Was sind die Mittel von skzi. Kryptografische Verfahren zum Schutz von Informationen

Hören Sie ... können Sie zu unserem gemeinsamen Nutzen jeden Brief, der bei Ihrer Post ankommt, ein- und ausgehend, Sie wissen schon, ein wenig ausdrucken und lesen: enthält er einen Bericht oder nur Korrespondenz ...?

NV Gogol "Inspektor"

Im Idealfall sollten nur zwei Personen einen vertraulichen Brief lesen können: der Absender und der Adressat. Die Formulierung einer so scheinbar sehr einfachen Sache war der Ausgangspunkt von Kryptoschutzsystemen. Die Entwicklung der Mathematik gab der Entwicklung solcher Systeme Impulse.

Bereits im 17. bis 18. Jahrhundert waren die Chiffren in Russland ziemlich raffiniert und bruchsicher. Viele russische Mathematiker arbeiteten an der Schaffung oder Verbesserung von Verschlüsselungssystemen und versuchten gleichzeitig, die Schlüssel zu den Chiffren anderer Systeme aufzuheben. Derzeit sind mehrere russische Verschlüsselungssysteme zu nennen, wie Lexicon Verba, Secret Net, DALLAS LOCK, Secret Disk, die Accord-Produktfamilie usw. Wir werden darüber sprechen und Sie werden sich mit der wichtigsten Software, Hardware und Software vertraut machen Kryptoprotektionskomplexe, erfahren Sie mehr über ihre Fähigkeiten, Stärken und Schwächen. Wir hoffen, dass dieser Artikel Ihnen bei der Auswahl eines kryptografischen Schutzsystems helfen wird.

Einführung

Befürchten Sie das wichtige Informationen von Ihrem Computer in die falschen Hände geraten? Diese Informationen können von Konkurrenten, Regulierungsbehörden und einfach nur von Übeltätern verwendet werden. Offensichtlich können Ihnen solche Aktionen erheblichen Schaden zufügen. Was zu tun ist? Um Ihre Informationen vor Fremden zu schützen, müssen Sie eines der Datenverschlüsselungsprogramme installieren. Unser Review widmet sich der Analyse von Verschlüsselungssystemen für Desktop-Systeme. Es sei darauf hingewiesen, dass die Verwendung ausländischer Verschlüsselungssysteme in Russland aus verschiedenen Gründen daher sehr begrenzt ist staatliche Organisationen und große inländische Unternehmen sind gezwungen, russische Entwicklungen zu nutzen. Mittlere und kleine Unternehmen sowie Einzelpersonen bevorzugen jedoch manchmal ausländische Systeme.

Für den Uneingeweihten sieht die Verschlüsselung von Informationen wie eine Art schwarze Magie aus. Tatsächlich ist das Verschlüsseln von Nachrichten, um ihren Inhalt vor Außenstehenden zu verbergen, ein komplexes mathematisches Problem. Außerdem muss die Chiffre so gewählt werden, dass sie ohne Schlüssel praktisch nicht, mit Schlüssel schnell und einfach zu öffnen wäre. Viele Unternehmen und Organisationen tun sich damit sehr schwer optimale Wahl bei der Installation von Verschlüsselungsprogrammen. Erschwerend kommt hinzu, dass absolut sichere Computer und absolut zuverlässige Verschlüsselungssysteme nicht existieren. Es gibt jedoch immer noch genügend Möglichkeiten, mit denen Sie fast alle Versuche abwehren können, verschlüsselte Informationen preiszugeben.

Was haben Verschlüsselungsprogramme drin

Verschlüsselungsprogramme unterscheiden sich im Verschlüsselungsalgorithmus. Sobald die Datei verschlüsselt ist, können Sie sie auf eine Diskette schreiben und per senden Email oder setzen Sie auf einen Server in Ihrem lokales Netzwerk. Der Empfänger Ihrer Verschlüsselung muss dasselbe Verschlüsselungsprogramm haben, um den Inhalt der Datei lesen zu können.

Wenn Sie eine verschlüsselte Nachricht an mehrere Benutzer gleichzeitig senden möchten, können Ihre Informationen für jeden Empfänger mit seinem eigenen Schlüssel oder mit einem gemeinsamen Schlüssel für alle Benutzer (einschließlich des Verfassers der Nachricht) verschlüsselt werden.

Das Kryptosystem verwendet einen geheimen Code, um Ihre Informationen in einen bedeutungslosen, pseudozufälligen Satz von Zeichen umzuwandeln. Bei guter Algorithmus Verschlüsselung ist es fast unmöglich, eine Nachricht ohne ihr Wissen zu entschlüsseln Geheim Code zur Verschlüsselung verwendet. Solche Algorithmen werden als symmetrische Schlüsselalgorithmen bezeichnet, weil derselbe Schlüssel zum Verschlüsseln und Entschlüsseln von Informationen verwendet wird.

Zum Schutz Ihrer Daten erstellt das Verschlüsselungsprogramm anhand Ihres Passworts einen geheimen Schlüssel. Sie müssen nur ein langes Passwort festlegen, das niemand erraten kann. Wenn Sie jedoch möchten, dass jemand anderes die Datei liest, müssen Sie dieser Person den geheimen Schlüssel (oder das Passwort, auf dem er basiert) mitteilen. Sie können sicher sein, dass selbst ein einfacher Verschlüsselungsalgorithmus Ihre Daten davor schützt regelmäßiger Benutzer, sagen wir, von einem Arbeitskollegen. Fachleute haben jedoch eine Reihe von Möglichkeiten, eine Nachricht zu entschlüsseln, ohne den Geheimcode zu kennen.

Ohne spezielle Kenntnisse werden Sie nicht in der Lage sein, unabhängig zu überprüfen, wie zuverlässig Ihr Verschlüsselungsalgorithmus ist. Aber Sie können sich auf die Meinung von Fachleuten verlassen. Einige Verschlüsselungsalgorithmen wie Triple DES (Data Encryption Standard) wurden jahrelang getestet. Nach den Ergebnissen des Tests hat sich dieser Algorithmus gut bewährt, und Kryptographen glauben, dass ihm vertraut werden kann. Auch die meisten neuen Algorithmen werden sorgfältig untersucht und die Ergebnisse in der Fachliteratur veröffentlicht.

Wenn der Algorithmus des Programms nicht offen von Fachleuten überprüft und diskutiert wurde, wenn es keine Zertifikate und andere offizielle Papiere gibt, ist dies ein Grund, an seiner Zuverlässigkeit zu zweifeln und die Verwendung eines solchen Programms abzulehnen.

Eine andere Art von Verschlüsselungssystemen sind Systeme mit öffentlichem Schlüssel. Damit ein solches System funktioniert, muss dem Adressaten der geheime Schlüssel (oder das Passwort, auf dessen Grundlage er erstellt wurde) nicht mitgeteilt werden. Diese Verschlüsselungssysteme generieren zwei digitale Schlüssel für jeden Benutzer: einer wird zum Verschlüsseln von Daten verwendet, der andere - um sie zu entschlüsseln. Der erste Schlüssel (öffentlicher Schlüssel genannt) kann öffentlich gemacht werden, während der zweite Schlüssel geheim gehalten wird. Danach kann jeder die Informationen mit dem öffentlichen Schlüssel verschlüsseln, und nur diejenigen, die den entsprechenden geheimen Schlüssel haben, können sie entschlüsseln.

Einige Verschlüsselungsprogramme enthalten ein weiteres wichtiges Schutzmittel – eine digitale Signatur. Eine digitale Signatur bescheinigt, dass die Datei seit dem Signieren nicht verändert wurde und gibt dem Empfänger Auskunft darüber, wer genau die Datei signiert hat. Erstellungsalgorithmus Digitale Unterschrift basierend auf der Berechnung der Prüfsumme - der sogenannten Hash-Summe oder Message Digest. Die angewandten Algorithmen garantieren, dass es unmöglich ist, zwei verschiedene Dateien aufzunehmen, deren Hash-Summen übereinstimmen würden.

Wenn der Empfänger eine digital signierte Datei erhält, berechnet sein Verschlüsselungsprogramm die Hash-Summe für diese Datei neu. Der Empfänger verwendet dann den vom Absender veröffentlichten öffentlichen Schlüssel, um die digitale Signatur wiederherzustellen. Stimmt das Ergebnis mit dem errechneten Wert der Datei überein, kann der Empfänger sicher sein, dass der Text der Nachricht nicht verändert wurde (in diesem Fall wäre die Hash-Summe anders) und die Signatur einer Person gehört, die Zugriff hat zum geheimen Schlüssel des Absenders.

Zum Schutz wichtiger bzw vertrauliche Informationen brauchte nicht nur gutes Programm Verschlüsselung. Sie müssen eine Reihe von Maßnahmen ergreifen, um dies sicherzustellen Informationssicherheit. Wenn Ihr Passwort schwach ist (Experten empfehlen, es auf acht oder mehr Zeichen zu setzen) oder wenn eine unverschlüsselte Kopie vertraulicher Informationen auf Ihrem Computer gespeichert ist, dann in diesem Fall sogar bestes System Verschlüsselung wird machtlos sein.

Lexikon-Verba-System

Das Lexikon-Verba-System ist ein Mittel zur Organisation eines geschützten elektronische Dokumentenverwaltung sowohl innerhalb des Unternehmensnetzwerks als auch zwischen verschiedenen Organisationen. Lexikon-Verba verwendet zwei Modifikationen des Kryptografiesystems: Das Verba-W-System ist für staatliche Stellen bestimmt (Schutz vertraulicher Informationen, insbesondere Spanplatten; Signaturschlüssel sind offen, Verschlüsselungsschlüssel sind geschlossen), das Verba-OW-System ist für kommerzielle Zwecke bestimmt Organisationen (Schutz von Geschäftsgeheimnissen; Signatur- und Verschlüsselungsschlüssel sind offen).

Es gibt einige globale Verschlüsselungsstandards, aber nur ein kleiner Teil davon ist von der Federal Agency for Government Communications and Information (FAPSI) zertifiziert, was es unmöglich macht, nicht zertifizierte Lösungen in Russland zu verwenden. Das Verba-W-System hat ein FAPSI-Zertifikat Nr. SF / 114-0176. Verba-OW-System - FAPSI-Zertifikat Nr. SF / 114-0174.

"Lexicon-Verba" bietet Verschlüsselung und digitale Signatur gemäß den Anforderungen von GOST 28147-89 "Informationsverarbeitungssysteme. Kryptographischer Schutz“ und GOST R34.10-94 „Informationstechnologie. Kryptographischer Schutz von Informationen. Verfahren zur Entwicklung und Verifizierung einer elektronischen digitalen Signatur basierend auf einem asymmetrischen kryptographischen Algorithmus.

Das Programm wird von der Staatlichen Technischen Kommission unter dem Präsidenten zertifiziert Russische Föderation. Im Juli soll es ein Zertifikat des russischen Verteidigungsministeriums erhalten.

Der kryptografische Schutz des Systems basiert auf der Methode der Verschlüsselung mit einem öffentlichen Schlüssel. Jeder Schlüssel, der einen Benutzer identifiziert, besteht aus zwei Teilen: einem öffentlichen Schlüssel und einem privaten Schlüssel. Der öffentliche Schlüssel wird frei verteilt und dient zum Verschlüsseln von Informationen dieser Benutzer. Um ein Dokument zu entschlüsseln, muss die Person, die es verschlüsselt hat, über Ihren öffentlichen Schlüssel verfügen und Sie beim Verschlüsseln als Zugriff auf das Dokument identifizieren.

Um ein Dokument zu entschlüsseln, müssen Sie den privaten Schlüssel verwenden. Der private Schlüssel besteht aus zwei Teilen, von denen einer auf einer Smartcard oder einem Touch-Speicher und der andere auf der Festplatte Ihres Computers gespeichert ist. So ermöglicht weder der Verlust einer Smartcard noch der unbefugte Zugriff auf einen Computer die individuelle Entschlüsselung von Dokumenten.

An einem speziell ausgestatteten Sicherheitsarbeitsplatz wird der initiale Schlüsselsatz erstellt, der die vollständigen Informationen über die öffentlichen und privaten Schlüssel des Benutzers enthält. Eine Diskette mit Schlüsselinformationen wird nur bei der Vorbereitung des Arbeitsplatzes des Benutzers verwendet.

Das Lexicon-Verba-System kann im Rahmen von zwei Hauptsystemen zur Organisation eines sicheren Dokumentenmanagements verwendet werden:

  • als Standalone-Lösung. Wenn die Organisation über ein lokales Netzwerk verfügt, kann das System nicht auf allen Computern installiert werden, sondern nur auf denen, die mit vertraulichen Dokumenten arbeiten müssen. Das bedeutet, dass es innerhalb des Unternehmensnetzwerks ein Subnetz für den Austausch klassifizierter Informationen gibt. Gleichzeitig können Teilnehmer des geschlossenen Teils des Systems offene Dokumente mit anderen Mitarbeitern austauschen;
  • als Teil des Arbeitsablaufs. Lexicon-Verba verfügt über Standard-Verbindungsschnittstellen externe Funktionen zum Öffnen, Speichern, Schließen und Versenden von Dokumenten, was die Integration dieses Systems in bestehende und neu entwickelte Workflow-Systeme erleichtert.

Es sei darauf hingewiesen, dass die Eigenschaften des Lexikon-Verba-Systems es nicht nur zu einem Mittel der Bereitstellung machen Informationsschutz vor externen Eingriffen, sondern auch als Mittel zur Erhöhung der unternehmensinternen Vertraulichkeit und zur gemeinsamen Nutzung des Zugriffs.

Eine der wichtigen zusätzlichen Ressourcen zum Erhöhen des Niveaus der Informationssicherheitskontrolle ist die Fähigkeit, ein "Ereignisprotokoll" für jedes Dokument zu führen. Die Funktion zum Korrigieren des Dokumentverlaufs kann nur aktiviert oder deaktiviert werden, wenn das System installiert ist; wenn es eingeschaltet ist dieses Magazin wird unabhängig vom Wunsch des Benutzers durchgeführt.

Der Hauptvorteil und Unterscheidungsmerkmal System ist eine einfache und intuitive Implementierung von Iunter Beibehaltung des Traditionellen Textverarbeitungen Arbeitsumgebung des Benutzers.

Die Kryptografieeinheit führt die Verschlüsselung sowie das Anbringen und Entfernen einer elektronischen digitalen Signatur (EDS) von Dokumenten durch.

Hilfsfunktionen des Blocks - Herunterladen eines geheimen Schlüssels, Exportieren und Importieren öffentlicher Schlüssel, Einrichten und Verwalten eines Verzeichnisses von Systemteilnehmerschlüsseln.

Somit kann jeder, der Zugriff auf das Dokument hat, nur seine Unterschrift setzen, aber jede der zuvor gesetzten entfernen.

Dies spiegelt den akzeptierten Ablauf der Büroarbeit wider, wenn das Dokument, nachdem es genehmigt wurde, in verschiedenen Phasen überarbeitet werden kann, danach muss das Dokument jedoch erneut genehmigt werden.

Wenn Sie versuchen, das Dokument mit anderen Mitteln als "Lexicon-Verba" zu ändern, wird das EDS beschädigt, was dazu führt, dass im Feld "Signaturstatus" die Aufschrift "Beschädigt" erscheint.

Büro

Wenn die Anzahl der Systembenutzer zunimmt, wird es schwierig, jeden öffentlichen Schlüssel auf jedem Computer einzugeben. Um die Arbeit des Büros zu organisieren, wird daher eine zentralisierte Verwaltung des öffentlichen Schlüsselverzeichnisses organisiert. Dies geschieht auf folgende Weise:

1) „Lexicon-Verba“ wird auf dem Computer des Administrators im lokalen Modus installiert. Dadurch entsteht ein Verzeichnis öffentlicher Schlüssel, in das der Administrator jeden im Büro verwendeten Schlüssel einfügt;

2) Auf allen anderen Computern ist das System installiert Netzwerkmodus. Dieser Modus verwendet das öffentliche Schlüsselverzeichnis, das sich auf dem Computer des Administrators befindet;

3) jeder Neuer Benutzer, das vom Administrator zum Verzeichnis hinzugefügt wurde, wird für alle mit dem Verzeichnis verbundenen Benutzer "sichtbar". Von diesem Moment an haben sie die Möglichkeit, verschlüsselte Dokumente an ihn zu übertragen.

Die Verzeichnisverwaltung wird zentralisiert, was sich jedoch nicht auf die Systemsicherheit auswirkt, da die Bereitstellung des Zugriffs auf öffentliche Schlüssel eine Art "Bekanntschaft" der Benutzer darstellt, jedoch keinen Zugriff auf Dokumente gewährt. Damit ein Benutzer ein Dokument entschlüsseln kann, muss sein öffentlicher Schlüssel nicht nur im Verzeichnis stehen, sondern auch explizit als Zugriff auf das Dokument aufgeführt sein.

Kryptographische Verfahren zum Schutz von Informationen können sowohl in Software als auch in Hardware implementiert werden. Hardware-Encoder oder Gerät kryptografischer Schutz data (UKZD) ist meistens eine Erweiterungskarte, die in den 18A- oder PC1-Anschluss der Systemplatine gesteckt wird persönlicher Computer(PC) (Abb. 3.21). Weitere Implementierungsmöglichkeiten bestehen beispielsweise in Form eines u8B-Schlüssels mit kryptografischen Funktionen (Abb. 3.22).

Hersteller von Hardware-Encodern statten diese normalerweise mit verschiedenen zusätzlichen Funktionen aus, darunter:

Generierung von Zufallszahlen zum Empfang erforderlich kryptografische Schlüssel. Darüber hinaus werden sie von vielen kryptografischen Algorithmen für andere Zwecke verwendet, z. B. ist im Algorithmus für elektronische digitale Signaturen, GOST R 34.10-2001, für jede Signaturberechnung eine neue Zufallszahl erforderlich;

Reis. 3.21. Hardware-Encoder in Form einer PC1-Karte:

1 - technologische Anschlüsse; 2 - Speicher für Protokollierung; 3 - Modusschalter; 4 - multifunktionaler Speicher; 5 - Steuereinheit und Mikroprozessor; 6- PC1-Schnittstelle; 7- PC1-Steuerung; 8- DSC; 9- Schnittstellen zum Anschluss von Schlüsselträgern

Reis. 3.22.

  • Computer-Login-Steuerung. Beim Einschalten des PCs fordert das Gerät den Benutzer auf, persönliche Informationen einzugeben (z. B. ein Gerät mit einem privaten Schlüssel einstecken). Das Laden des Betriebssystems wird erst zugelassen, nachdem das Gerät die präsentierten Schlüssel erkennt und sie als "seine eigenen" betrachtet. Andernfalls müssen Sie öffnen Systemeinheit und dort den Encoder entfernen, um das Betriebssystem zu laden (die Informationen auf der PC-Festplatte können aber auch verschlüsselt werden);
  • Integritätskontrolle von Betriebssystemdateien, um böswillige Änderungen zu verhindern Konfigurationsdateien Und Systemprogramme. Der Encoder speichert eine Liste aller wichtigen Dateien mit vorberechneten Kontroll-Hash-Werten für jede von ihnen, und wenn der Hash-Wert von mindestens einer der kontrollierten Dateien beim nächsten Start des Betriebssystems nicht dem Standard entspricht, wird der Computer dies tun gesperrt werden.

Ein Verschlüsselungsprogramm, das die Anmeldekontrolle auf einem PC durchführt und die Integrität des Betriebssystems überprüft, wird auch als " elektronisches Schloss» (siehe Abschnitt 1.3).

Auf Abb. 3.23 zeigt einen typischen Aufbau eines Hardware-Encoders. Betrachten Sie die Funktionen seiner Hauptblöcke:

  • Steuereinheit - das Hauptmodul des Encoders. Es wird normalerweise auf der Basis eines Mikrocontrollers implementiert, bei dessen Auswahl es vor allem auf Geschwindigkeit und eine ausreichende Menge an internen Ressourcen sowie auf externe Ports zum Anschließen aller erforderlichen Module ankommt.
  • PC-Systembuscontroller (z. B. PC1), über den der Hauptdatenaustausch zwischen UKZD und einem Computer abgewickelt wird;
  • nichtflüchtiger Speicher (Speicher), meist auf Basis von Flash-Speicherchips realisiert. Es muss ausreichend groß sein (mehrere Megabyte) und eine große Anzahl von Schreibzyklen zulassen. Hier wird platziert Software Mikrocontroller, den Sie

Reis. 3.23. Die UKZD-Struktur wird ausgefüllt, wenn das Gerät initialisiert wird (wenn der Encoder die Kontrolle übernimmt, wenn der Computer hochfährt);

  • Prüfprotokollspeicher, der auch ein nichtflüchtiger Speicher ist (um mögliche Kollisionen zu vermeiden, sollten Programmspeicher und Protokollspeicher nicht kombiniert werden);
  • Chiffrierprozessor (oder mehrere ähnliche Einheiten) - eine spezialisierte Mikroschaltung oder Mikroschaltung mit programmierbarer Logik PLD (Programmable Logic Device), die die Ausführung kryptografischer Operationen (Verschlüsselung und Entschlüsselung, Berechnung und Überprüfung von EDS, Hashing) gewährleistet;
  • Zufallszahlengenerator, ein Gerät, das ein statistisch zufälliges und unvorhersehbares Signal (das sogenannte weiße Rauschen) erzeugt. Es kann beispielsweise eine Rauschdiode sein. Vor der weiteren Verwendung im Chiffrierprozessor wird weißes Rauschen nach besonderen Regeln in digitale Form umgewandelt;
  • Block zur Eingabe von Schlüsselinformationen. Bietet sicheren Empfang von privaten Schlüsseln vom Schlüsselträger und Eingabe von Identifikationsinformationen über den Benutzer, die für seine Authentifizierung erforderlich sind;
  • Block von Schaltern erforderlich, um die Fähigkeit zu deaktivieren, mit externen Geräten zu arbeiten (Laufwerke, CD-ROM, parallele und serielle Schnittstellen, USB-Bus usw.). Wenn der Benutzer mit hochsensiblen Informationen arbeitet, blockiert UKZD alle Externe Geräte, darunter sogar eine Netzwerkkarte.

Kryptografische Operationen in UKZD sollten so durchgeführt werden, dass unbefugter Zugriff auf Sitzungen ausgeschlossen ist und private Schlüssel und die Möglichkeit, die Ergebnisse ihrer Umsetzung zu beeinflussen. Daher besteht der Chiffrierprozessor logisch aus mehreren Blöcken (Abb. 3.24):

  • Taschenrechner - eine Reihe von Registern, Addierern, Substitutionsblöcken usw. über Datenbusse miteinander verbunden. Entwickelt für die schnellste Ausführung kryptografischer Operationen. Als Eingabe erhält der Rechner offene Daten, die verschlüsselt (entschlüsselt) oder signiert werden sollen, und einen kryptografischen Schlüssel;
  • Steuereinheit - ein hardwareimplementiertes Programm, das den Taschenrechner steuert. Wenn aus irgendeinem Grund

Reis. 3.24.

das Programm wird sich ändern, seine Arbeit wird ins Stocken geraten. Daher muss dieses Programm nicht nur sicher gespeichert werden und stabil funktionieren, sondern auch regelmäßig auf seine Integrität überprüft werden. Auch die oben beschriebene externe Steuereinheit sendet periodisch Steueraufträge an die Steuereinheit. In der Praxis werden für mehr Vertrauen in den Codierer zwei Chiffrierprozessoren installiert, die ständig die Ergebnisse ihrer kryptografischen Operationen vergleichen (wenn sie nicht übereinstimmen, wird die Operation wiederholt);

Der E/A-Puffer wird benötigt, um die Leistung des Geräts zu verbessern: Während der erste Datenblock verschlüsselt wird, wird der nächste geladen usw. Das Gleiche passiert am Ausgang. Eine solche Datenpipeline-Übertragung erhöht die Geschwindigkeit kryptografischer Operationen im Codierer erheblich.

Es gibt eine weitere Aufgabe, die Sicherheit zu gewährleisten, wenn kryptografische Operationen durch den Encoder durchgeführt werden: Schlüssel in den Encoder laden, den Arbeitsspeicher des Computers umgehen, wo sie theoretisch abgefangen und sogar ersetzt werden können. Dazu enthält UKZD zusätzlich Input-Output-Ports (z. B. COM oder USB), an denen direkt angeschlossen wird verschiedene Geräte Schlüsselmedien lesen. Dies können beliebige Smartcards, Token (spezielle USB-Sticks) oder Touch-Memory-Elemente sein (siehe Abschnitt 1.3). Viele dieser Medien bieten neben der direkten Eingabe von Schlüsseln in UKZD auch deren zuverlässige Aufbewahrung – selbst ein Schlüsselträger ohne Kenntnis eines speziellen Zugangscodes (z. B. eines PIN-Codes) kann dessen Inhalt nicht lesen.

Um Kollisionen beim gleichzeitigen Zugriff auf den Encoder zu vermeiden verschiedene Programme, v Computersystem spezielle Software installieren


Reis. 3.25.

  • (Software) zur Steuerung des Encoders (Abb. 3.25). Eine solche Software gibt Befehle über den Encoder-Treiber aus und überträgt Daten an den Encoder, wodurch sichergestellt wird, dass sich Informationsflüsse aus verschiedenen Quellen nicht überschneiden und dass der Encoder immer enthält die richtigen Tasten. Somit führt UKZD zwei grundlegend durch verschiedene Typen Befehle:
  • vor dem Laden des Betriebssystems werden Befehle ausgeführt, die sich im Speicher des Codierers befinden, die alle erforderlichen Prüfungen durchführen (z. B. Benutzeridentifikation und -authentifizierung) und die erforderliche Sicherheitsstufe festlegen (z. B. externe Geräte ausschalten);
  • Nach dem Laden des Betriebssystems (z. B. Windows) werden Befehle ausgeführt, die über die Verschlüsselungssteuersoftware kommen (Daten verschlüsseln, Schlüssel neu laden, Zufallszahlen berechnen usw.).

Eine solche Trennung ist aus Sicherheitsgründen erforderlich - nach Ausführung der Befehle des ersten Blocks, die nicht umgangen werden können, kann der Eindringling keine unbefugten Aktionen mehr ausführen.

Ein weiterer Zweck der Codiererverwaltungssoftware besteht darin, die Möglichkeit bereitzustellen, einen Codierer durch einen anderen zu ersetzen (z. B. einen, der produktiver ist oder andere kryptografische Algorithmen implementiert), ohne die Software zu ändern. Dies geschieht auf die gleiche Weise, zum Beispiel beim Wechseln Netzwerkkarte Hinweis: Der Verschlüssler wird mit einem Treiber geliefert, der es Programmen ermöglicht, einen Standardsatz kryptografischer Funktionen in Übereinstimmung mit einer An(z. B. CryptAP1) auszuführen.

Auf die gleiche Weise können Sie einen Hardware-Encoder durch einen Software-Encoder (z. B. einen Encoder-Emulator) ersetzen. Dazu wird in der Regel ein Software-Encoder als Treiber implementiert, der die gleichen Funktionen bereitstellt.

Allerdings benötigen nicht alle UKZD die Encoder-Management-Software (insbesondere einen Encoder zur „transparenten“ Verschlüsselung-Entschlüsselung aller Festplatte Der PC muss nur einmal eingerichtet werden).

Um die Sicherheit bei der Durchführung kryptografischer Operationen in UKZD zusätzlich zu gewährleisten, kann ein mehrstufiger Schutz kryptografischer Schlüssel der symmetrischen Verschlüsselung verwendet werden, bei dem ein zufälliger Sitzungsschlüssel mit einem langfristigen Benutzerschlüssel und dieser wiederum mit a verschlüsselt wird Hauptschlüssel (Abb. 3.26).

In der Phase des anfänglichen Ladens wird der Hauptschlüssel in die Schlüsselzelle Nr. 3 des Codiererspeichers eingegeben. Für eine dreistufige Verschlüsselung benötigen Sie jedoch zwei weitere. Der Sitzungsschlüssel wird als Ergebnis einer Anfrage an den Generator (Sensor) generiert

Reis. 3.26. Verschlüsselung der Datei mit UKZD ny numbers (DSN) Encoder, um eine Zufallszahl zu erhalten, die in Schlüsselzelle Nr. 1 geladen wird, die dem Sitzungsschlüssel entspricht. Es verschlüsselt den Inhalt der Datei und erstellt neue Datei A, das die verschlüsselten Informationen speichert.

Als nächstes wird der Benutzer zur Eingabe eines Langzeitschlüssels aufgefordert, der in die Schlüsselzelle Nr. 2 geladen wird, wobei die Entschlüsselung unter Verwendung des in Zelle Nr. 3 befindlichen Hauptschlüssels erfolgt. in diesem Fall „verlässt“ der Schlüssel den Encoder überhaupt nicht. Schließlich wird der Sitzungsschlüssel mit dem Langzeitschlüssel in Zelle 2 verschlüsselt, vom Verschlüssler heruntergeladen und in den Header der verschlüsselten Datei geschrieben.

Beim Entschlüsseln einer Datei wird der Sitzungsschlüssel zuerst mit dem Langzeitschlüssel des Benutzers entschlüsselt und dann werden Informationen damit wiederhergestellt.

Im Prinzip kann ein Schlüssel zur Verschlüsselung verwendet werden, aber ein Multi-Key-Schema hat gravierende Vorteile. Erstens wird die Möglichkeit eines Angriffs auf einen Langzeitschlüssel verringert, da er nur zum Verschlüsseln von kurzen Sitzungsschlüsseln verwendet wird. Und das erschwert dem Angreifer die Kryptoanalyse verschlüsselter Informationen, um einen langfristigen Schlüssel zu erhalten. Zweitens können Sie beim Ändern des Langzeitschlüssels die Datei sehr schnell neu verschlüsseln: Es reicht aus, den Sitzungsschlüssel vom alten Langzeitschlüssel auf den neuen neu zu verschlüsseln. Drittens wird der Schlüsselträger entladen, da auf ihm nur der Hauptschlüssel gespeichert ist und alle Langzeitschlüssel (und der Benutzer kann mehrere davon für verschiedene Zwecke haben) auch auf der PC-Festplatte mit dem Hauptschlüssel verschlüsselt gespeichert werden können Antrieb.

Verschlüssler in Form von SHV-Schlüsseln (siehe Abb. 3.22) können aufgrund der geringen Verschlüsselungsgeschwindigkeit noch kein vollwertiger Ersatz für einen Hardware-Encoder für den PC1-Bus werden. Sie haben jedoch einige interessante Funktionen. Erstens ist ein Token (SW-Schlüssel) nicht nur ein Hardware-Encoder, sondern auch ein Träger von Verschlüsselungsschlüsseln, also ein Zwei-in-Eins-Gerät. Zweitens entsprechen Token normalerweise dem gemeinsamen internationalen Kryptografische Standards(RKSB #11, 1BO 7816, RS/8S usw.) und sie können ohne verwendet werden zusätzliche Einstellungen in bereits vorhandener Informationssicherheitssoftware (zum Beispiel können sie verwendet werden, um Benutzer im Betriebssystem der Familie zu authentifizieren Microsoft Windows). Und schließlich ist der Preis eines solchen Encoders zehnmal niedriger als der eines klassischen Hardware-Encoders für den PCI-Bus.

Die von AST implementierten Unternehmensverschlüsselungstools können GOST-Verschlüsselungsalgorithmen unterstützen und je nach erforderlichem Schutzgrad, regulatorischen Rahmenbedingungen und Kompatibilitätsanforderungen mit anderen, auch externen Systemen, die erforderlichen kryptografischen Schutzklassen bereitstellen.

Mittel zum Schutz kryptografischer Informationen (CIPF) sind ein wichtiger Bestandteil bei der Gewährleistung der Informationssicherheit und ermöglichen deren Gewährleistung hohes Niveau Datensicherheit, auch verschlüsselt elektronische Dokumente in die Hände Dritter, sowie bei Diebstahl oder Verlust von Datenträgern mit diesen. CIPF werden heute in fast jedem Unternehmen eingesetzt – häufiger auf der Ebene der Interaktion mit automatisierten Bankensysteme und staatliche Informationssysteme; seltener - um Unternehmensdaten zu speichern und auszutauschen. Inzwischen ist es die neueste Verwendung von Verschlüsselung, die es Ihnen ermöglicht, Ihr Unternehmen mit einer Garantie von bis zu 99 % vor gefährlichen Lecks kritischer Informationen zu schützen, selbst unter Berücksichtigung des menschlichen Faktors.

Funktional wird die Notwendigkeit für den Einsatz von CIPF auch durch die ständig wachsende Popularität von elektronischem Dokumentenmanagement, Archivierung und papierloser Interaktion bestimmt. Die Bedeutung von Dokumenten, die in solchen Systemen verarbeitet werden, schreibt die Verpflichtung vor, eine hohe Informationssicherheit zu gewährleisten, was ohne die Verwendung von Verschlüsselung und elektronischen Signaturen nicht möglich ist.

Die Einführung von CIPF in die Unternehmenspraxis sieht die Schaffung eines Software- und Hardwarekomplexes vor, dessen Architektur und Zusammensetzung auf der Grundlage der Bedürfnisse eines bestimmten Kunden, gesetzlicher Anforderungen, Aufgaben und erforderlichen Methoden sowie Verschlüsselungsalgorithmen bestimmt wird. Dies können Verschlüsselungssoftwarekomponenten (Kryptoanbieter), VPN-Organisationstools, Identitätstools, Tools zur Generierung und Überprüfung von Schlüsseln und digitalen Signaturen, die der Organisation von rechtlich bedeutsamen Arbeitsabläufen dienen, sowie Hardware-Speichermedien umfassen.

Die von AST implementierten Unternehmensverschlüsselungstools können GOST-Verschlüsselungsalgorithmen unterstützen und je nach erforderlichem Schutzgrad, regulatorischen Rahmenbedingungen und Kompatibilitätsanforderungen mit anderen, auch externen Systemen, die erforderlichen kryptografischen Schutzklassen bereitstellen. Gleichzeitig schützen Verschlüsselungstools die gesamte Menge an Informationsbestandteilen – Dateien, Verzeichnisse mit Dateien und Archiven, physische und virtuelle Speichermedien, ganze Server und Speichersysteme.

Die Lösung wird in der Lage sein, eine vollständige Palette von Maßnahmen für den zuverlässigen Schutz von Informationen während ihrer Speicherung, Übertragung, Verwendung sowie für die Verwaltung des CIPF selbst bereitzustellen, darunter:

  • Gewährleistung der Vertraulichkeit von Informationen
  • Gewährleistung der Integrität von Informationen
  • Authentizitätsgarantie der Informationen
  • Gezielter Informationsschutz, einschließlich:
    - Verschlüsselung und Entschlüsselung
    — Erstellung und Überprüfung von EDS
  • Flexibilität bei der Konfiguration, Verwaltung und Verwendung von CIPF
  • Schutz des CIPF, einschließlich Überwachung und Erkennung von Fehlfunktionen, Versuchen von unbefugtem Zugriff, Fällen von Schlüsselkompromittierung.

Fertige Projekte

Verwandte Dienstleistungen:

  • Ereignisüberwachung und Management von Informationssicherheitsvorfällen

    Der wichtigste Faktor zur Gewährleistung der Informationssicherheit (IS) ist die Verfügbarkeit vollständiger und zuverlässiger Informationen über Ereignisse,

    [...]
  • Gewährleistung der Netzwerksicherheit und des Perimeterschutzes

    Die Netzwerkinfrastruktur liegt technologisch allen IT-Systemen von Unternehmen zugrunde und ist eine Transportader für Informationen,

    [...]
  • Schutz vor gezielten Angriffen

    Eine der schwerwiegendsten und gefährlichsten Bedrohungen für Unternehmen in Bezug auf die Informationssicherheit (IS) wird angegriffen

    [...]
  • APCS-Schutz

    Automatisiertes Prozessleitsystem (APCS) in der Produktion ist eine grundlegende Lösung,

    [...]
  • Schwachstellenanalyse und Managementsysteme

    Da gibt es absolut keine gesunde Menschen, und es gibt keine absolut geschützt Informationssysteme. Komponenten der IT-Infrastruktur

    [...]
  • Schutz vor Informationslecks (DLP-System)

    Jede Organisation hat Dokumente mit beschränkter Zugang bestimmte vertrauliche Informationen enthalten. Ihr Eintritt in andere

Die Mittel zum Schutz kryptografischer Informationen (CIPF) umfassen Hardware, Software und Hardware und Software, die kryptografische Algorithmen zur Umwandlung von Informationen implementieren, um:

Schutz von Informationen während ihrer Verarbeitung, Speicherung und Übertragung durch die Transportumgebung der AU;

Gewährleistung der Zuverlässigkeit und Integrität von Informationen (einschließlich der Verwendung digitaler Signaturalgorithmen) während ihrer Verarbeitung, Speicherung und Übertragung über die Transportumgebung des AS;

Entwicklung von Informationen zur Identifizierung und Authentifizierung von Subjekten, Benutzern und Geräten;

Entwicklung von Informationen zum Schutz der authentifizierenden Elemente eines sicheren AS während ihrer Generierung, Speicherung, Verarbeitung und Übertragung.

Es wird davon ausgegangen, dass in einigen AS (in einer Reihe von Quellen – einem Informations- und Telekommunikationssystem oder einem Kommunikationsnetz) kryptografische Informationsschutzwerkzeuge zusammen mit Mechanismen zum Implementieren und Garantieren einer Sicherheitsrichtlinie verwendet werden.

Die kryptografische Transformation weist eine Reihe wichtiger Merkmale auf:

Das CIPF implementiert einige In(Verschlüsselung, elektronische digitale Signatur, Integritätskontrolle)

Die Eingabe- und Ausgabeargumente der kryptografischen Transformation sind in materieller Form (AS-Objekte) im AS vorhanden.

CIPF verwendet einige vertrauliche Informationen (Schlüssel) für seine Arbeit

Der kryptografische Transformationsalgorithmus wird als ein materielles Objekt implementiert, das mit der Umgebung interagiert (einschließlich der Subjekte und Objekte des geschützten AS).

Somit ist die Rolle des CIPF in einem sicheren AS die Transformation von Objekten. In jedem konkreten Fall diese Transformation hat Singularitäten. Das Verschlüsselungsverfahren verwendet also den Objekt-Klartext und den Objekt-Schlüssel als Eingabeparameter, das Ergebnis der Transformation ist der Objekt-Geheimtext; im Gegensatz dazu verwendet die Entschlüsselungsprozedur den Chiffretext und den Schlüssel als Eingabe; Das Verfahren zum Setzen einer digitalen Signatur verwendet als Eingabeparameter das Objekt - die Nachricht und das Objekt - den geheimen Schlüssel der Signatur, das Ergebnis der digitalen Signatur ist das Objekt - die in der Regel in das Objekt integrierte Signatur - die Nachricht . Wir können sagen, dass das CIPF Objekte auf semantischer Ebene schützt. Gleichzeitig sind Objekte - kryptografische Transformationsparameter vollwertige AS-Objekte und können Objekte einiger Sicherheitsrichtlinien sein (z. B. können und sollten Verschlüsselungsschlüssel vor unbefugtem Zugriff geschützt werden, öffentliche Schlüssel zum Überprüfen einer digitalen Signatur vor Änderungen). Daher haben Geräte zum Schutz kryptografischer Informationen als Teil sicherer ASs eine spezifische Implementierung – es kann sich um ein separates spezialisiertes Gerät handeln, das in einen Computer eingebaut ist, oder um ein spezialisiertes Programm. Folgende Punkte sind wesentlich:

CIPF tauscht Informationen mit der externen Umgebung aus, nämlich: Schlüssel werden eingegeben, Klartext während der Verschlüsselung

CIPF verwendet im Fall der Hardwareimplementierung eine Elementbasis mit begrenzter Zuverlässigkeit (d. h. in den Teilen, aus denen das CIPF besteht, sind Fehlfunktionen oder Ausfälle möglich).

CIPF wird im Fall der Softwareimplementierung auf einem Prozessor mit begrenzter Zuverlässigkeit und in einer Softwareumgebung ausgeführt, die Programme von Drittanbietern enthält, die verschiedene Phasen seines Betriebs beeinträchtigen können

CIPF wird auf einem materiellen Medium gespeichert (im Fall der Softwareimplementierung) und kann während der Speicherung absichtlich oder versehentlich verzerrt werden

CIPF interagiert indirekt mit der äußeren Umgebung (durch das Stromnetz betrieben, sendet elektromagnetische Felder aus)

CIPF wird von einer Person hergestellt und/oder verwendet, die während der Entwicklung und des Betriebs Fehler machen kann (vorsätzlich oder versehentlich).

Die bestehenden Mittel zum Datenschutz in Telekommunikationsnetzen können nach dem Prinzip des Aufbaus eines Schlüsselsystems und eines Authentifizierungssystems in zwei Gruppen eingeteilt werden. Die erste Gruppe umfasst Tools, die symmetrische kryptografische Algorithmen verwenden, um ein Schlüsselsystem und ein Authentifizierungssystem aufzubauen, und die zweite Gruppe umfasst asymmetrische.

Lassen Sie uns eine vergleichende Analyse dieser Systeme durchführen. Eine zur Übertragung bereitstehende, zunächst offene und ungeschützte Informationsnachricht wird verschlüsselt und dabei in ein Chiffregramm, also in geschlossenen Text bzw grafisches Bild dokumentieren. In dieser Form wird die Nachricht über einen Kommunikationskanal übermittelt, auch wenn dieser nicht sicher ist. Der berechtigte Benutzer entschlüsselt diese nach Erhalt der Nachricht (d. h. enthüllt sie) mittels umgekehrte Transformation Kryptogramme, wodurch die ursprüngliche, offene Form der Nachricht erhalten wird, die zur Wahrnehmung durch autorisierte Benutzer verfügbar ist. Das Transformationsverfahren in einem kryptographischen System entspricht der Verwendung eines speziellen Algorithmus. Die Aktion eines solchen Algorithmus wird durch eine eindeutige Zahl (Bitfolge) ausgelöst, die normalerweise als Verschlüsselungsschlüssel bezeichnet wird.

Bei den meisten Systemen kann die Schlüsselgeneratorschaltung ein Satz von Anweisungen und Befehlen sein, entweder ein Stück Hardware oder Computer Programm, oder alle diese zusammen, aber in jedem Fall wird der Verschlüsselungs-(Entschlüsselungs-)Prozess nur durch diesen speziellen Schlüssel implementiert. Damit der Austausch verschlüsselter Daten erfolgreich ist, müssen sowohl der Absender als auch der Empfänger die richtige Schlüsseleinstellung kennen und geheim halten. Die Stärke eines geschlossenen Kommunikationssystems wird durch den Geheimhaltungsgrad des darin verwendeten Schlüssels bestimmt. Dieser Schlüssel muss jedoch anderen Netzwerkbenutzern bekannt sein, damit sie verschlüsselte Nachrichten frei austauschen können. In diesem Sinne helfen kryptografische Systeme auch, das Problem der Authentifizierung (Authentifizierung) der empfangenen Informationen zu lösen. Im Falle des Abfangens einer Nachricht behandelt ein Cracker nur Chiffretext, und der wahre Empfänger, der Nachrichten akzeptiert, die mit einem ihm und dem Absender bekannten Schlüssel verschlossen sind, wird zuverlässig vor möglichen Fehlinformationen geschützt. Darüber hinaus besteht die Möglichkeit, Informationen zu verschlüsseln und mehr auf einfache Weise- Verwendung eines Pseudo-Zufallszahlengenerators. Die Verwendung eines Pseudo-Zufallszahlengenerators besteht darin, ein Cipher-Gamma unter Verwendung eines Pseudo-Zufallszahlengenerators mit einem bestimmten Schlüssel zu erzeugen und das resultierende Gamma umkehrbar auf die offenen Daten anzuwenden. Dieses Verfahren des kryptografischen Schutzes ist ziemlich einfach zu implementieren und bietet eine ziemlich hohe Verschlüsselungsgeschwindigkeit, ist aber nicht ausreichend widerstandsfähig gegen eine Entschlüsselung.

Die klassische Kryptografie ist durch die Verwendung einer geheimen Einheit gekennzeichnet – des Schlüssels, der es dem Sender ermöglicht, die Nachricht zu verschlüsseln, und dem Empfänger, sie zu entschlüsseln. Im Falle der Verschlüsselung von Daten, die auf magnetischen oder anderen Speichermedien gespeichert sind, ermöglicht Ihnen der Schlüssel, Informationen beim Schreiben auf das Medium zu verschlüsseln und beim Lesen davon zu entschlüsseln.

"Organisatorische und rechtliche Methoden der Informationssicherheit"

Die wichtigsten regulatorischen Leitfäden in Bezug auf Staatsgeheimnisse, regulatorische und Referenzdokumente

Bis heute wurde in unserem Land ein stabiler Rechtsrahmen im Bereich des Informationsschutzes geschaffen. Das Grundgesetz kann als Bundesgesetz der Russischen Föderation "Über Informationen, Informationstechnologie und zum Schutz von Informationen. „Die staatliche Regulierung der Beziehungen im Bereich des Informationsschutzes erfolgt durch die Festlegung von Anforderungen an den Informationsschutz sowie die Haftung für Verstöße gegen die Gesetzgebung der Russischen Föderation zu Informationen, Informationstechnologien und Informationsschutz.“ Das Gesetz legt auch die Verpflichtungen fest von Informationseigentümern und Betreibern von Informationssystemen.

Was die „kodifizierte“ Regelung der Informationssicherheit betrifft, so enthalten auch die Normen des Ordnungswidrigkeitengesetzbuchs der Russischen Föderation und des Strafgesetzbuchs der Russischen Föderation die erforderlichen Artikel. In Kunst. 13.12 des Gesetzes über Ordnungswidrigkeiten der Russischen Föderation bezieht sich auf einen Verstoß gegen die Regeln zum Schutz von Informationen. Auch Kunst. 13.13, der die Bestrafung illegaler Aktivitäten im Bereich des Informationsschutzes vorsieht. Und Kunst. 13.14. die eine Bestrafung für die Weitergabe von Informationen mit eingeschränktem Zugang vorsieht. Artikel 183. Das Strafgesetzbuch der Russischen Föderation sieht die Bestrafung für den illegalen Erhalt und die Offenlegung von Informationen vor, die ein Handels-, Steuer- oder Bankgeheimnis darstellen.

Das Bundesgesetz „Über Information, Informatisierung und Informationsschutz“ legt fest, dass die staatlichen Informationsressourcen der Russischen Föderation offen und öffentlich zugänglich sind. Ausgenommen hiervon sind dokumentierte Informationen, die gesetzlich als eingeschränkt zugänglich eingestuft sind.

Der Begriff des Staatsgeheimnisses wird im Gesetz „Über Staatsgeheimnisse“ definiert als „vom Staat geschützte Informationen im Bereich seiner militärischen, außenpolitischen, wirtschaftlichen, nachrichtendienstlichen, Spionageabwehr- und operativen Suchtätigkeiten, deren Verbreitung dem Staat schaden kann Sicherheit der Russischen Föderation." Daher ist der Geltungsbereich des Gesetzes auf der Grundlage des Interessenausgleichs von Staat, Gesellschaft und Bürgern auf bestimmte Arten von Aktivitäten beschränkt: Militär, Außenpolitik, Wirtschaft, Geheimdienst, Spionageabwehr und operative Suche.

Das Gesetz legte fest, dass das Hauptkriterium darin besteht, dass die klassifizierten Informationen dem Staat gehören.

Das Gesetz sicherte auch die Schaffung einer Reihe von Gremien auf dem Gebiet des Schutzes von Staatsgeheimnissen, insbesondere einer interministeriellen Kommission zum Schutz von Staatsgeheimnissen, die die Einrichtung von Beamten mit der Befugnis einführte, Informationen als Staatsgeheimnisse einzustufen ihnen gleichzeitig die persönliche Verantwortung für Aktivitäten zum Schutz von Staatsgeheimnissen in ihrem Zuständigkeitsbereich aufzuerlegen.

Allgemeine Organisation und Koordinierung der Arbeit im Land zum Schutz der verarbeiteten Informationen technische Mittel, wird von einem kollegialen Gremium durchgeführt - dem Föderalen Dienst für technische und Exportkontrolle (FSTEC) Russlands unter dem Präsidenten der Russischen Föderation, der die Kontrolle über die Bereitstellung in den Gremien ausübt Regierung kontrolliert und in Unternehmen, die Arbeiten zu Verteidigungs- und anderen geheimen Themen durchführen.

Zweck und Aufgaben im Bereich Informationssicherheit auf Landesebene

Die staatliche Politik zur Gewährleistung der Informationssicherheit der Russischen Föderation bestimmt die Haupttätigkeitsbereiche der föderalen Landesbehörden und der staatlichen Behörden der Teileinheiten der Russischen Föderation in diesem Bereich, das Verfahren zur Festlegung ihrer Pflichten zum Schutz der Interessen der Russische Föderation ein Informationssphäre im Rahmen ihrer Tätigkeit und beruht auf der Wahrung des Interessenausgleichs von Individuum, Gesellschaft und Staat im Informationsbereich. Die staatliche Politik zur Gewährleistung der Informationssicherheit der Russischen Föderation basiert auf folgenden Grundprinzipien: Einhaltung der Verfassung der Russischen Föderation, der Gesetzgebung der Russischen Föderation, allgemein anerkannter Grundsätze und Normen des Völkerrechts bei der Durchführung von Aktivitäten zu Gewährleistung der Informationssicherheit der Russischen Föderation; Offenheit bei der Erfüllung der Aufgaben von Bundesbehörden, staatlichen Behörden der Teilstaaten der Russischen Föderation und öffentlichen Vereinigungen, die die Information der Öffentlichkeit über ihre Aktivitäten unter Berücksichtigung der durch die Gesetzgebung der Russischen Föderation festgelegten Beschränkungen vorsieht; rechtliche Gleichstellung aller Teilnehmer am Prozess der Informationsinteraktion, unabhängig von ihrem politischen, sozialen und wirtschaftlichen Status, basierend auf dem verfassungsmäßigen Recht der Bürger, Informationen auf legale Weise frei zu suchen, zu empfangen, zu übermitteln, zu produzieren und zu verbreiten; vorrangige Entwicklung der heimischen modernen Informations- und Telekommunikationstechnologien, Herstellung von Hard- und Software, die zur Verbesserung der nationalen Telekommunikationsnetze geeignet sind, deren Anschluss an globale Informationsnetze, um den lebenswichtigen Interessen der Russischen Föderation gerecht zu werden.

Der Staat bei der Umsetzung seiner Aufgaben zur Gewährleistung der Informationssicherheit der Russischen Föderation: führt eine objektive und umfassende Analyse und Prognose von Bedrohungen für die Informationssicherheit der Russischen Föderation durch und entwickelt Maßnahmen zu deren Gewährleistung; organisiert die Arbeit der gesetzgebenden (repräsentativen) und exekutiven Organe der Staatsmacht der Russischen Föderation, um eine Reihe von Maßnahmen umzusetzen, die darauf abzielen, Bedrohungen für die Informationssicherheit der Russischen Föderation zu verhindern, abzuwehren und zu neutralisieren; unterstützt die Aktivitäten öffentlicher Vereinigungen, die darauf abzielen, die Bevölkerung objektiv über gesellschaftlich bedeutsame Phänomene des öffentlichen Lebens zu informieren und die Gesellschaft vor verzerrten und unzuverlässigen Informationen zu schützen; übt die Kontrolle über die Entwicklung, Erstellung, Entwicklung, Verwendung, den Export und Import von Infdurch deren Zertifizierung und Lizenzierung von Aktivitäten im Bereich der Informationssicherheit aus; verfolgt die notwendige protektionistische Politik in Bezug auf Hersteller von Informatisierungs- und Informationsschutzwerkzeugen auf dem Territorium der Russischen Föderation und ergreift Maßnahmen, um den Inlandsmarkt vor dem Eindringen von minderwertigen Informatisierungswerkzeugen und Informationsprodukten zu schützen; trägt zur Bereitstellung von körperlichen und Rechtspersonen Zugriff auf globale Informationsressourcen, globale Informationsnetze; formuliert und implementiert die staatliche Informationspolitik Russlands; organisiert die Entwicklung eines föderalen Programms zur Gewährleistung der Informationssicherheit der Russischen Föderation, das die Bemühungen staatlicher und nichtstaatlicher Organisationen in diesem Bereich vereint; trägt zur Internationalisierung globaler Informationsnetze und -systeme sowie zum Eintritt Russlands in die weltweite Informationsgemeinschaft zu den Bedingungen einer gleichberechtigten Partnerschaft bei.

Die Verbesserung der rechtlichen Mechanismen zur Regulierung der Öffentlichkeitsarbeit im Informationsbereich ist eine vorrangige Richtung der staatlichen Politik im Bereich der Gewährleistung der Informationssicherheit der Russischen Föderation.

Dies beinhaltet: Bewertung der Wirksamkeit der Anwendung bestehender Gesetzgebungs- und anderer Regulierungsgesetze im Informationsbereich und Entwicklung eines Programms zu ihrer Verbesserung; Schaffung organisatorischer und rechtlicher Mechanismen zur Gewährleistung der Informationssicherheit; Bestimmung des rechtlichen Status aller Subjekte der Beziehungen im Informationsbereich, einschließlich der Benutzer von Informations- und Telekommunikationssystemen, und Festlegung ihrer Verantwortung für die Einhaltung der Gesetzgebung der Russischen Föderation in diesem Bereich; Schaffung eines Systems zum Sammeln und Analysieren von Daten über die Quellen von Bedrohungen für die Informationssicherheit der Russischen Föderation sowie über die Folgen ihrer Umsetzung; Entwicklung normativer Rechtsakte, die die Organisation der Untersuchung und das Verfahren für Rechtsstreitigkeiten über die Tatsachen illegaler Handlungen im Informationsbereich sowie das Verfahren zur Beseitigung der Folgen dieser illegalen Handlungen bestimmen; Entwicklung von Straftaten unter Berücksichtigung der Besonderheiten der straf-, zivil-, verwaltungs- und disziplinarrechtlichen Verantwortung und die Aufnahme einschlägiger Rechtsnormen in das Straf-, Zivil-, Verwaltungs- und Arbeitsgesetzbuch, in die Gesetzgebung der Russischen Föderation Öffentlicher Dienst; Verbesserung des Personalschulungssystems im Bereich der Informationssicherheit der Russischen Föderation.

Die rechtliche Unterstützung der Informationssicherheit der Russischen Föderation sollte in erster Linie auf der Beachtung der Grundsätze der Legalität, des Interessenausgleichs der Bürger, der Gesellschaft und des Staates im Informationsbereich beruhen. Die Einhaltung des Legalitätsprinzips erfordert, dass sich die föderalen Regierungsorgane und die Regierungsorgane der Teileinheiten der Russischen Föderation bei der Lösung von Konflikten, die im Informationsbereich entstehen, streng an gesetzgeberischen und anderen normativen Rechtsakten orientieren, die die Beziehungen in diesem Bereich regeln. Die Einhaltung des Prinzips des Ausgleichs der Interessen der Bürger, der Gesellschaft und des Staates im Informationsbereich setzt die gesetzliche Festigung der Priorität dieser Interessen in verschiedenen Bereichen des gesellschaftlichen Lebens sowie die Nutzung von Formen der öffentlichen Kontrolle über die Aktivitäten voraus der Bundesstaatsbehörden und der Staatsbehörden der Teilstaaten der Russischen Föderation. Die Umsetzung der Garantien der verfassungsmäßigen Rechte und Freiheiten einer Person und eines Bürgers im Zusammenhang mit Aktivitäten im Informationsbereich ist die wichtigste Aufgabe des Staates im Bereich der Informationssicherheit. Die Entwicklung von Mechanismen zur rechtlichen Unterstützung der Informationssicherheit der Russischen Föderation umfasst Maßnahmen zur Information des gesamten Rechtsbereichs. Um die Interessen der föderalen Behörden zu identifizieren und zu harmonisieren, entwickeln sich die staatlichen Behörden der Teilstaaten der Russischen Föderation und andere Subjekte der Beziehungen im Informationsbereich notwendige Entscheidungen der Staat unterstützt die Bildung öffentlicher Räte, Ausschüsse und Kommissionen mit einer breiten Vertretung öffentlicher Verbände und fördert die Organisation ihrer effektiven Arbeit.

Merkmale der Zertifizierung und Standardisierung kryptografischer Dienste

In fast allen Ländern, die kryptografische Technologien entwickelt haben, gehört die Entwicklung kryptografischer Informationsschutzwerkzeuge in den Bereich der staatlichen Regulierung. Die staatliche Regulierung umfasst in der Regel die Lizenzierung von Aktivitäten im Zusammenhang mit der Entwicklung und dem Betrieb von kryptografische Mittel, Zertifizierung von CIPF und Standardisierung kryptografischer Transformationsalgorithmen.

Die folgenden Arten von Aktivitäten sind lizenzpflichtig: Entwicklung, Produktion, Zertifizierungstests, Verkauf, Betrieb von Verschlüsselungstools, die für den kryptografischen Schutz von Informationen bestimmt sind, die Informationen enthalten, die ein gesetzlich geschütztes Staats- oder anderes Geheimnis darstellen, während ihrer Verarbeitung, Speicherung und Übertragung durch Kommunikation Kanäle sowie Bereitstellung von Dienstleistungen im Bereich der Verschlüsselung dieser Informationen; Entwicklung, Produktion, Zertifizierungstests, Betrieb von Telekommunikationssystemen und -komplexen der höchsten staatlichen Behörden der Russischen Föderation; Entwicklung, Produktion, Zertifizierungstests, Implementierung, Betrieb von geschlossenen Systemen und Telekommunikationskomplexen der Behörden der Teileinheiten der Russischen Föderation, zentralen föderalen Exekutivbehörden, Organisationen, Unternehmen, Banken und anderen Institutionen, die sich auf dem Territorium der Russischen Föderation befinden, unabhängig von ihrer Abteilungszugehörigkeit und Formeigentum (im Folgenden - geschlossene Systeme und Telekommunikationskomplexe), die für die Übertragung von Informationen bestimmt sind, die ein gesetzlich geschütztes Staats- oder anderes Geheimnis darstellen; Durchführung von Zertifizierungstests, Verkauf und Betrieb von Verschlüsselungsmitteln, geschlossenen Systemen und Telekommunikationskomplexen zur Verarbeitung von Informationen, die keine Informationen enthalten, die ein gesetzlich geschütztes Staats- oder anderes Geheimnis darstellen, während ihrer Verarbeitung, Speicherung und Übertragung über Kommunikationskanäle sowie die Bereitstellung von Dienstleistungen im Bereich der Verschlüsselung dieser Informationen

Zu den Verschlüsselungstools gehören: Hardware, Software und Hardware-Software-Tools, die kryptografische Algorithmen zum Konvertieren von Informationen implementieren und die Sicherheit von Informationen während ihrer Verarbeitung, Speicherung und Übertragung über Kommunikationskanäle gewährleisten, einschließlich Verschlüsselungstechnologie; Hardware, Software und Hardware-Software-Mittel zum Schutz vor unbefugtem Zugriff auf Informationen während ihrer Verarbeitung und Speicherung, die kryptografische Algorithmen zur Umwandlung von Informationen implementieren; Hardware, Software und Hardware-Software-Schutzmittel gegen das Auferlegen falscher Informationen, einschließlich Mittel zum Schutz vor Nachahmung und "digitale Signatur", die kryptografische Algorithmen zum Konvertieren von Informationen implementieren; Hardware, Hardware-Software und Software zur Erstellung von Schlüsseldokumenten für Verschlüsselungswerkzeuge, unabhängig von der Art des Schlüsselinformationsträgers.

Geschlossene Telekommunikationssysteme und -komplexe umfassen Telekommunikationssysteme und -komplexe, in denen Informationen durch Verschlüsselungswerkzeuge, sichere Ausrüstung und organisatorische Maßnahmen geschützt sind.

Darüber hinaus sind die folgenden Arten von Aktivitäten lizenzpflichtig: Betrieb von Verschlüsselungstools und/oder Tools für digitale Signaturen sowie von Verschlüsselungstools zum Schutz elektronischer Zahlungen mit Plastikkreditkarten und Smartcards; Bereitstellung von Dienstleistungen zum Schutz (Verschlüsselung) von Informationen; Installation, Installation, Anpassung von Verschlüsselungstools und/oder Tools für digitale Signaturen, Verschlüsselungstools zum Schutz elektronischer Zahlungen unter Verwendung von Plastikkreditkarten und Smartcards; Entwicklung von Verschlüsselungstools und/oder Tools für digitale Signaturen, Verschlüsselungstools zum Schutz elektronischer Zahlungen unter Verwendung von Plastikkreditkarten und Smartcards

Das Verfahren zur Zertifizierung von CIPF wird durch das "Certification System for Cryptographic Information Protection ROSS.R11.0001.030001 des State Standard of Russia" festgelegt.

Die Standardisierung von kryptografischen Transformationsalgorithmen umfasst eine umfassende Recherche und Veröffentlichung in Form von Standards von Elementen kryptografischer Verfahren, um bewährte kryptografisch sichere Transformationen von CIPF-Entwicklern zu verwenden, um die Möglichkeit des gemeinsamen Betriebs verschiedener CIPF sowie die Möglichkeit des Testens sicherzustellen und Verifizieren der Konformität der CIPF-Implementierung mit dem durch den Standard spezifizierten Algorithmus. Die folgenden Standards wurden in Russland übernommen – kryptografischer Konvertierungsalgorithmus 28147-89, Algorithmen zum Hashen, Setzen und Verifizieren einer digitalen Signatur R34.10.94 und R34.11.94. Von ausländischen Standards sind die DES-, RC2-, RC4-Verschlüsselungsalgorithmen, die MD2-, MD4- und MD5-Hashing-Algorithmen, die DSS- und RSA-Verifizierungsalgorithmen für digitale Signaturen weithin bekannt und werden verwendet.

Gesetzlicher Rahmen für Informationssicherheit

Die grundlegenden Konzepte, Anforderungen, Methoden und Werkzeuge zur Gestaltung und Bewertung eines Informationssicherheitssystems für Informationssysteme (IS) spiegeln sich in den folgenden grundlegenden Dokumenten wider:

"Orangenes Buch" Nationales Zentrum Computerschutz

„Harmonisierte Kriterien europäischer Länder (ITSEC)“;

Das Konzept des Schutzes vor unbefugtem Zugriff der Staatskommission unter dem Präsidenten der Russischen Föderation.

Informationssicherheitskonzept

Das Sicherheitskonzept des zu entwickelnden Systems ist „eine Reihe von Gesetzen, Regeln und Verhaltensnormen, die bestimmen, wie eine Organisation Informationen verarbeitet, schützt und verbreitet. Insbesondere legen die Regeln fest, in welchen Fällen der Benutzer das Recht hat, mit bestimmten zu arbeiten Datensätze. Je zuverlässiger das System, desto strenger und der Sicherheitsbegriff sollte vielfältiger sein. Je nach formuliertem Konzept können Sie bestimmte Mechanismen wählen, die die Sicherheit des Systems gewährleisten. Der Sicherheitsbegriff ist ein aktiver Bestandteil von Schutz, der eine Analyse möglicher Bedrohungen und die Wahl von Gegenmaßnahmen umfasst.“

Das Sicherheitskonzept des entwickelten Systems nach dem „Orange Book“ sollte folgende Elemente beinhalten:

Beliebige Zugriffskontrolle;

Sicherheit Wiederverwendung Gegenstände;

Sicherheitsetiketten;

Erzwungene Zugriffskontrolle.

Betrachten Sie den Inhalt der aufgelisteten Elemente.

Willkürliche Zugriffssteuerung ist ein Verfahren zum Einschränken des Zugriffs auf Objekte basierend auf der Identität des Subjekts oder der Gruppe, zu der das Subjekt gehört. Die Willkür der Kontrolle besteht darin, dass eine Person (in der Regel der Eigentümer des Objekts) anderen Subjekten nach eigenem Ermessen Zugriffsrechte auf das Objekt geben oder entziehen kann.

Der Hauptvorteil der willkürlichen Zugriffskontrolle ist die Flexibilität, die Hauptnachteile sind die Streuung der Kontrolle und die Komplexität der zentralisierten Kontrolle sowie die Isolierung von Zugriffsrechten von Daten, was das Kopieren geheimer Informationen in öffentliche Dateien ermöglicht.

Die Oist eine wichtige praktische Ergänzung zu Zugriffskontrollen, die ein versehentliches oder absichtliches Extrahieren geheimer Informationen aus Müll verhindert. Für Bereiche muss die Wiederverwendungssicherheit gewährleistet sein Arbeitsspeicher(insbesondere für Puffer mit Bildschirmbildern, entschlüsselten Passwörtern usw.), für Plattenblöcke und magnetische Medien im Allgemeinen.

Sicherheitsetiketten werden Themen und Objekten zugeordnet, um die Zugriffskontrolle zu erzwingen. Das Etikett des Subjekts beschreibt seine Vertrauenswürdigkeit, das Etikett des Objekts - den Grad der Nähe der darin enthaltenen Informationen. Gemäß dem Orange Book bestehen Sicherheitsetiketten aus zwei Teilen – einer Sicherheitsstufe und einer Liste von Kategorien. Das Hauptproblem, das im Zusammenhang mit Etiketten angegangen werden muss, ist die Gewährleistung ihrer Integrität. Erstens darf es keine unbeschrifteten Subjekte und Objekte geben, da sonst leicht ausnutzbare Lücken in der beschrifteten Sicherheit entstehen. Zweitens müssen bei allen Operationen mit den Daten die Etiketten korrekt bleiben. Eines der Mittel, um die Integrität von Sicherheitsetiketten zu gewährleisten, ist die Aufteilung von Geräten in mehrstufige und einstufige Geräte. Mehrstufige Geräte können Informationen unterschiedlicher Geheimhaltungsstufen speichern (genauer gesagt, die in einem bestimmten Bereich von Stufen liegen). Ein einstufiges Gerät kann als entarteter Fall eines mehrstufigen Geräts betrachtet werden, wenn der zulässige Bereich aus einem einzigen Niveau besteht. In Kenntnis des Füllstands des Geräts kann das System entscheiden, ob es zulässig ist, Informationen mit einem bestimmten Label darauf zu schreiben.

Die erzwungene Zugriffskontrolle basiert auf dem Abgleich von Subjekt- und Objekt-Sicherheitsetiketten. Diese Methode der Zugriffskontrolle wird als erzwungen bezeichnet, da sie nicht vom Willen der Untertanen abhängt (sogar Systemadministratoren). Die erzwungene Zugriffskontrolle wird in vielen Varianten implementiert Betriebssysteme und DBMS, gekennzeichnet durch erhöhte Sicherheitsmaßnahmen.

Wer ernsthaft über die Sicherheit seiner vertraulichen Informationen nachdenkt, steht vor der Aufgabe, Software für den kryptografischen Datenschutz auszuwählen. Und das ist absolut nicht verwunderlich – die Verschlüsselung ist bei weitem eine der zuverlässigsten Methoden, um den unbefugten Zugriff auf wichtige Dokumente, Datenbanken, Fotos und andere Dateien zu verhindern.

Das Problem ist, dass es für eine kompetente Auswahl notwendig ist, alle Aspekte des Betriebs kryptografischer Produkte zu verstehen. Andernfalls können Sie sehr leicht einen Fehler machen und bei einer Software stehen bleiben, die es Ihnen entweder nicht ermöglicht, alle erforderlichen Informationen zu schützen, oder die nicht das richtige Maß an Sicherheit bietet. Worauf sollten Sie achten? Erstens sind dies die im Produkt verfügbaren Verschlüsselungsalgorithmen. Zweitens die Verfahren zur Authentifizierung von Informationseigentümern. Drittens Möglichkeiten zum Schutz von Informationen. Viertens, zusätzliche Funktionen und Fähigkeiten. Fünftens die Autorität und Bekanntheit des Herstellers sowie die Verfügbarkeit von Zertifikaten für die Entwicklung von Verschlüsselungstools. Und das ist noch nicht alles, was bei der Auswahl eines kryptografischen Schutzsystems wichtig sein kann.

Es ist klar, dass es für eine Person, die sich nicht auf dem Gebiet der Informationssicherheit auskennt, schwierig ist, Antworten auf all diese Fragen zu finden.

Geheime Disk 4 Lite

Secret Disk 4 Lite wurde von Aladdin entwickelt, einem der weltweit führenden Unternehmen im Bereich Informationssicherheit. Sie hat viele Zertifizierungen. Und obwohl das fragliche Produkt kein zertifiziertes Tool ist (Secret Disk 4 hat eine separate zertifizierte Version), zeigt diese Tatsache die Anerkennung des Unternehmens als ernsthafter Entwickler von kryptografischen Tools.

Secret Disk 4 Lite kann zur Verschlüsselung verwendet werden getrennte Abschnitte Festplatte, alle Wechseldatenträger sowie sichere virtuelle Laufwerke zu erstellen. Daher können Sie mit diesem Tool die meisten Probleme im Zusammenhang mit der Kryptografie lösen. Unabhängig davon ist die Möglichkeit der Verschlüsselung zu erwähnen Systempartition. In diesem Fall wird das Booten des Betriebssystems durch einen nicht autorisierten Benutzer unmöglich. Darüber hinaus ist dieser Schutz ungleich zuverlässiger als die integrierten Windows-Schutztools.

Secret Disk 4 Lite hat keine eingebauten Verschlüsselungsalgorithmen. Dieses Programm verwendet für seine Arbeit externe Kryptografieanbieter. Standardmäßig wird ein in Windows integriertes Standardmodul verwendet. Es implementiert die DES- und 3DES-Algorithmen. Heute gelten sie jedoch als veraltet. Daher z besseren Schutz Sie können ein spezielles Secret Disk Crypto Pack von der Aladdin-Website herunterladen. Dies ist ein Kryptografieanbieter, der die derzeit sichersten Kryptografietechnologien implementiert, darunter AES und Twofish mit einer Schlüssellänge von bis zu 256 Bit. Übrigens können Sie bei Bedarf in Kombination mit Secret Disk 4 Lite die zertifizierten Algorithmusanbieter Signal-COM CSP und CryptoPro CSP verwenden.

Eine Besonderheit von Secret Disk 4 Lite ist das Benutzerauthentifizierungssystem. Der Punkt ist, dass es auf der Nutzung aufbaut digitale Zertifikate. Dazu ist im Produktpaket ein Hardware USB eToken enthalten. Es ist ein hochsicherer Speicher für geheime Schlüssel. Tatsächlich sprechen wir von einer vollwertigen Zwei-Faktor-Authentifizierung (das Vorhandensein eines Tokens plus Kenntnis seines PIN-Codes). Dadurch bleibt dem betrachteten Verschlüsselungssystem ein solcher „Flaschenhals“ erspart wie die Verwendung eines herkömmlichen Passwortschutzes.

Von den zusätzlichen Funktionen von Secret Disk 4 Lite kann man die Möglichkeit der Mehrbenutzerarbeit (der Besitzer verschlüsselter Festplatten kann anderen Personen Zugriff darauf gewähren) und den Hintergrundbetrieb des Verschlüsselungsprozesses erwähnen.

Die Benutzeroberfläche von Secret Disk 4 Lite ist einfach und unkompliziert. Es ist in russischer Sprache erstellt, ebenso wie das detaillierte Hilfesystem, das alle Nuancen der Verwendung des Produkts beschreibt.

InfoWatch CryptoStorage

InfoWatch CryptoStorage ist ein Produkt einer ziemlich bekannten Firma InfoWatch, die Zertifikate für die Entwicklung, den Vertrieb und die Wartung von Verschlüsselungstools besitzt. Wie bereits erwähnt, sind sie nicht obligatorisch, können aber die Rolle einer Art Indikator für die Seriosität des Unternehmens und die Qualität seiner Produkte spielen.

Abbildung 1. Kontextmenü

InfoWatch CryptoStorage implementiert nur einen Verschlüsselungsalgorithmus - AES mit einer Schlüssellänge von 128 Bit. Die Benutzerauthentifizierung erfolgt über einen herkömmlichen Passwortschutz. Der Fairness halber sei darauf hingewiesen, dass das Programm eine Mindestlänge hat Schlüsselwörter, gleich sechs Zeichen. Allerdings ist der Passwortschutz in seiner Zuverlässigkeit der Zwei-Faktor-Authentifizierung mit Tokens sicherlich weit unterlegen. Ein Merkmal des Programms InfoWatch CryptoStorage ist seine Vielseitigkeit. Der Punkt ist, dass es zum Verschlüsseln verwendet werden kann einzelne Dateien und Ordner, ganze Partitionen der Festplatte, beliebige Wechseldatenträger sowie virtuelle Laufwerke.

Dieses Produkt ermöglicht es Ihnen, wie das vorherige, zu schützen Systemlaufwerke, das heißt, es kann verwendet werden, um ein unbefugtes Booten des Computers zu verhindern. Tatsächlich ermöglicht Ihnen InfoWatch CryptoStorage, die gesamte Bandbreite an Aufgaben im Zusammenhang mit der Verwendung symmetrischer Verschlüsselung zu lösen.

Ein weiteres Merkmal des betrachteten Produkts ist die Organisation des Mehrbenutzerzugriffs auf verschlüsselte Informationen. Darüber hinaus implementiert InfoWatch CryptoStorage eine garantierte Datenvernichtung ohne die Möglichkeit ihrer Wiederherstellung.

InfoWatch CryptoStorage ist ein russischsprachiges Programm. Seine Benutzeroberfläche ist in russischer Sprache erstellt, aber es ist eher ungewöhnlich: Das Hauptfenster als solches fehlt (es gibt nur ein kleines Konfiguratorfenster), und fast die gesamte Arbeit wird mit erledigt Kontextmenü. Eine solche Lösung ist ungewöhnlich, aber man kann ihre Einfachheit und Bequemlichkeit nicht übersehen. Selbstverständlich ist auch die russischsprachige Dokumentation im Programm vorhanden.

Rohos Disk ist ein Produkt von Tesline-Service.S.R.L. Es ist Teil einer Reihe kleiner Dienstprogramme, die verschiedene Tools zum Schutz vertraulicher Informationen implementieren. Diese Serie befindet sich seit 2003 in der Entwicklung.


Abbildung 2. Programmoberfläche

Rohos Disk wurde für den kryptografischen Schutz von Computerdaten entwickelt. Sie können damit verschlüsselte virtuelle Laufwerke erstellen, auf denen Sie beliebige Dateien und Ordner speichern und Software installieren können.

Zum Schutz von Daten verwendet dieses Produkt kryptografischer Algorithmus AES mit einer Schlüssellänge von 256 Bit, das bietet ein hohes Maß Sicherheit.

Rohos Disk hat zwei Methoden zur Benutzerauthentifizierung. Der erste davon ist der übliche Passwortschutz mit all seinen Mängeln. Die zweite Möglichkeit besteht darin, eine normale USB-Festplatte zu verwenden, auf der der erforderliche Schlüssel geschrieben ist.

Diese Option ist auch nicht sehr zuverlässig. Bei der Verwendung kann der Verlust eines "Flash-Laufwerks" zu ernsthaften Problemen führen.

Rohos Disk hat eine große Auswahl an zusätzlichen Funktionen. Zunächst ist der Schutz von USB-Laufwerken zu beachten. Seine Essenz besteht darin, eine spezielle verschlüsselte Partition auf dem "Flash-Laufwerk" zu erstellen, in der Sie vertrauliche Daten sicher übertragen können.

Darüber hinaus enthält das Produkt ein separates Dienstprogramm, mit dem Sie diese USB-Laufwerke auf Computern öffnen und anzeigen können, auf denen Rohos Disk nicht installiert ist.

Nächste zusätzliche Möglichkeit- Steganographie-Unterstützung. Die Essenz dieser Technologie besteht darin, verschlüsselte Informationen in Multimediadateien zu verstecken (die Formate AVI, MP3, MPG, WMV, WMA, OGG werden unterstützt).

Seine Verwendung ermöglicht es Ihnen, die Tatsache des Vorhandenseins einer geheimen Festplatte zu verbergen, indem Sie sie beispielsweise in den Film legen. Die letzte Zusatzfunktion ist die Vernichtung von Informationen ohne die Möglichkeit ihrer Wiederherstellung.

Das Programm Rohos Disk hat eine traditionelle russischsprachige Benutzeroberfläche. Außerdem wird sie begleitet Hilfesystem, vielleicht nicht so detailliert wie die beiden vorherigen Produkte, aber ausreichend, um die Prinzipien seiner Verwendung zu beherrschen.

Apropos kryptografische Dienstprogramme, kann man nicht umhin, kostenlose Software zu erwähnen. Tatsächlich gibt es heute in fast allen Bereichen würdige Produkte, die völlig frei verteilt werden. Und Informationssicherheit ist keine Ausnahme von dieser Regel.

Es stimmt, es gibt eine zweifache Haltung gegenüber der Verwendung von freier Software zum Schutz von Informationen. Tatsache ist, dass viele Dienstprogramme von einzelnen Programmierern oder kleinen Gruppen geschrieben werden. Gleichzeitig kann niemand für die Qualität ihrer Implementierung und das Fehlen von "Löchern", versehentlich oder absichtlich, bürgen. Aber kryptografische Lösungen selbst sind ziemlich schwierig zu entwickeln. Bei der Erstellung müssen Sie eine Vielzahl unterschiedlicher Nuancen berücksichtigen. Deshalb empfiehlt es sich, nur bekannte Produkte zu verwenden, und zwar immer mit Open Source. Nur so ist sichergestellt, dass sie frei von „Lesezeichen“ und von einer Vielzahl von Spezialisten getestet, also mehr oder weniger zuverlässig sind. Ein Beispiel für ein solches Produkt ist das Programm TrueCrypt.


Abbildung 3. Programmoberfläche

TrueCrypt ist wohl eines der funktionsreichsten kostenlosen kryptografischen Dienstprogramme auf dem Markt. Ursprünglich wurde es nur zum Erstellen sicherer virtueller Laufwerke verwendet. Für die meisten Benutzer ist dies jedoch der bequemste Weg, um verschiedene Informationen zu schützen. Im Laufe der Zeit tauchte jedoch die Funktion zum Verschlüsseln der Systempartition darin auf. Wie wir bereits wissen, soll es den Computer vor unbefugtem Starten schützen. Allerdings weiß TrueCrypt noch nicht, wie alle anderen Partitionen sowie einzelne Dateien und Ordner verschlüsselt werden sollen.

Das fragliche Produkt implementiert mehrere Verschlüsselungsalgorithmen: AES, Serpent und Twofish. Der Besitzer der Informationen kann wählen, in welchen er sie verwenden möchte dieser Moment. Die Benutzerauthentifizierung in TrueCrypt kann mit normalen Passwörtern erfolgen. Es gibt jedoch eine andere Option - die Verwendung von Schlüsseldateien, die auf einer Festplatte oder einer anderen gespeichert werden können Wechselspeicher. Unabhängig davon ist anzumerken, dass dieses Programm Token und Smartcards unterstützt, wodurch Sie eine zuverlässige Zwei-Faktor-Authentifizierung organisieren können.

Von den zusätzlichen Funktionen des betreffenden Programms kann man die Möglichkeit der Erstellung feststellen versteckte Bände innerhalb der wichtigsten. Es wird verwendet, um sensible Daten zu verbergen, wenn ein Laufwerk unter Zwang geöffnet wird. Außerdem implementiert TrueCrypt ein System Exemplar reservieren Volume-Header für die Wiederherstellung nach einem Absturz oder das Zurücksetzen auf alte Passwörter.

Die Oberfläche von TrueCrypt ist Dienstprogrammen dieser Art vertraut. Es ist mehrsprachig und es ist möglich, die russische Sprache zu installieren. Dokumentation ist viel schlimmer. Es ist, und zwar sehr ausführlich, aber eingeschrieben Englische Sprache. Natürlich über jeden technischer Support es kann keine Rede sein.

Zur besseren Übersichtlichkeit sind alle Merkmale und Funktionen in Tabelle 2 zusammengefasst.

Tabelle 2 - Funktionalität Programme zum Schutz kryptografischer Informationen.

Geheime Disk 4 lite

InfoWatch CryptoStorage

Verschlüsselungsalgorithmen

DES, 3DES, AES, TwoFish

AES, Schlange, TwoFish

Maximale Länge des Verschlüsselungsschlüssels

Anbindung externer Kryptoanbieter

Starke Authentifizierung mit Token

+ (Token müssen separat erworben werden)

Verschlüsselung von Dateien und Ordnern

Partitionsverschlüsselung

Systemverschlüsselung

Verschlüsselung virtueller Laufwerke

Wechselspeicherverschlüsselung

Unterstützung für die Arbeit mit mehreren Benutzern

Garantierte Datenvernichtung

Verschlüsselte Objekte verstecken

Arbeiten unter Zwang

Russischsprachige Benutzeroberfläche

Dokumentation in russischer Sprache

Technischer Support


Wird geladen...
Spitze