Вибір операційної системи

ЗКЗІ - це що? засоби криптографічного захисту інформації. Механізми захисту інформації Шифрування і криптографія

Термін "криптографія" походить від давньогрецьких слів «прихований» і «пишу». Словосполучення висловлює основне призначення криптографії - це захист і збереження таємниці переданої інформації. Захист інформації може відбуватися різними способами. Наприклад, шляхом обмеження фізичного доступу до даних, приховування каналу передачі, створення фізичних труднощів підключення до ліній зв'язку і т. Д.

мета криптографії

На відміну від традиційних способів тайнопису, криптографія передбачає повну доступність каналу передачі для зловмисників і забезпечує конфіденційність і автентичність відбитку інформації за допомогою алгоритмів шифрування, які роблять інформацію недоступною для стороннього прочитання. Сучасна система криптографічного захисту інформації (СКЗИ) - це програмно-апаратний комп'ютерний комплекс, що забезпечує захист інформації за такими основними параметрами.

  • Конфіденційність - неможливість прочитання інформації особами, які не мають відповідних прав доступу. Головним компонентом забезпечення конфіденційності в ЗКЗІ є ключ (key), що представляє собою унікальну буквено-числову комбінацію для доступу користувача в певний блок ЗКЗІ.
  • цілісність - неможливість несанкціонованих змін, таких як редагування і видалення інформації. Для цього до вихідної інформації додається надмірність у вигляді перевірочної комбінації, що обчислюється за криптографічним алгоритмом і залежить від ключа. Таким чином, без знання ключа додавання або зміна інформації стає неможливим.
  • аутентифікація - підтвердження достовірності інформації та сторін, її відправляють і отримують. Що передається по каналах зв'язку інформація повинна бути однозначно аутентифицироваться за змістом, часу створення і передачі, джерела і одержувача. Слід пам'ятати, що джерелом загроз може бути не тільки зловмисник, але і сторони, що беруть участь в обміні інформацією при недостатньому взаємній довірі. Для запобігання подібних ситуації ЗКЗІ використовує систему міток часу для неможливості повторної або зворотного відсилання інформації та зміни порядку її проходження.

  • авторство - підтвердження і неможливість відмови від дій, скоєних користувачем інформації. Найпоширенішим способом підтвердження автентичності є Система ЕЦП складається з двох алгоритмів: для створення підпису і для її перевірки. При інтенсивній роботі з ЕКЦ рекомендується використання програмних засвідчувальних центрів для створення і управління підписами. Такі центри можуть бути реалізовані як повністю незалежне від внутрішньої структури засіб ЗКЗІ. Що це означає для організації? Це означає, що всі операції з обробляються незалежними сертифікованими організаціями та підробка авторства практично неможлива.

алгоритми шифрування

На поточний момент серед ЗКЗІ переважають відкриті алгоритми шифрування з використанням симетричних і асиметричних ключів з довжиною, достатньою для забезпечення потрібної криптографічного складності. Найбільш поширені алгоритми:

  • симетричні ключі - російський Р-28147.89, AES, DES, RC4;
  • асиметричні ключі - RSA;
  • з використанням хеш-функцій - Р-34.11.94, MD4 / 5/6, SHA-1/2.

Багато країн мають свої національні стандарти В США використовується модифікований алгоритм AES з ключем довжиною 128-256 біт, а в РФ алгоритм електронних підписів Р-34.10.2001 і блоковий криптографічний алгоритм Р-28147.89 з 256-бітовим ключем. Деякі елементи національних криптографічних систем заборонені для експорту за межі країни, діяльність з розробки ЗКЗІ вимагає ліцензування.

Системи апаратної криптозахисту

Апаратні ЗКЗІ - це фізичні пристрої, що містять в собі програмне забезпечення для шифрування, записи і передачі інформації. Апарати шифрування можуть бути виконані у вигляді персональних пристроїв, таких як USB-шифратори ruToken і флеш-диски IronKey, плат розширення для персональних комп'ютерів, спеціалізованих мережевих комутаторів і маршрутизаторів, на основі яких можлива побудова повністю захищених комп'ютерних мереж.

Апаратні ЗКЗІ швидко встановлюються і працюють з високою швидкістю. Недоліки - висока, в порівнянні з програмними та програмно-апаратними ЗКЗІ, вартість і обмежені можливості модернізації.

Також до апаратних можна віднести блоки ЗКЗІ, вбудовані в різні пристрої реєстрації і передачі даних, де потрібно шифрування і обмеження доступу до інформації. До таких пристроїв належать автомобільні тахометри, здатні фіксувати параметри автотранспорту, деякі типи медичного обладнання і т.д. Для повноцінної роботи таким систем потрібна окрема активація ЗКЗІ модуля фахівцями постачальника.

Системи програмної криптозахисту

Програмні ЗКЗІ - це спеціальний програмний комплекс для шифрування даних на носіях інформації (жорсткі і флеш-диски, карти пам'яті, CD / DVD) і при передачі через Інтернет (електронні листи, файли у вкладеннях, захищені чати і т.д.). Програм існує досить багато, в т. Ч. Безкоштовних, наприклад, DiskCryptor. До програмних ЗКЗІ можна також віднести захищені віртуальні мережі обміну інформацією, що працюють «поверх Інтернет» (VPN), розширення Інтернет протоколу HTTP з підтримкою шифрування HTTPS і SSL - криптографічний протокол передачі інформації, що широко використовується в системах IP-телефонії та інтернет-додатках.

Програмні ЗКЗІ в основному використовуються в мережі Інтернет, на домашніх комп'ютерах і в інших сферах, де вимоги до функціональності і стійкості системи не дуже високі. Або як у випадку з Інтернетом, коли доводиться одночасно створювати безліч різноманітних захищених з'єднань.

Програмно-апаратна криптозащита

Поєднує в собі кращі якості апаратних і програмних систем ЗКЗІ. Це найнадійніший і функціональний спосіб створення захищених систем і мереж передачі даних. Підтримуються всі варіанти ідентифікації користувачів, як апаратні (USB-накопичувач або смарт-карта), так і «традиційні» - логін і пароль. Програмно-апаратні ЗКЗІ підтримують всі сучасні алгоритми шифрування, володіють великим набором функцій по створенню захищеного документообігу на основі ЕЦП, усіма необхідними державними сертифікатами. Установка ЗКЗІ проводиться кваліфікованим персоналом розробника.

Компанія «КРИПТО-ПРО»

Один з лідерів російського криптографічного ринку. Компанія розробляє весь спектр програм по захисту інформації з використанням ЕЦП на основі міжнародних і російських криптографічних алгоритмів.

Програми компанії використовуються в електронний документообіг комерційних і державних організацій, для здачі бухгалтерської та податкової звітності, в різних міських та бюджетних програмах і т. Д. Компанією видано понад 3 млн. Ліцензій для програми КріптоПро CSP і 700 ліцензій для засвідчувальних центрів. «Кріпто-ПРО» надає розробникам інтерфейси для вбудовування елементів криптографічного захисту в свої і надає весь спектр консалтингових послуг зі створення ЗКЗІ.

криптопровайдер КріптоПро

При розробці ЗКЗІ КріптоПро CSP використовувалася вбудована в операційну систему Windows криптографічний архітектура Cryptographic Service Providers. Архітектура дозволяє підключати додаткові незалежні модулі, що реалізують необхідні алгоритми шифрування. За допомогою модулів, що працюють через функції CryptoAPI, криптографічний захист можуть здійснювати як програмні, так і апаратні ЗКЗІ.

носії ключів

Як особистих ключів можуть використовуватися різні такі як:

  • смарт-карти і зчитувачі;
  • електронні замки і зчитувачі, що працюють з пристроями Touch Memory;
  • різні USB-ключі і змінні USB-накопичувачі;
  • файли системного реєстру Windows, Solaris, Linux.

функції криптопровайдера

ЗКЗІ КріптоПро CSP повністю сертифікована ФАПСИ і може використовуватися для:

2. Повної конфіденційності, автентичності та цілісності даних за допомогою шифрування і імітаційної захисту згідно російським стандартам шифрування і протоколу TLS.

3. Перевірки і контролю цілісності програмного коду для запобігання несанкціонованого зміни і доступу.

4. Створення регламенту захисту системи.

У вимогах з безпеки інформації при проектуванні інформаційних систем вказуються ознаки, що характеризують застосовуються засоби захисту інформації. Вони визначені різними актами регуляторів в області забезпечення інформаційної безпеки, зокрема - ФСТЕК і ФСБ Росії. Які класи захищеності бувають, типи і види засобів захисту, а також де про це дізнатися докладніше, відображено в статті.

Вступ

Сьогодні питання забезпечення інформаційної безпеки є предметом пильної уваги, оскільки впроваджуються повсюдно технології без забезпечення інформаційної безпеки стають джерелом нових серйозних проблем.

Про серйозність ситуації повідомляє ФСБ Росії: сума збитку, нанесена зловмисниками за кілька років по всьому світу склала від $ 300 млрд до $ 1 трлн. За відомостями, представленим Генеральним прокурором РФ, тільки за перше півріччя 2017 року в Росії кількість злочинів у сфері високих технологій збільшилася в шість разів, загальна сума збитку перевищила $ 18 млн. Зростання цільових атак в промисловому секторі в 2017 р відзначений по всьому світу . Зокрема, в Росії приріст числа атак по відношенню до 2016 р склав 22%.

Інформаційні технології стали застосовуватися в якості зброї у військово-політичних, терористичних цілях, для втручання у внутрішні справи суверенних держав, а також для здійснення інших злочинів. Російська Федерація виступає за створення системи міжнародної інформаційної безпеки.

На території Російської Федерації володарі інформації та оператори інформаційних систем зобов'язані блокувати спроби несанкціонованого доступу до інформації, а також здійснювати моніторинг стану захищеності ІТ-інфраструктури на постійній основі. При цьому захист інформації забезпечується за рахунок прийняття різних заходів, включаючи технічні.

Засоби захисту інформації, або СЗІ забезпечують захист інформації в інформаційних системах, по суті представляють собою сукупність інформації, що зберігається в базах даних інформації, інформаційних технологій, що забезпечують її обробку, і технічних засобів.

Для сучасних інформаційних систем характерне використання різних апаратно-програмних платформ, територіальна розподіленість компонентів, а також взаємодія з відкритими мережами передачі даних.

Як захистити інформацію в таких умовах? Відповідні вимоги висувають уповноважені органи, зокрема, ФСТЕК і ФСБ Росії. В рамках статті постараємося відобразити основні підходи до класифікації СЗІ з урахуванням вимог зазначених регуляторів. Інші способи опису класифікації СЗІ, відображені в нормативних документах російських відомств, а також зарубіжних організацій і агентств, виходять за рамки цієї статті і далі не розглядаються.

Стаття може бути корисна починаючим фахівцям в області інформаційної безпеки в якості джерела структурованої інформації про способи класифікації СЗІ на підставі вимог ФСТЕК Росії (більшою мірою) і, коротко, ФСБ Росії.

Структурою, яка визначає порядок і координуючої дії забезпечення некріптографіческімі методами ІБ, є ФСТЕК Росії (раніше - Державна технічна комісія при Президенті Російської Федерації, Гостехкомиссией).

Якщо читачеві доводилося бачити Державного реєстру сертифікованих засобів захисту інформації, який формує ФСТЕК Росії, то він безумовно звертав увагу на наявність в описовій частині призначення СЗІ таких фраз, як «клас РД СВТ», «рівень відсутності НДВ» та ін. (Малюнок 1) .

Малюнок 1. Фрагмент реєстру сертифікованих СЗІ

Класифікація криптографічних засобів захисту інформації

ФСБ Росії визначені класи криптографічних СЗІ: КС1, КС2, КС3, КВ і КА.

До основних особливостей СЗІ класу КС1 відноситься їх можливість протистояти атакам, що проводяться з-за меж контрольованої зони. При цьому мається на увазі, що створення способів атак, їх підготовка та проведення здійснюється без участі фахівців в області розробки і аналізу криптографічних СЗІ. Передбачається, що інформація про систему, в якій застосовуються зазначені СЗІ, може бути отримана з відкритих джерел.

Якщо криптографічний СЗІ може протистояти атакам, що блокується засобами класу КС1, а також проводяться в межах контрольованої зони, то таке СЗІ відповідає класу КС2. При цьому допускається, наприклад, що при підготовці атаки могла стати доступною інформація про фізичних заходи захисту інформаційних систем, забезпечення контрольованої зони та ін.

У разі можливості протистояти атакам при наявності фізичного доступу до засобів обчислювальної техніки з установленими криптографічними СЗІ говорять про відповідність таких засобів класу КС3.

Якщо криптографічний СЗІ протистоїть атакам, при створенні яких брали участь фахівці в області розробки і аналізу зазначених коштів, в тому числі науково-дослідні центри, була можливість проведення лабораторних досліджень засобів захисту, то мова йде про відповідність класу КВ.

Якщо до розробки способів атак залучалися фахівці в галузі використання НДВ системного програмного забезпечення, була доступна відповідна конструкторська документація і був доступ до будь-яких апаратних компонентів криптографічних СЗІ, то захист від таких атак можуть забезпечувати засоби класу КА.

Класифікація засобів захисту електронного підпису

Засоби електронного підпису в залежності від здібностей протистояти атакам прийнято зіставляти з наступними класами: КС1, КС2, КС3, КВ1, КВ2 і КА1. Ця класифікація аналогічна розглянутої вище щодо криптографічних СЗІ.

висновки

У статті були розглянуті деякі способи класифікації СЗІ в Росії, основу яких складає нормативна база регуляторів в області захисту інформації. Розглянуті варіанти класифікації не є вичерпними. Проте сподіваємося, що представлена \u200b\u200bзведена інформація дозволить швидше орієнтуватися починаючому фахівцеві в області забезпечення ІБ.

Багатьом криптографія відома як серце і основа всіх криптовалюта, але не всі замислюються про те, що ми її використовуємо щодня. Метод криптографії застосовується в більшості сучасних додатків і приховує особисті дані від сторонніх очей.

Що таке криптографія?

Криптографія - це наука, що вивчає способи приховування даних і забезпечення їх конфіденційності. Це одна з найстаріших наук і її історія налічує чотири тисячоліття. Сам термін "криптографія" утворився від двох давньогрецьких слів "крипто" - прихований, "графо" - пишу. Для початківців принцип криптографії можна пояснити на прикладі шифру Цезаря, де кожен символ алфавіту був замінений на той, який знаходиться на 3 позиції до потрібного.

Перші приклади записів криптографії були моноалфавитной і почали з'являтися ще з третього тисячоліття до нашої ери. Вони представляли собою записи, текст яких був змінений шляхом підстановки інших знаків. Починаючи з IX століття почали застосовуватися поліалфавітних шифри, а з середини XX - стали застосовуватися електромеханічні шифрувальники, але все ще використовувалися поліграфічні шифри.

До 1975 року криптографія була шифрувальний метод з секретним ключем, який надавав доступ до розшифровки даних. Пізніше почався період її сучасного розвитку і були розроблені методи криптографії з відкритим ключем, які може передаватися по відкритих каналах зв'язку і використовуватися для перевірки даних.

Сучасна прикладна криптографія є наукою утворену на стику математики та інформатики. Суміжній наукою криптографії вважається криптоаналіз. Криптографія і криптоаналіз тісно взаємопов'язані між собою, тільки в останньому випадку вивчаються способи розшифровки прихованої інформації.

З модифікацією до відкритого ключа криптографія отримала більш широке поширення і стала застосовуватися приватними особами і комерційними організаціями, а в 2009 році на її основі була випущена перша криптовалюта. До цього часу вона вважалася прерогативою державних органів правління.

види криптографії

В основі криптографічних систем лежать різні види криптографії. Всього розрізняю чотири основних криптографічних примітиву:

  • Симетричне шифрування. Даний метод запобігає перехоплення даних третіми особами і базується на тому, що відправник і одержувач даних має однакові ключі для розгадки шифру.
  • Асиметричне шифрування. У цьому методі задіяні відкритий і секретний ключ. Ключі взаємопов'язані - інформація, зашифрована відкритим ключем, може бути розкрита тільки зв'язаним з ним секретним ключем. Застосовувати для розгадки ключі з різних пар неможливо, оскільки вони пов'язані між собою математичною залежністю.
  • Хешування. Метод ґрунтується на перетворенні вихідної інформації в байти заданого зразка. Перетворення інформації називається хеш-функцією, а отриманий результат хеш-кодом. Все хеш-коди мають унікальну послідовність символів.
  • Електронний підпис. Це перетворення інформації з використанням закритого ключа, що дозволяє підтвердити справжність документа і відсутність спотворень даних.

Можливості та сфери застосування

Спочатку криптографія використовувалася урядом для безпечного зберігання або передачі документів. Сучасні ж асиметричні алгоритми шифрування отримали більш широке застосування в сфері IT-безпеки, а симетричні методи зараз застосовуються переважно для запобігання несанкціонованому доступу до інформації під час зберігання.

Зокрема криптографічні методи застосовуються для:

  • безпечного зберігання інформації комерційними і приватними особами;
  • реалізації систем цифрового електронного підпису;
  • підтвердження достовірності сертифікатів;
  • захищеної передачі даних онлайн по відкритих каналах зв'язку.

Криптографія і блокчейн

У блокчейне криптографія використовується для захисту і забезпечення конфіденційності особистостей і персональних даних, підтримання високої безпеки транзакцій, надійного захисту всієї системи і сховища.

хеш функції

Хеш-функції в блокчейне взаємопов'язані між собою, з їх допомогою досягається захист інформації і незворотність транзакцій. Кожен новий блок транзакцій пов'язаний з хешем попереднього блоку, який в свою чергу утворений на основі хеша останнього блоку, утвореного до нього. Таким чином кожен новий блок транзакції містить в собі всю інформацію про попередні блоках і не може бути підроблений або змінений.

Для того, щоб новий блок був доданий в блокчейн ланцюг, мережа повинна прийти до спільного консенсусу і підібрати хеш нового блоку. Для цього за допомогою обчислювальної техніки Майнер пропонують безліч "nonce" - варіантів значення функції. Перший майнер, який зумів шляхом випадкового підбору згенерувати хеш, відповідний для комбінації з попередніми даними, підписує їм блок, який включається в ланцюг, і новий блок вже повинен буде містити інформацію з ним.

Завдяки застосуванню технології хешування в блокчейне всі транзакції, які були виконані в системі, можна висловити одним хешем нового блоку. Метод хешування робить практично неможливим злом системи, а з додаванням кожного нового блоку стійкість блокчейна до атак тільки збільшується.

цифрові підписи

У блокчейне задіяний асиметричний метод криптографії на основі публічних і. Публічний ключ служить адресою зберігання монет, секретний - паролем доступу до нього. Закритий ключ заснований на відкритому ключі, але його неможливо обчислити математичним шляхом.

Серед безлічі схем криптографії на основі відкритого ключа найбільш поширеною є схема на основі еліптичних кривих і схема, заснована на розкладанні множників. У біткоіни задіяна перша схема - еліптичних кривих. Закритий ключ в ньому має розмір в 32 байта, відкритий - 33 байта, а підпис займає близько 70 байт.

Криптографія з відкритим ключем

Сучасна криптографія з відкритим ключем використовується в системі блокчейна для перекладу монет.

Для чайників принцип криптографії на основі відкритих ключів можна пояснити на прикладі транзакції. Припустимо відправник бажає відправити 1 біткоіни. Для цього йому необхідно відправити транзакцію, де буде вказано, звідки потрібно взяти монету, і куди вона буде прямувати (публічний ключ одержувача). Коли транзакція сформована відправник повинен підписати її своїм секретним ключем. Далі вузли зв'язку перевіряють відповідність секретного ключа відправника з його відкритим ключем, з яким на поточний момент асоціюється монета. Якщо умови дотримані, то є відкритий і закритий ключ відправника взаємопов'язані, то відправлена \u200b\u200bмонета почне асоціюватися з уже з відкритим ключем одержувача.

висновок

Криптографія є важливою складовою сучасного світу і необхідна в першу чергу для збереження персональних даних і важливої \u200b\u200bінформації. З моменту появи вона пройшла безліч модифікацій і зараз являє собою систему безпеки, яка практично не може бути зламана. Переоцінити її можливості для людства складно. Сучасні методи криптографії застосовуються практично у всіх галузях, в яких присутня необхідність безпечної передачі або зберігання даних.

У цій статті ви дізнаєтеся, що таке СКЗИ і для чого це потрібно. Це визначення відноситься до криптографії - захист і зберігання даних. Захист інформації в електронному вигляді можна зробити будь-яким способом - навіть шляхом відключення комп'ютера від мережі і установки біля нього збройної охорони з собаками. Але набагато простіше це здійснити, використовуючи засоби криптографічного захисту. Давайте розберемося, що це і як реалізується на практиці.

Основні цілі криптографії

Розшифровка ЗКЗІ звучить як «система криптографічного захисту інформації». У криптографії канал передачі інформації може бути повністю доступний зловмисникам. Але всі дані конфіденційні і дуже добре зашифровані. Тому, незважаючи на відкритість каналів, інформацію зловмисники отримати не можуть.

Сучасні засоби СКЗИ складаються з програмно-комп'ютерного комплексу. З його допомогою забезпечується захист інформації по найважливішим параметрам, які ми і розглянемо далі.

Конфіденційність

Прочитати інформацію неможливо, якщо немає на це прав доступу. А що таке СКЗИ і як він шифрує дані? Головний компонент системи - це електронний ключ. Він являє собою комбінацію з букв і чисел. Тільки при введенні цього ключа можна потрапити в потрібний розділ, на якому встановлена \u200b\u200bзахист.

Цілісність і аутентифікація

Це важливий параметр, який визначає можливість несанкціонованого зміни даних. Якщо немає ключа, то редагувати або видалити інформацію не можна.

Аутентифікація - це процедура перевірки дійсності інформації, яка записана на ключовому носії. Ключ повинен відповідати тій машині, на якій проводиться розшифровка інформації.

авторство

Це підтвердження дій користувача і неможливість відмови від них. Найпоширеніший тип підтвердження - це ЕЦП (електронний цифровий підпис). Вона містить в собі два алгоритму - один створює підпис, другий її перевіряє.

Зверніть увагу на те, що всі операції, які здійснюються з електронними підписами, проходять обробку сертифікованими центрами (незалежними). З цієї причини підробити авторство неможливо.

Основні алгоритми шифрування даних

На сьогоднішній день поширено чимало сертифікатів ЗКЗІ, ключі для шифрування використовуються різні - як симетричні, так і асиметричні. І довжина ключів достатня для того, щоб забезпечити необхідну криптографічний складність.

Найпопулярніші алгоритми, які використовуються в криптозахисті:

  1. Симетричний ключ - DES, AES, RC4, російський Р-28147.89.
  2. З хеш-функціями - наприклад, SHA-1/2, MD4 / 5/6, Р-34.11.94.
  3. Асиметричний ключ - RSA.

У багатьох країнах є свої стандарти для шифрувальних алгоритмів. Наприклад, в Сполучених Штатах застосовують модифіковане AES-шифрування, ключ може бути довжиною від 128 до 256 біт.

У Російській Федерації існує свій алгоритм - Р-34.10.2001 і Р-28147.89, в якому застосовується ключ розміром 256 біт. Зверніть увагу на те, що існують елементи в національних криптографічних системах, які заборонено експортувати в інші країни. Вся діяльність, пов'язана з розробкою ЗКЗІ, потребує обов'язкового ліцензування.

апаратна криптозащита

При установці тахографів ЗКЗІ можна забезпечити максимальний захист інформації, яка зберігається в приладі. Все це реалізується як на програмному, так і на апаратному рівнях.

Апаратний тип ЗКЗІ - це пристрої, які містять спеціальні програми, що забезпечують надійне шифрування даних. Також з їх допомогою відбувається зберігання інформації, її запис і передача.

Апарат шифрування виконується у вигляді шифратора, що підключається до портів USB. Існують також апарати, які встановлюються на материнські плати ПК. Навіть спеціалізовані комутатори та мережеві карти з криптозащитой можна використовувати для роботи з даними.

Апаратні типи ЗКЗІ встановлюються досить швидко і здатні з великою швидкістю обмінюватися інформацією. Але недолік - це досить висока вартість, а також обмежена можливість модернізації.

програмна криптозащита

Це комплекс програм, що дозволяє здійснювати шифрування інформації, яка зберігається на різних носіях (флешках, жорстких і оптичних дисках, і т. Д.). Також, якщо є ліцензія на ЗКЗІ такого типу, можна виробляти шифрування даних при передачі їх по мережі Інтернет (наприклад, за допомогою електронної пошти або чату).

Програм для захисту велика кількість, причому існують навіть безкоштовні - до таких можна віднести DiskCryptor. Програмний тип ЗКЗІ - це ще й віртуальні мережі, що дозволяють здійснювати обмін інформацією «поверх Інтернет». Це відомі багатьом VPN-мережі. До такого типу захисту можна віднести і протокол HTTP, що підтримує шифрування SSL і HTTPS.

Програмні засоби СКЗИ здебільшого використовуються при роботі в Інтернеті, а також на домашніх ПК. Іншими словами, виключно в тих областях, де немає серйозних вимог до стійкості і функціональності системи.

Програмно-апаратний тип криптографічного захисту

Тепер ви знаєте, що таке СКЗИ, як працює і де використовується. Потрібно ще виділити один тип - програмно-апаратний, в якому зібрані всі найкращі властивості обох видів систем. Такий спосіб обробки інформації на сьогоднішній день є самим надійним і захищеним. Причому ідентифікувати користувача можна різними способами - як апаратними (шляхом установки флеш-носія або дискети), так і стандартним (шляхом введення пари логін / пароль).

Програмно-апаратними системами підтримуються всі алгоритми шифрування, які існують на сьогоднішній день. Зверніть увагу на те, що установку ЗКЗІ повинен робити тільки кваліфікований персонал розробника комплексу. Зрозуміло, що таке СКЗИ не було завдано на комп'ютери, на яких не здійснюється обробка конфіденційної інформації.

Послухайте ... чи не можна вам, для загальної нашої користі, всяке лист, яке прибуває до вас в поштову контору, що входить і виходить, знаєте, так трошки роздрукувати і прочитати: чи не міститься в ньому якогось донесення або просто листування .. .

Н.В.Гоголь «Ревізор»

В ідеалі конфіденційний лист повинні мати можливість прочитати лише двоє: відправник і той, кому воно адресовано.Формуліровка такий, здавалося б, дуже просту річ, стала відправною точкою систем криптозахисту. Розвиток математики дало поштовх до розвитку подібних систем.

Уже в XVII-XVIII століттях шифри в Росії були досить витонченими і стійкими до злому. Багато російські математики працювали над створенням або удосконаленням систем шифрування і паралельно намагалися підібрати ключі до шифрів інших систем. В даний час можна відзначити кілька російських систем шифрування, таких як «Лексикон Верба», Secret Net, DALLAS LOCK, Secret Disk, сімейство продуктів «Акорд» та ін. Про них і буде рассказано.Ви також ознайомитеся з основними програмними та програмно-апаратними комплексами криптозахисту, дізнаєтеся про їхні можливості, про сильні і слабкі сторони. Сподіваємося, що ця стаття допоможе вам зробити вибір системи криптозахисту.

Вступ

Стурбовані Чи задоволені ви тим, що важлива інформація з вашого комп'ютера може потрапити в чужі руки? Цією інформацією можуть скористатися і конкуренти, і контролюючі органи, і просто недоброзичливці. Очевидно, що такі дії можуть принести вам значної шкоди. Що ж робити? Для того щоб уберегти свою інформацію від сторонніх, необхідно встановити одну з програм шифрування даних. Наш огляд присвячений аналізу систем шифрування для настільних систем. Слід зазначити, що використання зарубіжних систем шифрування на території Росії в силу ряду причин сильно обмежена, тому державні організації і великі вітчизняні компанії змушені використовувати російські розробки. Однак середні і дрібні компанії, а також приватні особи іноді воліють зарубіжні системи.

Для непосвячених шифрування інформації виглядає чимось на зразок чорної магії. Дійсно, шифрування повідомлень для приховування їх змісту від сторонніх є складною математичною задачею. До того ж шифр повинен бути підібраний таким чином, щоб без ключа відкрити його було практично неможливо, а з ключем - швидко і легко. Багатьом компаніям і організаціям буває дуже важко зробити оптимальний вибір при установці шифрувальних програм. Справа ускладнюється ще й тим, що абсолютно захищених комп'ютерів і абсолютно надійних систем шифрування не буває. Однак все ж є достатньо способів, за допомогою яких можна відобразити практично всі спроби розкрити зашифровану інформацію.

Що у програм шифрування всередині

Програми шифрування відрізняються один від одного алгоритмом шифрування. Зашифрувавши файл, ви можете записати його на дискету, послати його по електронній пошті або покласти на сервер у вашій локальній мережі. Одержувач вашої шифровки повинен мати таку ж шифрувальну програму, щоб прочитати вміст файлу.

Якщо ви хочете відправити зашифроване повідомлення кільком користувачам одночасно, то ваша інформація для кожного одержувача може бути зашифрована за його власним ключу або по загальному ключу для всіх користувачів (включаючи автора повідомлення).

Система криптозахисту використовує секретний код для того, щоб перетворити вашу інформацію в безглуздий, псевдовипадковий набір символів. При хорошому алгоритмі шифрування практично неможливо дешифрувати повідомлення без знання секретного коду, використаного для шифрування. Такі алгоритми називають алгоритмами з симетричним ключем, так як для шифрування і дешифрування інформації використовується один і той же ключ.

Для захисту даних програма шифрування створює секретний ключ на вашу паролю. Треба тільки поставити довгий пароль, який ніхто не зможе вгадати. Однак якщо потрібно, щоб файл зміг прочитати хтось інший, вам знадобиться повідомити цій людині секретний ключ (або пароль, на основі якого він створений). Можна бути впевненим, що навіть простий алгоритм шифрування захистить ваші дані від звичайного користувача, скажімо, від колеги по роботі. Однак у професіоналів є цілий ряд способів дешифрування повідомлення без знання секретного коду.

Без спеціальних знань самостійно перевірити, наскільки надійний ваш алгоритм шифрування, вам не вдасться. Але ви можете покластися на думку професіоналів. Деякі алгоритми шифрування, такі, наприклад, як Triple DES (Data Encryption Standard - стандарт шифрування даних), були піддані багаторічної перевірки. За результатами перевірки цей алгоритм добре себе зарекомендував, і криптографи вважають, що йому можна довіряти. Більшість нових алгоритмів також ретельно вивчаються, а результати публікуються в спеціальній літературі.

Якщо алгоритм програми не піддався відкритого розгляду та обговорення професіоналів, якщо у нього немає сертифікатів та інших офіційних паперів, - це привід засумніватися в його надійності і відмовитися від використання такої програми.

Інший різновид систем шифрування - це системи з відкритим ключем. Для роботи такої системи немає необхідності повідомляти адресату секретний ключ (або пароль, на основі якого він створений). Зазначені системи шифрування генерують два цифрових ключа для кожного користувача: один служить для шифрування даних, інший - для їх розшифровки. Перший ключ (званий відкритим) можна опублікувати, а другий тримати в секреті. Після цього зашифрувати інформацію зуміє будь-який, скориставшись відкритим ключем, а розшифрувати - тільки той, хто має відповідний секретний ключ.

Деякі програми шифрування містять ще одне важливе засіб захисту - цифровий підпис. Цифровий підпис засвідчує, що файл не був змінений з тих пір, як був підписаний, і дає одержувачу інформацію про те, хто саме підписав файл. Алгоритм створення цифрового підпису заснований на обчисленні контрольної суми - так званої хеш-суми, або дайджесту повідомлення. Застосовувані алгоритми гарантують, що неможливо підібрати два різних файлу, хеш-суми яких збіглися б.

Коли адресат отримує файл з цифровим підписом, його програма шифрування заново обчислює хеш-суму для цього файлу. Потім одержувач за допомогою відкритого ключа, опублікованого відправником, відновлює цифровий підпис. Якщо результат відповідає значенню, обчисленому для файлу, то одержувач може бути впевнений, що текст повідомлення не було змінено (якби це сталося, хеш-сума виявилася б іншою), а підпис належить людині, яка має доступ до секретного ключа відправника.

Для захисту важливої \u200b\u200bабо конфіденційної інформації потрібна не тільки гарна програма шифрування. Вам необхідно прийняти ряд заходів для забезпечення інформаційної безпеки. Якщо ваш пароль ненадійний (фахівці рекомендують ставити його з восьми або більше символів) або якщо незашифрованому копія конфіденційної інформації зберігається у вас на комп'ютері, то в цьому випадку навіть найкраща система шифрування виявиться неспроможна.

Система «Лексикон-Верба»

Система «Лексикон-Верба» є засобом організації захищеного електронного документообігу як всередині корпоративної мережі, так і між різними організаціями. У «Лексиконі-Верба» використовуються дві модифікації системи криптографії: система «Верба-W» призначена для державних органів (захист конфіденційної інформації, зокрема ДСП; ключі підпису - відкриті, ключі шифрування - закриті), система «Верба-OW» - для комерційних організацій (захист комерційної таємниці; ключі підпису та шифрування - відкриті).

Існує досить багато світових стандартів шифрування, але лише мала їх частина має сертифікати Федерального агентства урядового зв'язку та інформації (ФАПСИ), що унеможливлює застосування несертифікованих рішень на території Росії. Система «Верба-W» має сертифікат ФАПСИ № СФ / 114-0176. Система «Верба-ОW» - сертифікат ФАПСИ № СФ / 114-0174.

«Лексикон-Верба» забезпечує шифрування і електронний цифровий підпис відповідно до вимог ГОСТ 28147-89 «Системи обробки інформації. Захист криптографічний »і ГОСТ Р34.10-94« Інформаційна технологія. Криптографічний захист інформації. Процедури вироблення і перевірки електронного цифрового підпису на базі асиметричного криптографічного алгоритму ».

Програма сертифікована Держтехкомісії при Президентові Російської Федерації. У липні очікується отримання сертифіката Міноборони Росії.

В основі роботи криптозахисту системи лежить методика шифрування з відкритим ключем. Кожен ключ, що ідентифікує користувача, складається з двох частин: відкритого і секретного ключа. Відкритий ключ може поширюватися вільно і використовується для шифрування інформації даного користувача. Для розшифровки документа потрібно, щоб користувач, зашифрував його, мав ваш відкритий ключ і при шифруванні вказав вас як має доступ до документа.

Щоб розшифрувати документ, потрібно скористатися закритим ключем. Закритий ключ складається з двох частин, одна з яких зберігається на смарт-карті або touch-memory, а інша - на жорсткому диску Вашого комп'ютера. Таким чином, ні втрата смарт-карти, ні несанкціонований доступ до комп'ютера не дають, кожен окремо, можливості розшифрувати документи.

Початковий ключовий комплект, що включає в себе повну інформацію про відкриті та закриті ключі користувача, створюється на спеціально обладнаному захищеному робочому місці. Дискета з ключовою інформацією використовується тільки на етапі підготовки робочого місця користувача.

Система «Лексикон-Верба» може бути використана в рамках двох основних систем організації захищеного документообігу:

  • як самостійне рішення. При наявності в організації локальної мережі систему можна встановити не на всі комп'ютери, а тільки на ті, де потрібна робота з конфіденційними документами. Це означає, що всередині корпоративної мережі виникає підмережа обміну закритою інформацією. При цьому учасники закритої частини системи можуть обмінюватися з іншими співробітниками і відкритими документами;
  • як складова частина документообігу. «Лексикон-Верба» має стандартні інтерфейси підключення зовнішніх функцій для виконання операцій відкриття, збереження, закриття і відправки документів, що дозволяє легко інтегрувати цю систему як в існуючі, так і у знову розробляються системи документообігу.

Слід зазначити, що властивості системи «Лексикон-Верба» роблять її не тільки засобом забезпечення інформаційного захисту від зовнішніх проникнень, а й засобом підвищення внутрішньокорпоративної конфіденційності і поділу доступу.

Одним з важливих додаткових ресурсів підвищення рівня контролю інформаційної безпеки є можливість ведення «журналу подій» для будь-якого документа. Функція фіксації історії документа може бути включена або відключена тільки при установці системи; при її включенні даний журнал буде вестися незалежно від бажання користувача.

Головним достоїнством і відмінною рисою системи є проста і інтуїтивно зрозуміла реалізація функцій захисту інформації при збереженні традиційної для текстових процесорів робочого середовища користувача.

Блок криптографії здійснює шифрування, а також установку і зняття електронного цифрового підпису (ЕЦП) документів.

Допоміжні функції блоку - завантаження секретного ключа, експорт та імпорт відкритих ключів, настройка і ведення довідника ключів абонентів системи.

Таким чином, кожен з мають доступ до документа може поставити тільки свій підпис, але зняти - будь-яку з раніше поставлених.

Це відображає прийнятий порядок діловодства, коли в міру проходження візування документ може піддаватися правок на різних етапах, але після цього документ повинен бути завізований заново.

При спробі внести зміни в документ іншими, ніж «Лексикон-Верба», засобами, ЕЦП пошкоджується, в результаті в поле «Статус підпису» з'явиться напис «Пошкоджено».

офіс

При збільшенні числа користувачів системи внесення кожного відкритого ключа на кожен комп'ютер стає скрутним. Тому для організації роботи офісу організовується централізоване адміністрування довідника відкритих ключів. Це робиться в такий спосіб:

1) на комп'ютері адміністратора встановлюється «Лексикон-Верба» в локальному режимі. При цьому створюється довідник відкритих ключів, в який адміністратор додає кожен використовуваний в офісі ключ;

2) на всіх інших комп'ютерах система встановлюється в мережевому режимі. У цьому режимі використовується довідник відкритих ключів, що знаходиться на комп'ютері адміністратора;

3) кожен новий користувач, внесений адміністратором в довідник, стає «видно» всім користувачам, підключеним до довідника. З цього моменту вони отримують можливість передавати йому зашифровані документи.

Адміністрування довідника стає централізованим, але на рівень безпеки системи це не впливає, так як надання доступу до відкритих ключів - це своєрідне «знайомство» користувачів, але доступу до будь-яких документів воно не дає. Для отримання користувачем можливості розшифровки документа необхідно, щоб його відкритий ключ не тільки знаходився в довіднику, а й був явно вказаний як має доступ до документа.