Какви са средствата на skzi. Криптографски методи за защита на информацията

Слушайте ... можете ли, за наша обща полза, всяко писмо, което пристига във вашата пощенска служба, входящо и изходящо, знаете, да го разпечатате малко и да прочетете: съдържа ли някакъв отчет или само кореспонденция .. .

Н. В. Гогол "Ревизор"

В идеалния случай само двама души трябва да могат да четат поверително писмо: подателят и този, до когото е адресирано.Формулирането на такова на пръв поглед много просто нещо беше отправната точка на системите за криптозащита. Развитието на математиката даде тласък на развитието на такива системи.

Още през XVII-XVIII век шифрите в Русия са били доста сложни и устойчиви на разбиване. Много руски математици са работили върху създаването или подобряването на системи за криптиране и в същото време се опитват да вдигнат ключовете към шифрите на други системи. В момента могат да се отбележат няколко руски системи за криптиране, като Lexicon Verba, Secret Net, DALLAS LOCK, Secret Disk, семейството на продуктите Accord и др. Ще говорим за тях. Ще се запознаете и с основния софтуер и хардуер и софтуер комплекси за криптозащита, научете за техните възможности, силни страни и Слабости. Надяваме се, че тази статия ще ви помогне да направите избор на система за криптографска защита.

Въведение

Притеснявате ли се от това важна информацияот вашия компютър може да попадне в неподходящи ръце? Тази информация може да се използва от конкуренти, регулаторни органи и просто недоброжелатели. Очевидно подобни действия могат да ви донесат значителни щети. Какво да правя? За да защитите информацията си от непознати, трябва да инсталирате една от програмите за криптиране на данни. Нашият преглед е посветен на анализа на системите за криптиране за настолни системи. Трябва да се отбележи, че използването на чужди системи за криптиране в Русия е много ограничено поради редица причини държавни организациии големите местни компании са принудени да използват руски разработки. Въпреки това средни и малки фирми, както и физически лица, понякога предпочитат чужди системи.

За непосветените криптирането на информация изглежда като нещо като черна магия. Наистина, криптирането на съобщения, за да се скрие тяхното съдържание от външни лица, е сложен математически проблем. Освен това шифърът трябва да бъде избран така, че да бъде практически невъзможно да се отвори без ключ, а бързо и лесно с ключ. За много компании и организации е много трудно оптимален изборпри инсталиране на програми за криптиране. Въпросът се усложнява още повече от факта, че не съществуват абсолютно сигурни компютри и абсолютно надеждни системи за криптиране. Въпреки това все още има достатъчно начини, чрез които можете да отблъснете почти всички опити за разкриване на криптирана информация.

Какво съдържат програмите за криптиране

Програмите за криптиране се различават една от друга по алгоритъма за криптиране. След като файлът е шифрован, можете да го запишете на флопи диск, да го изпратите чрез електронна пощаили поставете на сървър във вашия локална мрежа. Получателят на вашето криптиране трябва да има същата програма за криптиране, за да прочете съдържанието на файла.

Ако искате да изпратите криптирано съобщение до множество потребители едновременно, тогава вашата информация за всеки получател може да бъде криптирана със собствен ключ или със споделен ключ за всички потребители (включително автора на съобщението).

Криптосистемата използва таен код, за да превърне вашата информация в безсмислен, псевдослучаен набор от знаци. При добър алгоритъмкриптиране, е почти невъзможно да дешифрирате съобщение, без да знаете таен кодизползвани за криптиране. Такива алгоритми се наричат ​​алгоритми със симетричен ключ, защото един и същ ключ се използва за криптиране и декриптиране на информация.

За да защити вашите данни, програмата за криптиране създава таен ключ въз основа на вашата парола. Просто трябва да зададете дълга парола, която никой не може да познае. Ако обаче искате някой друг да прочете файла, ще трябва да кажете на това лице секретния ключ (или паролата, на която се основава). Можете да сте сигурни, че дори прост алгоритъм за криптиране ще защити вашите данни от редовен потребител, да речем, от колега на работа. Професионалистите обаче имат редица начини да дешифрират съобщение, без да знаят тайния код.

Без специални познания няма да можете самостоятелно да проверите колко надежден е вашият алгоритъм за криптиране. Но можете да разчитате на мнението на професионалистите. Някои алгоритми за криптиране, като например Triple DES (стандарт за криптиране на данни), са били подложени на години на тестване. Според резултатите от теста този алгоритъм се е доказал добре и криптографите смятат, че може да му се вярва. Повечето от новите алгоритми също са внимателно проучени, а резултатите са публикувани в специализираната литература.

Ако алгоритъмът на програмата не е бил открито прегледан и обсъден от професионалисти, ако няма сертификати и други официални документи, това е причина да се съмнявате в неговата надеждност и да откажете да използвате такава програма.

Друг вид системи за криптиране са системите с публичен ключ. За да работи такава система, не е необходимо да съобщавате на адресата секретния ключ (или паролата, въз основа на която е създаден). Тези системи за криптиране генерират два цифрови ключа за всеки потребител: единият се използва за криптиране на данни, а другият - за дешифрирането им. Първият ключ (наречен публичен ключ) може да бъде направен публичен, докато вторият ключ се пази в тайна. След това всеки може да криптира информацията с публичния ключ и само тези, които имат съответния таен ключ, могат да я декриптират.

Някои програми за криптиране съдържат друго важно средство за защита - цифров подпис. Цифровият подпис удостоверява, че файлът не е бил модифициран след подписването му и дава на получателя информация кой точно е подписал файла. Алгоритъм за създаване цифров подписвъз основа на изчисляването на контролната сума - така наречената хеш сума, или дайджест на съобщението. Приложените алгоритми гарантират, че е невъзможно да се вземат два различни файла, чиито хеш суми да съвпадат.

Когато получателят получи цифрово подписан файл, неговата програма за криптиране преизчислява хеш сумата за този файл. След това получателят използва публичния ключ, публикуван от подателя, за да възстанови цифровия подпис. Ако резултатът съответства на стойността, изчислена за файла, тогава получателят може да бъде сигурен, че текстът на съобщението не е променен (ако това се случи, хеш сумата ще бъде различна) и подписът принадлежи на лице, което има достъп към секретния ключ на подателя.

За защита на важни или конфиденциална информациянеобходими не само добра програмакриптиране. Трябва да предприемете редица стъпки, за да гарантирате информационна сигурност. Ако паролата ви е слаба (експертите препоръчват да я зададете на осем или повече знака) или ако на вашия компютър се съхранява некриптирано копие на поверителна информация, тогава в този случай дори най-добрата системакриптирането ще бъде безсилно.

Система Лексикон-Верба

Системата Lexicon-Verba е средство за организиране на защитена електронен документообороткакто в рамките на корпоративната мрежа, така и между различни организации. Lexicon-Verba използва две модификации на криптографската система: системата Verba-W е предназначена за държавни органи (защита на поверителна информация, по-специално ПДЧ; ключовете за подпис са отворени, ключовете за криптиране са затворени), системата Verba-OW е за търговски организации (защита на търговските тайни; ключовете за подпис и криптиране са отворени).

Има доста глобални стандарти за криптиране, но само малка част от тях са сертифицирани от Федералната агенция за правителствени комуникации и информация (FAPSI), което прави невъзможно използването на несертифицирани решения в Русия. Системата Verba-W притежава FAPSI сертификат № SF / 114-0176. Система Verba-OW - FAPSI сертификат № SF / 114-0174.

„Lexicon-Verba“ осигурява криптиране и цифров подпис в съответствие с изискванията на GOST 28147-89 „Системи за обработка на информация. Криптографска защита” и GOST R34.10-94 „Информационни технологии. Криптографска защита на информацията. Процедури за разработване и проверка на електронен цифров подпис, базиран на асиметричен криптографски алгоритъм.

Програмата е сертифицирана от Държавната техническа комисия към президента Руска федерация. През юли се очаква да получи сертификат от Министерството на отбраната на Русия.

Криптографската защита на системата се основава на метода на криптиране с публичен ключ. Всеки ключ, който идентифицира потребител, се състои от две части: публичен ключ и частен ключ. Публичният ключ се разпространява свободно и се използва за криптиране на информация този потребител. За да дешифрира документ, лицето, което го е шифровало, трябва да има вашия публичен ключ и да ви идентифицира като имащ достъп до документа, когато го шифрова.

За да дешифрирате документ, трябва да използвате частния ключ. Частният ключ се състои от две части, едната от които се съхранява на смарт карта или сензорна памет, а другата се съхранява на твърдия диск на вашия компютър. По този начин нито загубата на смарт карта, нито неоторизиран достъп до компютър правят възможно индивидуалното дешифриране на документи.

Първоначалният набор от ключове, който включва пълна информация за публичния и частния ключ на потребителя, се създава на специално оборудвано защитено работно място. Дискета с ключова информация се използва само на етапа на подготовка на работното място на потребителя.

Системата Lexicon-Verba може да се използва в рамките на две основни системи за организиране на защитено управление на документи:

  • като самостоятелно решение. Ако организацията има локална мрежа, системата може да бъде инсталирана не на всички компютри, а само на тези, които изискват работа с поверителни документи. Това означава, че вътре в корпоративната мрежа има подмрежа за обмен на класифицирана информация. В същото време участниците в затворената част на системата могат да обменят отворени документи с други служители;
  • като част от работния процес. Lexicon-Verba има стандартни интерфейси за свързване външни функцииза извършване на операциите по отваряне, запазване, затваряне и изпращане на документи, което улеснява интегрирането на тази система както в съществуващи, така и в новоразработени системи за работен процес.

Трябва да се отбележи, че свойствата на системата Lexicon-Verba я правят не само средство за осигуряване защита на информациятаот външни намеси, но и като средство за увеличаване на вътрешнокорпоративната поверителност и споделяне на достъп.

Един от важните допълнителни ресурси за повишаване нивото на контрол на информационната сигурност е възможността за поддържане на "дневник на събития" за всеки документ. Функцията за коригиране на хронологията на документи може да бъде активирана или деактивирана само когато системата е инсталирана; когато е включен това списаниеще се проведе независимо от желанието на потребителя.

Основното предимство и отличителна чертасистемата е проста и интуитивна реализация на функциите за информационна сигурност, като същевременно се запазват традиционните текстови процесориработна среда на потребителя.

Криптографското звено извършва криптиране, както и инсталиране и премахване на електронен цифров подпис (ЕЦП) на документи.

Спомагателни функции на блока - изтегляне на секретен ключ, експортиране и импортиране на публични ключове, настройка и поддържане на директория на системни абонатни ключове.

Така всеки от тези, които имат достъп до документа, може да постави само своя подпис, но да премахне всеки от предварително поставените.

Това отразява възприетата процедура на деловодство, когато, докато документът е одобрен, той може да бъде предмет на ревизии на различни етапи, но след това документът трябва да бъде одобрен отново.

Ако се опитате да направите промени в документа със средства, различни от "Lexicon-Verba", EDS е повреден, в резултат на това в полето "Статус на подписа" ще се появи надпис "Damaged".

офис

Тъй като броят на потребителите на системата се увеличава, въвеждането на всеки публичен ключ на всеки компютър става трудно. Следователно, за да се организира работата на офиса, се организира централизирано администриране на директорията с публични ключове. Това става по следния начин:

1) "Lexicon-Verba" се инсталира на компютъра на администратора в локален режим. Това създава директория с публични ключове, в която администраторът добавя всеки ключ, използван в офиса;

2) на всички други компютри, в които е инсталирана системата мрежов режим. Този режим използва директорията с публичен ключ, намираща се на компютъра на администратора;

3) всеки Нов потребител, добавен от администратора към директорията, става "видим" за всички потребители, свързани с директорията. От този момент нататък те получават възможност да му прехвърлят криптирани документи.

Администрирането на директорията става централизирано, но това не влияе на нивото на сигурност на системата, тъй като предоставянето на достъп до публични ключове е вид „запознанство“ на потребителите, но не дава достъп до никакви документи. За да може даден потребител да декриптира документ, неговият публичен ключ трябва не само да е в директорията, но също така трябва да бъде изрично посочен като имащ достъп до документа.

Криптографските методи за защита на информацията могат да бъдат реализирани както в софтуера, така и в хардуера. Хардуерен енкодер или устройство криптографска защита data (UKZD) е най-често разширителна карта, която се поставя в 18A или PC1 конектор на системната платка персонален компютър(PC) (фиг. 3.21). Има и други опции за изпълнение, например под формата на ключ u8B с криптографски функции (фиг. 3.22).

Производителите на хардуерни енкодери обикновено ги оборудват с различни допълнителни функции, включително:

Необходимо е генериране на произволни числа за получаване криптографски ключове. В допълнение, много криптографски алгоритми ги използват за други цели, например в алгоритъма за електронен цифров подпис, GOST R 34.10-2001, се изисква ново произволно число за всяко изчисление на подписа;

Ориз. 3.21. Хардуерен енкодер под формата на PC1 платка:

1 - технологични съединители; 2 - памет за регистриране; 3 - превключватели за режими; 4 - многофункционална памет; 5 - блок за управление и микропроцесор; 6- PC1 интерфейс; 7- PC1 контролер; 8- DSC; 9- интерфейси за свързване на ключови носители

Ориз. 3.22.

  • контрол на влизане в компютъра. При включване на компютъра устройството изисква от потребителя да въведе лична информация (например поставете устройство с частен ключ). Зареждането на операционната система ще бъде разрешено само след като устройството разпознае представените ключове и ги счита за "свои". В противен случай ще трябва да отворите системна единицаи премахнете енкодера от там, за да заредите операционната система (все пак информацията на твърдия диск на компютъра също може да бъде криптирана);
  • контрол на целостта на файловете на операционната система за предотвратяване на злонамерени модификации конфигурационни файловеИ системни програми. Енкодерът съхранява списък с всички важни файлове с предварително изчислени контролни хеш стойности за всеки от тях и ако хеш стойността на поне един от контролираните файлове не отговаря на стандарта при следващото зареждане на ОС, компютърът ще бъде блокиран.

Шифровач, който извършва контрол на влизане на компютър и проверява целостта на операционната система, също се нарича " електронна брава» (вижте параграф 1.3).

На фиг. 3.23 показва типична структура на хардуерен енкодер. Помислете за функциите на основните му блокове:

  • контролен блок - основният модул на енкодера. Обикновено се изпълнява на базата на микроконтролер, при избора на който основното е скоростта и достатъчно количество вътрешни ресурси, както и външни портове за свързване на всички необходими модули;
  • Контролер на системната шина на PC (например PC1), чрез който се осъществява основният обмен на данни между UKZD и компютър;
  • енергонезависимо устройство за съхранение (памет), обикновено реализирано на базата на чипове с флаш памет. Той трябва да е достатъчно обемен (няколко мегабайта) и да позволява голям брой цикли на запис. Тук се поставя софтуермикроконтролер, който вие

Ориз. 3.23. Структурата UKZD се попълва, когато устройството се инициализира (когато енкодерът поеме контрола, когато компютърът се зарежда);

  • памет за регистрационни файлове за одит, която също е енергонезависима памет (за да се избегнат възможни сблъсъци, програмната памет и паметта за регистрационни файлове не трябва да се комбинират);
  • шифров процесор (или няколко подобни единици) - специализирана микросхема или микросхема на програмируема логика PLD (Програмируемо логическо устройство), която осигурява изпълнението на криптографски операции (криптиране и декриптиране, изчисляване и проверка на EDS, хеширане);
  • генератор на случайни числа, който представлява устройство, което произвежда статистически случаен и непредвидим сигнал (т.нар. бял шум). Това може да бъде например шумов диод. Преди по-нататъшно използване в процесора за шифроване, съгласно специални правила, белият шум се преобразува в цифрова форма;
  • блок за въвеждане на ключова информация. Осигурява сигурно получаване на частни ключове от носителя на ключове и въвеждане на идентификационна информация за потребителя, необходима за неговата идентификация;
  • блок от превключватели, необходими за деактивиране на възможността за работа с външни устройства (устройства, CD-ROM, паралелни и серийни портове, USB шинаи т.н.). Ако потребителят работи с изключително чувствителна информация, UKZD ще блокира всички външни устройства, включително дори мрежова карта.

Криптографските операции в UKZD трябва да се извършват по такъв начин, че да се изключи неоторизиран достъп до сесия и частни ключовеи възможността за влияние върху резултатите от тяхното изпълнение. Следователно процесорът за шифър логично се състои от няколко блока (фиг. 3.24):

  • калкулатор - набор от регистри, суматори, блокове за заместване и др. свързани помежду си с шини за данни. Проектиран за най-бързо изпълнение на криптографски операции. Като вход калкулаторът получава отворени данни, които трябва да бъдат криптирани (дешифрирани) или подписани, и криптографски ключ;
  • контролен блок - хардуерно реализирана програма, която управлява калкулатора. Ако по някаква причина

Ориз. 3.24.

програмата ще се промени, работата й ще започне да закъснява. Следователно тази програма трябва не само да се съхранява сигурно и да функционира стабилно, но и редовно да се проверява нейната цялост. Външният контролен блок, описан по-горе, също периодично изпраща контролни задачи към контролния блок. На практика, за по-голяма увереност в енкодера, се инсталират два шифър процесора, които постоянно сравняват резултатите от своите криптографски операции (ако не съвпадат, операцията се повтаря);

I/O буферът е необходим за подобряване на производителността на устройството: докато първият блок от данни се криптира, следващият се зарежда и т. н. Същото се случва на изхода. Такова предаване на данни по конвейер сериозно увеличава скоростта на криптографските операции в енкодера.

Има друга задача за осигуряване на сигурност при извършване на криптографски операции от енкодера: зареждане на ключове в енкодера, заобикаляйки RAM на компютъра, където те теоретично могат да бъдат прихванати и дори заменени. За да направите това, UKZD допълнително съдържа входно-изходни портове (например COM или USB), които са директно свързани към различни устройствачетене на ключови медии. Това могат да бъдат всякакви смарт карти, токени (специални USB ключове) или сензорни памети (вижте параграф 1.3). В допълнение към директното въвеждане на ключове в UKZD, много от тези носители осигуряват и тяхното надеждно съхранение - дори ключов носител без да знае специален код за достъп (например ПИН код) няма да може да прочете съдържанието му.

За да избегнете сблъсъци при едновременен достъп до енкодера различни програми, В компютърна системаинсталиране на специален софтуер


Ориз. 3.25.

  • (софтуер) за управление на енкодера (фиг. 3.25). Такъв софтуер издава команди чрез драйвера на енкодера и предава данни към енкодера, като се уверява, че информационните потоци от различни източници не се припокриват и също така, че енкодерът винаги съдържа правилните ключове. По този начин UKZD изпълнява основно две различни видовекоманди:
  • преди зареждане на операционната система се изпълняват команди, които са в паметта на енкодера, които извършват всички необходими проверки (например идентификация на потребителя и удостоверяване) и задават необходимото ниво на сигурност (например изключване на външни устройства);
  • след зареждане на операционната система (например Windows) се изпълняват команди, които идват чрез софтуера за управление на шифратора (шифроване на данни, презареждане на ключове, изчисляване на произволни числа и т.н.).

Такова разделяне е необходимо от съображения за сигурност - след изпълнение на командите на първия блок, който не може да бъде прескочен, нарушителят вече няма да може да извършва неразрешени действия.

Друга цел на софтуера за управление на енкодера е да предостави възможност за замяна на един енкодер с друг (да речем такъв, който е по-продуктивен или прилага други криптографски алгоритми), без да се променя софтуерът. Това се случва по същия начин, например, промяна мрежова карта: Шифровачът идва с драйвер, който позволява на програмите да изпълняват стандартен набор от криптографски функции в съответствие с интерфейс за програмиране на някои приложения (например CryptAP1).

По същия начин можете да замените хардуерен енкодер със софтуер (например емулатор на енкодер). За да направите това, софтуерният енкодер обикновено се внедрява като драйвер, който предоставя същия набор от функции.

Въпреки това, не всички UKZD се нуждаят от софтуер за управление на енкодер (по-специално енкодер за "прозрачно" криптиране-декриптиране на всички харддискКомпютърът трябва да се настрои само веднъж).

За допълнително осигуряване на сигурността при извършване на криптографски операции в UKZD може да се използва многостепенна защита на криптографски ключове за симетрично криптиране, при което произволен сесиен ключ се криптира с дългосрочен потребителски ключ, а той от своя страна с главен ключ (фиг. 3.26).

На етапа на първоначално зареждане главният ключ се въвежда в ключова клетка № 3 на паметта на енкодера. Но за криптиране на три нива трябва да вземете още две. Сесийният ключ се генерира в резултат на заявка към генератора (сензора)

Ориз. 3.26. Шифроване на файла с помощта на UKZD ny numbers (DSN) енкодер за получаване на произволно число, което се зарежда в ключова клетка № 1, съответстваща на ключа на сесията. Той криптира съдържанието на файла и създава нов файл A, който съхранява криптираната информация.

След това потребителят получава подкана за дългосрочен ключ, който се зарежда в ключова клетка #2 с дешифриране с помощта на главния ключ, разположен в клетка #3. в този случай ключът изобщо не "напуска" енкодера. Накрая ключът на сесията се шифрова с помощта на дългосрочния ключ в клетка 2, изтеглен от шифроващото устройство и записан в заглавката на шифрования файл.

Когато декриптирате файл, ключът на сесията първо се дешифрира с помощта на дългосрочния ключ на потребителя и след това информацията се възстановява с него.

По принцип един ключ може да се използва за криптиране, но многоключовата схема има сериозни предимства. Първо, възможността за атака срещу дългосрочен ключ е намалена, тъй като той се използва само за криптиране на кратки сесийни ключове. И това усложнява криптоанализа на атакуващия на криптирана информация, за да получи дългосрочен ключ. Второ, когато променяте дългосрочния ключ, можете много бързо да шифровате повторно файла: достатъчно е да шифровате отново сесийния ключ от стария дългосрочен ключ към новия. Трето, носителят на ключове е разтоварен, тъй като на него се съхранява само главният ключ и всички дългосрочни ключове (и потребителят може да има няколко от тях за различни цели) могат да се съхраняват криптирани с главния ключ дори на твърд компютър шофиране.

Шифровачите под формата на SHV ключове (вижте Фиг. 3.22) все още не могат да станат пълноценен заместител на хардуерен енкодер за шината PC1 поради ниската скорост на криптиране. Те обаче имат няколко интересни характеристики. Първо, токенът (SW ключ) е не само хардуерен енкодер, но и носител на ключове за криптиране, т.е. устройство две в едно. Второ, жетоните обикновено съответстват на общи международни криптографски стандарти(RKSB #11, 1BO 7816, RS/8S и др.) и могат да се използват без допълнителни настройкивъв вече съществуващ софтуер за информационна сигурност (например те могат да се използват за удостоверяване на потребители в операционната система на семейството Microsoft Windows). И накрая, цената на такъв енкодер е десет пъти по-ниска от тази на класически хардуерен енкодер за PCI шина.

Корпоративните инструменти за криптиране, внедрени от AST, могат да поддържат алгоритми за криптиране на GOST и да предоставят необходимите класове за криптографска защита в зависимост от необходимата степен на защита, регулаторната рамка и изискванията за съвместимост с други, включително външни системи.

Средствата за криптографска защита на информацията (CIPF) са важен компонент за осигуряване на информационна сигурност и позволяват да се гарантира високо нивобезопасност на данните, дори ако са криптирани електронни документив ръцете на трети лица, както и в случай на кражба или загуба на носители за съхранение при тях. CIPF днес се използват в почти всяка компания - по-често на ниво взаимодействие с автоматизираните банкови системии държавни информационни системи; по-рядко - за съхраняване на корпоративни данни и обмена им. Междувременно това е най-новата употреба на криптиране, която ви позволява да защитите бизнеса си от опасни течове на критична информация с гаранция до 99%, дори като се вземе предвид човешкият фактор.

Функционално необходимостта от използването на CIPF се определя и от непрекъснато нарастващата популярност на електронното управление на документи, архивирането и безхартиеното взаимодействие. Важността на документите, обработвани в такива системи, диктува задължението за осигуряване на висока сигурност на информацията, което не може да стане без използването на криптиране и електронни подписи.

Въвеждането на CIPF в корпоративната практика предвижда създаването на софтуерен и хардуерен комплекс, чиято архитектура и състав се определят въз основа на нуждите на конкретен клиент, законови изисквания, задачи и необходими методи и алгоритми за криптиране. Това може да включва софтуерни компоненти за криптиране (криптодоставчици), инструменти за организация на VPN, инструменти за самоличност, инструменти за генериране и проверка на ключове и цифрови подписи, които служат за организиране на правно значим работен процес, и хардуерни носители за съхранение.

Корпоративните инструменти за криптиране, внедрени от AST, могат да поддържат алгоритми за криптиране на GOST и да предоставят необходимите класове за криптографска защита в зависимост от необходимата степен на защита, регулаторната рамка и изискванията за съвместимост с други, включително външни системи. В същото време средствата за криптиране осигуряват защита на целия набор от информационни компоненти - файлове, директории с файлове и архиви, физически и виртуални носители за съхранение, цели сървъри и системи за съхранение.

Решението ще може да осигури пълен набор от мерки за надеждна защита на информацията по време на нейното съхранение, предаване, използване, както и за управление на самия CIPF, включително:

  • Гарантиране на поверителността на информацията
  • Гарантиране на целостта на информацията
  • Гаранция за автентичност на информацията
  • Целенасочена защита на информацията, включително:
    - Криптиране и декриптиране
    — Създаване и проверка на EDS
  • Гъвкавост на конфигуриране, управление и използване на CIPF
  • Защита на CIPF, включително наблюдение и откриване на случаи на неизправност, опити за неоторизиран достъп, случаи на компрометиране на ключове.

Завършени проекти

Свързани услуги:

  • Мониторинг на събития и управление на инциденти в информационната сигурност

    Най-важният фактор за осигуряване на информационна сигурност (ИС) е наличието на пълна и надеждна информация за събития,

    [...]
  • Осигуряване на мрежова сигурност и защита на периметъра

    Мрежовата инфраструктура технологично е в основата на всички корпоративни ИТ системи и е транспортна артерия за информация,

    [...]
  • Защита срещу целеви атаки

    На прицел са една от най-сериозните и опасни заплахи за бизнеса по отношение на информационната сигурност (ИС).

    [...]
  • APCS защита

    Автоматизираната система за управление на процесите (APCS) в производството е фундаментално решение,

    [...]
  • Анализ на уязвимости и системи за управление

    Тъй като няма абсолютно никакъв здрави хора, и няма абсолютно защитени информационни системи. Компоненти на ИТ инфраструктурата

    [...]
  • Защита от изтичане на информация (DLP система)

    Всяка организация има документи с ограничен достъпсъдържащи определена поверителна информация. Навлизането им в др

Средствата за криптографска защита на информацията (CIPF) включват хардуер, софтуер и хардуер софтуер, които прилагат криптографски алгоритми за преобразуване на информация с цел:

Защита на информацията при нейната обработка, съхранение и предаване през транспортната среда на АС;

Осигуряване на надеждността и целостта на информацията (включително с помощта на алгоритми за цифров подпис) по време на нейната обработка, съхранение и предаване през транспортната среда на АС;

Разработване на информация, използвана за идентифициране и удостоверяване на субекти, потребители и устройства;

Разработване на информация, използвана за защита на удостоверяващите елементи на защитена АС по време на тяхното генериране, съхранение, обработка и предаване.

Предполага се, че в някои АС (в редица източници - информационна и телекомуникационна система или комуникационна мрежа) се използват криптографски средства за защита на информацията, заедно с механизми за прилагане и гарантиране на политика за сигурност.

Криптографската трансформация има редица важни характеристики:

CIPF прилага някакъв алгоритъм за преобразуване на информация (криптиране, електронен цифров подпис, контрол на целостта)

Входните и изходните аргументи на криптографската трансформация присъстват в AS в някаква материална форма (AS обекти)

CIPF използва известна поверителна информация (ключове), за да работи

Алгоритъмът за криптографска трансформация се реализира като някакъв материален обект, взаимодействащ с околната среда (включително субектите и обектите на защитената АС).

По този начин ролята на CIPF в защитена AS е трансформацията на обекти. Във всеки конкретен случайтази трансформация има особености. По този начин процедурата за криптиране използва обекта - обикновен текст и обекта - ключ като входни параметри, резултатът от трансформацията е обектът - шифрован текст; напротив, процедурата за дешифриране използва шифрования текст и ключа като вход; Процедурата за задаване на цифров подпис използва обекта - съобщение и обекта - секретния ключ на подписа като входни параметри, резултатът от цифровия подпис е обектът - подписът, като правило, интегриран в обекта - съобщение . Можем да кажем, че CIPF защитава обектите на семантично ниво. В същото време обектите - параметрите на криптографската трансформация са пълноценни AS обекти и могат да бъдат обекти на някаква политика за сигурност (например ключовете за криптиране могат и трябва да бъдат защитени от неоторизиран достъп, публични ключове за проверка на цифров подпис от промени). И така, криптографските устройства за защита на информацията като част от защитени АС имат специфична реализация - това може да бъде отделно специализирано устройство, вградено в компютър, или специализирана програма. Следните точки са от съществено значение:

CIPF обменя информация с външната среда, а именно: в нея се въвеждат ключове, обикновен текст по време на криптиране

CIPF в случай на хардуерно изпълнение използва елементна база с ограничена надеждност (т.е. в частите, които съставляват CIPF, са възможни неизправности или повреди)

CIPF в случай на софтуерна реализация се изпълнява на процесор с ограничена надеждност и в софтуерна среда, съдържаща програми на трети страни, които могат да повлияят на различни етапи от неговата работа

CIPF се съхранява на материален носител (в случай на софтуерна реализация) и може да бъде умишлено или случайно изкривен по време на съхранение

CIPF взаимодейства с външната среда индиректно (захранва се от мрежата, излъчва електромагнитни полета)

CIPF е произведен и/или използван от лице, което може да направи грешки (умишлени или случайни) по време на разработката и експлоатацията

Съществуващите средства за защита на данните в телекомуникационните мрежи могат да бъдат разделени на две групи според принципа на изграждане на ключова система и система за удостоверяване. Първата група включва инструменти, които използват симетрични криптографски алгоритми за изграждане на ключова система и система за удостоверяване, а втората група включва асиметрични.

Нека направим сравнителен анализ на тези системи. Информационно съобщение, готово за предаване, първоначално отворено и незащитено, се криптира и по този начин се преобразува в шифрограма, т.е. в затворен текст или графично изображениедокумент. В тази форма съобщението се предава по комуникационен канал, дори и да не е защитен. Оторизираният потребител, след като получи съобщението, го дешифрира (т.е. разкрива го) с помощта на обратна трансформациякриптограми, в резултат на което се получава оригиналната, отворена форма на съобщението, достъпна за възприемане от оторизирани потребители. Методът на трансформация в криптографската система съответства на използването на специален алгоритъм. Действието на такъв алгоритъм се задейства от уникален номер (последователност от битове), обикновено наричан ключ за криптиране.

За повечето системи веригата на генератор на ключове може да бъде набор от инструкции и команди, или хардуерна част, или компютърна програма, или всички тези заедно, но във всеки случай процесът на криптиране (декриптиране) се изпълнява само от този специален ключ. За да бъде обменът на криптирани данни успешен, както подателят, така и получателят трябва да знаят правилната настройка на ключа и да я пазят в тайна. Силата на всяка затворена комуникационна система се определя от степента на секретност на използвания в нея ключ. Този ключ обаче трябва да бъде известен на другите потребители на мрежата, за да могат да обменят свободно криптирани съобщения. В този смисъл криптографските системи помагат и за решаването на проблема с автентификацията (автентификацията) на получената информация. В случай на прихващане на съобщение, кракерът ще работи само с шифрован текст, а истинският получател, приемайки съобщения, затворени с ключ, известен на него и подателя, ще бъде надеждно защитен от възможна дезинформация. Освен това има възможност за криптиране на информация и др по прост начин- използване на генератор на псевдослучайни числа. Използването на генератор на псевдослучайни числа се състои в генериране на шифрова гама с помощта на генератор на псевдослучайни числа с определен ключ и прилагане на получената гама към отворените данни по обратим начин. Този метод на криптографска защита се реализира доста лесно и осигурява доста висока скорост на криптиране, но не е достатъчно устойчив на дешифриране.

Класическата криптография се характеризира с използването на една секретна единица - ключ, който позволява на изпращача да криптира съобщението, а на получателя да го дешифрира. В случай на криптиране на данни, съхранявани на магнитни или други носители за съхранение, ключът ви позволява да шифровате информация, когато пишете на носителя, и декриптирайте, когато четете от него.

"Организационни и правни методи за информационна сигурност"

Основните регулаторни ръководни документи, свързани с държавна тайна, регулаторни и справочни документи

Към днешна дата в нашата страна е създадена стабилна законодателна рамка в областта на защитата на информацията. Основният закон може да се нарече Федералният закон на Руската федерация „За информацията, информационни технологиии относно защитата на информацията. „Държавното регулиране на отношенията в областта на защитата на информацията се осъществява чрез установяване на изисквания за защита на информацията, както и отговорност за нарушаване на законодателството на Руската федерация относно информацията, информационните технологии и защитата на информацията.“ Законът установява и задължения на собствениците на информация и операторите на информационни системи.

Що се отнася до „кодифицираното“ регулиране на информационната сигурност, нормите на Кодекса за административните нарушения на Руската федерация и Наказателния кодекс на Руската федерация също съдържат необходимите членове. В чл. 13.12 от Кодекса за административните нарушения на Руската федерация се отнася до нарушение на правилата за защита на информацията. Също чл. 13.13, който предвижда наказание за незаконни дейности в областта на защитата на информацията. И чл. 13.14. който предвижда наказание за разкриване на информация с ограничен достъп. Член 183. Наказателният кодекс на Руската федерация предвижда наказание за незаконно получаване и разкриване на информация, представляваща търговска, данъчна или банкова тайна.

Федералният закон „За информацията, информатизацията и защитата на информацията“ определя, че държавните информационни ресурси на Руската федерация са отворени и общодостъпни. Изключение прави документирана информация, класифицирана от закона като ограничен достъп.

Понятието държавна тайна е дефинирано в Закона за държавната тайна като „защитена от държавата информация в областта на нейната военна, външнополитическа, икономическа, разузнавателна, контраразузнавателна и оперативно-издирвателна дейност, чието разпространение може да навреди на сигурността на Руската федерация“. Така, въз основа на баланса на интересите на държавата, обществото и гражданите, обхватът на закона е ограничен до определени видове дейности: военна, външнополитическа, икономическа, разузнавателна, контраразузнавателна и оперативно-издирвателна.

Законът определи като основен критерий класифицираната информация да е държавна собственост.

Законът също така осигури създаването на редица органи в областта на защитата на държавната тайна, по-специално на междуведомствена комисия за защита на държавната тайна, въведе институцията на служители с правомощия да класифицират информация като държавна тайна, докато при същевременно им налага лична отговорност за дейностите по опазване на държавната тайна в тяхната зона на отговорност.

Обща организация и координация на работата в страната по защита на обработваната информация технически средства, се извършва от колегиален орган - Федералната служба за технически и експортен контрол (FSTEC) на Русия към президента на Руската федерация, която упражнява контрол върху осигуряването в органите контролирани от правителствотои в предприятия, работещи по отбрана и други секретни теми.

Цел и задачи в областта на информационната сигурност на държавно ниво

Държавната политика за осигуряване на информационната сигурност на Руската федерация определя основните области на дейност на федералните държавни органи и държавните органи на съставните образувания на Руската федерация в тази област, процедурата за определяне на техните задължения за защита на интересите на Руската федерация в информационна сферав рамките на тяхната дейност и се основава на поддържане на баланс на интересите на индивида, обществото и държавата в информационната сфера. Държавната политика за осигуряване на информационната сигурност на Руската федерация се основава на следните основни принципи: спазване на Конституцията на Руската федерация, законодателството на Руската федерация, общопризнатите принципи и норми на международното право при изпълнение на дейностите по гарантира информационната сигурност на Руската федерация; откритост при изпълнението на функциите на федералните държавни органи, държавните органи на съставните образувания на Руската федерация и обществените сдружения, което осигурява информиране на обществеността за тяхната дейност, като се вземат предвид ограниченията, установени от законодателството на Руската федерация; правно равенство на всички участници в процеса на информационно взаимодействие, независимо от техния политически, социален и икономически статус, основано на конституционното право на гражданите свободно да търсят, получават, предават, произвеждат и разпространяват информация по всякакъв законен начин; приоритетно развитие на вътрешни съвременни информационни и телекомуникационни технологии, производство на хардуер и софтуер, способни да осигурят подобряване на националните телекомуникационни мрежи, свързването им с глобалните информационни мрежи, за да отговарят на жизненоважните интереси на Руската федерация.

Държавата в процеса на изпълнение на своите функции за осигуряване на информационната сигурност на Руската федерация: провежда обективен и изчерпателен анализ и прогнозиране на заплахите за информационната сигурност на Руската федерация, разработва мерки за нейното гарантиране; организира работата на законодателните (представителни) и изпълнителните органи на държавната власт на Руската федерация за прилагане на комплекс от мерки, насочени към предотвратяване, отблъскване и неутрализиране на заплахи за информационната сигурност на Руската федерация; подкрепя дейността на обществените сдружения, насочени към обективно информиране на населението за социално значими явления от обществения живот, защита на обществото от изкривена и недостоверна информация; упражнява контрол върху разработването, създаването, развитието, използването, износа и вноса на средства за сигурност на информацията чрез тяхното сертифициране и лицензиране на дейности в областта на сигурността на информацията; провежда необходимата протекционистична политика по отношение на производителите на средства за информатизация и защита на информацията на територията на Руската федерация и предприема мерки за защита на вътрешния пазар от навлизането в него на нискокачествени средства за информатизация и информационни продукти; допринася за осигуряването на физически и юридически лицадостъп до глобални информационни ресурси, глобални информационни мрежи; формулира и провежда държавната информационна политика на Русия; организира разработването на федерална програма за осигуряване на информационната сигурност на Руската федерация, която обединява усилията на държавни и недържавни организации в тази област; допринася за интернационализацията на глобалните информационни мрежи и системи, както и за влизането на Русия в световната информационна общност при условията на равноправно партньорство.

Усъвършенстването на правните механизми за регулиране на обществените отношения, възникващи в информационната сфера, е приоритетно направление на държавната политика в областта на осигуряването на информационната сигурност на Руската федерация.

Това включва: оценка на ефективността на прилагането на съществуващите законодателни и други регулаторни правни актове в информационната сфера и разработване на програма за тяхното подобряване; създаване на организационни и правни механизми за осигуряване на информационна сигурност; определяне на правния статут на всички субекти на отношения в информационната сфера, включително потребителите на информационни и телекомуникационни системи, и установяване на тяхната отговорност за спазването на законодателството на Руската федерация в тази област; създаване на система за събиране и анализ на данни за източниците на заплахи за информационната сигурност на Руската федерация, както и за последиците от тяхното прилагане; разработване на нормативни правни актове, които определят организацията на разследването и процедурата за разглеждане на факти на незаконни действия в информационната сфера, както и процедурата за отстраняване на последиците от тези незаконни действия; разработване на престъпления, като се вземат предвид спецификите на наказателната, гражданската, административната, дисциплинарната отговорност и включването на съответните правни норми в наказателния, гражданския, административния и трудовия кодекс, в законодателството на Руската федерация относно обществена услуга; подобряване на системата за обучение на персонала, използвана в областта на информационната сигурност на Руската федерация.

Правното осигуряване на информационната сигурност на Руската федерация трябва да се основава преди всичко на спазването на принципите на законността, баланса на интересите на гражданите, обществото и държавата в информационната сфера. Спазването на принципа на законност изисква федералните държавни органи и държавните органи на съставните образувания на Руската федерация при разрешаване на конфликти, възникващи в информационната сфера, да се ръководят стриктно от законодателни и други регулаторни правни актове, регулиращи отношенията в тази област. Спазването на принципа на балансиране на интересите на гражданите, обществото и държавата в информационната сфера предполага законодателно укрепване на приоритета на тези интереси в различни области на живота на обществото, както и използването на форми на обществен контрол върху дейността. на федералните държавни органи и държавните органи на съставните образувания на Руската федерация. Прилагането на гаранции за конституционните права и свободи на човек и гражданин, свързани с дейностите в информационната сфера, е най-важната задача на държавата в областта на информационната сигурност. Разработването на механизми за правна подкрепа на информационната сигурност на Руската федерация включва мерки за информатизиране на правната сфера като цяло. За да се идентифицират и хармонизират интересите на федералните държавни органи, държавните органи на съставните образувания на Руската федерация и други субекти на отношения в информационната сфера, разработват необходими решенияДържавата подпомага създаването на обществени съвети, комитети и комисии с широко представителство на обществените сдружения и съдейства за организирането на тяхната ефективна работа.

Характеристики на сертифициране и стандартизация на криптографски услуги

В почти всички страни, които са развили криптографски технологии, разработването на средства за криптографска защита на информацията принадлежи към сферата на държавното регулиране. Държавното регулиране включва, като правило, лицензиране на дейности, свързани с развитието и експлоатацията на криптографски средства, сертифициране на CIPF и стандартизация на алгоритми за криптографска трансформация.

Следните видове дейности подлежат на лицензиране: разработка, производство, сертификационни тестове, продажба, експлоатация на средства за криптиране, предназначени за криптографска защита на информация, съдържаща информация, представляваща държавна или друга защитена от закона тайна, по време на нейната обработка, съхранение и предаване чрез комуникация канали, както и предоставяне на услуги в областта на криптирането на тази информация; разработване, производство, сертификационни тестове, експлоатация на телекомуникационни системи и комплекси на висшите държавни органи на Руската федерация; разработване, производство, сертификационни тестове, внедряване, експлоатация на затворени системи и телекомуникационни комплекси на органите на съставните образувания на Руската федерация, централните федерални изпълнителни органи, организации, предприятия, банки и други институции, разположени на територията на Руската федерация, независимо от тяхната ведомствена принадлежност и образува собственост (наричани по-нататък - затворени системи и телекомуникационни комплекси), предназначени за предаване на информация, представляваща държавна или друга защитена от закона тайна; извършване на сертификационни тестове, продажба и експлоатация на криптиращи средства, затворени системи и телекомуникационни комплекси, предназначени за обработка на информация, която не съдържа информация, представляваща държавна или друга защитена от закона тайна, по време на нейната обработка, съхранение и предаване по комуникационни канали, както и предоставянето на услуги в областта на криптирането на тази информация

Средствата за криптиране включват: хардуерни, софтуерни и хардуерно-софтуерни средства, които реализират криптографски алгоритми за преобразуване на информация, осигуряващи сигурността на информацията по време на нейната обработка, съхранение и предаване по комуникационни канали, включително технология за криптиране; Хардуерни, софтуерни и хардуерно-софтуерни средства за защита срещу неоторизиран достъп до информация по време на нейната обработка и съхранение, които изпълняват криптографски алгоритми за преобразуване на информация; Хардуерни, софтуерни и хардуерно-софтуерни средства за защита срещу налагане на невярна информация, включително средства за защита от имитация и "цифров подпис", които изпълняват криптографски алгоритми за конвертиране на информация; хардуер, хардуерно-софтуер и софтуер за производство на ключови документи за средства за криптиране, независимо от вида на носителя на ключова информация.

Затворените телекомуникационни системи и комплекси включват телекомуникационни системи и комплекси, в които информацията е защитена с помощта на средства за криптиране, защитено оборудване и организационни мерки.

Допълнително на лицензиране подлежат следните видове дейности: експлоатация на инструменти за криптиране и/или инструменти за цифров подпис, както и инструменти за криптиране за защита на електронни плащания чрез пластмасови кредитни карти и смарт карти; Предоставяне на услуги за защита (криптиране) на информация; Инсталиране, инсталация, настройка на инструменти за криптиране и/или инструменти за цифров подпис, инструменти за криптиране за защита на електронни плащания с използване на пластмасови кредитни карти и смарт карти; разработване на инструменти за криптиране и/или инструменти за цифров подпис, инструменти за криптиране за защита на електронни плащания с помощта на пластмасови кредитни карти и смарт карти

Процедурата за сертифициране на CIPF е установена от „Система за сертифициране за криптографска защита на информацията ROSS.R11.0001.030001 на Държавния стандарт на Русия.

Стандартизацията на алгоритмите за криптографска трансформация включва цялостно изследване и публикуване под формата на стандарти на елементи от криптографски процедури, за да се използват доказани криптографски сигурни трансформации от разработчиците на CIPF, за да се гарантира възможността за съвместна работа на различни CIPF, както и възможността за тестване и проверка на съответствието на изпълнението на CIPF с алгоритъма, определен от стандарта. В Русия са приети следните стандарти - алгоритъм за криптографско преобразуване 28147-89, алгоритми за хеширане, настройка и проверка на цифров подпис R34.10.94 и R34.11.94. От чуждестранните стандарти широко известни и използвани са алгоритмите за криптиране DES, RC2, RC4, алгоритмите за хеширане MD2, MD4 и MD5, алгоритмите за проверка на цифровия подпис DSS и RSA.

Законодателна рамка за информационна сигурност

Основните концепции, изисквания, методи и инструменти за проектиране и оценка на система за информационна сигурност за информационни системи (ИС) са отразени в следните основни документи:

"Портокалова книга" Национален центъркомпютърна защита

„Хармонизирани критерии на европейските страни (ITSEC)”;

Концепцията за защита срещу неоторизиран достъп на Държавната комисия към президента на Руската федерация.

Концепция за информационна сигурност

Концепцията за сигурност на разработваната система е "набор от закони, правила и норми на поведение, които определят как една организация обработва, защитава и разпространява информация. По-специално, правилата определят в кои случаи потребителят има право да работи с определени набори от данни Колкото по-надеждна е системата, толкова по-строга е и концепцията за сигурност трябва да бъде по-разнообразна В зависимост от формулираната концепция можете да изберете конкретни механизми, които гарантират сигурността на системата Концепцията за сигурност е активен компонент на защита, която включва анализ на възможните заплахи и избор на противодействие“.

Концепцията за сигурност на разработената система според "Оранжевата книга" трябва да включва следните елементи:

Контрол на произволен достъп;

Безопасност повторно използванеобекти;

Защитни етикети;

Принудителен контрол на достъпа.

Обмислете съдържанието на изброените елементи.

Контролът на произволен достъп е метод за ограничаване на достъпа до обекти въз основа на самоличността на субекта или групата, към която субектът принадлежи. Произволът на контрола се състои в това, че дадено лице (обикновено собственикът на обекта) може по свое усмотрение да предоставя или отнема правата на достъп до обекта на други субекти.

Основното предимство на произволния контрол на достъпа е гъвкавостта, основните недостатъци са разпръскването на контрола и сложността на централизирания контрол, както и изолирането на правата за достъп от данните, което позволява копиране на секретна информация в публични файлове.

Сигурността на повторно използване на обекти е важно практическо допълнение към контрола на достъпа, което предотвратява случайно или умишлено извличане на секретна информация от боклука. Безопасността при повторна употреба трябва да бъде гарантирана за зоните оперативна памет(по-специално за буфери с екранни изображения, дешифрирани пароли и т.н.), за дискови блокове и магнитни носители като цяло.

Етикетите за сигурност се свързват със субекти и обекти за налагане на контрол на достъпа. Етикетът на субекта описва неговата надеждност, етикетът на обекта - степента на близост на информацията, съдържаща се в него. Според Orange Book етикетите за сигурност се състоят от две части – ниво на сигурност и списък с категории. Основният проблем, който трябва да се реши във връзка с етикетите, е осигуряването на тяхната цялост. Първо, не трябва да има немаркирани субекти и обекти, в противен случай ще има лесно експлоатируеми дупки в етикетираната сигурност. Второ, за всякакви операции с данните, етикетите трябва да останат правилни. Едно от средствата за гарантиране на целостта на защитните етикети е разделянето на устройствата на многостепенни и едностепенни. Многостепенните устройства могат да съхраняват информация с различни нива на секретност (по-точно, лежаща в определен диапазон от нива). Устройство с едно ниво може да се разглежда като изроден случай на устройство с много нива, когато допустимият диапазон се състои от едно ниво. Познавайки нивото на устройството, системата може да реши дали е допустимо да записва информация в него с определен етикет.

Принудителният контрол на достъпа се основава на съвпадението на етикетите за сигурност на субект и обект. Този метод на контрол на достъпа се нарича принудителен, защото не зависи от волята на субектите (дори системни администратори). Принудителният контрол на достъпа се реализира в много варианти операционна системаи СУБД, характеризиращи се с повишени мерки за сигурност.

Всеки, който сериозно мисли за сигурността на своята поверителна информация, е изправен пред задачата да избере софтуер за криптографска защита на данните. И в това няма абсолютно нищо изненадващо - криптирането е един от най-надеждните начини за предотвратяване на неоторизиран достъп до важни документи, бази данни, снимки и всякакви други файлове.

Проблемът е, че за компетентен избор е необходимо да се разберат всички аспекти на работата на криптографските продукти. В противен случай много лесно можете да направите грешка и да се спрете на софтуер, който или не ви позволява да защитите цялата необходима информация, или не осигурява необходимата степен на сигурност. На какво трябва да обърнете внимание? Първо, това са алгоритмите за криптиране, налични в продукта. Второ, методите за удостоверяване на собствениците на информация. Трето, начини за защита на информацията. Четвърто, допълнителни функции и възможности. Пето, авторитетът и славата на производителя, както и наличието на сертификати за разработване на инструменти за криптиране. И това не е всичко, което може да бъде важно при избора на система за криптографска защита.

Ясно е, че за човек, който не е запознат с информационната сигурност, е трудно да намери отговори на всички тези въпроси.

Secret Disk 4 Lite

Secret Disk 4 Lite е разработен от Aladdin, един от световните лидери, работещи в областта на информационната сигурност. Тя има много сертификати. И въпреки че въпросният продукт не е сертифициран инструмент (Secret Disk 4 има отделна сертифицирана версия), този факт показва признанието на компанията като сериозен разработчик на криптографски инструменти.

Secret Disk 4 Lite може да се използва за криптиране отделни секциитвърд диск, всякакви сменяеми устройства, както и за създаване на сигурни виртуални устройства. По този начин с този инструмент можете да разрешите повечето проблеми, свързани с криптографията. Отделно си струва да се отбележи възможността за криптиране системен дял. В този случай зареждането на операционната система от неоторизиран потребител става невъзможно. Освен това тази защита е несравнимо по-надеждна от вградените инструменти за защита на Windows.

Secret Disk 4 Lite няма вградени алгоритми за криптиране. Тази програма използва външни криптографски доставчици за своята работа. По подразбиране се използва стандартен модул, интегриран в Windows. Той изпълнява алгоритмите DES и 3DES. Днес обаче те се считат за остарели. Следователно, за по-добра защитаМожете да изтеглите специален Secret Disk Crypto Pack от уебсайта на Aladdin. Това е криптографски доставчик, който прилага най-сигурните криптографски технологии до момента, включително AES и Twofish с дължина на ключа до 256 бита. Между другото, ако е необходимо, в комбинация с Secret Disk 4 Lite можете да използвате сертифицирани доставчици на алгоритми Signal-COM CSP и CryptoPro CSP.

Отличителна черта на Secret Disk 4 Lite е системата за удостоверяване на потребителя. Въпросът е, че се гради върху употребата цифрови сертификати. За целта в пакета на продукта е включен хардуерен USB eToken. Това е изключително сигурно хранилище за секретни ключове. Всъщност говорим за пълноценна двуфакторна автентификация (наличие на токен плюс познаване на неговия ПИН код). В резултат на това разглежданата система за криптиране е спестена от такова „препятствие“ като използването на конвенционална защита с парола.

От допълнителните функции на Secret Disk 4 Lite може да се отбележи възможността за работа с много потребители (собственикът на криптирани дискове може да предостави достъп до тях на други хора) и фоновата работа на процеса на криптиране.

Интерфейсът на Secret Disk 4 Lite е прост и ясен. Направен е на руски език, точно като подробната помощна система, която описва всички нюанси на използването на продукта.

InfoWatch CryptoStorage

InfoWatch CryptoStorage е продукт на доста известна компания InfoWatch, която има сертификати за разработване, разпространение и поддръжка на инструменти за криптиране. Както вече беше отбелязано, те не са задължителни, но могат да играят ролята на своеобразен индикатор за сериозността на компанията и качеството на нейните продукти.

Фигура 1. Контекстно меню

InfoWatch CryptoStorage реализира само един алгоритъм за криптиране - AES с дължина на ключа 128 бита. Удостоверяването на потребителя се осъществява с помощта на конвенционална защита с парола. В името на справедливостта трябва да се отбележи, че програмата има ограничение за минимална дължина ключови думи, равно на шест знака. Въпреки това, защитата с парола със сигурност е далеч по-ниска по своята надеждност от двуфакторната автентификация с помощта на токени. Характеристика на програмата InfoWatch CryptoStorage е нейната гъвкавост. Въпросът е, че може да се използва за криптиране отделни файловеи папки, цели дялове на твърдия диск, всякакви сменяеми устройства, както и виртуални устройства.

Този продукт, подобно на предишния, ви позволява да защитите системни дискове, тоест може да се използва за предотвратяване на неоторизирано зареждане на компютъра. Всъщност InfoWatch CryptoStorage ви позволява да решавате целия набор от задачи, свързани с използването на симетрично криптиране.

Допълнителна характеристика на разглеждания продукт е организирането на многопотребителски достъп до криптирана информация. Освен това InfoWatch CryptoStorage прилага гарантирано унищожаване на данни без възможност за тяхното възстановяване.

InfoWatch CryptoStorage е рускоезична програма. Интерфейсът му е направен на руски, но е доста необичаен: основният прозорец като такъв липсва (има само малък прозорец на конфигуратора) и почти цялата работа се извършва с помощта на контекстно меню. Такова решение е необичайно, но не може да не се разпознае неговата простота и удобство. Естествено, документацията на руски език в програмата също е налична.

Rohos Disk е продукт на Tesline-Service.S.R.L. Той е част от линия от малки помощни програми, които прилагат различни инструменти за защита на поверителна информация. Тази серия се разработва от 2003 г.


Фигура 2. Програмен интерфейс

Rohos Disk е предназначен за криптографска защита на компютърни данни. Тя ви позволява да създавате криптирани виртуални устройства, на които можете да записвате всякакви файлове и папки, както и да инсталирате софтуер.

За да защити данните, този продукт използва криптографски алгоритъм AES с дължина на ключа от 256 бита, което осигурява висока степенсигурност.

Rohos Disk има два метода за удостоверяване на потребителя. Първият от тях е обичайната защита с парола с всичките й недостатъци. Вторият вариант е да използвате обикновен USB диск, на който е записан необходимия ключ.

Тази опция също не е много надеждна. При използването му загубата на "флашка" може да доведе до сериозни проблеми.

Rohos Disk има широк набор от допълнителни функции. На първо място, заслужава да се отбележи защитата на USB устройствата. Същността му е да създадете специален криптиран дял на "флашката", в който можете безопасно да прехвърляте поверителни данни.

Освен това продуктът включва отделна помощна програма, с която можете да отваряте и преглеждате тези USB устройства на компютри, които нямат инсталиран Rohos Disk.

Следващия допълнителна възможност- Стеганографска поддръжка. Същността на тази технология е да скрие криптирана информация в мултимедийни файлове (поддържат се формати AVI, MP3, MPG, WMV, WMA, OGG).

Използването му ви позволява да скриете самия факт на наличието на таен диск, като го поставите например във филма. Последната допълнителна функция е унищожаването на информация без възможност за нейното възстановяване.

Програмата Rohos Disk има традиционен интерфейс на руски език. Освен това е придружена помощна система, може би не толкова подробен като предишните два продукта, но достатъчен, за да овладеете принципите на неговото използване.

Говорейки за криптографски помощни програми, не може да не споменем безплатния софтуер. Всъщност днес в почти всички области има достойни продукти, които се разпространяват напълно безплатно. И информационната сигурност не е изключение от това правило.

Вярно е, че има двояко отношение към използването на безплатен софтуер за защита на информацията. Факт е, че много помощни програми са написани от отделни програмисти или малки групи. В същото време никой не може да гарантира за качеството на тяхното изпълнение и липсата на "дупки", случайни или умишлени. Но самите криптографски решения са доста трудни за разработване. Когато ги създавате, трябва да вземете предвид огромен брой различни нюанси. Ето защо се препоръчва да се използват само добре познати продукти и винаги с отворен код. Това е единственият начин да сте сигурни, че те нямат "отметки" и са тествани от голям брой специалисти, което означава, че са повече или по-малко надеждни. Пример за такъв продукт е програмата TrueCrypt.


Фигура 3. Интерфейс на програмата

TrueCrypt е може би една от най-богатите на функции безплатни криптографски помощни програми. Първоначално се използва само за създаване на защитени виртуални дискове. Все пак за повечето потребители това е най-удобният начин за защита на различна информация. С течение на времето обаче в него се появи функцията за криптиране на системния дял. Както вече знаем, той има за цел да защити компютъра от неоторизирано стартиране. TrueCrypt обаче все още не знае как да криптира всички други дялове, както и отделни файлове и папки.

Въпросният продукт реализира няколко алгоритъма за криптиране: AES, Serpent и Twofish. Собственикът на информацията може да избере в коя иска да използва този момент. Удостоверяването на потребителя в TrueCrypt може да се извърши с помощта на обикновени пароли. Има обаче и друг вариант - използване на ключови файлове, които могат да се съхраняват на твърд диск или друг сменяемо хранилище. Отделно, заслужава да се отбележи, че тази програма поддържа токени и смарт карти, което ви позволява да организирате надеждна двуфакторна автентификация.

От допълнителните функции на въпросната програма може да се отбележи възможността за създаване скрити обемивътре в основните. Използва се за скриване на чувствителни данни, когато устройство се отвори под принуда. Освен това TrueCrypt внедрява система Резервно копиезаглавки на томове за възстановяване при срив или връщане към стари пароли.

Интерфейсът TrueCrypt е познат на помощните програми от този вид. Той е многоезичен и има възможност за инсталиране на руски език. Документацията е много по-лоша. Така е и е много подробно, но написано английски език. Естествено, за всякакви техническа поддръжкане може да има реч.

За по-голяма яснота всички техни характеристики и функционалност са обобщени в таблица 2.

Таблица 2 - Функционалностпрограми за криптографска защита на информацията.

Secret Disk 4 lite

InfoWatch CryptoStorage

Алгоритми за криптиране

DES, 3DES, AES, TwoFish

AES, Serpent, TwoFish

Максимална дължина на ключа за криптиране

Свързване на външни доставчици на крипто

Силно удостоверяване с помощта на токени

+ (токените се купуват отделно)

Шифроване на файлове и папки

Шифроване на дялове

Системно криптиране

Криптиране на виртуални дискове

Криптиране на преносимо хранилище

Поддръжка за работа с много потребители

Гарантирано унищожаване на данните

Скриване на криптирани обекти

Работа под принуда

Интерфейс на руски език

Документация на руски език

Техническа поддръжка


Зареждане...
Връх