Apa arti dari skzi. Metode kriptografi perlindungan informasi

Dengar ... bisakah, untuk kepentingan kita bersama, setiap surat yang masuk ke kantor pos Anda, masuk dan keluar, Anda tahu, mencetaknya sedikit dan membaca: apakah itu berisi laporan atau hanya korespondensi .. .

N.V. Gogol "Inspektur"

Idealnya, hanya dua orang yang dapat membaca surat rahasia: pengirim dan orang yang dituju.Perumusan hal yang tampaknya sangat sederhana ini adalah titik awal dari sistem proteksi kripto. Perkembangan matematika memberikan dorongan untuk pengembangan sistem tersebut.

Sudah di abad XVII-XVIII, sandi di Rusia cukup canggih dan tahan terhadap kerusakan. Banyak ahli matematika Rusia mengerjakan pembuatan atau peningkatan sistem enkripsi dan pada saat yang sama mencoba mengambil kunci sandi dari sistem lain. Saat ini, beberapa sistem enkripsi Rusia dapat dicatat, seperti Lexicon Verba, Secret Net, DALLAS LOCK, Secret Disk, keluarga produk Accord, dll. Kami akan membicarakannya. Anda juga akan berkenalan dengan perangkat lunak utama dan perangkat keras serta perangkat lunak kompleks cryptoprotection, pelajari tentang kemampuan, kekuatan, dan kelemahan. Kami harap artikel ini akan membantu Anda menentukan pilihan sistem perlindungan kriptografi.

Perkenalan

Apakah Anda khawatir itu informasi penting dari komputer Anda bisa jatuh ke tangan yang salah? Informasi ini dapat digunakan oleh pesaing, otoritas pengatur, dan simpatisan. Jelas, tindakan seperti itu dapat membawa Anda kerusakan yang signifikan. Apa yang harus dilakukan? Untuk melindungi informasi Anda dari orang asing, Anda harus menginstal salah satu program enkripsi data. Ulasan kami dikhususkan untuk analisis sistem enkripsi untuk sistem desktop. Perlu dicatat bahwa penggunaan sistem enkripsi asing di Rusia sangat terbatas karena sejumlah alasan organisasi negara dan perusahaan domestik besar terpaksa menggunakan perkembangan Rusia. Namun, perusahaan menengah dan kecil, serta individu, terkadang lebih menyukai sistem asing.

Untuk yang belum tahu, enkripsi informasi tampak seperti ilmu hitam. Memang, mengenkripsi pesan untuk menyembunyikan isinya dari orang luar adalah masalah matematika yang kompleks. Selain itu, sandi harus dipilih sedemikian rupa sehingga hampir tidak mungkin untuk membukanya tanpa kunci, dan dengan cepat dan mudah dengan kunci. Banyak perusahaan dan organisasi merasa sangat sulit untuk melakukannya pilihan optimal saat menginstal program enkripsi. Masalahnya semakin diperumit oleh fakta bahwa tidak ada komputer yang benar-benar aman dan sistem enkripsi yang benar-benar andal. Namun, masih ada cukup cara untuk menolak hampir semua upaya untuk mengungkapkan informasi terenkripsi.

Apa yang dimiliki program enkripsi di dalamnya

Program enkripsi berbeda satu sama lain dalam algoritma enkripsi. Setelah file dienkripsi, Anda dapat menulisnya ke floppy disk, mengirimkannya melalui surel atau memakai server di Anda jaringan lokal. Penerima enkripsi Anda harus memiliki program enkripsi yang sama agar dapat membaca konten file.

Jika Anda ingin mengirim pesan terenkripsi ke beberapa pengguna sekaligus, maka informasi Anda untuk setiap penerima dapat dienkripsi dengan kunci mereka sendiri atau dengan kunci bersama untuk semua pengguna (termasuk pembuat pesan).

Cryptosystem menggunakan kode rahasia untuk mengubah informasi Anda menjadi kumpulan karakter pseudo-random yang tidak berarti. Pada algoritma yang baik enkripsi, hampir tidak mungkin mendekripsi pesan tanpa mengetahuinya Kode rahasia digunakan untuk enkripsi. Algoritma semacam itu disebut algoritma kunci simetris karena kunci yang sama digunakan untuk mengenkripsi dan mendekripsi informasi.

Untuk melindungi data Anda, program enkripsi membuat kunci rahasia berdasarkan kata sandi Anda. Anda hanya perlu menyetel kata sandi panjang yang tidak dapat ditebak oleh siapa pun. Namun, jika Anda ingin orang lain membaca file tersebut, Anda harus memberi tahu orang itu kunci rahasia (atau kata sandi yang menjadi dasarnya). Anda dapat yakin bahwa algoritme enkripsi sederhana pun akan melindungi data Anda dari pengguna biasa, katakanlah, dari rekan kerja. Namun, para profesional memiliki sejumlah cara untuk mendekripsi pesan tanpa mengetahui kode rahasianya.

Tanpa pengetahuan khusus, Anda tidak akan dapat memeriksa sendiri seberapa andal algoritme enkripsi Anda. Tapi Anda bisa mengandalkan pendapat para profesional. Beberapa algoritme enkripsi, seperti Triple DES (Standar Enkripsi Data) telah diuji selama bertahun-tahun. Menurut hasil pengujian, algoritme ini telah membuktikan dirinya dengan baik, dan para kriptografer yakin bahwa algoritme ini dapat dipercaya. Sebagian besar algoritma baru juga dipelajari dengan cermat, dan hasilnya dipublikasikan dalam literatur khusus.

Jika algoritme program belum ditinjau dan didiskusikan secara terbuka oleh para profesional, jika tidak memiliki sertifikat dan dokumen resmi lainnya, ini adalah alasan untuk meragukan keandalannya dan menolak untuk menggunakan program semacam itu.

Tipe lain dari sistem enkripsi adalah sistem kunci publik. Agar sistem seperti itu berfungsi, tidak perlu memberi tahu penerima kunci rahasia (atau kata sandi yang menjadi dasar pembuatannya). Sistem enkripsi ini menghasilkan dua kunci digital untuk setiap pengguna: satu digunakan untuk mengenkripsi data, yang lain - untuk mendekripsinya. Kunci pertama (disebut kunci publik) dapat dibuat publik, sedangkan kunci kedua dirahasiakan. Setelah itu, siapa pun dapat mengenkripsi informasi menggunakan kunci publik, dan hanya mereka yang memiliki kunci rahasia yang sesuai yang dapat mendekripsinya.

Beberapa program enkripsi berisi alat perlindungan penting lainnya - tanda tangan digital. Tanda tangan digital menyatakan bahwa file belum dimodifikasi sejak ditandatangani dan memberikan informasi kepada penerima tentang siapa sebenarnya yang menandatangani file tersebut. Algoritma pembuatan tanda tangan digital berdasarkan perhitungan checksum - yang disebut hash sum, atau intisari pesan. Algoritme yang diterapkan menjamin bahwa tidak mungkin untuk mengambil dua file berbeda yang jumlah hashnya cocok.

Saat penerima menerima file yang ditandatangani secara digital, program enkripsi mereka menghitung ulang jumlah hash untuk file tersebut. Penerima kemudian menggunakan kunci publik yang diterbitkan oleh pengirim untuk memulihkan tanda tangan digital. Jika hasilnya cocok dengan nilai yang dihitung untuk file tersebut, maka penerima dapat yakin bahwa teks pesan tidak diubah (jika ini terjadi, jumlah hash akan berbeda), dan tanda tangan adalah milik orang yang memiliki akses ke kunci rahasia pengirim.

Untuk melindungi penting atau informasi rahasia dibutuhkan tidak hanya program yang bagus enkripsi. Anda perlu mengambil sejumlah langkah untuk memastikan informasi keamanan. Jika kata sandi Anda lemah (para ahli merekomendasikan untuk mengaturnya menjadi delapan karakter atau lebih) atau jika salinan informasi rahasia yang tidak terenkripsi disimpan di komputer Anda, maka dalam hal ini bahkan sistem terbaik enkripsi tidak akan berdaya.

Sistem leksikon-Verba

Sistem Lexicon-Verba adalah sarana pengorganisasian yang dilindungi pengelolaan dokumen elektronik baik dalam jaringan perusahaan maupun antar organisasi yang berbeda. Lexicon-Verba menggunakan dua modifikasi sistem kriptografi: sistem Verba-W ditujukan untuk badan negara (perlindungan informasi rahasia, khususnya chipboard; kunci tanda tangan terbuka, kunci enkripsi ditutup), sistem Verba-OW untuk komersial organisasi (perlindungan rahasia dagang; tanda tangan dan kunci enkripsi terbuka).

Ada beberapa standar enkripsi global, tetapi hanya sebagian kecil yang disertifikasi oleh Badan Federal untuk Komunikasi dan Informasi Pemerintah (FAPSI), yang membuat penggunaan solusi non-sertifikasi tidak mungkin dilakukan di Rusia. Sistem Verba-W memiliki sertifikat FAPSI No. SF/114-0176. Sistem Verba-OW - Sertifikat FAPSI No. SF / 114-0174.

"Lexicon-Verba" menyediakan enkripsi dan tanda tangan digital sesuai dengan persyaratan GOST 28147-89 "Sistem pemrosesan informasi. Perlindungan kriptografi" dan GOST R34.10-94 "Teknologi informasi. Perlindungan informasi kriptografi. Prosedur pengembangan dan verifikasi tanda tangan digital elektronik berdasarkan algoritma kriptografi asimetris.

Program ini disertifikasi oleh Komisi Teknis Negara di bawah Presiden Federasi Rusia. Pada bulan Juli, diharapkan menerima sertifikat dari Kementerian Pertahanan Rusia.

Perlindungan kriptografi sistem didasarkan pada metode enkripsi dengan kunci publik. Setiap kunci yang mengidentifikasi pengguna terdiri dari dua bagian: kunci publik dan kunci pribadi. Kunci publik didistribusikan secara bebas dan digunakan untuk mengenkripsi informasi pengguna ini. Untuk mendekripsi dokumen, orang yang mengenkripsinya harus memiliki kunci publik Anda dan mengidentifikasi Anda sebagai pemilik akses ke dokumen saat mengenkripsinya.

Untuk mendekripsi dokumen, Anda perlu menggunakan kunci pribadi. Kunci pribadi terdiri dari dua bagian, salah satunya disimpan di kartu pintar atau memori sentuh, dan yang lainnya disimpan di hard drive komputer Anda. Dengan demikian, baik kehilangan kartu pintar maupun akses tidak sah ke komputer tidak memungkinkan, secara individual, untuk mendekripsi dokumen.

Kumpulan kunci awal, yang mencakup informasi lengkap tentang kunci publik dan pribadi pengguna, dibuat di tempat kerja aman yang diperlengkapi secara khusus. Floppy disk dengan informasi kunci hanya digunakan pada tahap persiapan tempat kerja pengguna.

Sistem Lexicon-Verba dapat digunakan dalam kerangka dua sistem utama untuk mengatur manajemen dokumen yang aman:

• sebagai solusi mandiri. Jika organisasi memiliki jaringan lokal, sistem tidak dapat diinstal di semua komputer, tetapi hanya di komputer yang perlu bekerja dengan dokumen rahasia. Artinya di dalam jaringan perusahaan terdapat subnet untuk pertukaran informasi rahasia. Pada saat yang sama, peserta di bagian tertutup sistem dapat bertukar dokumen terbuka dengan karyawan lain;
• sebagai bagian dari alur kerja. Lexicon-Verba memiliki antarmuka koneksi standar fungsi eksternal untuk melakukan operasi pembukaan, penyimpanan, penutupan dan pengiriman dokumen, yang memudahkan untuk mengintegrasikan sistem ini ke dalam sistem alur kerja yang sudah ada dan yang baru dikembangkan.

Perlu dicatat bahwa sifat-sifat sistem Lexicon-Verba membuatnya tidak hanya menjadi sarana penyediaan perlindungan informasi dari intrusi eksternal, tetapi juga sebagai sarana untuk meningkatkan kerahasiaan intra-perusahaan dan berbagi akses.

Salah satu sumber daya tambahan yang penting untuk meningkatkan tingkat kontrol keamanan informasi adalah kemampuan untuk memelihara "log peristiwa" untuk dokumen apa pun. Fitur perbaikan riwayat dokumen hanya dapat diaktifkan atau dinonaktifkan saat sistem diinstal; ketika dihidupkan majalah ini akan dilakukan terlepas dari keinginan pengguna.

Keuntungan utama dan ciri khas sistem adalah implementasi fungsi keamanan informasi yang sederhana dan intuitif dengan tetap mempertahankan tradisional pengolah kata lingkungan kerja pengguna.

Unit kriptografi melakukan enkripsi, serta pemasangan dan penghapusan dokumen tanda tangan digital elektronik (EDS).

Fungsi tambahan dari blok - mengunduh kunci rahasia, mengekspor dan mengimpor kunci publik, menyiapkan dan memelihara direktori kunci pelanggan sistem.

Dengan demikian, masing-masing dari mereka yang memiliki akses ke dokumen hanya dapat membubuhkan tanda tangannya, tetapi menghapus salah satu yang telah ditetapkan sebelumnya.

Ini mencerminkan prosedur pekerjaan kantor yang diterima, ketika dokumen disetujui, dapat direvisi pada tahap yang berbeda, tetapi setelah itu dokumen harus disetujui lagi.

Jika Anda mencoba mengubah dokumen dengan cara selain "Lexicon-Verba", EDS rusak, akibatnya akan muncul tulisan "Rusak" di kolom "Status Tanda Tangan".

Kantor

Seiring bertambahnya jumlah pengguna sistem, memasukkan setiap kunci publik di setiap komputer menjadi sulit. Oleh karena itu, untuk mengatur pekerjaan kantor, administrasi terpusat dari direktori kunci publik diatur. Ini dilakukan dengan cara berikut:

1) "Lexicon-Verba" diinstal di komputer administrator dalam mode lokal. Ini membuat direktori kunci publik, di mana administrator menambahkan setiap kunci yang digunakan di kantor;

2) di semua komputer lain, sistem diinstal modus jaringan. Mode ini menggunakan direktori kunci publik yang terletak di komputer administrator;

3) masing-masing Pengguna baru, ditambahkan oleh administrator ke direktori, menjadi "terlihat" oleh semua pengguna yang terhubung ke direktori. Sejak saat itu, mereka mendapat kesempatan untuk mentransfer dokumen terenkripsi kepadanya.

Administrasi direktori menjadi terpusat, tetapi ini tidak mempengaruhi tingkat keamanan sistem, karena memberikan akses ke kunci publik adalah semacam "kenalan" pengguna, tetapi tidak memberikan akses ke dokumen apa pun. Agar pengguna dapat mendekripsi dokumen, kunci publik mereka tidak hanya harus ada di direktori, tetapi juga harus terdaftar secara eksplisit sebagai yang memiliki akses ke dokumen.

Metode kriptografi perlindungan informasi dapat diimplementasikan baik dalam perangkat lunak maupun perangkat keras. Encoder perangkat keras atau perangkat perlindungan kriptografi data (UKZD), paling sering, adalah kartu ekspansi yang dimasukkan ke dalam konektor 18A atau PC1 pada papan sistem komputer pribadi(PC) (Gbr. 3.21). Ada opsi implementasi lain, misalnya dalam bentuk kunci u8B dengan fungsi kriptografi (Gbr. 3.22).

Produsen pembuat enkode perangkat keras biasanya melengkapinya dengan berbagai fitur tambahan, antara lain:

Pembuatan nomor acak diperlukan untuk menerima kunci kriptografi. Selain itu, banyak algoritme kriptografi menggunakannya untuk tujuan lain, misalnya, dalam algoritme tanda tangan digital elektronik, GOST R 34.10-2001, nomor acak baru diperlukan untuk setiap perhitungan tanda tangan;

Beras. 3.21. Encoder perangkat keras dalam bentuk papan PC1:

1 - konektor teknologi; 2 - memori untuk logging; 3 - sakelar mode; 4 - memori multifungsi; 5 - unit kontrol dan mikroprosesor; 6- antarmuka PC1; 7- Pengontrol PC1; 8- DSC; 9- antarmuka untuk menghubungkan pembawa kunci

Beras. 3.22.

• kontrol masuk komputer. Saat menyalakan PC, perangkat mengharuskan pengguna memasukkan informasi pribadi (misalnya, memasukkan perangkat dengan kunci pribadi). Memuat sistem operasi hanya akan diizinkan setelah perangkat mengenali kunci yang disajikan dan menganggapnya "miliknya". Jika tidak, Anda harus membukanya Unit sistem dan lepaskan pembuat enkode dari sana untuk memuat sistem operasi (namun, informasi di hard drive PC juga dapat dienkripsi);
• kontrol integritas file sistem operasi untuk mencegah modifikasi berbahaya file konfigurasi Dan program sistem. Encoder menyimpan daftar semua file penting dengan nilai hash kontrol yang dihitung sebelumnya untuk masing-masing file tersebut, dan jika nilai hash dari setidaknya satu file yang dikontrol tidak sesuai dengan standar pada boot OS berikutnya, komputer akan diblokir.

Enkripsi yang melakukan kontrol masuk pada PC dan memeriksa integritas sistem operasi juga disebut " kunci elektronik» (lihat par. 1.3).

Pada ara. 3.23 menunjukkan struktur khas pembuat enkode perangkat keras. Pertimbangkan fungsi blok utamanya:

• unit kontrol - modul utama encoder. Ini biasanya diimplementasikan berdasarkan mikrokontroler, ketika memilih mana yang utama adalah kecepatan dan sumber daya internal yang cukup, serta port eksternal untuk menghubungkan semua modul yang diperlukan;
• Pengontrol bus sistem PC (misalnya, PC1), yang melaluinya pertukaran data utama antara UKZD dan komputer dilakukan;
• perangkat penyimpanan non-volatile (memori), biasanya diimplementasikan berdasarkan chip memori flash. Itu harus cukup luas (beberapa megabyte) dan memungkinkan banyak siklus tulis. Di sini ditempatkan perangkat lunak mikrokontroler yang Anda

Beras. 3.23. Struktur UKZD diisi saat perangkat diinisialisasi (saat pembuat enkode mengambil kendali saat komputer melakukan booting);

• memori log audit, yang juga merupakan memori non-volatile (untuk menghindari kemungkinan tabrakan, memori program dan memori log tidak boleh digabungkan);
• prosesor sandi (atau beberapa unit serupa) - sirkuit mikro atau sirkuit mikro khusus dari PLD logika yang dapat diprogram (Perangkat Logika yang Dapat Diprogram), yang memastikan kinerja operasi kriptografi (enkripsi dan dekripsi, perhitungan dan verifikasi EDS, hashing);
• generator angka acak, yang merupakan perangkat yang menghasilkan sinyal acak dan tidak dapat diprediksi secara statistik (disebut white noise). Ini bisa berupa, misalnya, dioda derau. Sebelum digunakan lebih lanjut dalam prosesor cipher, menurut aturan khusus, derau putih diubah menjadi bentuk digital;
• blok untuk memasukkan informasi kunci. Memberikan tanda terima kunci pribadi yang aman dari pembawa kunci dan masukan informasi identifikasi tentang pengguna yang diperlukan untuk autentikasinya;
• blok sakelar yang diperlukan untuk menonaktifkan kemampuan untuk bekerja dengan perangkat eksternal (drive, CD-ROM, port paralel dan serial, bus USB dll.). Jika pengguna bekerja dengan informasi yang sangat sensitif, UKZD akan memblokir semuanya perangkat eksternal, termasuk bahkan kartu jaringan.

Operasi kriptografi di UKZD harus dilakukan sedemikian rupa untuk mengecualikan akses tidak sah ke sesi dan kunci pribadi dan kemungkinan mempengaruhi hasil pelaksanaannya. Oleh karena itu, prosesor sandi secara logis terdiri dari beberapa blok (Gbr. 3.24):

• kalkulator - satu set register, penambah, blok substitusi, dll. saling terhubung dengan bus data. Dirancang untuk eksekusi operasi kriptografi tercepat. Sebagai masukan, kalkulator menerima data terbuka yang harus dienkripsi (didekripsi) atau ditandatangani, dan kunci kriptografi;
• unit kontrol - program yang diimplementasikan perangkat keras yang mengontrol kalkulator. Jika untuk alasan apapun

Beras. 3.24.

program akan berubah, pekerjaannya akan mulai goyah. Oleh karena itu, program ini tidak hanya harus disimpan dengan aman dan berfungsi dengan stabil, tetapi juga secara teratur memeriksa integritasnya. Unit kontrol eksternal yang dijelaskan di atas juga secara berkala mengirimkan tugas kontrol ke unit kontrol. Dalam praktiknya, untuk kepercayaan yang lebih besar pada pembuat enkode, dua prosesor sandi dipasang yang secara konstan membandingkan hasil operasi kriptografi mereka (jika tidak cocok, operasi diulang);

Buffer I/O diperlukan untuk meningkatkan kinerja perangkat: saat blok data pertama dienkripsi, blok data berikutnya sedang dimuat, dan seterusnya Hal yang sama terjadi pada output. Transmisi pipa data seperti itu secara serius meningkatkan kecepatan operasi kriptografi di pembuat enkode.

Ada tugas lain untuk memastikan keamanan saat melakukan operasi kriptografi oleh pembuat enkode: memuat kunci ke dalam pembuat enkode, melewati RAM komputer, di mana kunci tersebut secara teoritis dapat dicegat dan bahkan diganti. Untuk melakukan ini, UKZD juga berisi port input-output (misalnya, COM atau USB), yang terhubung langsung ke perangkat yang berbeda membaca media kunci. Ini bisa berupa kartu pintar, token (tombol USB khusus) atau elemen Memori Sentuh (lihat par. 1.3). Selain memasukkan kunci langsung ke UKZD, banyak dari media ini juga menyediakan penyimpanan yang andal - bahkan pembawa kunci tanpa mengetahui kode akses khusus (misalnya, kode PIN) tidak akan dapat membaca isinya.

Untuk menghindari tabrakan saat mengakses encoder secara bersamaan program yang berbeda, V sistem komputer menginstal perangkat lunak khusus

Beras. 3.25.

• (perangkat lunak) untuk mengontrol encoder (Gbr. 3.25). Perangkat lunak semacam itu mengeluarkan perintah melalui driver enkoder dan mentransmisikan data ke enkoder, memastikan bahwa arus informasi dari sumber yang berbeda tidak tumpang tindih, dan juga bahwa pembuat enkode selalu berisi kunci yang tepat. Dengan demikian, UKZD melakukan dua hal secara fundamental jenis yang berbeda perintah:
• sebelum memuat sistem operasi, perintah dijalankan yang ada di memori pembuat enkode, yang melakukan semua pemeriksaan yang diperlukan (misalnya, identifikasi dan otentikasi pengguna) dan mengatur tingkat keamanan yang diperlukan (misalnya, matikan perangkat eksternal);
• setelah memuat OS (misalnya, Windows), perintah dieksekusi yang datang melalui perangkat lunak kontrol enkripsi (mengenkripsi data, memuat ulang kunci, menghitung angka acak, dll.).

Pemisahan seperti itu diperlukan untuk alasan keamanan - setelah menjalankan perintah dari blok pertama, yang tidak dapat dilewati, penyusup tidak dapat lagi melakukan tindakan yang tidak sah.

Tujuan lain dari perangkat lunak manajemen enkoder adalah untuk memberikan kemampuan untuk mengganti satu enkoder dengan yang lain (katakanlah, yang lebih produktif atau mengimplementasikan algoritme kriptografi lainnya) tanpa mengubah perangkat lunak. Ini terjadi dengan cara yang sama, misalnya, berubah kartu jaringan: Enkripsi dilengkapi dengan driver yang memungkinkan program untuk melakukan serangkaian fungsi kriptografi standar sesuai dengan beberapa antarmuka pemrograman aplikasi (misalnya, CryptAP1).

Dengan cara yang sama, Anda dapat mengganti pembuat enkode perangkat keras dengan perangkat lunak (misalnya, emulator pembuat enkode). Untuk melakukan ini, encoder perangkat lunak biasanya diimplementasikan sebagai driver yang menyediakan serangkaian fungsi yang sama.

Namun, tidak semua UKZD memerlukan perangkat lunak manajemen encoder (khususnya, encoder untuk enkripsi-dekripsi "transparan" dari semua perangkat keras PC hanya perlu diatur sekali).

Untuk tambahan memastikan keamanan melakukan operasi kriptografi di UKZD, perlindungan multi-level kunci kriptografi enkripsi simetris dapat digunakan, di mana kunci sesi acak dienkripsi dengan kunci pengguna jangka panjang, dan itu, pada gilirannya, dengan kunci master (Gbr. 3.26).

Pada tahap pemuatan awal, kunci master dimasukkan ke dalam sel kunci No. 3 memori encoder. Tetapi untuk enkripsi tiga tingkat, Anda perlu mendapatkan dua lagi. Kunci sesi dihasilkan sebagai hasil permintaan ke generator (sensor)

Beras. 3.26. Enkripsi file menggunakan encoder nomor UKZD ny (DSN) untuk mendapatkan nomor acak, yang dimuat ke sel kunci No. 1 yang sesuai dengan kunci sesi. Itu mengenkripsi konten file dan membuat file baru A yang menyimpan informasi terenkripsi.

Selanjutnya, pengguna diminta untuk memasukkan kunci jangka panjang, yang dimuat ke sel kunci #2 dengan dekripsi menggunakan kunci utama yang terletak di sel #3. dalam hal ini, kuncinya tidak pernah "meninggalkan" encoder sama sekali. Terakhir, kunci sesi dienkripsi menggunakan kunci jangka panjang di sel 2, diunduh dari enkripsi, dan ditulis ke header file yang dienkripsi.

Saat mendekripsi file, kunci sesi pertama kali didekripsi menggunakan kunci jangka panjang pengguna, dan kemudian informasi dipulihkan dengan menggunakannya.

Pada prinsipnya, satu kunci dapat digunakan untuk enkripsi, tetapi skema multi-kunci memiliki keuntungan yang serius. Pertama, kemungkinan serangan terhadap kunci jangka panjang berkurang, karena hanya digunakan untuk mengenkripsi kunci sesi pendek. Dan ini mempersulit cryptanalysis penyerang informasi terenkripsi untuk mendapatkan kunci jangka panjang. Kedua, saat mengubah kunci jangka panjang, Anda dapat mengenkripsi ulang file dengan sangat cepat: cukup mengenkripsi ulang kunci sesi dari kunci jangka panjang lama ke yang baru. Ketiga, pembawa kunci diturunkan, karena hanya kunci master yang disimpan di dalamnya, dan semua kunci jangka panjang (dan pengguna mungkin memiliki beberapa di antaranya untuk tujuan yang berbeda) dapat disimpan dienkripsi dengan kunci master bahkan di hard PC. menyetir.

Enkripsi dalam bentuk kunci SHV (lihat Gambar 3.22) belum dapat menjadi pengganti lengkap untuk pembuat enkode perangkat keras untuk bus PC1 karena kecepatan enkripsi yang rendah. Namun, mereka memiliki beberapa fitur menarik. Pertama, token (kunci SW) bukan hanya pembuat enkode perangkat keras, tetapi juga pembawa kunci enkripsi, yaitu perangkat dua-dalam-satu. Kedua, token biasanya sesuai dengan internasional umum standar kriptografi(RKSB #11, 1BO 7816, RS/8S, dll.), dan dapat digunakan tanpa pengaturan tambahan dalam perangkat lunak keamanan informasi yang sudah ada (misalnya, mereka dapat digunakan untuk mengautentikasi pengguna dalam sistem operasi keluarga Microsoft Windows). Dan terakhir, harga pembuat enkode semacam itu sepuluh kali lebih rendah daripada harga pembuat enkode perangkat keras klasik untuk bus PCI.

Alat enkripsi perusahaan yang diterapkan oleh AST dapat mendukung algoritme enkripsi GOST dan menyediakan kelas perlindungan kriptografi yang diperlukan tergantung pada tingkat perlindungan yang diperlukan, kerangka peraturan, dan persyaratan kompatibilitas dengan yang lain, termasuk sistem eksternal.

Sarana perlindungan informasi kriptografi (CIPF) merupakan komponen penting dalam memastikan keamanan informasi dan memungkinkan untuk menjamin level tinggi keamanan data, bahkan jika dienkripsi dokumen elektronik ke tangan pihak ketiga, serta jika terjadi pencurian atau kehilangan media penyimpanan bersama mereka. CIPF saat ini digunakan di hampir setiap perusahaan - lebih sering pada tingkat interaksi dengan otomatis sistem perbankan dan sistem informasi negara; lebih jarang - untuk menyimpan data perusahaan dan menukarnya. Sementara itu, penggunaan enkripsi terbarulah yang memungkinkan Anda melindungi bisnis Anda dari kebocoran informasi penting yang berbahaya dengan jaminan hingga 99%, bahkan dengan mempertimbangkan faktor manusia.

Secara fungsional, kebutuhan penggunaan CIPF juga ditentukan oleh semakin populernya manajemen dokumen elektronik, pengarsipan, dan interaksi tanpa kertas. Pentingnya dokumen yang diproses dalam sistem tersebut mendikte kewajiban untuk memastikan keamanan informasi yang tinggi, yang tidak dapat dilakukan tanpa penggunaan enkripsi dan tanda tangan elektronik.

Pengenalan CIPF ke dalam praktik perusahaan menyediakan pembuatan kompleks perangkat lunak dan perangkat keras, yang arsitektur dan komposisinya ditentukan berdasarkan kebutuhan pelanggan tertentu, persyaratan hukum, tugas dan metode yang diperlukan, serta algoritme enkripsi. Ini mungkin termasuk komponen perangkat lunak enkripsi (cryptoproviders), alat organisasi VPN, alat identitas, alat untuk menghasilkan dan memverifikasi kunci dan tanda tangan digital yang berfungsi untuk mengatur alur kerja yang signifikan secara hukum, dan media penyimpanan perangkat keras.

Alat enkripsi perusahaan yang diterapkan oleh AST dapat mendukung algoritme enkripsi GOST dan menyediakan kelas perlindungan kriptografi yang diperlukan tergantung pada tingkat perlindungan yang diperlukan, kerangka peraturan, dan persyaratan kompatibilitas dengan yang lain, termasuk sistem eksternal. Pada saat yang sama, alat enkripsi memberikan perlindungan untuk seluruh rangkaian komponen informasi - file, direktori dengan file dan arsip, media penyimpanan fisik dan virtual, seluruh server dan sistem penyimpanan.

Solusinya akan dapat menyediakan berbagai tindakan untuk perlindungan informasi yang andal selama penyimpanan, pengiriman, penggunaan, serta untuk mengelola CIPF itu sendiri, termasuk:

• Menjamin kerahasiaan informasi
• Memastikan integritas informasi
• Jaminan keaslian informasi
• Perlindungan informasi yang ditargetkan, termasuk:
  - Enkripsi dan dekripsi
  — Pembuatan dan verifikasi EDS
• Fleksibilitas konfigurasi, pengelolaan dan penggunaan CIPF
• Perlindungan CIPF, termasuk pemantauan dan deteksi kasus kegagalan fungsi, upaya akses tidak sah, kasus kompromi kunci.

Proyek selesai

Layanan terkait:

• Pemantauan peristiwa dan manajemen insiden keamanan informasi

  Faktor terpenting dalam memastikan keamanan informasi (IS) adalah ketersediaan informasi yang lengkap dan andal tentang peristiwa,

  [...]
• Memastikan keamanan jaringan dan perlindungan perimeter

  Infrastruktur jaringan secara teknologi mendasari semua sistem TI perusahaan dan merupakan arteri transportasi untuk informasi,

  [...]
• Perlindungan terhadap serangan yang ditargetkan

  Salah satu ancaman paling serius dan berbahaya bagi bisnis dalam hal keamanan informasi (SI) adalah targetnya

  [...]
• perlindungan APCS

  Sistem kontrol proses otomatis (APCS) dalam produksi adalah solusi mendasar,

  [...]
• Analisis kerentanan dan sistem manajemen

  Karena sama sekali tidak ada orang sehat, dan tidak ada yang benar-benar dilindungi sistem Informasi. komponen infrastruktur TI

  [...]
• Perlindungan kebocoran informasi (sistem DLP)

  Setiap organisasi memiliki dokumen dengan akses terbatas mengandung informasi rahasia tertentu. Masuknya mereka ke orang lain

Sarana perlindungan informasi kriptografi (CIPF) termasuk perangkat keras, perangkat lunak dan perangkat keras dan perangkat lunak, yang mengimplementasikan algoritme kriptografi untuk mengonversi informasi untuk:

Perlindungan informasi selama pemrosesan, penyimpanan, dan transmisi melalui lingkungan transportasi AU;

Memastikan keandalan dan integritas informasi (termasuk menggunakan algoritme tanda tangan digital) selama pemrosesan, penyimpanan, dan pengirimannya melalui lingkungan transportasi AS;

Pengembangan informasi yang digunakan untuk mengidentifikasi dan mengautentikasi subjek, pengguna, dan perangkat;

Pengembangan informasi yang digunakan untuk melindungi elemen autentikasi dari AS yang aman selama pembuatan, penyimpanan, pemrosesan, dan pengirimannya.

Diasumsikan bahwa alat perlindungan informasi kriptografi digunakan di beberapa AS (di sejumlah sumber - sistem informasi dan telekomunikasi atau jaringan komunikasi), bersama dengan mekanisme untuk menerapkan dan menjamin kebijakan keamanan.

Transformasi kriptografi memiliki sejumlah fitur penting:

CIPF mengimplementasikan beberapa algoritma konversi informasi (enkripsi, tanda tangan digital elektronik, kontrol integritas)

Argumen input dan output dari transformasi kriptografi ada di AS dalam beberapa bentuk material (objek AS)

CIPF menggunakan beberapa informasi rahasia (kunci) untuk bekerja

Algoritma transformasi kriptografi diimplementasikan sebagai beberapa objek material yang berinteraksi dengan lingkungan (termasuk subjek dan objek AS yang dilindungi).

Jadi, peran CIPF dalam AS yang aman adalah transformasi objek. Di setiap kasus tertentu transformasi ini memiliki singularitas. Dengan demikian, prosedur enkripsi menggunakan object - plain text dan object - key sebagai parameter input, hasil transformasi adalah object - cipher text; sebaliknya, prosedur dekripsi menggunakan ciphertext dan kunci sebagai masukan; Prosedur pengaturan tanda tangan digital menggunakan objek - pesan dan objek - kunci rahasia tanda tangan sebagai parameter input, hasil tanda tangan digital adalah objek - tanda tangan, sebagai aturan, diintegrasikan ke dalam objek - pesan . Kita dapat mengatakan bahwa CIPF melindungi objek pada tingkat semantik. Pada saat yang sama, objek - parameter transformasi kriptografi adalah objek AS yang lengkap dan dapat menjadi objek dari beberapa kebijakan keamanan (misalnya, kunci enkripsi dapat dan harus dilindungi dari akses tidak sah, kunci publik untuk memverifikasi tanda tangan digital dari perubahan). Jadi, perangkat perlindungan informasi kriptografi sebagai bagian dari AS yang aman memiliki implementasi khusus - dapat berupa perangkat khusus terpisah yang terpasang di komputer, atau program khusus. Poin-poin berikut sangat penting:

CIPF bertukar informasi dengan lingkungan eksternal, yaitu: kunci dimasukkan ke dalamnya, teks biasa selama enkripsi

CIPF dalam hal implementasi perangkat keras menggunakan basis elemen dengan keandalan terbatas (yaitu, di bagian-bagian yang membentuk CIPF, kemungkinan malfungsi atau kegagalan)

CIPF dalam hal implementasi perangkat lunak dijalankan pada prosesor dengan keandalan terbatas dan dalam lingkungan perangkat lunak yang berisi program pihak ketiga yang dapat memengaruhi berbagai tahapan pengoperasiannya

CIPF disimpan pada media nyata (dalam kasus implementasi perangkat lunak) dan dapat sengaja atau tidak sengaja terdistorsi selama penyimpanan

CIPF berinteraksi dengan lingkungan eksternal secara tidak langsung (ditenagai oleh listrik, memancarkan medan elektromagnetik)

CIPF dibuat dan/atau digunakan oleh seseorang yang dapat membuat kesalahan (disengaja atau tidak disengaja) selama pengembangan dan pengoperasian

Sarana perlindungan data yang ada di jaringan telekomunikasi dapat dibagi menjadi dua kelompok sesuai dengan prinsip membangun sistem kunci dan sistem otentikasi. Kelompok pertama mencakup alat yang menggunakan algoritma kriptografi simetris untuk membangun sistem kunci dan sistem autentikasi, dan kelompok kedua mencakup yang asimetris.

Mari kita melakukan analisis komparatif dari sistem ini. Pesan informasi yang siap untuk dikirim, awalnya terbuka dan tidak terlindungi, dienkripsi dan dengan demikian diubah menjadi ciphergram, yaitu menjadi teks tertutup atau gambar grafis dokumen. Dalam bentuk ini, pesan ditransmisikan melalui saluran komunikasi, meskipun tidak aman. Pengguna yang berwenang, setelah menerima pesan, mendekripsikannya (yaitu, mengungkapkannya) melalui transformasi terbalik kriptogram, sebagai hasilnya diperoleh bentuk pesan asli dan terbuka, tersedia untuk persepsi oleh pengguna yang berwenang. Metode transformasi dalam sistem kriptografi sesuai dengan penggunaan algoritma khusus. Tindakan algoritme semacam itu dipicu oleh nomor unik (urutan bit), biasanya disebut kunci enkripsi.

Untuk sebagian besar sistem, rangkaian generator kunci dapat berupa sekumpulan instruksi dan perintah, baik berupa perangkat keras atau program komputer, atau semuanya bersama-sama, tetapi bagaimanapun juga, proses enkripsi (dekripsi) diimplementasikan hanya dengan kunci khusus ini. Agar pertukaran data terenkripsi berhasil, pengirim dan penerima harus mengetahui pengaturan kunci yang benar dan merahasiakannya. Kekuatan dari setiap sistem komunikasi tertutup ditentukan oleh tingkat kerahasiaan kunci yang digunakan di dalamnya. Namun, kunci ini harus diketahui oleh pengguna jaringan lain agar mereka dapat bertukar pesan terenkripsi dengan bebas. Dalam pengertian ini, sistem kriptografi juga membantu memecahkan masalah otentikasi (otentikasi) dari informasi yang diterima. Jika pesan disadap, cracker hanya akan berurusan dengan teks sandi, dan penerima sebenarnya, yang menerima pesan yang ditutup dengan kunci yang diketahui olehnya dan pengirim, akan dilindungi dari kemungkinan informasi yang salah. Selain itu, ada kemungkinan mengenkripsi informasi dan banyak lagi dengan cara sederhana- menggunakan generator nomor pseudo-acak. Penggunaan generator bilangan pseudo-acak terdiri dari menghasilkan gamma cipher menggunakan generator bilangan pseudo-acak dengan kunci tertentu dan menerapkan gamma yang dihasilkan ke data terbuka dengan cara yang dapat dibalik. Metode perlindungan kriptografi ini diimplementasikan dengan cukup mudah dan memberikan kecepatan enkripsi yang cukup tinggi, tetapi tidak cukup tahan terhadap dekripsi.

Kriptografi klasik ditandai dengan penggunaan satu unit rahasia - kunci, yang memungkinkan pengirim mengenkripsi pesan, dan penerima mendekripsinya. Dalam hal mengenkripsi data yang disimpan di media penyimpanan magnetik atau lainnya, kuncinya memungkinkan Anda untuk mengenkripsi informasi saat menulis ke media dan mendekripsi saat membacanya.

"Metode keamanan informasi organisasi dan hukum"

Dokumen pedoman peraturan utama yang berkaitan dengan rahasia negara, peraturan dan dokumen referensi

Hingga saat ini, kerangka kerja legislatif yang stabil di bidang perlindungan informasi telah dibuat di negara kita. Hukum fundamental dapat disebut Hukum Federal Federasi Rusia "Tentang informasi, teknologi Informasi dan tentang perlindungan informasi. "Pengaturan hubungan negara di bidang perlindungan informasi dilakukan dengan menetapkan persyaratan untuk perlindungan informasi, serta tanggung jawab atas pelanggaran undang-undang Federasi Rusia tentang informasi, teknologi informasi, dan perlindungan informasi." Undang-undang juga menetapkan kewajiban pemilik informasi dan operator sistem informasi.

Adapun peraturan keamanan informasi yang "dikodifikasi", norma-norma Kode Pelanggaran Administratif Federasi Rusia dan KUHP Federasi Rusia juga memuat pasal-pasal yang diperlukan. Dalam seni. 13.12 dari Kode Pelanggaran Administratif Federasi Rusia mengacu pada pelanggaran aturan untuk melindungi informasi. Juga Seni. 13.13, yang memberikan hukuman atas kegiatan ilegal di bidang perlindungan informasi. Dan Seni. 13.14. yang memberikan hukuman untuk pengungkapan informasi dengan akses terbatas. Pasal 183 KUHP Federasi Rusia menetapkan hukuman untuk penerimaan ilegal dan pengungkapan informasi yang merupakan rahasia komersial, pajak atau perbankan.

Undang-undang Federal "Tentang Informasi, Informatisasi, dan Perlindungan Informasi" menentukan bahwa sumber daya informasi negara Federasi Rusia terbuka dan tersedia untuk umum. Pengecualian adalah informasi terdokumentasi yang diklasifikasikan oleh hukum sebagai akses terbatas.

Konsep rahasia negara didefinisikan dalam Undang-Undang "Tentang Rahasia Negara" sebagai "informasi yang dilindungi oleh negara di bidang militer, kebijakan luar negeri, ekonomi, intelijen, kontraintelijen, dan kegiatan pencarian operasional, yang penyebarannya dapat merugikan negara. keamanan Federasi Rusia." Dengan demikian, berdasarkan perimbangan kepentingan negara, masyarakat, dan warga negara, ruang lingkup Undang-Undang ini dibatasi pada jenis kegiatan tertentu: militer, politik luar negeri, ekonomi, intelijen, kontra intelijen, dan pencarian operasional.

Undang-undang menetapkan bahwa kriteria utamanya adalah bahwa informasi rahasia adalah milik negara.

Undang-undang tersebut juga mengamankan pembentukan sejumlah badan di bidang perlindungan rahasia negara, khususnya komisi antardepartemen untuk perlindungan rahasia negara, memperkenalkan lembaga pejabat dengan wewenang untuk mengklasifikasikan informasi sebagai rahasia negara, sedangkan pada sekaligus membebankan tanggung jawab pribadi kepada mereka atas kegiatan menjaga rahasia negara di wilayah tanggung jawabnya.

Organisasi umum dan koordinasi pekerjaan di negara tersebut tentang perlindungan informasi yang diproses sarana teknis, dilakukan oleh badan kolegial - Layanan Federal untuk Kontrol Teknis dan Ekspor (FSTEC) Rusia di bawah Presiden Federasi Rusia, yang menjalankan kendali atas ketentuan dalam badan dikendalikan pemerintah dan di perusahaan yang melakukan pekerjaan pertahanan dan topik rahasia lainnya.

Tujuan dan tugas di bidang keamanan informasi di tingkat negara bagian

Kebijakan negara untuk memastikan keamanan informasi Federasi Rusia menentukan bidang kegiatan utama otoritas negara federal dan otoritas negara dari entitas konstituen Federasi Rusia di bidang ini, prosedur untuk memperbaiki tugas mereka untuk melindungi kepentingan Federasi Rusia di bidang informasi dalam kerangka kegiatannya dan didasarkan pada pemeliharaan keseimbangan kepentingan individu, masyarakat, dan negara di bidang informasi. Kebijakan negara untuk memastikan keamanan informasi Federasi Rusia didasarkan pada prinsip-prinsip dasar berikut: kepatuhan terhadap Konstitusi Federasi Rusia, undang-undang Federasi Rusia, prinsip dan norma hukum internasional yang diakui secara umum dalam pelaksanaan kegiatan untuk memastikan keamanan informasi Federasi Rusia; keterbukaan dalam pelaksanaan fungsi otoritas negara federal, otoritas negara dari entitas konstituen Federasi Rusia dan asosiasi publik, yang menyediakan informasi kepada publik tentang kegiatan mereka, dengan mempertimbangkan batasan yang ditetapkan oleh undang-undang Federasi Rusia; kesetaraan hukum semua peserta dalam proses interaksi informasi, terlepas dari status politik, sosial dan ekonomi mereka, berdasarkan hak konstitusional warga negara untuk secara bebas mencari, menerima, mengirim, memproduksi, dan menyebarkan informasi dengan cara hukum apa pun; pengembangan prioritas teknologi informasi dan telekomunikasi modern dalam negeri, produksi perangkat keras dan perangkat lunak yang mampu memastikan peningkatan jaringan telekomunikasi nasional, hubungannya dengan jaringan informasi global untuk memenuhi kepentingan vital Federasi Rusia.

Negara dalam proses menjalankan fungsinya untuk memastikan keamanan informasi Federasi Rusia: melakukan analisis dan peramalan yang obyektif dan komprehensif terhadap ancaman terhadap keamanan informasi Federasi Rusia, mengembangkan langkah-langkah untuk memastikannya; mengatur pekerjaan legislatif (perwakilan) dan badan eksekutif kekuasaan negara Federasi Rusia untuk mengimplementasikan serangkaian tindakan yang bertujuan untuk mencegah, menangkis, dan menetralkan ancaman terhadap keamanan informasi Federasi Rusia; mendukung kegiatan asosiasi publik yang bertujuan untuk menginformasikan penduduk secara objektif tentang fenomena kehidupan publik yang signifikan secara sosial, melindungi masyarakat dari informasi yang terdistorsi dan tidak dapat diandalkan; melakukan kontrol atas pengembangan, pembuatan, pengembangan, penggunaan, ekspor, dan impor alat keamanan informasi melalui sertifikasi dan perizinan kegiatan di bidang keamanan informasi; mengejar kebijakan proteksionis yang diperlukan terkait dengan produsen alat informasi dan perlindungan informasi di wilayah Federasi Rusia dan mengambil langkah-langkah untuk melindungi pasar domestik dari penetrasi alat informasi dan produk informasi berkualitas rendah ke dalamnya; berkontribusi dalam penyediaan fisik dan badan hukum akses global sumber daya informasi, jaringan informasi global; merumuskan dan mengimplementasikan kebijakan informasi negara Rusia; mengatur pengembangan program federal untuk memastikan keamanan informasi Federasi Rusia, yang menyatukan upaya organisasi negara dan non-negara di bidang ini; berkontribusi pada internasionalisasi jaringan dan sistem informasi global, serta masuknya Rusia ke komunitas informasi dunia dengan syarat kemitraan yang setara.

Peningkatan mekanisme hukum untuk mengatur hubungan masyarakat yang timbul di bidang informasi merupakan arah prioritas kebijakan negara di bidang penjaminan keamanan informasi Federasi Rusia.

Ini melibatkan: menilai efektivitas penerapan tindakan hukum legislatif dan peraturan lainnya yang ada di bidang informasi dan mengembangkan program untuk perbaikannya; penciptaan mekanisme organisasi dan hukum untuk memastikan keamanan informasi; menentukan status hukum semua subjek hubungan di bidang informasi, termasuk pengguna sistem informasi dan telekomunikasi, dan menetapkan tanggung jawab mereka untuk mematuhi undang-undang Federasi Rusia di bidang ini; pembuatan sistem untuk mengumpulkan dan menganalisis data tentang sumber ancaman terhadap keamanan informasi Federasi Rusia, serta konsekuensi penerapannya; perkembangan perbuatan hukum normatif yang menentukan penyelenggaraan penyidikan dan tata cara litigasi atas fakta perbuatan melawan hukum di bidang informasi, serta tata cara untuk menghilangkan akibat dari perbuatan melawan hukum tersebut; perkembangan pelanggaran dengan mempertimbangkan kekhususan tanggung jawab pidana, perdata, administrasi, disipliner dan pencantuman norma hukum yang relevan dalam kode pidana, perdata, administrasi dan perburuhan, dalam undang-undang Federasi Rusia tentang pelayanan publik; peningkatan sistem pelatihan personel yang digunakan di bidang keamanan informasi Federasi Rusia.

Dukungan hukum untuk keamanan informasi Federasi Rusia harus didasarkan, pertama-tama, dengan memperhatikan prinsip-prinsip legalitas, keseimbangan kepentingan warga negara, masyarakat dan negara di bidang informasi. Kepatuhan terhadap prinsip legalitas mengharuskan badan pemerintah federal dan badan pemerintah dari entitas konstituen Federasi Rusia, ketika menyelesaikan konflik yang muncul di bidang informasi, untuk dipandu secara ketat oleh undang-undang legislatif dan tindakan hukum pengaturan lainnya yang mengatur hubungan di bidang ini. Kepatuhan terhadap prinsip keseimbangan kepentingan warga negara, masyarakat dan negara di bidang informasi menyiratkan konsolidasi legislatif dari prioritas kepentingan tersebut di berbagai bidang kehidupan masyarakat, serta penggunaan bentuk kontrol publik atas kegiatan tersebut. otoritas negara federal dan otoritas negara bagian dari entitas konstituen Federasi Rusia. Pelaksanaan jaminan hak dan kebebasan konstitusional seseorang dan warga negara yang terkait dengan kegiatan di bidang informasi merupakan tugas negara yang paling penting di bidang keamanan informasi. Pengembangan mekanisme dukungan hukum keamanan informasi Federasi Rusia mencakup langkah-langkah untuk menginformasikan bidang hukum secara keseluruhan. Untuk mengidentifikasi dan menyelaraskan kepentingan otoritas negara federal, otoritas negara dari entitas konstituen Federasi Rusia dan subjek hubungan lainnya di bidang informasi, kembangkan keputusan yang diperlukan negara mendukung pembentukan dewan publik, komite dan komisi dengan perwakilan luas dari asosiasi publik dan mempromosikan pengorganisasian kerja efektif mereka.

Fitur sertifikasi dan standarisasi layanan kriptografi

Di hampir semua negara yang telah mengembangkan teknologi kriptografi, pengembangan alat perlindungan informasi kriptografi termasuk dalam lingkup regulasi negara. Regulasi negara mencakup, sebagai aturan, perizinan kegiatan yang berkaitan dengan pengembangan dan pengoperasian sarana kriptografi, sertifikasi CIPF dan standarisasi algoritma transformasi kriptografi.

Jenis kegiatan berikut tunduk pada lisensi: pengembangan, produksi, uji sertifikasi, penjualan, pengoperasian alat enkripsi yang dirancang untuk perlindungan kriptografi informasi yang berisi informasi yang merupakan negara atau rahasia lain yang dilindungi oleh hukum, selama pemrosesan, penyimpanan, dan transmisi melalui komunikasi saluran, serta penyediaan layanan di bidang enkripsi informasi ini; pengembangan, produksi, uji sertifikasi, pengoperasian sistem telekomunikasi dan kompleks otoritas negara tertinggi Federasi Rusia; pengembangan, produksi, uji sertifikasi, penerapan, pengoperasian sistem tertutup dan kompleks telekomunikasi dari otoritas entitas konstituen Federasi Rusia, otoritas eksekutif federal pusat, organisasi, perusahaan, bank, dan lembaga lain yang berlokasi di wilayah Federasi Rusia, terlepas dari afiliasi departemen mereka dan membentuk properti (selanjutnya - sistem tertutup dan kompleks telekomunikasi) yang dimaksudkan untuk transmisi informasi yang merupakan negara atau rahasia lain yang dilindungi oleh hukum; melakukan uji sertifikasi, penjualan dan pengoperasian alat enkripsi, sistem tertutup dan kompleks telekomunikasi yang dirancang untuk memproses informasi yang tidak mengandung informasi yang merupakan negara atau rahasia lain yang dilindungi undang-undang, selama pemrosesan, penyimpanan, dan transmisi melalui saluran komunikasi, serta penyediaan layanan di bidang enkripsi informasi ini

Alat enkripsi meliputi: perangkat keras, perangkat lunak, dan perangkat keras-perangkat lunak yang mengimplementasikan algoritme kriptografi untuk mengubah informasi, memastikan keamanan informasi selama pemrosesan, penyimpanan, dan transmisi melalui saluran komunikasi, termasuk teknologi enkripsi; perangkat keras, perangkat lunak, dan perangkat keras-perangkat lunak sarana perlindungan terhadap akses tidak sah ke informasi selama pemrosesan dan penyimpanannya yang menerapkan algoritme kriptografi untuk mengonversi informasi; perangkat keras, perangkat lunak dan perangkat keras-perangkat lunak sarana perlindungan terhadap pemaksaan informasi palsu, termasuk sarana perlindungan peniruan dan "tanda tangan digital" yang menerapkan algoritme kriptografi untuk mengubah informasi; perangkat keras, perangkat keras-perangkat lunak, dan perangkat lunak untuk produksi dokumen kunci untuk alat enkripsi, terlepas dari jenis pembawa informasi kunci.

Sistem dan kompleks telekomunikasi tertutup mencakup sistem dan kompleks telekomunikasi di mana informasi dilindungi menggunakan alat enkripsi, peralatan aman, dan ukuran organisasi.

Selain itu, jenis kegiatan berikut tunduk pada lisensi: pengoperasian alat enkripsi dan/atau alat tanda tangan digital, serta alat enkripsi untuk melindungi pembayaran elektronik menggunakan kartu kredit plastik dan kartu pintar; penyediaan layanan untuk perlindungan (enkripsi) informasi; pemasangan, pemasangan, penyesuaian alat enkripsi dan/atau alat tanda tangan digital, alat enkripsi untuk melindungi pembayaran elektronik menggunakan kartu kredit plastik dan kartu pintar; pengembangan alat enkripsi dan/atau alat tanda tangan digital, alat enkripsi untuk melindungi pembayaran elektronik menggunakan kartu kredit plastik dan kartu pintar

Prosedur sertifikasi CIPF ditetapkan oleh "Sistem Sertifikasi untuk Perlindungan Informasi Kriptografi ROSS.R11.0001.030001 dari Standar Negara Rusia.

Standarisasi algoritme transformasi kriptografi mencakup penelitian dan publikasi komprehensif dalam bentuk standar elemen prosedur kriptografi untuk menggunakan transformasi yang terbukti aman secara kriptografis oleh pengembang CIPF, untuk memastikan kemungkinan operasi bersama berbagai CIPF, serta kemungkinan pengujian dan memverifikasi kepatuhan implementasi CIPF dengan algoritme yang ditentukan oleh standar. Standar berikut telah diadopsi di Rusia - algoritme konversi kriptografi 28147-89, algoritme untuk hashing, pengaturan, dan verifikasi tanda tangan digital R34.10.94 dan R34.11.94. Dari standar asing, algoritma enkripsi DES, RC2, RC4, algoritma hashing MD2, MD4 dan MD5, algoritma verifikasi tanda tangan digital DSS dan RSA dikenal dan digunakan secara luas.

Kerangka legislatif untuk keamanan informasi

Konsep dasar, persyaratan, metode, dan alat untuk merancang dan mengevaluasi sistem keamanan informasi untuk sistem informasi (SI) tercermin dalam dokumen fundamental berikut:

"Buku Oranye" Pusat Nasional perlindungan komputer

"Kriteria yang diselaraskan dari negara-negara Eropa (ITSEC)";

Konsep perlindungan terhadap akses tidak sah dari Komisi Negara di bawah Presiden Federasi Rusia.

Konsep keamanan informasi

Konsep keamanan dari sistem yang dikembangkan adalah “seperangkat hukum, aturan dan norma perilaku yang menentukan bagaimana suatu organisasi memproses, melindungi dan mendistribusikan informasi. Secara khusus, aturan menentukan dalam kasus mana pengguna memiliki hak untuk beroperasi dengan cara tertentu. kumpulan data. Semakin andal sistem, semakin ketat dan konsep keamanan harus lebih beragam. Bergantung pada konsep yang dirumuskan, Anda dapat memilih mekanisme spesifik yang menjamin keamanan sistem. Konsep keamanan adalah komponen aktif dari perlindungan, yang mencakup analisis kemungkinan ancaman dan pilihan tindakan pencegahan."

Konsep keamanan sistem yang dikembangkan menurut "Buku Oranye" harus mencakup unsur-unsur berikut:

Kontrol akses sewenang-wenang;

Keamanan penggunaan kembali benda;

Label keamanan;

Kontrol akses paksa.

Pertimbangkan konten elemen yang terdaftar.

Kontrol akses sewenang-wenang adalah metode untuk membatasi akses ke objek berdasarkan identitas subjek atau grup tempat subjek tersebut berada. Kesewenang-wenangan kontrol terdiri dari fakta bahwa seseorang (biasanya pemilik objek) dapat, atas kebijakannya sendiri, memberikan atau mengambil hak akses ke objek tersebut ke subjek lain.

Keuntungan utama dari kontrol akses sewenang-wenang adalah fleksibilitas, kerugian utamanya adalah penyebaran kontrol dan kompleksitas kontrol terpusat, serta isolasi hak akses dari data, yang memungkinkan penyalinan informasi rahasia ke dalam file publik.

Keamanan penggunaan kembali objek adalah tambahan praktis yang penting untuk kontrol akses yang mencegah ekstraksi informasi rahasia yang tidak disengaja atau disengaja dari sampah. Keamanan penggunaan kembali harus dijamin untuk area memori akses acak(khususnya, untuk buffer dengan gambar layar, kata sandi yang didekripsi, dll.), untuk blok disk dan media magnetik pada umumnya.

Label keamanan dikaitkan dengan subjek dan objek untuk menegakkan kontrol akses. Label subjek menggambarkan kepercayaannya, label objek - tingkat kedekatan informasi yang terkandung di dalamnya. Menurut Orange Book, label keamanan terdiri dari dua bagian - tingkat keamanan dan daftar kategori. Masalah utama yang perlu ditangani sehubungan dengan label adalah memastikan integritasnya. Pertama, tidak boleh ada subjek dan objek yang tidak berlabel, jika tidak, akan ada lubang yang mudah dieksploitasi dalam keamanan berlabel. Kedua, untuk setiap operasi dengan data, label harus tetap benar. Salah satu cara untuk memastikan integritas label keamanan adalah pembagian perangkat menjadi perangkat multi-level dan single-level. Perangkat multilevel dapat menyimpan informasi dari berbagai tingkat kerahasiaan (lebih tepatnya, terletak pada kisaran level tertentu). Perangkat satu tingkat dapat dianggap sebagai kasus perangkat multi-tingkat yang merosot, ketika rentang yang diizinkan terdiri dari satu tingkat. Mengetahui level perangkat, sistem dapat memutuskan apakah boleh menulis informasi padanya dengan label tertentu.

Kontrol akses yang dipaksakan didasarkan pada pencocokan label keamanan subjek dan objek. Metode kontrol akses ini disebut paksa, karena tidak bergantung pada kemauan subjek (bahkan administrator sistem). Kontrol akses yang dipaksakan diimplementasikan dalam banyak varian sistem operasi dan DBMS, ditandai dengan peningkatan langkah-langkah keamanan.

Siapa pun yang serius memikirkan keamanan informasi rahasianya menghadapi tugas memilih perangkat lunak untuk perlindungan data kriptografi. Dan sama sekali tidak ada yang mengejutkan dalam hal ini - enkripsi sejauh ini merupakan salah satu cara paling andal untuk mencegah akses tidak sah ke dokumen penting, database, foto, dan file lainnya.

Masalahnya adalah untuk pilihan yang kompeten perlu memahami semua aspek pengoperasian produk kriptografi. Jika tidak, Anda dapat dengan mudah membuat kesalahan dan berhenti pada perangkat lunak yang tidak memungkinkan Anda melindungi semua informasi yang diperlukan, atau tidak memberikan tingkat keamanan yang sesuai. Apa yang harus Anda perhatikan? Pertama, ini adalah algoritme enkripsi yang tersedia di produk. Kedua, metode otentikasi pemilik informasi. Ketiga, cara untuk melindungi informasi. Keempat, penambahan fitur dan kemampuan. Kelima, otoritas dan ketenaran pabrikan, serta ketersediaan sertifikat untuk pengembangan alat enkripsi. Dan bukan itu saja yang mungkin penting saat memilih sistem perlindungan kriptografi.

Jelas sulit bagi orang yang tidak ahli di bidang keamanan informasi untuk menemukan jawaban atas semua pertanyaan tersebut.

Disk Rahasia 4 Lite

Secret Disk 4 Lite dikembangkan oleh Aladdin, salah satu pemimpin dunia yang bekerja di bidang keamanan informasi. Dia memiliki banyak sertifikasi. Dan meskipun produk tersebut bukan alat bersertifikat (Secret Disk 4 memiliki versi bersertifikat terpisah), fakta ini menunjukkan pengakuan perusahaan sebagai pengembang alat kriptografi yang serius.

Secret Disk 4 Lite dapat digunakan untuk enkripsi bagian terpisah hard drive, semua drive yang dapat dilepas, serta untuk membuat drive virtual yang aman. Dengan demikian, dengan alat ini, Anda dapat menyelesaikan sebagian besar masalah yang berkaitan dengan kriptografi. Secara terpisah, perlu diperhatikan kemungkinan enkripsi partisi sistem. Dalam hal ini, boot OS oleh pengguna yang tidak sah menjadi tidak mungkin. Selain itu, perlindungan ini jauh lebih andal daripada alat perlindungan Windows bawaan.

Secret Disk 4 Lite tidak memiliki algoritme enkripsi bawaan. Program ini menggunakan penyedia kriptografi eksternal untuk pekerjaannya. Secara default, modul standar yang terintegrasi ke dalam Windows digunakan. Ini mengimplementasikan algoritma DES dan 3DES. Namun, hari ini mereka dianggap usang. Oleh karena itu, untuk perlindungan yang lebih baik Anda dapat mengunduh Paket Rahasia Disk Crypto khusus dari situs web Aladdin. Ini adalah penyedia kriptografi yang mengimplementasikan teknologi kriptografi paling aman hingga saat ini, termasuk AES dan Twofish dengan panjang kunci hingga 256 bit. Omong-omong, jika perlu, dalam kombinasi dengan Secret Disk 4 Lite, Anda dapat menggunakan penyedia algoritme bersertifikat Signal-COM CSP dan CryptoPro CSP.

Ciri khas Secret Disk 4 Lite adalah sistem otentikasi pengguna. Intinya adalah itu dibangun berdasarkan penggunaan sertifikat digital. Untuk melakukan ini, perangkat keras USB eToken disertakan dalam paket produk. Ini adalah penyimpanan yang sangat aman untuk kunci rahasia. Faktanya, kita berbicara tentang otentikasi dua faktor yang lengkap (keberadaan token plus pengetahuan tentang kode PIN-nya). Akibatnya, sistem enkripsi yang sedang dipertimbangkan terhindar dari "kemacetan" seperti penggunaan perlindungan kata sandi konvensional.

Dari fungsi tambahan Secret Disk 4 Lite, orang dapat mencatat kemungkinan kerja multi-pengguna (pemilik disk terenkripsi dapat memberikan akses ke orang lain) dan operasi latar belakang dari proses enkripsi.

Antarmuka Secret Disk 4 Lite sederhana dan lugas. Itu dibuat dalam bahasa Rusia, seperti sistem bantuan mendetail, yang menjelaskan semua nuansa penggunaan produk.

InfoWatch CryptoStorage

InfoWatch CryptoStorage adalah produk dari perusahaan InfoWatch yang cukup terkenal, yang memiliki sertifikat untuk pengembangan, distribusi, dan pemeliharaan alat enkripsi. Seperti yang sudah disebutkan, mereka tidak wajib, tetapi mereka dapat memainkan peran semacam indikator keseriusan perusahaan dan kualitas produknya.

Gambar 1. Menu konteks

InfoWatch CryptoStorage hanya mengimplementasikan satu algoritme enkripsi - AES dengan panjang kunci 128 bit. Otentikasi pengguna diimplementasikan menggunakan perlindungan kata sandi konvensional. Demi keadilan, perlu dicatat bahwa program tersebut memiliki batas panjang minimum kata kunci, sama dengan enam karakter. Namun, perlindungan kata sandi tentu jauh lebih rendah keandalannya daripada otentikasi dua faktor menggunakan token. Fitur dari program InfoWatch CryptoStorage adalah keserbagunaannya. Intinya bisa digunakan untuk mengenkripsi file individu dan folder, seluruh partisi hard drive, semua drive yang dapat dilepas, serta drive virtual.

Produk ini, seperti yang sebelumnya, memungkinkan Anda untuk melindungi penggerak sistem, yaitu, dapat digunakan untuk mencegah booting komputer yang tidak sah. Faktanya, InfoWatch CryptoStorage memungkinkan Anda untuk menyelesaikan seluruh rangkaian tugas yang terkait dengan penggunaan enkripsi simetris.

Fitur tambahan dari produk yang dipertimbangkan adalah pengorganisasian akses multi-pengguna ke informasi terenkripsi. Selain itu, InfoWatch CryptoStorage mengimplementasikan penghancuran data yang dijamin tanpa kemungkinan pemulihannya.

InfoWatch CryptoStorage adalah program berbahasa Rusia. Antarmukanya dibuat dalam bahasa Rusia, tetapi agak tidak biasa: jendela utama tidak ada (hanya ada jendela konfigurator kecil), dan hampir semua pekerjaan dilakukan dengan menggunakan menu konteks. Solusi semacam itu tidak biasa, tetapi orang tidak bisa tidak mengenali kesederhanaan dan kenyamanannya. Biasanya, dokumentasi berbahasa Rusia dalam program ini juga tersedia.

Rohos Disk adalah produk Tesline-Service.S.R.L. Ini adalah bagian dari rangkaian utilitas kecil yang mengimplementasikan berbagai alat untuk melindungi informasi rahasia. Seri ini telah dikembangkan sejak tahun 2003.

Gambar 2. Antarmuka program

Rohos Disk dirancang untuk perlindungan kriptografi data komputer. Ini memungkinkan Anda membuat drive virtual terenkripsi tempat Anda dapat menyimpan file dan folder apa pun, serta menginstal perangkat lunak.

Untuk melindungi data, produk ini menggunakan algoritma kriptografi AES dengan panjang kunci 256 bit, yang menyediakan derajat yang tinggi keamanan.

Rohos Disk memiliki dua metode untuk otentikasi pengguna. Yang pertama adalah perlindungan kata sandi biasa dengan segala kekurangannya. Pilihan kedua adalah menggunakan disk USB biasa, yang berisi kunci yang diperlukan.

Opsi ini juga tidak terlalu bisa diandalkan. Saat menggunakannya, hilangnya "flash drive" dapat menyebabkan masalah serius.

Rohos Disk memiliki berbagai fitur tambahan. Pertama-tama, perlu diperhatikan perlindungan drive USB. Esensinya adalah membuat partisi terenkripsi khusus pada "flash drive" tempat Anda dapat mentransfer data rahasia dengan aman.

Selain itu, produk ini menyertakan utilitas terpisah yang dapat digunakan untuk membuka dan melihat drive USB ini di komputer yang tidak menginstal Rohos Disk.

Berikutnya kesempatan tambahan- Dukungan steganografi. Inti dari teknologi ini adalah menyembunyikan informasi terenkripsi di dalam file multimedia (mendukung format AVI, MP3, MPG, WMV, WMA, OGG).

Penggunaannya memungkinkan Anda menyembunyikan fakta keberadaan disk rahasia dengan menempatkannya, misalnya, di dalam film. Fungsi tambahan terakhir adalah penghancuran informasi tanpa kemungkinan pemulihannya.

Program Rohos Disk memiliki antarmuka tradisional berbahasa Rusia. Selain itu, dia ditemani sistem bantuan, mungkin tidak sedetail kedua produk sebelumnya, namun cukup menguasai prinsip penggunaannya.

Berbicara tentang utilitas kriptografi, orang tidak dapat tidak menyebutkan perangkat lunak gratis. Memang, saat ini di hampir semua wilayah ada produk layak yang didistribusikan secara gratis. Dan keamanan informasi tidak terkecuali aturan ini.

Benar, ada sikap ganda terhadap penggunaan perangkat lunak gratis untuk perlindungan informasi. Faktanya adalah bahwa banyak utilitas ditulis oleh pemrogram tunggal atau kelompok kecil. Pada saat yang sama, tidak ada yang dapat menjamin kualitas penerapannya dan tidak adanya "lubang", yang disengaja atau tidak disengaja. Tetapi solusi kriptografi sendiri cukup sulit untuk dikembangkan. Saat membuatnya, Anda perlu mempertimbangkan sejumlah besar nuansa berbeda. Itulah mengapa disarankan untuk hanya menggunakan produk terkenal, dan selalu bersama sumber terbuka. Ini adalah satu-satunya cara untuk memastikan bahwa mereka bebas dari "bookmark" dan diuji oleh sejumlah besar spesialis, yang berarti mereka kurang lebih dapat diandalkan. Contoh produk semacam itu adalah program TrueCrypt.

Gambar 3. Antarmuka program

TrueCrypt bisa dibilang salah satu utilitas kriptografi gratis paling kaya fitur di luar sana. Awalnya, ini hanya digunakan untuk membuat disk virtual yang aman. Namun, bagi sebagian besar pengguna, ini adalah cara paling nyaman untuk melindungi berbagai informasi. Namun, seiring waktu, fungsi mengenkripsi partisi sistem muncul di dalamnya. Seperti yang sudah kita ketahui, ini dimaksudkan untuk melindungi komputer dari startup yang tidak sah. Namun, TrueCrypt belum mengetahui cara mengenkripsi semua partisi lain, serta file dan folder individual.

Produk yang dimaksud mengimplementasikan beberapa algoritme enkripsi: AES, Serpent, dan Twofish. Pemilik informasi dapat memilih mana yang ingin dia gunakan saat ini. Otentikasi pengguna di TrueCrypt dapat dilakukan dengan menggunakan kata sandi biasa. Namun, ada opsi lain - menggunakan file kunci yang dapat disimpan di hard drive atau apa pun penyimpanan yang dapat dilepas. Secara terpisah, perlu dicatat bahwa program ini mendukung token dan kartu pintar, yang memungkinkan Anda mengatur otentikasi dua faktor yang andal.

Dari fungsi tambahan program yang dimaksud, orang dapat mencatat kemungkinan pembuatan volume tersembunyi di dalam yang utama. Ini digunakan untuk menyembunyikan data sensitif saat drive dibuka di bawah paksaan. Juga, TrueCrypt mengimplementasikan sistem Salinan cadangan header volume untuk pemulihan kerusakan atau kembali ke kata sandi lama.

Antarmuka TrueCrypt akrab dengan utilitas semacam ini. Ini multibahasa, dan dimungkinkan untuk menginstal bahasa Rusia. Dokumentasi jauh lebih buruk. Ini, dan sangat rinci, tetapi ditulis bahasa Inggris. Secara alami, tentang apapun dukungan teknis tidak boleh ada ucapan.

Untuk lebih jelasnya, semua fitur dan fungsinya dirangkum dalam tabel 2.

Meja 2 - Kegunaan program perlindungan informasi kriptografi.

Disk Rahasia 4 lite	InfoWatch CryptoStorage
Algoritma enkripsi	DES, 3DES, AES, TwoFish			AES, Ular, Dua Ikan
Panjang kunci enkripsi maksimum
Menghubungkan penyedia kripto eksternal
Otentikasi yang kuat menggunakan token				+ (token dibeli secara terpisah)
Enkripsi file dan folder
Enkripsi partisi
Enkripsi Sistem
Enkripsi disk virtual
Enkripsi penyimpanan yang dapat dilepas
Dukungan untuk pekerjaan multi-pengguna
Penghancuran data terjamin
Menyembunyikan objek terenkripsi
Bekerja di bawah tekanan
Antarmuka berbahasa Rusia
dokumentasi bahasa Rusia
Dukungan teknis