý takýto blok je nahradený číselným, abecedným alebo kombinovaným kódom. V tomto prípade sa používa niekoľko rôznych šifrovacích systémov: substitúcia, permutácia, gama, analytická transformácia šifrovaných údajov. Široko používané sú kombinované šifry, keď sa zdrojový text postupne konvertuje pomocou dvoch alebo dokonca troch rôznych šifier.

Princípy fungovania kryptosystému

Typický príklad obrazu situácie, v ktorej vyvstáva úloha kryptografie (šifrovania), je na obrázku 1:

Ryža. №1

Na obrázku 1 sú A a B legitímni používatelia chránených informácií, chcú si vymieňať informácie cez verejný komunikačný kanál.

P - nelegálny používateľ (oponent, hacker), ktorý chce zachytiť správy prenášané cez komunikačný kanál a pokúsiť sa z nich získať informácie, ktoré ho zaujímajú. Túto jednoduchú schému možno považovať za model typickej situácie, v ktorej sa používajú kryptografické metódy ochrany informácií alebo jednoducho šifrovanie.

Historicky boli niektoré vojenské slová zakorenené v kryptografii (nepriateľ, útok na šifru atď.). Najpresnejšie odrážajú význam zodpovedajúcich kryptografických konceptov. Zároveň sa v teoretickej kryptografii už nepoužíva všeobecne známa vojenská terminológia založená na koncepte kódu (námorné kódexy, kódexy generálneho štábu, kódovníky, kódové označenia atď.). Faktom je, že za posledné desaťročia sa vytvorila teória kódovania - veľký vedecký smer, ktorý vyvíja a študuje metódy ochrany informácií pred náhodnými skresleniami v komunikačných kanáloch. Kryptografia sa zaoberá metódami transformácie informácií, ktoré by protivníkovi neumožnili získať ich zo zachytených správ. Zároveň to už nie sú samotné chránené informácie, ktoré sa prenášajú cez komunikačný kanál, ale ich výsledok

premeny pomocou šifry a pre protivníka je neľahká úloha prelomiť šifru. Otvorenie (prelomenie) šifry je proces získavania chránených informácií zo zašifrovanej správy bez znalosti použitej šifry. Protivník sa môže pokúsiť neprijať, ale zničiť alebo upraviť chránené informácie v procese ich prenosu. Ide o úplne iný typ ohrozenia informácií ako odpočúvanie a prelomenie šifry. Na ochranu pred takýmito hrozbami

rozvíjať svoje vlastné špecifické metódy. Preto na ceste od jedného legitímneho používateľa k druhému musia byť informácie chránené rôznymi spôsobmi, odolávať rôznym hrozbám. Existuje situácia reťazca rôznych typov odkazov, ktoré chránia informácie. Prirodzene, nepriateľ sa bude snažiť nájsť najslabší článok, aby sa k informáciám dostal za čo najnižšiu cenu. To znamená, že legitímni užívatelia by mali túto okolnosť zohľadniť aj vo svojej stratégii ochrany: nemá zmysel vytvárať z nejakého spojenia veľmi silné, ak existujú zjavne slabšie spojenia („zásada rovnakej sily ochrany“). Vymyslieť dobrú šifru je náročná práca. Preto je žiaduce predĺžiť životnosť dobrej šifry a použiť ju na zašifrovanie čo najväčšieho počtu správ. No zároveň hrozí, že nepriateľ už šifru uhádol (otvoril) a prečítal chránené informácie. Ak má sieťová šifra vymeniteľný kľúč, potom výmenou kľúča sa to dá urobiť tak, že metódy vyvinuté nepriateľom už nebudú mať účinok.

Prostriedky kryptografickej ochrany informácií alebo skrátene CIPF sa používajú na zabezpečenie komplexnej ochrany údajov prenášaných cez komunikačné linky. K tomu je potrebné dodržať autorizáciu a ochranu elektronického podpisu, autentifikáciu komunikujúcich strán pomocou protokolov TLS a IPSec a v prípade potreby aj ochranu samotného komunikačného kanála.

V Rusku je používanie nástrojov na zabezpečenie kryptografických informácií väčšinou utajované, takže verejne dostupných informácií o tejto téme je málo.

Metódy používané v CIPF

Autorizácia údajov a zaistenie bezpečnosti ich právneho významu počas prenosu alebo uchovávania. Na tento účel sa používajú algoritmy na vytváranie elektronického podpisu a jeho overovanie v súlade so zavedenými predpismi RFC 4357 a používajú certifikáty podľa štandardu X.509.
Ochrana dôvernosti údajov a kontrola ich integrity. Používa sa asymetrické šifrovanie a ochrana proti imitácii, teda proti falšovaniu údajov. Vyhovuje GOST R 34.12-2015.
Ochrana systémového a aplikačného softvéru. Sledovanie neoprávnených zmien alebo porúch.
Riadenie najdôležitejších prvkov systému v prísnom súlade s prijatými predpismi.
Autentifikácia strán, ktoré si vymieňajú údaje.
Ochrana pripojenia pomocou protokolu TLS.
Ochrana IP pripojení pomocou protokolov IKE, ESP, AH.

Metódy sú podrobne opísané v nasledujúcich dokumentoch: RFC 4357, RFC 4490, RFC 4491.

Mechanizmy CIPF na ochranu informácií

Dôvernosť uložených alebo prenášaných informácií je chránená použitím šifrovacích algoritmov.
Pri vytváraní spojenia je identifikácia zabezpečená pomocou elektronického podpisu pri použití pri autentifikácii (ako odporúča X.509).
Tok digitálnych dokumentov je chránený aj elektronickým podpisom spolu s ochranou proti uloženiu alebo opakovaniu, pričom sa sleduje spoľahlivosť kľúčov používaných na overovanie elektronických podpisov.
Integrita informácií je zabezpečená pomocou digitálneho podpisu.
Používanie funkcií asymetrického šifrovania pomáha chrániť údaje. Okrem toho možno na kontrolu integrity údajov použiť hašovacie funkcie alebo algoritmy na ochranu proti imitácii. Tieto metódy však nepodporujú určenie autorstva dokumentu.
Ochrana proti opakovanému prehrávaniu sa uskutočňuje pomocou kryptografických funkcií elektronického podpisu pre šifrovanie alebo ochranu pred imitáciou. Zároveň sa ku každej relácii siete pridá jedinečný identifikátor, dostatočne dlhý na to, aby sa vylúčila jej náhodná zhoda, a overenie je realizované prijímajúcou stranou.
Ochrana pred uložením, teda pred prienikom do komunikácie zvonku, je zabezpečená prostredníctvom elektronického podpisu.
Ďalšia ochrana - pred záložkami, vírusmi, úpravami operačného systému a pod. - je zabezpečená prostredníctvom rôznych kryptografických nástrojov, bezpečnostných protokolov, antivírusového softvéru a organizačných opatrení.

Ako vidíte, algoritmy elektronického podpisu sú základnou súčasťou prostriedkov na ochranu kryptografických informácií. O nich sa bude diskutovať nižšie.

Požiadavky pri používaní CIPF

CIPF je zameraná na ochranu (overením elektronického podpisu) otvorených údajov v rôznych verejných informačných systémoch a zabezpečenie ich dôvernosti (overením elektronického podpisu, ochranou proti imitácii, šifrovaním, overením hash) v podnikových sieťach.

Na ochranu osobných údajov používateľa sa používa osobný prostriedok ochrany kryptografických informácií. Osobitná pozornosť by sa však mala venovať informáciám týkajúcim sa štátneho tajomstva. Na prácu s ním sa podľa zákona nedá použiť CIPF.

Dôležité: pred inštaláciou CIPF je prvým krokom kontrola samotného softvérového balíka CIPF. Toto je prvý krok. Integrita inštalačného balíka sa zvyčajne overuje porovnaním kontrolných súčtov získaných od výrobcu.

Po inštalácii by ste mali určiť úroveň ohrozenia, na základe ktorej môžete určiť typy ochrany kryptografických informácií potrebné na použitie: softvér, hardvér a hardvér-softvér. Treba si uvedomiť aj to, že pri organizovaní niektorých CIPF je potrebné brať do úvahy umiestnenie systému.

Triedy ochrany

Podľa nariadenia FSB Ruska z 10. júla 2014 číslo 378, ktorý upravuje používanie kryptografických prostriedkov na ochranu informácií a osobných údajov, je definovaných šesť tried: KS1, KS2, KS3, KB1, KB2, KA1. Trieda ochrany pre konkrétny systém sa určuje z analýzy údajov o modeli narušiteľa, to znamená z posúdenia možných spôsobov hacknutia systému. Ochrana je v tomto prípade postavená na softvérovej a hardvérovej kryptografickej ochrane informácií.

AC (skutočné hrozby), ako je možné vidieť z tabuľky, existujú 3 typy:

Hrozby prvého typu sú spojené s nezdokumentovanými funkciami v systémovom softvéri používanom v informačnom systéme.
Hrozby druhého typu sú spojené s nezdokumentovanými funkciami v aplikačnom softvéri používanom v informačnom systéme.
Hrozba tretieho typu sa nazýva všetko ostatné.

Nezdokumentované funkcie sú funkcie a vlastnosti softvéru, ktoré nie sú popísané v oficiálnej dokumentácii alebo s ňou nezodpovedajú. To znamená, že ich použitie môže zvýšiť riziko narušenia dôvernosti alebo integrity informácií.

Pre jasnosť zvážte modely porušovateľov, na zachytenie ktorých je potrebná jedna alebo iná trieda nástrojov na ochranu kryptografických informácií:

KS1 - narušiteľ pôsobí zvonku, bez pomocníkov vo vnútri systému.
KS2 je zasvätený, ale nemá prístup k CIPF.
KS3 je zasvätená osoba, ktorá je používateľom CIPF.
KV1 je votrelec, ktorý priťahuje zdroje tretích strán, ako sú špecialisti na ochranu kryptografických informácií.
KV2 je votrelec, za ktorého akciami stojí inštitút alebo laboratórium pracujúce v oblasti štúdia a vývoja nástrojov na ochranu kryptografických informácií.
KA1 - špeciálne služby štátov.

KS1 teda možno nazvať základnou triedou ochrany. V súlade s tým, čím vyššia je trieda ochrany, tým menej špecialistov je schopných ju poskytnúť. Napríklad v Rusku bolo podľa údajov za rok 2013 iba 6 organizácií, ktoré mali certifikát od FSB a boli schopné poskytnúť ochranu triedy KA1.

Použité algoritmy

Zvážte hlavné algoritmy používané v nástrojoch na ochranu kryptografických informácií:

GOST R 34.10-2001 a aktualizované GOST R 34.10-2012 - algoritmy na vytváranie a overovanie elektronického podpisu.
GOST R 34.11-94 a najnovšie GOST R 34.11-2012 - algoritmy na vytváranie hašovacích funkcií.
GOST 28147-89 a novšie GOST R 34.12-2015 - implementácia šifrovania údajov a algoritmov ochrany proti imitácii.
Ďalšie kryptografické algoritmy sú v RFC 4357.

Elektronický podpis

Využitie nástrojov na ochranu kryptografických informácií si nemožno predstaviť bez použitia algoritmov elektronického podpisu, ktoré si získavajú čoraz väčšiu obľubu.

Elektronický podpis je špeciálna časť dokumentu vytvorená kryptografickými transformáciami. Jeho hlavnou úlohou je odhaliť neoprávnené zmeny a určiť autorstvo.

Certifikát elektronického podpisu je samostatný dokument, ktorý preukazuje pravosť a vlastníctvo elektronického podpisu jeho vlastníkom pomocou verejného kľúča. Certifikát vydávajú certifikačné autority.

Vlastníkom certifikátu elektronického podpisu je osoba, na ktorej meno je certifikát registrovaný. Je spojený s dvoma kľúčmi: verejným a súkromným. Súkromný kľúč vám umožňuje vytvoriť elektronický podpis. Verejný kľúč je určený na overenie pravosti podpisu v dôsledku kryptografického vzťahu so súkromným kľúčom.

Druhy elektronického podpisu

Podľa federálneho zákona č. 63 sa elektronický podpis delí na 3 typy:

bežný elektronický podpis;
nekvalifikovaný elektronický podpis;
kvalifikovaný elektronický podpis.

Jednoduchý ES sa vytvára pomocou hesiel uložených na otváranie a prezeranie údajov alebo podobných prostriedkov, ktoré nepriamo potvrdzujú vlastníka.

Nekvalifikovaný ES sa vytvára pomocou transformácií kryptografických údajov pomocou súkromného kľúča. To vám umožní potvrdiť osobu, ktorá dokument podpísala, a zistiť skutočnosť, že v údajoch boli vykonané neoprávnené zmeny.

Kvalifikovaný a nekvalifikovaný podpis sa líši len tým, že v prvom prípade musí certifikát pre ES vydať certifikačné centrum certifikované FSB.

Rozsah elektronického podpisu

Nižšie uvedená tabuľka hovorí o rozsahu pôsobnosti EP.

Technológie ES sa najaktívnejšie využívajú pri výmene dokumentov. V internom pracovnom postupe ES vystupuje ako schvaľovanie dokumentov, teda ako osobný podpis alebo pečať. V prípade externej správy dokumentov je prítomnosť ES kritická, keďže ide o právne potvrdenie. Za zmienku tiež stojí, že dokumenty podpísané ES možno uchovávať neobmedzene dlho a nestrácajú svoj právny význam v dôsledku faktorov, ako sú vymazateľné podpisy, poškodený papier atď.

Oznamovanie regulačným orgánom je ďalšou oblasťou, v ktorej rastie elektronická správa dokumentov. Mnoho spoločností a organizácií už ocenilo pohodlie práce v tomto formáte.

Podľa práva Ruskej federácie má každý občan právo používať ES pri využívaní verejných služieb (napríklad podpisovanie elektronickej žiadosti pre úrady).

Online obchodovanie je ďalšou zaujímavou oblasťou, v ktorej sa aktívne využíva elektronický podpis. Je potvrdením skutočnosti, že aukcie sa zúčastňuje skutočná osoba a jej návrhy možno považovať za spoľahlivé. Je tiež dôležité, aby každá zmluva uzatvorená pomocou ES nadobudla právnu silu.

Algoritmy elektronického podpisu

Full Domain Hash (FDH) a štandardy kryptografie verejného kľúča (PKCS). Ten je celou skupinou štandardných algoritmov pre rôzne situácie.
DSA a ECDSA sú americké štandardy pre digitálny podpis.
GOST R 34.10-2012 - štandard pre vytváranie elektronických podpisov v Ruskej federácii. Táto norma nahradila GOST R 34.10-2001, ktorá bola oficiálne ukončená po 31. decembri 2017.
Euroázijská únia používa štandardy, ktoré sú úplne podobné tým v Rusku.
STB 34.101.45-2013 - Bieloruský štandard pre digitálny elektronický podpis.
DSTU 4145-2002 - štandard pre vytváranie elektronického podpisu na Ukrajine a mnoho ďalších.