Koja su sredstva skzi. Kriptografske metode zaštite informacija

Slušaj... možeš li, za našu zajedničku korist, svako pismo koje stigne u tvoju poštu, dolazno i odlazno, znaš, nekako ga malo odštampati i pročitati: da li sadrži neki izvještaj ili samo prepisku...

N.V. Gogol "Inspektor"

U idealnom slučaju, samo dvije osobe trebale bi moći da pročitaju povjerljivo pismo: pošiljalac i onaj kome je upućeno Formulacija tako naizgled vrlo jednostavne stvari bila je polazna tačka sistema kriptozaštite. Razvoj matematike dao je podsticaj razvoju ovakvih sistema.

Već u XVII-XVIII vijeku šifre u Rusiji bile su prilično sofisticirane i otporne na razbijanje. Mnogi ruski matematičari radili su na stvaranju ili poboljšanju sistema šifriranja i istovremeno pokušavali da pokupe ključeve za šifre drugih sistema. Trenutno se može uočiti nekoliko ruskih enkripcijskih sistema, kao što su Lexicon Verba, Secret Net, DALLAS LOCK, Secret Disk, porodica proizvoda Accord, itd. O njima ćemo govoriti. Takođe ćete se upoznati sa glavnim softverom i hardverom i softverom kriptozaštitni kompleksi, upoznaju se sa njihovim mogućnostima, snagama i slabosti. Nadamo se da će vam ovaj članak pomoći da odaberete sistem kriptografske zaštite.

Uvod

Da li vas to brine važna informacija iz vašeg kompjutera može pasti u pogrešne ruke? Ove informacije mogu koristiti konkurenti, regulatorna tijela i jednostavno zlobnici. Očigledno, takve radnje vam mogu donijeti značajnu štetu. sta da radim? Kako biste zaštitili svoje podatke od nepoznatih osoba, morate instalirati jedan od programa za šifriranje podataka. Naš pregled je posvećen analizi enkripcijskih sistema za desktop sisteme. Treba napomenuti da je upotreba stranih sistema šifriranja u Rusiji vrlo ograničena iz više razloga državne organizacije a velike domaće kompanije su prinuđene da koriste ruska dostignuća. Međutim, srednja i mala preduzeća, kao i pojedinci, ponekad preferiraju strane sisteme.

Za neupućene, šifriranje informacija izgleda kao nešto poput crne magije. Zaista, šifriranje poruka kako bi se njihov sadržaj sakrio od autsajdera je složen matematički problem. Osim toga, šifra mora biti odabrana na takav način da je praktički nemoguće otvoriti bez ključa, a brzo i jednostavno ključem. Mnogim kompanijama i organizacijama je to veoma teško optimalan izbor prilikom instaliranja programa za šifriranje. Stvar se dodatno komplikuje činjenicom da ne postoje apsolutno sigurni računari i apsolutno pouzdani sistemi za šifrovanje. Međutim, još uvijek postoji dovoljno načina na koje možete odbiti gotovo sve pokušaje otkrivanja šifriranih informacija.

Šta programi za šifrovanje imaju unutra

Programi za šifriranje se međusobno razlikuju po algoritmu šifriranja. Nakon što je datoteka šifrirana, možete je zapisati na disketu, poslati putem e-mail ili stavite na server u svom lokalna mreža. Primalac vaše enkripcije mora imati isti program za šifriranje da bi pročitao sadržaj datoteke.

Ako želite poslati šifriranu poruku većem broju korisnika u isto vrijeme, tada se vaši podaci za svakog primatelja mogu šifrirati vlastitim ključem ili zajedničkim ključem za sve korisnike (uključujući autora poruke).

Kriptosistem koristi tajni kod da pretvori vaše podatke u besmisleni, pseudo-slučajni skup znakova. At dobar algoritam enkripcijom, gotovo je nemoguće dešifrirati poruku bez znanja tajni kod koristi se za enkripciju. Takvi algoritmi se nazivaju algoritmi simetričnog ključa jer se isti ključ koristi za šifriranje i dešifriranje informacija.

Kako bi zaštitio vaše podatke, program za šifriranje kreira tajni ključ na osnovu vaše lozinke. Vi samo trebate postaviti dugu lozinku koju niko ne može pogoditi. Međutim, ako želite da neko drugi pročita datoteku, morate toj osobi reći tajni ključ (ili lozinku na kojoj se zasniva). Možete biti sigurni da će čak i jednostavan algoritam šifriranja zaštititi vaše podatke od običan korisnik, recimo, od kolege na poslu. Međutim, profesionalci imaju nekoliko načina da dešifruju poruku bez poznavanja tajne šifre.

Bez posebnog znanja nećete moći samostalno provjeriti koliko je pouzdan vaš algoritam šifriranja. Ali možete se osloniti na mišljenje profesionalaca. Neki algoritmi za šifrovanje, kao što je Triple DES (Standard šifriranja podataka), bili su podvrgnuti godinama testiranja. Prema rezultatima testa, ovaj algoritam se dobro pokazao, a kriptografi vjeruju da mu se može vjerovati. Većina novih algoritama se također pažljivo proučava, a rezultati se objavljuju u stručnoj literaturi.

Ako algoritam programa nije otvoreno pregledan i raspravljen od strane profesionalaca, ako nema certifikate i druge službene papire, to je razlog za sumnju u njegovu pouzdanost i odbijanje korištenja takvog programa.

Drugi tip sistema za šifrovanje su sistemi javnih ključeva. Da bi takav sistem funkcionisao, nije potrebno da se primaocu kaže tajni ključ (ili šifra na osnovu koje je kreiran). Ovi sistemi za šifrovanje generišu dva digitalna ključa za svakog korisnika: jedan se koristi za šifrovanje podataka, drugi - za njihovo dešifrovanje. Prvi ključ (koji se zove javni ključ) može biti javno objavljen, dok se drugi ključ čuva u tajnosti. Nakon toga, bilo ko može šifrirati informacije javnim ključem, a samo oni koji imaju odgovarajući tajni ključ mogu ih dešifrirati.

Neki programi za šifriranje sadrže još jedno važno sredstvo zaštite - digitalni potpis. Digitalni potpis potvrđuje da datoteka nije izmijenjena otkako je potpisana i daje primaocu informaciju o tome ko je tačno potpisao datoteku. Algoritam kreiranja digitalni potpis baziran na izračunavanju kontrolne sume - tzv. hash sume, ili sažetak poruke. Primijenjeni algoritmi garantuju da je nemoguće pokupiti dva različita fajla čiji bi se hash sumi podudarali.

Kada primalac primi digitalno potpisanu datoteku, njihov program za šifriranje ponovo izračunava hash zbroj za tu datoteku. Primalac zatim koristi javni ključ koji je objavio pošiljalac da povrati digitalni potpis. Ako rezultat odgovara vrijednosti izračunatoj za datoteku, tada primalac može biti siguran da tekst poruke nije promijenjen (ako bi se to dogodilo, hash zbroj bi bio drugačiji), a potpis pripada osobi koja ima pristup na tajni ključ pošiljaoca.

Za zaštitu važnih ili povjerljiva informacija potrebno ne samo dobar program enkripcija. Morate poduzeti niz koraka kako biste osigurali sigurnost informacija. Ako je vaša lozinka slaba (stručnjaci preporučuju da je postavite na osam ili više znakova) ili ako je na vašem računalu pohranjena nešifrirana kopija povjerljivih informacija, u ovom slučaju čak najbolji sistem enkripcija će biti nemoćna.

Leksikon-Verba sistem

Leksikon-Verba sistem je sredstvo za organizovanje zaštićenog elektronsko upravljanje dokumentima kako unutar korporativne mreže tako i između različitih organizacija. Lexicon-Verba koristi dve modifikacije kriptografskog sistema: Verba-W sistem je namenjen državnim organima (zaštita poverljivih informacija, posebno iverice; ključevi za potpis su otvoreni, ključevi za šifrovanje zatvoreni), Verba-OW sistem je za komercijalnu upotrebu. organizacije (zaštita poslovnih tajni; otvoreni ključevi za potpis i šifriranje).

Postoji dosta globalnih standarda šifriranja, ali samo mali dio njih je certificiran od strane Federalne agencije za vladine komunikacije i informacije (FAPSI), što onemogućuje korištenje necertificiranih rješenja u Rusiji. Verba-W sistem ima FAPSI sertifikat br. SF / 114-0176. Verba-OW sistem - FAPSI sertifikat br. SF / 114-0174.

"Lexicon-Verba" obezbeđuje šifrovanje i digitalni potpis u skladu sa zahtevima GOST 28147-89 "Sistemi za obradu informacija. Kriptografska zaštita” i GOST R34.10-94 „Informaciona tehnologija. Kriptografska zaštita informacija. Procedure za razvoj i verifikaciju elektronskog digitalnog potpisa zasnovanog na asimetričnom kriptografskom algoritmu.

Program je certificiran od strane Državne tehničke komisije pri predsjedniku Ruska Federacija. U julu se očekuje da dobije sertifikat od ruskog Ministarstva odbrane.

Kriptografska zaštita sistema zasniva se na metodi šifrovanja javnim ključem. Svaki ključ koji identifikuje korisnika sastoji se od dva dela: javnog ključa i privatnog ključa. Javni ključ se slobodno distribuira i koristi se za šifriranje informacija ovog korisnika. Da bi dešifrirao dokument, osoba koja ga je šifrirala mora imati vaš javni ključ i identificirati vas da imate pristup dokumentu kada ga šifrira.

Da biste dešifrirali dokument, morate koristiti privatni ključ. Privatni ključ se sastoji od dva dijela, od kojih je jedan pohranjen na pametnoj kartici ili dodirnoj memoriji, a drugi na tvrdom disku vašeg računara. Dakle, ni gubitak pametne kartice ni neovlašćeni pristup računaru ne omogućavaju pojedinačno dešifrovanje dokumenata.

Početni set ključeva, koji uključuje kompletne informacije o javnim i privatnim ključevima korisnika, kreira se na posebno opremljenom bezbednom radnom mestu. Disketa sa ključnim informacijama koristi se samo u fazi pripreme radnog mjesta korisnika.

Lexicon-Verba sistem se može koristiti u okviru dva glavna sistema za organizovanje sigurnog upravljanja dokumentima:

kao samostalno rešenje. Ako organizacija ima lokalnu mrežu, sistem se može instalirati ne na sve računare, već samo na one koji zahtijevaju rad s povjerljivim dokumentima. To znači da unutar korporativne mreže postoji podmreža za razmjenu povjerljivih informacija. Istovremeno, učesnici zatvorenog dela sistema mogu da razmenjuju otvorene dokumente sa drugim zaposlenima;
kao dio toka posla. Lexicon-Verba ima standardne interfejse za povezivanje vanjske funkcije za obavljanje operacija otvaranja, čuvanja, zatvaranja i slanja dokumenata, što olakšava integraciju ovog sistema u postojeće i novorazvijene sisteme toka posla.

Treba napomenuti da svojstva Lexicon-Verba sistema čine ga ne samo sredstvom pružanja zaštita informacija od vanjskih upada, ali i kao sredstvo za povećanje povjerljivosti unutar kompanije i dijeljenje pristupa.

Jedan od važnih dodatnih resursa za povećanje nivoa kontrole sigurnosti informacija je mogućnost održavanja "dnevnika događaja" za bilo koji dokument. Funkcija popravljanja istorije dokumenata može se omogućiti ili onemogućiti samo kada je sistem instaliran; kada je uključen ovaj magazinće se provoditi bez obzira na želju korisnika.

Glavna prednost i karakteristična karakteristika Sistem je jednostavna i intuitivna implementacija funkcija sigurnosti informacija uz zadržavanje tradicionalnog procesori teksta radno okruženje korisnika.

Jedinica za kriptografiju vrši šifriranje, kao i instalaciju i uklanjanje elektronskog digitalnog potpisa (EDS) dokumenata.

Pomoćne funkcije bloka - preuzimanje tajnog ključa, izvoz i uvoz javnih ključeva, postavljanje i održavanje direktorija sistemskih pretplatničkih ključeva.

Dakle, svako od onih koji imaju pristup dokumentu može staviti samo svoj potpis, ali ukloniti bilo koji od prethodno postavljenih.

Ovo odražava prihvaćenu proceduru kancelarijskog rada, kada, kako se dokument odobrava, može biti predmet revizije u različitim fazama, ali nakon toga dokument mora biti ponovo odobren.

Ako pokušate da izvršite izmjene u dokumentu drugim sredstvima osim "Lexicon-Verba", EDS je oštećen, zbog čega će se u polju "Status potpisa" pojaviti natpis "Oštećen".

Ured

Kako se broj korisnika sistema povećava, unošenje svakog javnog ključa na svakom računaru postaje teško. Zbog toga je za organizovanje rada kancelarije organizovana centralizovana administracija imenika javnih ključeva. To se radi na sljedeći način:

1) "Lexicon-Verba" je instaliran na računar administratora u lokalnom režimu. Ovo kreira direktorijum javnih ključeva, u koji administrator dodaje svaki ključ koji se koristi u kancelariji;

2) na svim ostalim računarima sistem je instaliran mrežni način rada. Ovaj način rada koristi direktorij javnih ključeva koji se nalazi na administratorskom računaru;

3) svaki Novi korisnik, koji je administrator dodao u direktorij, postaje "vidljiv" svim korisnicima povezanim na direktorij. Od tog trenutka dobijaju priliku da mu prenesu šifrovane dokumente.

Administracija direktorijuma postaje centralizovana, ali to ne utiče na nivo bezbednosti sistema, jer je obezbeđivanje pristupa javnim ključevima svojevrsno "upoznavanje" korisnika, ali ne daje pristup nikakvim dokumentima. Da bi korisnik mogao dešifrirati dokument, njegov javni ključ ne samo da mora biti u direktoriju, već mora biti i eksplicitno naveden kao da ima pristup dokumentu.

Kriptografske metode zaštite informacija mogu se implementirati i softverski i hardverski. Hardverski enkoder ili uređaj kriptografska zaštita data (UKZD) je, najčešće, kartica za proširenje koja se ubacuje u 18A ili PC1 konektor na matičnoj ploči PC(PC) (slika 3.21). Postoje i druge mogućnosti implementacije, na primjer, u obliku u8B ključa sa kriptografskim funkcijama (slika 3.22).

Proizvođači hardverskih kodera obično ih opremaju raznim dodatnim funkcijama, uključujući:

Za primanje je potrebno generiranje slučajnih brojeva kriptografski ključevi. Osim toga, mnogi kriptografski algoritmi ih koriste u druge svrhe, na primjer, u algoritmu elektronskog digitalnog potpisa, GOST R 34.10-2001, potreban je novi slučajni broj za svaki proračun potpisa;

Rice. 3.21. Hardverski enkoder u obliku PC1 ploče:

1 - tehnološki konektori; 2 - memorija za logovanje; 3 - prekidači načina rada; 4 - multifunkcionalna memorija; 5 - upravljačka jedinica i mikroprocesor; 6- PC1 interfejs; 7- PC1 kontroler; 8- DSC; 9- interfejsi za povezivanje nosača ključeva

Rice. 3.22.

kontrola prijave na računar. Prilikom uključivanja računara, uređaj zahteva od korisnika da unese lične podatke (na primer, ubaci uređaj sa privatnim ključem). Učitavanje operativnog sistema biće dozvoljeno tek nakon što uređaj prepozna predstavljene ključeve i smatra ih "svojima". U suprotnom, moraćete da otvorite sistemska jedinica i uklonite enkoder odatle da biste učitali operativni sistem (međutim, informacije na čvrstom disku računara takođe mogu biti šifrovane);
kontrola integriteta datoteka operativnog sistema kako bi se spriječile zlonamjerne izmjene konfiguracijske datoteke I sistemski programi. Koder pohranjuje listu svih važnih datoteka sa unaprijed izračunatim kontrolnim hash vrijednostima za svaku od njih, a ako hash vrijednost barem jedne od kontroliranih datoteka ne odgovara standardu pri sljedećem pokretanju OS-a, računar će biti blokiran.

Enkriptor koji vrši kontrolu prijave na PC i provjerava integritet operativnog sistema naziva se i " elektronska brava» (vidi par. 1.3).

Na sl. 3.23 prikazuje tipičnu strukturu hardverskog enkodera. Razmotrite funkcije njegovih glavnih blokova:

kontrolna jedinica - glavni modul enkodera. Obično se implementira na bazi mikrokontrolera, pri odabiru kojeg je glavna stvar brzina i dovoljna količina internih resursa, kao i vanjski portovi za povezivanje svih potrebnih modula;
PC sistemski kontroler sabirnice (na primjer, PC1), preko kojeg se vrši glavna razmjena podataka između UKZD-a i računala;
trajni uređaj za pohranu (memorija), obično implementiran na bazi flash memorijskih čipova. Mora biti dovoljno kapaciteta (nekoliko megabajta) i omogućiti veliki broj ciklusa pisanja. Ovdje se nalazi softver mikrokontroler koji ti

Rice. 3.23. UKZD struktura se popunjava kada se uređaj inicijalizuje (kada enkoder preuzme kontrolu kada se računar pokrene);

Memorija dnevnika revizije, koja je također nepromjenjiva memorija (da bi se izbjegle moguće kolizije, programska memorija i memorija dnevnika ne bi trebalo da se kombinuju);
procesor šifre (ili nekoliko sličnih jedinica) - specijalizirano mikrokolo ili mikrokolo programabilne logičke PLD (Programmable Logic Device), koje osigurava izvođenje kriptografskih operacija (šifriranje i dešifriranje, izračunavanje i verifikacija EDS-a, heširanje);
generator slučajnih brojeva, koji je uređaj koji proizvodi statistički nasumičan i nepredvidiv signal (tzv. bijeli šum). To može biti, na primjer, šum dioda. Prije daljnje upotrebe u procesoru šifriranja, prema posebnim pravilima, bijeli šum se pretvara u digitalni oblik;
blok za unos ključnih informacija. Omogućava siguran prijem privatnih ključeva od nosioca ključa i unos identifikacionih podataka o korisniku potrebnih za njegovu autentifikaciju;
blok prekidača potrebnih za onemogućavanje mogućnosti rada sa vanjskim uređajima (drijevi, CD-ROM, paralelni i serijski portovi, USB magistrala itd.). Ako korisnik radi s vrlo osjetljivim informacijama, UKZD će sve blokirati eksternih uređaja, uključujući čak i mrežnu karticu.

Kriptografske operacije u UKZD treba izvoditi na način da se isključi neovlašteni pristup sesiji i privatni ključevi i mogućnost uticaja na rezultate njihove implementacije. Dakle, procesor šifre se logično sastoji od nekoliko blokova (slika 3.24):

kalkulator - skup registara, sabirača, zamjenskih blokova itd. međusobno povezane sabirnicama podataka. Dizajniran za najbrže izvršavanje kriptografskih operacija. Kao ulaz, kalkulator prima otvorene podatke koji treba da budu šifrovani (dešifrovani) ili potpisani, i kriptografski ključ;
kontrolna jedinica - hardverski implementiran program koji upravlja kalkulatorom. Ako iz bilo kog razloga

Rice. 3.24.

program će se promeniti, njegov rad će početi da posustaje. Stoga ovaj program ne samo da mora biti sigurno pohranjen i stabilno funkcionirati, već i redovno provjeravati njegov integritet. Gore opisana eksterna kontrolna jedinica također periodično šalje upravljačke zadatke upravljačkoj jedinici. U praksi, radi većeg povjerenja u koder, instalirana su dva procesora šifriranja koji stalno upoređuju rezultate svojih kriptografskih operacija (ako se ne podudaraju, operacija se ponavlja);

I/O bafer je potreban za poboljšanje performansi uređaja: dok se prvi blok podataka šifrira, sljedeći se učitava, itd. Ista stvar se dešava na izlazu. Takav prenos podataka kroz cevovod ozbiljno povećava brzinu kriptografskih operacija u koderu.

Postoji još jedan zadatak osiguranja sigurnosti prilikom izvođenja kriptografskih operacija od strane kodera: učitavanje ključeva u koder, zaobilaženje RAM-a računala, gdje se teoretski mogu presresti, pa čak i zamijeniti. Da biste to učinili, UKZD dodatno sadrži ulazno-izlazne portove (na primjer, COM ili USB), koji su direktno povezani na različitih uređajačitanje ključnih medija. To mogu biti bilo koje pametne kartice, tokeni (posebni USB ključevi) ili elementi Touch Memory (pogledajte par. 1.3). Osim direktnog unosa ključeva u UKZD, mnogi od ovih medija pružaju i njihovo pouzdano skladištenje - čak ni nosač ključa bez poznavanja posebnog pristupnog koda (na primjer, PIN koda) neće moći pročitati njegov sadržaj.

Kako bi se izbjegle kolizije prilikom istovremenog pristupa enkoderu različiti programi, V kompjuterski sistem instaliranje posebnog softvera

Rice. 3.25.

(softver) za upravljanje enkoderom (slika 3.25). Takav softver izdaje komande preko drajvera enkodera i prenosi podatke u koder, pazeći da se tokovi informacija iz različitih izvora ne preklapaju, kao i da koder uvijek sadrži prave ključeve. Dakle, UKZD izvodi dva fundamentalno različite vrste naredbe:
prije učitavanja operativnog sistema izvršavaju se naredbe koje se nalaze u memoriji enkodera, koje vrše sve potrebne provjere (na primjer, identifikacija i autentifikacija korisnika) i postavljaju potreban nivo sigurnosti (na primjer, isključuju vanjske uređaje);
nakon učitavanja OS-a (na primjer, Windows), izvršavaju se naredbe koje dolaze preko softvera za kontrolu šifriranja (šifriranje podataka, ponovno učitavanje ključeva, izračunavanje slučajnih brojeva, itd.).

Takvo razdvajanje je neophodno iz sigurnosnih razloga - nakon izvršenja naredbi prvog bloka, koji se ne može zaobići, uljez više neće moći izvoditi neovlaštene radnje.

Druga svrha softvera za upravljanje koderom je da pruži mogućnost zamjene jednog kodera drugim (recimo, onim koji je produktivniji ili implementira druge kriptografske algoritme) bez promjene softvera. To se dešava na isti način, na primjer, mijenjanje mrežna kartica: Enkriptor dolazi sa drajverom koji omogućava programima da izvode standardni skup kriptografskih funkcija u skladu sa nekim interfejsom za programiranje aplikacije (na primjer, CryptAP1).

Na isti način možete zamijeniti hardverski enkoder softverskim (na primjer, emulator enkodera). Da bi se to postiglo, softverski enkoder se obično implementira kao drajver koji pruža isti skup funkcija.

Međutim, nije svim UKZD-ima potreban softver za upravljanje koderom (posebno enkoder za "transparentno" šifriranje-dešifriranje svih tvrdi disk Računar treba samo jednom podesiti).

Da bi se dodatno osigurala sigurnost obavljanja kriptografskih operacija u UKZD, može se koristiti višeslojna zaštita kriptografskih ključeva simetrične enkripcije, u kojoj se nasumični ključ sesije šifrira dugotrajnim korisničkim ključem, a on sa glavni ključ (slika 3.26).

U fazi početnog učitavanja, glavni ključ se unosi u ključnu ćeliju br. 3 memorije kodera. Ali za enkripciju na tri nivoa, morate nabaviti još dva. Ključ sesije se generira kao rezultat zahtjeva generatoru (senzoru)

Rice. 3.26. Šifriranje datoteke pomoću UKZD ny numbers (DSN) kodera za dobivanje slučajnog broja, koji se učitava u ključnu ćeliju br. 1 koja odgovara ključu sesije. On šifrira sadržaj datoteke i kreira novi fajl A koji pohranjuje šifrirane informacije.

Zatim se od korisnika traži dugoročni ključ, koji se učitava u ključnu ćeliju #2 uz dešifriranje pomoću glavnog ključa koji se nalazi u ćeliji #3. u ovom slučaju, ključ nikada ne “napušta” enkoder. Konačno, ključ sesije se šifrira pomoću dugoročnog ključa u ćeliji 2, preuzima se iz enkriptora i upisuje u zaglavlje šifrirane datoteke.

Prilikom dešifriranja datoteke, ključ sesije se prvo dešifruje pomoću korisničkog dugoročnog ključa, a zatim se informacije vraćaju pomoću njega.

U principu, jedan ključ se može koristiti za šifriranje, ali shema s više ključeva ima ozbiljne prednosti. Prvo, smanjena je mogućnost napada na dugoročni ključ, jer se koristi samo za šifriranje kratkih ključeva sesije. A to komplicira napadaču kriptoanalizu šifriranih informacija kako bi se dobio dugoročni ključ. Drugo, kada promijenite dugoročni ključ, možete vrlo brzo ponovo šifrirati datoteku: dovoljno je ponovo šifrirati ključ sesije sa starog dugoročnog ključa na novi. Treće, nosilac ključa je ispražnjen, jer je na njemu pohranjen samo glavni ključ, a svi dugoročni ključevi (a korisnik ih može imati nekoliko za različite svrhe) mogu se pohraniti šifrirani s glavnim ključem čak i na hard računaru voziti.

Enkriptori u obliku SHV ključeva (vidi sliku 3.22) još uvijek ne mogu postati potpuna zamjena za hardverski enkoder za PC1 sabirnicu zbog niske brzine šifriranja. Međutim, oni imaju nekoliko zanimljivih karakteristika. Prvo, token (SW ključ) nije samo hardverski enkoder, već i nosilac ključeva za šifrovanje, odnosno uređaj dva u jednom. Drugo, tokeni obično odgovaraju zajedničkom međunarodnom kriptografski standardi(RKSB #11, 1BO 7816, RS/8S, itd.), a mogu se koristiti bez dodatna podešavanja u već postojećem softveru za sigurnost informacija (na primjer, mogu se koristiti za autentifikaciju korisnika u operativnom sistemu porodice Microsoft Windows). I na kraju, cijena takvog enkodera je deset puta niža od cijene klasičnog hardverskog enkodera za PCI sabirnicu.

Sredstva kriptografske zaštite informacija (CIPF) su važna komponenta u osiguravanju sigurnosti informacija i omogućavaju visoki nivo sigurnost podataka, čak i ako su šifrirani elektronski dokumenti u ruke trećih lica, kao iu slučaju krađe ili gubitka medija za skladištenje kod njih. CIPF se danas koriste u skoro svakoj kompaniji – češće na nivou interakcije sa automatizovanim bankarski sistemi i državni informacioni sistemi; rjeđe - za pohranjivanje korporativnih podataka i njihovu razmjenu. U međuvremenu, to je najnovija upotreba enkripcije koja vam omogućava da zaštitite svoje poslovanje od opasnog curenja kritičnih informacija sa garancijom do 99%, čak i uzimajući u obzir ljudski faktor.

Funkcionalno, potreba za korištenjem CIPF-a također je određena sve većom popularnošću elektronskog upravljanja dokumentima, arhiviranja i interakcije bez papira. Važnost dokumenata koji se obrađuju u ovakvim sistemima diktira obavezu osiguranja visoke sigurnosti informacija, što se ne može učiniti bez upotrebe enkripcije i elektronskih potpisa.

Uvođenje CIPF-a u korporativnu praksu predviđa stvaranje softversko-hardverskog kompleksa čija se arhitektura i sastav određuje na osnovu potreba određenog kupca, zakonskih zahtjeva, zadataka i potrebnih metoda, te algoritama šifriranja. Ovo može uključivati komponente softvera za šifriranje (kriptoprovajdere), alate za organizaciju VPN-a, alate za identifikaciju, alate za generiranje i verifikaciju ključeva i digitalnih potpisa koji služe za organiziranje zakonski značajnog toka posla i hardverske medije za pohranu.

Korporativni alati za šifrovanje koje implementira AST mogu podržati GOST algoritme šifriranja i pružiti potrebne klase kriptografske zaštite u zavisnosti od potrebnog stepena zaštite, regulatornog okvira i zahtjeva kompatibilnosti sa drugim, uključujući eksterne sisteme. Istovremeno, alati za enkripciju obezbeđuju zaštitu čitavog skupa informacionih komponenti – fajlova, direktorijuma sa fajlovima i arhivama, fizičkih i virtuelnih medija za skladištenje podataka, čitavih servera i sistema za skladištenje podataka.

Rešenje će moći da obezbedi čitav niz mera za pouzdanu zaštitu informacija tokom njihovog skladištenja, prenosa, korišćenja, kao i za upravljanje samim CIPF-om, uključujući:

Osiguravanje povjerljivosti informacija
Osiguravanje integriteta informacija
Garancija na autentičnost informacija
Ciljana zaštita informacija, uključujući:
- Šifrovanje i dešifrovanje
— Kreiranje i verifikacija EDS-a
Fleksibilnost konfiguracije, upravljanja i upotrebe CIPF-a
Zaštita CIPF-a, uključujući praćenje i otkrivanje slučajeva kvara, pokušaja neovlaštenog pristupa, slučajeva kompromitacije ključeva.

Završeni projekti

Povezane usluge:

Praćenje događaja i upravljanje incidentima sigurnosti informacija
Najvažniji faktor u osiguravanju sigurnosti informacija (IS) je dostupnost potpunih i pouzdanih informacija o događajima,
[...]
Osiguravanje sigurnosti mreže i zaštite perimetra
Mrežna infrastruktura tehnološki je u osnovi svih korporativnih IT sistema i predstavlja transportnu arteriju za informacije,
[...]
Zaštita od ciljanih napada
Ciljane su jedne od najozbiljnijih i najopasnijih prijetnji po poslovanje u smislu informacione sigurnosti (IS).
[...]
ACS zaštita
Automatizovani sistem upravljanja procesima (APCS) u proizvodnji je osnovno rešenje,
[...]
Analiza ranjivosti i sistemi upravljanja
Kao što apsolutno nema zdravi ljudi, a nema apsolutno zaštićenih informacioni sistemi. Komponente IT infrastrukture
[...]
Zaštita od curenja informacija (DLP sistem)
Svaka organizacija ima dokumente sa ograničen pristup koji sadrže određene povjerljive informacije. Njihov ulazak u druge

Sredstva kriptografske zaštite informacija (CIPF) uključuju hardver, softver i hardver i softver, koji implementiraju kriptografske algoritme za pretvaranje informacija kako bi:

Zaštita informacija tokom njihove obrade, skladištenja i prenosa kroz transportno okruženje AU;

Osiguravanje pouzdanosti i integriteta informacija (uključujući korištenje algoritama digitalnog potpisa) tokom njihove obrade, skladištenja i prijenosa preko transportnog okruženja AS;

Razvoj informacija koje se koriste za identifikaciju i provjeru autentičnosti subjekata, korisnika i uređaja;

Razvoj informacija koje se koriste za zaštitu elemenata za autentifikaciju bezbednog AS-a tokom njihovog generisanja, skladištenja, obrade i prenosa.

Pretpostavlja se da se kriptografski alati za zaštitu informacija koriste u nekim AS (u nizu izvora - informaciono-telekomunikacioni sistem ili komunikaciona mreža), zajedno sa mehanizmima za implementaciju i garantovanje bezbednosne politike.

Kriptografska transformacija ima niz značajnih karakteristika:

CIPF implementira neki algoritam konverzije informacija (šifriranje, elektronski digitalni potpis, kontrola integriteta)

Ulazni i izlazni argumenti kriptografske transformacije prisutni su u AS-u u nekom materijalnom obliku (AS objekti)

CIPF koristi neke povjerljive informacije (ključeve) za rad

Algoritam kriptografske transformacije implementiran je kao neki materijalni objekt koji je u interakciji sa okruženjem (uključujući subjekte i objekte zaštićenog AS).

Dakle, uloga CIPF-a u sigurnom AS-u je transformacija objekata. U svakom konkretan slučaj ova transformacija ima singularnosti. Dakle, procedura enkripcije koristi objekt - običan tekst i objekt - ključ kao ulazne parametre, rezultat transformacije je objekt - šifrirani tekst; naprotiv, postupak dešifriranja koristi šifrirani tekst i ključ kao ulaz; Procedura postavljanja digitalnog potpisa koristi objekt - poruku i objekat - tajni ključ potpisa kao ulazne parametre, rezultat digitalnog potpisa je objekat - potpis, po pravilu, integrisan u objekt - poruka . Možemo reći da CIPF štiti objekte na semantičkom nivou. U isto vrijeme, objekti - parametri kriptografske transformacije su punopravni AS objekti i mogu biti objekti neke sigurnosne politike (na primjer, ključevi za šifriranje mogu i trebaju biti zaštićeni od neovlaštenog pristupa, javni ključevi za provjeru digitalnog potpisa od promjena). Dakle, uređaji za kriptografsku zaštitu informacija kao dio sigurnih AS-ova imaju specifičnu implementaciju - to može biti poseban specijalizovani uređaj ugrađen u računar ili specijalizovani program. Sljedeće tačke su bitne:

CIPF razmjenjuje informacije sa vanjskim okruženjem, odnosno: ključevi se unose u njega, običan tekst tokom enkripcije

CIPF u slučaju hardverske implementacije koristi bazu elemenata ograničene pouzdanosti (tj. u dijelovima koji čine CIPF mogući su kvarovi ili kvarovi)

CIPF se u slučaju implementacije softvera izvodi na procesoru ograničene pouzdanosti iu softverskom okruženju koje sadrži programe trećih strana koji mogu utjecati na različite faze njegovog rada

CIPF je pohranjen na materijalnom mediju (u slučaju implementacije softvera) i može biti namjerno ili slučajno izobličen tokom skladištenja

CIPF je u interakciji s vanjskim okruženjem indirektno (napaja se iz mreže, emituje elektromagnetna polja)

CIPF proizvodi i/ili koristi osoba koja može napraviti greške (namjerne ili slučajne) tokom razvoja i rada

Postojeća sredstva zaštite podataka u telekomunikacionim mrežama mogu se podijeliti u dvije grupe prema principu izgradnje ključnog sistema i sistema autentikacije. Prva grupa uključuje alate koji koriste simetrične kriptografske algoritme za izgradnju ključnog sistema i sistema za autentifikaciju, a druga grupa uključuje asimetrične.

Hajde da izvršimo komparativnu analizu ovih sistema. Informaciona poruka spremna za prenos, u početku otvorena i nezaštićena, šifruje se i time pretvara u šifrogram, odnosno u zatvoreni tekst ili grafička slika dokument. U ovom obliku, poruka se prenosi komunikacijskim kanalom, čak i ako nije siguran. Ovlašteni korisnik, nakon što primi poruku, dešifrira je (odnosno otkriva) pomoću inverzna transformacija kriptogrami, kao rezultat kojih se dobija originalna, otvorena forma poruke, dostupna za percepciju ovlaštenim korisnicima. Metoda transformacije u kriptografskom sistemu odgovara upotrebi posebnog algoritma. Radnju takvog algoritma pokreće jedinstveni broj (niz bitova), koji se obično naziva ključ za šifriranje.

Za većinu sistema, kolo generatora ključeva može biti skup instrukcija i komandi, bilo komad hardvera ili kompjuterski program, ili sve ovo zajedno, ali u svakom slučaju, proces šifriranja (dešifriranja) se implementira samo ovim posebnim ključem. Da bi razmjena šifriranih podataka bila uspješna, i pošiljatelj i primalac moraju znati ispravnu postavku ključa i čuvati ga u tajnosti. Snaga svakog zatvorenog komunikacijskog sistema određena je stepenom tajnosti ključa koji se u njemu koristi. Međutim, ovaj ključ mora biti poznat drugim korisnicima mreže kako bi mogli slobodno razmjenjivati šifrirane poruke. U tom smislu i kriptografski sistemi pomažu u rješavanju problema autentifikacije (autentifikacije) primljenih informacija. U slučaju presretanja poruke, kreker će se baviti samo šifriranim tekstom, a pravi primalac će, prihvatajući poruke zatvorene njemu i pošiljaocu, biti pouzdano zaštićen od mogućih dezinformacija. Osim toga, postoji mogućnost šifriranja informacija i još mnogo toga na jednostavan način- korištenjem generatora pseudo-slučajnih brojeva. Upotreba generatora pseudoslučajnih brojeva sastoji se u generiranju gama šifre pomoću generatora pseudoslučajnih brojeva sa određenim ključem i primjene rezultirajuće gama na otvorene podatke na reverzibilan način. Ova metoda kriptografske zaštite implementira se prilično lako i pruža prilično veliku brzinu šifriranja, ali nije dovoljno otporna na dešifriranje.

Klasičnu kriptografiju karakteriše upotreba jedne tajne jedinice - ključa, koji pošiljaocu omogućava da šifrira poruku, a primaocu da je dešifruje. U slučaju šifriranja podataka pohranjenih na magnetskom ili drugom mediju za pohranu, ključ vam omogućava šifriranje informacija prilikom pisanja na medij i dešifriranje prilikom čitanja s njega.

"Organizaciono-pravne metode informacione sigurnosti"

Glavna regulatorna uputstva koja se odnose na državne tajne, regulatorna i referentna dokumenta

Do danas je u našoj zemlji stvoren stabilan zakonodavni okvir u oblasti zaštite informacija. Osnovni zakon se može nazvati Federalnim zakonom Ruske Federacije „O informacijama, informacione tehnologije i o zaštiti informacija. „Državno uređenje odnosa u oblasti zaštite informacija vrši se uspostavljanjem uslova za zaštitu informacija, kao i odgovornosti za kršenje zakonodavstva Ruske Federacije o informacijama, informacionim tehnologijama i zaštiti informacija.“ Zakon takođe utvrđuje obaveze. vlasnika informacija i operatera informacionih sistema.

Što se tiče „kodifikovanog“ regulisanja informacione bezbednosti, norme Zakonika o upravnim prekršajima Ruske Federacije i Krivičnog zakona Ruske Federacije takođe sadrže neophodne članove. U čl. 13.12 Zakona o upravnim prekršajima Ruske Federacije odnosi se na kršenje pravila o zaštiti informacija. Također čl. 13.13, koji predviđa kaznu za nezakonite radnje u oblasti zaštite informacija. I čl. 13.14. koji predviđa kaznu za otkrivanje informacija sa ograničenim pristupom. Član 183. Krivični zakon Ruske Federacije predviđa kaznu za nezakonito primanje i odavanje informacija koje predstavljaju poslovnu, poresku ili bankarsku tajnu.

Federalni zakon "O informacijama, informatizaciji i zaštiti informacija" utvrđuje da su državni informacioni resursi Ruske Federacije otvoreni i javno dostupni. Izuzetak su dokumentovane informacije koje su zakonom klasifikovane kao ograničeni pristup.

Pojam državne tajne definisan je u Zakonu „O državnim tajnama“ kao „podaci koje država štiti u oblasti svojih vojnih, spoljnopolitičkih, ekonomskih, obaveštajnih, kontraobaveštajnih i operativno-istražnih delatnosti, čije širenje može štetiti sigurnost Ruske Federacije." Dakle, na osnovu ravnoteže interesa države, društva i građana, djelokrug Zakona je ograničen na određene vrste djelatnosti: vojne, spoljnopolitičke, ekonomske, obavještajne, kontraobavještajne i operativno-istražne.

Zakon je odredio da je glavni kriterijum da tajni podaci pripadaju državi.

Zakonom je osigurano i formiranje niza tijela u oblasti zaštite državne tajne, a posebno interresorne komisije za zaštitu državne tajne, uvedena institucija službenih lica koja imaju ovlašćenje da podatke klasifikuju kao državne tajne, dok je na istovremeno nametanje lične odgovornosti za radnje zaštite državne tajne u njihovoj nadležnosti.

Opća organizacija i koordinacija rada u zemlji na zaštiti obrađenih informacija tehnička sredstva, sprovodi kolegijalni organ - Federalna služba za tehničku i izvoznu kontrolu (FSTEC) Rusije pri Predsjedniku Ruske Federacije, koja vrši kontrolu obezbjeđenja u organima pod kontrolom vlade iu preduzećima koja rade na odbrambenim i drugim tajnim temama.

Svrha i zadaci u oblasti informacione sigurnosti na državnom nivou

Državna politika osiguranja informacione sigurnosti Ruske Federacije utvrđuje glavne oblasti djelovanja saveznih državnih organa i državnih organa konstitutivnih entiteta Ruske Federacije u ovoj oblasti, postupak utvrđivanja njihovih dužnosti za zaštitu interesa Ruska Federacija u informatička sfera u okviru njihovog djelovanja i zasniva se na održavanju ravnoteže interesa pojedinca, društva i države u informacionoj sferi. Državna politika osiguranja informacione sigurnosti Ruske Federacije zasniva se na sljedećim osnovnim principima: poštivanje Ustava Ruske Federacije, zakonodavstva Ruske Federacije, općepriznatih principa i normi međunarodnog prava u provedbi aktivnosti za osigurati sigurnost informacija Ruske Federacije; otvorenost u provođenju funkcija saveznih državnih organa, državnih organa konstitutivnih entiteta Ruske Federacije i javnih udruženja, koja predviđa informiranje javnosti o njihovim aktivnostima, uzimajući u obzir ograničenja utvrđena zakonodavstvom Ruske Federacije; pravnu ravnopravnost svih učesnika u procesu informacione interakcije, bez obzira na njihov politički, društveni i ekonomski status, zasnovanu na ustavnom pravu građana da na bilo koji zakonit način slobodno traže, primaju, prenose, proizvode i šire informacije; prioritetni razvoj domaćih savremenih informacionih i telekomunikacionih tehnologija, proizvodnja hardvera i softvera koji bi mogli da obezbede unapređenje nacionalnih telekomunikacionih mreža, njihovo povezivanje sa globalnim informacionim mrežama u cilju ispunjavanja vitalnih interesa Ruske Federacije.

Država u procesu implementacije svojih funkcija za osiguranje informacione sigurnosti Ruske Federacije: provodi objektivnu i sveobuhvatnu analizu i predviđanje prijetnji informacijskoj sigurnosti Ruske Federacije, razvija mjere za njeno osiguranje; organizira rad zakonodavnih (predstavničkih) i izvršnih organa državne vlasti Ruske Federacije na provedbi skupa mjera usmjerenih na sprječavanje, odbijanje i neutralizaciju prijetnji informacionoj sigurnosti Ruske Federacije; podržava aktivnosti javnih udruženja u cilju objektivnog informiranja stanovništva o društveno značajnim pojavama javnog života, zaštite društva od iskrivljenih i nepouzdanih informacija; vrši kontrolu razvoja, kreiranja, razvoja, upotrebe, izvoza i uvoza alata za informacionu bezbednost kroz njihovu sertifikaciju i licenciranje delatnosti u oblasti informacione bezbednosti; vodi potrebnu protekcionističku politiku u odnosu na proizvođače informatizacije i alata za zaštitu informacija na teritoriji Ruske Federacije i poduzima mjere zaštite domaćeg tržišta od prodora nekvalitetnih alata za informatizaciju i informatičkih proizvoda na njega; doprinosi pružanju fizičkih i pravna lica pristup globalnom informacionih resursa, globalne informacione mreže; formuliše i sprovodi državnu informatičku politiku Rusije; organizira razvoj federalnog programa za osiguranje informacione sigurnosti Ruske Federacije, koji objedinjuje napore državnih i nedržavnih organizacija u ovoj oblasti; doprinosi internacionalizaciji globalnih informacionih mreža i sistema, kao i ulasku Rusije u svetsku informatičku zajednicu pod uslovima ravnopravnog partnerstva.

Unapređenje pravnih mehanizama za regulisanje javnih odnosa koji nastaju u informacionoj sferi prioritetni je pravac državne politike u oblasti osiguranja informacione bezbednosti Ruske Federacije.

To uključuje: ocjenu efikasnosti primjene postojećih zakonskih i drugih podzakonskih akata u informacionoj sferi i izradu programa za njihovo unapređenje; stvaranje organizacionih i pravnih mehanizama za osiguranje informacione sigurnosti; utvrđivanje pravnog statusa svih subjekata odnosa u informacionoj sferi, uključujući korisnike informacionih i telekomunikacionih sistema, i utvrđivanje njihove odgovornosti za poštovanje zakonodavstva Ruske Federacije u ovoj oblasti; stvaranje sistema za prikupljanje i analizu podataka o izvorima prijetnji po informatičku sigurnost Ruske Federacije, kao i o posljedicama njihove implementacije; izradu normativno-pravnih akata kojima se utvrđuje organizacija istrage i postupak vođenja parnice o činjenicama nezakonitih radnji u informacionoj sferi, kao i postupak za otklanjanje posledica ovih nezakonitih radnji; razvoj prekršaja uzimajući u obzir specifičnosti krivične, građanske, administrativne, disciplinske odgovornosti i uključivanje relevantnih zakonskih normi u krivični, građanski, upravni i zakon o radu, u zakonodavstvo Ruske Federacije o javna služba; unapređenje sistema obuke kadrova koji se koristi u oblasti informacione bezbednosti Ruske Federacije.

Pravna podrška informatičkoj sigurnosti Ruske Federacije treba se zasnivati, prije svega, na poštivanju principa zakonitosti, ravnoteže interesa građana, društva i države u informacionoj sferi. Poštivanje načela zakonitosti zahtijeva od saveznih državnih organa i državnih organa konstitutivnih entiteta Ruske Federacije da se pri rješavanju sukoba koji nastaju u informacionoj sferi striktno rukovode zakonodavnim i drugim regulatornim pravnim aktima koji regulišu odnose u ovoj oblasti. Poštivanje principa balansiranja interesa građana, društva i države u informatičkoj sferi podrazumijeva zakonodavno učvršćivanje prioriteta ovih interesa u različitim oblastima života društva, kao i korištenje oblika javne kontrole nad aktivnostima. saveznih državnih organa i državnih organa konstitutivnih entiteta Ruske Federacije. Sprovođenje garancija ustavnih prava i sloboda čoveka i građanina u vezi sa aktivnostima u informacionoj sferi najvažniji je zadatak države u oblasti informacione bezbednosti. Razvoj mehanizama za pravnu podršku informatičke sigurnosti Ruske Federacije uključuje mjere za informatizaciju pravne sfere u cjelini. U cilju utvrđivanja i usklađivanja interesa saveznih državnih organa, državnih organa konstitutivnih entiteta Ruske Federacije i drugih subjekata odnosa u informacionoj sferi, razvijaju neophodne odluke država podržava formiranje javnih saveta, odbora i komisija sa širokim predstavljanjem javnih udruženja i promoviše organizaciju njihovog delotvornog rada.

Karakteristike sertifikacije i standardizacije kriptografskih usluga

U gotovo svim zemljama koje su razvile kriptografske tehnologije, razvoj kriptografskih alata za zaštitu informacija spada u sferu državne regulative. Državna regulativa uključuje, po pravilu, licenciranje aktivnosti koje se odnose na razvoj i rad kriptografskim sredstvima, sertifikacija CIPF-a i standardizacija algoritama kriptografske transformacije.

Licenciranju podliježu sljedeće vrste djelatnosti: razvoj, proizvodnja, certifikacijski testovi, prodaja, rad enkripcijskih alata namijenjenih kriptografskoj zaštiti informacija koje sadrže informacije koje predstavljaju državnu ili drugu zakonom zaštićenu tajnu, tokom njihove obrade, skladištenja i prijenosa putem komunikacije kanale, kao i pružanje usluga u oblasti šifriranja ovih informacija; razvoj, proizvodnja, sertifikacioni testovi, rad telekomunikacionih sistema i kompleksa najviših državnih organa Ruske Federacije; razvoj, proizvodnja, certifikacijski testovi, implementacija, rad zatvorenih sistema i telekomunikacijskih kompleksa organa vlasti konstitutivnih entiteta Ruske Federacije, centralnih federalnih izvršnih organa, organizacija, preduzeća, banaka i drugih institucija koje se nalaze na teritoriji Ruske Federacije, bez obzira na njihovu resornu pripadnost i formira imovinu (u daljem tekstu - zatvoreni sistemi i telekomunikacioni kompleksi) namenjenu za prenos informacija koje predstavljaju državnu ili drugu tajnu zaštićenu zakonom; obavljanje sertifikacionih testova, prodaja i rad enkripcionih sredstava, zatvorenih sistema i telekomunikacionih kompleksa namenjenih za obradu informacija koje ne sadrže podatke koji predstavljaju državnu ili drugu zakonom zaštićenu tajnu, prilikom njihove obrade, skladištenja i prenosa putem komunikacionih kanala, kao i pružanje usluga u oblasti šifriranja ovih informacija

Alati za šifrovanje obuhvataju: hardver, softver i hardversko-softverske alate koji implementiraju kriptografske algoritme za pretvaranje informacija, obezbeđujući sigurnost informacija tokom njihove obrade, skladištenja i prenosa preko komunikacionih kanala, uključujući tehnologiju šifrovanja; hardverska, softverska i hardversko-softverska sredstva zaštite od neovlaštenog pristupa informacijama prilikom njihove obrade i skladištenja koja implementiraju kriptografske algoritme za pretvaranje informacija; hardver, softver i hardversko-softverska sredstva zaštite od nametanja lažnih informacija, uključujući sredstva imitacije zaštite i "digitalni potpis" koji implementiraju kriptografske algoritme za pretvaranje informacija; hardver, hardversko-softver i softver za izradu ključnih dokumenata za alate za šifrovanje, bez obzira na vrstu ključnog nosača informacija.

Zatvoreni telekomunikacioni sistemi i kompleksi obuhvataju telekomunikacione sisteme i komplekse u kojima su informacije zaštićene pomoću alata za šifrovanje, bezbedne opreme i organizacionih mera.

Dodatno, licenciranju podliježu sljedeće vrste djelatnosti: rad sa alatima za šifriranje i/ili alatima za digitalni potpis, kao i alatima za šifriranje za zaštitu elektronskih plaćanja pomoću plastičnih kreditnih kartica i pametnih kartica; Pružanje usluga za zaštitu (šifriranje) informacija; Instalacija, instalacija, podešavanje alata za šifriranje i/ili alata za digitalni potpis, alata za šifriranje za zaštitu elektroničkih plaćanja pomoću plastičnih kreditnih kartica i pametnih kartica; razvoj alata za šifriranje i/ili alata za digitalni potpis, alata za šifriranje za zaštitu elektroničkih plaćanja korištenjem plastičnih kreditnih kartica i pametnih kartica

Procedura za sertifikaciju CIPF-a uspostavljena je „Sistemom sertifikacije za zaštitu kriptografskih informacija ROSS.R11.0001.030001 Državnog standarda Rusije.

Standardizacija algoritama kriptografske transformacije uključuje sveobuhvatno istraživanje i objavljivanje u obliku standarda elemenata kriptografskih procedura kako bi se koristile dokazane kriptografski sigurne transformacije od strane programera CIPF-a, kako bi se osigurala mogućnost zajedničkog rada različitih CIPF-a, kao i mogućnost testiranja. i provjera usklađenosti implementacije CIPF-a sa algoritmom navedenim u standardu. U Rusiji su usvojeni sljedeći standardi - algoritam kriptografske konverzije 28147-89, algoritmi za heširanje, postavljanje i provjeru digitalnog potpisa R34.10.94 i R34.11.94. Od stranih standarda, nadaleko su poznati i korišćeni algoritmi za šifrovanje DES, RC2, RC4, algoritmi heširanja MD2, MD4 i MD5, algoritmi za verifikaciju digitalnog potpisa DSS i RSA.

Zakonodavni okvir za sigurnost informacija

Osnovni koncepti, zahtjevi, metode i alati za projektovanje i evaluaciju sistema sigurnosti informacija za informacione sisteme (IS) ogledaju se u sljedećim temeljnim dokumentima:

"Narandžasta knjiga" Nacionalni centar zaštita računara

„Harmonizovani kriterijumi evropskih zemalja (ITSEC)“;

Koncept zaštite od neovlaštenog pristupa Državne komisije pri predsjedniku Ruske Federacije.

Koncept sigurnosti informacija

Koncept sigurnosti sistema koji se razvija je "skup zakona, pravila i normi ponašanja koji određuju kako organizacija obrađuje, štiti i distribuira informacije. Posebno, pravila određuju u kojim slučajevima korisnik ima pravo da radi sa određenim skupova podataka.Što je sistem pouzdaniji, to je stroži i koncept sigurnosti bi trebao biti raznovrsniji.U zavisnosti od formulisanog koncepta, možete odabrati specifične mehanizme koji osiguravaju sigurnost sistema.Koncept sigurnosti je aktivna komponenta zaštite, koja uključuje analizu mogućih prijetnji i izbor protumjera."

Sigurnosni koncept razvijenog sistema prema "Orange Book" treba da sadrži sljedeće elemente:

Arbitrarna kontrola pristupa;

Sigurnost ponovo koristiti objekti;

Sigurnosne naljepnice;

Prisilna kontrola pristupa.

Razmotrite sadržaj navedenih elemenata.

Proizvoljna kontrola pristupa je metoda ograničavanja pristupa objektima na osnovu identiteta subjekta ili grupe kojoj subjekt pripada. Arbitrarnost kontrole se sastoji u tome što neko lice (obično vlasnik objekta) može po sopstvenom nahođenju dati ili oduzeti prava pristupa objektu drugim subjektima.

Glavna prednost proizvoljne kontrole pristupa je fleksibilnost, glavni nedostaci su rasprostranjenost kontrole i složenost centralizovane kontrole, kao i izolacija prava pristupa od podataka, što omogućava kopiranje tajnih informacija u javne fajlove.

Sigurnost ponovne upotrebe objekata je važan praktični dodatak kontrolama pristupa koji sprečava slučajno ili namjerno izvlačenje tajnih informacija iz smeća. Sigurnost ponovne upotrebe mora biti zagarantovana za područja ram memorija(posebno za bafere sa slikama ekrana, dešifrovane lozinke, itd.), za disk blokove i magnetne medije uopšte.

Sigurnosne oznake su povezane sa subjektima i objektima kako bi se nametnula kontrola pristupa. Oznaka subjekta opisuje njegovu pouzdanost, oznaka objekta - stepen bliskosti informacija sadržanih u njemu. Prema Orange Book-u, sigurnosne naljepnice se sastoje iz dva dijela - sigurnosnog nivoa i liste kategorija. Glavni problem koji treba riješiti u vezi s etiketama je osiguranje njihovog integriteta. Prvo, ne smije biti neoznačenih subjekata i objekata, u suprotnom će postojati rupe koje se lako mogu iskoristiti u označenoj sigurnosti. Drugo, za sve operacije sa podacima, oznake moraju ostati ispravne. Jedno od sredstava za osiguranje integriteta sigurnosnih oznaka je podjela uređaja na uređaje na više nivoa i uređaje na jednom nivou. Uređaji na više nivoa mogu pohranjivati informacije različitih nivoa tajnosti (tačnije, koje leže u određenom rasponu nivoa). Jednostepeni uređaj se može smatrati degenerisanim slučajem višeslojnog uređaja, kada se dozvoljeni opseg sastoji od jednog nivoa. Poznavajući nivo uređaja, sistem može odlučiti da li je dozvoljeno upisivati informacije na njega sa određenom oznakom.

Prisilna kontrola pristupa se zasniva na podudaranju sigurnosnih oznaka subjekta i objekta. Ova metoda kontrole pristupa naziva se prisilnom, jer ne zavisi od volje subjekata (čak administratori sistema). Prinudna kontrola pristupa implementirana je u više varijanti operativni sistemi i DBMS, koje karakteriziraju povećane mjere sigurnosti.

Svako ko ozbiljno razmišlja o sigurnosti svojih povjerljivih informacija suočava se sa zadatkom odabira softvera za kriptografsku zaštitu podataka. I u tome nema apsolutno ničeg iznenađujućeg – enkripcija je daleko jedan od najpouzdanijih načina za sprječavanje neovlaštenog pristupa važnim dokumentima, bazama podataka, fotografijama i svim drugim datotekama.

Problem je u tome što je za kompetentan izbor potrebno razumjeti sve aspekte rada kriptografskih proizvoda. U suprotnom, vrlo lako možete pogriješiti i zaustaviti se na softveru koji vam ili ne dozvoljava da zaštitite sve potrebne informacije, ili ne pruža odgovarajući stepen sigurnosti. Na šta treba obratiti pažnju? Prvo, ovo su algoritmi šifriranja dostupni u proizvodu. Drugo, metode autentifikacije vlasnika informacija. Treće, načini zaštite informacija. Četvrto, dodatne karakteristike i mogućnosti. Peto, autoritet i slava proizvođača, kao i dostupnost certifikata za razvoj alata za šifriranje. I to nije sve što može biti važno pri odabiru sistema kriptografske zaštite.

Jasno je da je osobi koja nije upućena u oblast informacione bezbednosti teško naći odgovore na sva ova pitanja.

Secret Disk 4 Lite

Secret Disk 4 Lite je razvio Aladdin, jedan od svjetskih lidera koji rade na polju informacione sigurnosti. Ima mnogo sertifikata. I iako predmetni proizvod nije certificirani alat (Secret Disk 4 ima posebnu certificiranu verziju), ova činjenica ukazuje na prepoznavanje kompanije kao ozbiljnog programera kriptografskih alata.

Secret Disk 4 Lite se može koristiti za šifriranje odvojene sekcije hard disk, bilo koji prenosivi disk, kao i za kreiranje sigurnih virtuelnih diskova. Dakle, ovim alatom možete riješiti većinu problema vezanih za kriptografiju. Odvojeno, vrijedi napomenuti mogućnost šifriranja sistemska particija. U tom slučaju, pokretanje OS-a od strane neovlaštenog korisnika postaje nemoguće. Štaviše, ova zaštita je neuporedivo pouzdanija od ugrađenih Windows alata za zaštitu.

Secret Disk 4 Lite nema ugrađene algoritme za šifriranje. Ovaj program za svoj rad koristi eksterne kriptografske provajdere. Standardno se koristi standardni modul integrisan u Windows. Implementira DES i 3DES algoritme. Međutim, danas se smatraju zastarjelim. Stoga, za bolja zaštita Možete preuzeti poseban Secret Disk Crypto Pack sa Aladin web stranice. Ovo je kriptografski provajder koji implementira najsigurnije kriptografske tehnologije do sada, uključujući AES i Twofish s dužinom ključa do 256 bita. Usput, ako je potrebno, u kombinaciji sa Secret Disk 4 Lite, možete koristiti certificirane dobavljače algoritama Signal-COM CSP i CryptoPro CSP.

Posebna karakteristika Secret Disk 4 Lite je sistem autentifikacije korisnika. Poenta je da je izgrađena na upotrebi digitalni sertifikati. Da biste to učinili, hardverski USB eToken je uključen u paket proizvoda. To je vrlo sigurno skladište za tajne ključeve. Zapravo, govorimo o punopravnoj dvofaktorskoj autentifikaciji (prisustvo tokena plus poznavanje njegovog PIN koda). Kao rezultat toga, sistem šifriranja koji se razmatra pošteđen je takvog "uskog grla" kao što je upotreba konvencionalne zaštite lozinkom.

Od dodatnih funkcija Secret Disk 4 Lite može se primijetiti mogućnost rada s više korisnika (vlasnik šifriranih diskova može omogućiti pristup njima drugim ljudima) i pozadinski rad procesa šifriranja.

Interfejs Secret Disk 4 Lite je jednostavan i jasan. Napravljen je na ruskom jeziku, baš kao i detaljni sistem pomoći, koji opisuje sve nijanse korištenja proizvoda.

InfoWatch CryptoStorage

InfoWatch CryptoStorage je proizvod prilično poznate kompanije InfoWatch koja posjeduje certifikate za razvoj, distribuciju i održavanje alata za šifriranje. Kao što je već napomenuto, oni nisu obavezni, ali mogu igrati ulogu svojevrsnog pokazatelja ozbiljnosti kompanije i kvaliteta njenih proizvoda.

Slika 1. Kontekstni meni

InfoWatch CryptoStorage implementira samo jedan algoritam šifriranja - AES sa dužinom ključa od 128 bita. Provjera autentičnosti korisnika implementirana je korištenjem konvencionalne zaštite lozinkom. Radi pravednosti, treba napomenuti da program ima ograničenje minimalne dužine ključne riječi, jednako šest znakova. Međutim, zaštita lozinkom je sigurno daleko inferiornija u svojoj pouzdanosti u odnosu na dvofaktorsku autentifikaciju pomoću tokena. Karakteristika InfoWatch CryptoStorage programa je njegova svestranost. Poenta je da se može koristiti za šifriranje pojedinačni fajlovi i foldere, cijele particije tvrdog diska, sve uklonjive diskove, kao i virtuelne diskove.

Ovaj proizvod, kao i prethodni, omogućava zaštitu sistemski pogoni, odnosno može se koristiti za sprečavanje neovlašćenog pokretanja računara. Zapravo, InfoWatch CryptoStorage vam omogućava da riješite čitav niz zadataka koji se odnose na korištenje simetrične enkripcije.

Dodatna karakteristika proizvoda koji se razmatra je organizacija višekorisničkog pristupa šifrovanim informacijama. Uz to, InfoWatch CryptoStorage implementira garantirano uništavanje podataka bez mogućnosti njihovog oporavka.

InfoWatch CryptoStorage je program na ruskom jeziku. Njegov interfejs je napravljen na ruskom, ali je prilično neobičan: glavni prozor kao takav nedostaje (postoji samo mali prozor konfiguratora), a gotovo sav posao se obavlja pomoću kontekstni meni. Takvo rješenje je neobično, ali se ne može ne prepoznati njegova jednostavnost i praktičnost. Naravno, dostupna je i dokumentacija na ruskom jeziku u programu.

Rohos Disk je proizvod Tesline-Service.S.R.L. To je dio linije malih uslužnih programa koji implementiraju različite alate za zaštitu povjerljivih informacija. Ova serija je u razvoju od 2003. godine.

Slika 2. Programski interfejs

Rohos Disk je dizajniran za kriptografsku zaštitu računarskih podataka. Omogućava vam da kreirate šifrovane virtuelne diskove na koje možete da spremate bilo koje datoteke i fascikle, kao i da instalirate softver.

Za zaštitu podataka ovaj proizvod koristi kriptografski algoritam AES sa dužinom ključa od 256 bita, koji obezbeđuje visok stepen sigurnost.

Rohos Disk ima dvije metode za autentifikaciju korisnika. Prvi od njih je uobičajena zaštita lozinkom sa svim svojim nedostacima. Druga opcija je korištenje običnog USB diska na kojem je upisan potreban ključ.

Ova opcija također nije vrlo pouzdana. Kada ga koristite, gubitak "fleš diska" može dovesti do ozbiljnih problema.

Rohos Disk ima širok spektar dodatnih funkcija. Prije svega, vrijedi napomenuti zaštitu USB diskova. Njegova je suština stvaranje posebne šifrirane particije na "fleš disku" u koju možete sigurno prenijeti povjerljive podatke.

Štaviše, proizvod uključuje poseban uslužni program pomoću kojeg možete otvoriti i pregledati ove USB diskove na računarima koji nemaju instaliran Rohos Disk.

Sljedeći dodatna prilika- Podrška za steganografiju. Suština ove tehnologije je da sakrije šifrovane informacije unutar multimedijalnih datoteka (podržani su AVI, MP3, MPG, WMV, WMA, OGG formati).

Njegova upotreba vam omogućava da sakrijete samu činjenicu prisutnosti tajnog diska tako što ćete ga postaviti, na primjer, unutar filma. Posljednja dodatna funkcija je uništavanje informacija bez mogućnosti njihovog povratka.

Program Rohos Disk ima tradicionalno sučelje na ruskom jeziku. Osim toga, ona je u pratnji sistem pomoći, možda ne tako detaljan kao prethodna dva proizvoda, ali dovoljan da se savladaju principi njegove upotrebe.

Govoreći o kriptografskim uslužnim programima, ne možemo ne spomenuti besplatni softver. Zaista, danas u gotovo svim područjima postoje vrijedni proizvodi koji se distribuiraju potpuno besplatno. I sigurnost informacija nije izuzetak od ovog pravila.

Istina, postoji dvostruki stav prema korištenju slobodnog softvera za zaštitu informacija. Činjenica je da mnoge uslužne programe pišu pojedinačni programeri ili male grupe. Istovremeno, niko ne može jamčiti za kvalitet njihove implementacije i odsustvo "rupa", slučajnih ili namjernih. Ali sama kriptografska rješenja je prilično teško razviti. Kada ih kreirate, morate uzeti u obzir ogroman broj različitih nijansi. Zato je preporučljivo koristiti samo dobro poznate proizvode i to uvijek uz open source. To je jedini način da budete sigurni da su bez "markera" i testirani od strane velikog broja stručnjaka, što znači da su manje-više pouzdani. Primjer takvog proizvoda je program TrueCrypt.

Slika 3. Programski interfejs

TrueCrypt je nedvojbeno jedan od najbogatijih besplatnih kriptografskih uslužnih programa. U početku se koristio samo za kreiranje sigurnih virtuelnih diskova. Ipak, za većinu korisnika ovo je najprikladniji način zaštite raznih informacija. Međutim, s vremenom se u njemu pojavila funkcija šifriranja sistemske particije. Kao što već znamo, namijenjen je zaštiti računala od neovlaštenog pokretanja. Međutim, TrueCrypt još ne zna kako šifrirati sve ostale particije, kao i pojedinačne datoteke i mape.

Predmetni proizvod implementira nekoliko algoritama šifriranja: AES, Serpent i Twofish. Vlasnik informacija može odabrati u kojem će se koristiti ovog trenutka. Autentifikacija korisnika u TrueCrypt-u može se obaviti korištenjem običnih lozinki. Međutim, postoji još jedna opcija - korištenje ključnih datoteka koje se mogu pohraniti na tvrdi disk ili bilo koji drugi uklonjivo skladište. Zasebno, vrijedno je napomenuti da ovaj program podržava tokene i pametne kartice, što vam omogućava da organizirate pouzdanu dvofaktorsku autentifikaciju.

Od dodatnih funkcija predmetnog programa može se uočiti mogućnost kreiranja skrivene sveske unutar glavnih. Koristi se za skrivanje osjetljivih podataka kada se disk otvori pod prisilom. Takođe, TrueCrypt implementira sistem Rezervna kopija zaglavlja volumena za oporavak od pada ili vraćanje na stare lozinke.

Interfejs TrueCrypt je poznat uslužnim programima ove vrste. Višejezičan je, a moguće je instalirati i ruski jezik. Dokumentacija je mnogo gora. Jeste, i vrlo detaljno, ali napisano engleski jezik. Naravno, o bilo kom tehnička podrška govora ne može biti.

Radi veće jasnoće, sve njihove karakteristike i funkcionalnost su sažete u tabeli 2.

Tabela 2 - Funkcionalnost programi za zaštitu kriptografskih informacija.

Secret Disk 4 lite	InfoWatch CryptoStorage
Algoritmi šifriranja	DES, 3DES, AES, TwoFish	AES, zmija, dvije ribe
Maksimalna dužina ključa za šifriranje
Povezivanje vanjskih kripto provajdera
Jaka autentifikacija pomoću tokena		+ (žetoni se kupuju zasebno)
Šifrovanje fajlova i foldera
Enkripcija particije
Sistemsko šifrovanje
Šifrovanje virtuelnih diskova
Enkripcija memorije koja se može ukloniti
Podrška za rad sa više korisnika
Garantovano uništenje podataka
Sakrivanje šifriranih objekata
Radite pod prisilom
Interfejs na ruskom jeziku
Dokumentacija na ruskom jeziku
Tehnička podrška