Apa itu skzi di komputer. Perlindungan informasi kriptografi

1.1. Kebijakan Pendanaan ini perlindungan kriptografi informasi ( Lebih jauh - Kebijakan ) menentukan prosedur untuk mengatur dan memastikan berfungsinya enkripsi ( kriptografi) berarti dirancang untuk melindungi informasi yang tidak mengandung informasi yang merupakan rahasia negara ( Lebih jauh - CIPF, crypto-means ) jika digunakan untuk memastikan keamanan informasi rahasia dan data pribadi saat diproses sistem Informasi.

1.2. Kebijakan ini telah dikembangkan berdasarkan:

  • hukum federal "Tentang data pribadi" , tindakan pengaturan Pemerintah Federasi Rusia di bidang memastikan keamanan data pribadi;
  • Hukum Federal No. 63-FZ "Tentang tanda tangan elektronik " ;
  • Perintah FSB Federasi Rusia No. 378 "Atas persetujuan Komposisi dan konten tindakan organisasi dan teknis untuk memastikan keamanan data pribadi selama pemrosesan mereka dalam sistem informasi data pribadi menggunakan alat perlindungan informasi kriptografi yang diperlukan untuk memenuhi persyaratan yang ditetapkan oleh Pemerintah Federasi Rusia untuk perlindungan data pribadi untuk setiap tingkat keamanan";
  • FAPSI Nomor Perintah 152" Atas persetujuan Instruksi tentang penyelenggaraan dan penjaminan keamanan penyimpanan, pengolahan dan pengiriman melalui saluran komunikasi dengan menggunakan perlindungan kriptografi informasi dengan akses terbatas yang tidak mengandung informasi yang merupakan rahasia negara»;
  • Perintah Layanan Keamanan Federal Federasi Rusia N 66 " Atas persetujuan Peraturan tentang pengembangan, produksi, penjualan dan pengoperasian sarana enkripsi (kriptografi) perlindungan informasi (Peraturan PKZ-2005) »;

1.3. Kebijakan ini berlaku untuk alat crypto yang dirancang untuk memastikan keamanan informasi rahasia dan data pribadi selama pemrosesannya dalam sistem informasi;

1.4. Alat kriptografi informasi keamanan ( Lebih jauh - CIPF ) yang menerapkan enkripsi dan fungsi tanda tangan elektronik digunakan untuk melindungi dokumen elektronik ditransmisikan melalui saluran komunikasi publik, misalnya, jaringan publik Internet, atau saluran komunikasi dial-up.

1.5. Untuk memastikan keamanan, perlu menggunakan CIPF, yang:

  • memungkinkan penyematan dalam proses teknologi untuk memproses pesan elektronik, menyediakan interaksi dengan perangkat lunak aplikasi pada tingkat pemrosesan permintaan transformasi kriptografi dan penerbitan hasil;
  • disediakan oleh pengembang dengan satu set lengkap dokumentasi operasional, termasuk deskripsi sistem kunci, aturan untuk bekerja dengannya, serta alasan untuk organisasi dan kepegawaian yang diperlukan;
  • mendukung kelangsungan proses logging operasi CIPF dan memastikan integritas perangkat lunak untuk lingkungan fungsi CIPF, yang merupakan seperangkat alat perangkat keras dan perangkat lunak, bersama dengan fungsi reguler CIPF yang berlangsung dan yang dapat memengaruhi pemenuhan persyaratan CIPF;
  • disertifikasi oleh badan negara yang berwenang atau memiliki izin dari FSB Rusia.

1.6. CIPF yang digunakan untuk melindungi data pribadi harus memiliki kelas minimal KS2.

1.7. CIPF diimplementasikan berdasarkan algoritme yang sesuai dengan standar nasional Federasi Rusia, ketentuan kontrak dengan pihak lawan.

1.8. CIPF, lisensi, dokumen kunci terkait, instruksi untuk CIPF diperoleh oleh organisasi secara mandiri atau dapat diperoleh dari organisasi pihak ketiga yang memulai alur dokumen yang aman.

1.9. CIPF, termasuk media instalasi, dokumen kunci, deskripsi dan instruksi CIPF, merupakan rahasia dagang sesuai dengan Peraturan mengenai informasi rahasia.

  1. Prosedur untuk menggunakan CIPF

2.1. Pemasangan dan konfigurasi alat perlindungan informasi kriptografi dilakukan sesuai dengan dokumentasi operasional, instruksi dari Layanan Keamanan Federal Rusia, organisasi lain yang terlibat dalam pengelolaan dokumen elektronik yang aman. Setelah instalasi dan konfigurasi selesai, kesiapan CIPF untuk digunakan diperiksa, kesimpulan dibuat tentang kemungkinan operasinya dan CIPF dioperasikan.

Penempatan dan pemasangan CIPF, serta peralatan lain yang beroperasi dengan crypto-means, di tempat sensitif harus meminimalkan kemungkinan akses yang tidak terkendali dari orang yang tidak berwenang ke sarana ini. Pemeliharaan peralatan tersebut dan perubahan kunci crypto dilakukan tanpa adanya orang yang tidak diizinkan untuk bekerja dengan data CIPF. Langkah-langkah organisasi dan teknis harus disediakan yang mengecualikan kemungkinan penggunaan CIPF oleh orang yang tidak berwenang. Lokasi fisik CIPF harus memastikan keamanan CIPF, mencegah akses tidak sah ke CIPF. Akses orang ke tempat di mana peralatan pelindung berada dibatasi sesuai dengan kebutuhan akan layanan dan ditentukan oleh daftar yang disetujui oleh direktur.

Penyematan crypto-means kelas KS1 dan KS2 dilakukan tanpa kendali oleh FSB Rusia ( jika kontrol ini tidak disediakan oleh kerangka acuan untuk pengembangan (modernisasi) sistem informasi).

Penyematan alat kriptografi kelas KS3, KB1, KB2 dan KA1 dilakukan hanya di bawah kendali FSB Rusia.

Penyematan alat kriptografi kelas KS1, KS2 atau KS3 dapat dilakukan baik oleh pengguna alat kriptografi jika ia memiliki lisensi yang sesuai dari FSB Rusia, atau oleh organisasi yang memiliki lisensi yang sesuai dari FSB Rusia. Rusia.

Penyematan alat kriptografi kelas KV1, KV2 atau KA1 dilakukan oleh organisasi yang memiliki lisensi yang sesuai dari FSB Rusia.

Penonaktifan CIPF dilakukan dengan tunduk pada prosedur yang memastikan penghapusan informasi yang terjamin, penggunaan yang tidak sah yang dapat merusak aktivitas bisnis organisasi, dan informasi yang digunakan oleh alat keamanan. informasi keamanan, dari memori permanen dan dari media eksternal (dengan pengecualian arsip dokumen elektronik dan protokol interaksi elektronik, yang pemeliharaan dan penyimpanannya untuk jangka waktu tertentu disediakan oleh peraturan yang relevan dan (atau) dokumen kontrak) dan diatur dengan UU. CIPF menghancurkan ( buang) dengan keputusan pemilik instrumen kriptografi, dan dengan pemberitahuan dari organisasi yang bertanggung jawab sesuai dengan organisasi salinan akuntansi instrumen kriptografi.

dijadwalkan untuk dimusnahkan mendaur ulang) CIPF tunduk pada penarikan dari perangkat keras yang berfungsi dengannya. Pada saat yang sama, alat kriptografi dianggap ditarik dari perangkat keras jika prosedur untuk menghapus perangkat lunak alat kriptografi yang disediakan oleh dokumentasi operasional dan teknis untuk CIPF selesai dan terputus sepenuhnya dari perangkat keras.

Unit dan bagian dari perangkat keras serba guna yang cocok untuk penggunaan lebih lanjut, tidak secara khusus dirancang untuk implementasi perangkat keras dari algoritme kriptografi atau fungsi perlindungan informasi kriptografi lainnya, serta peralatan yang bekerja bersama dengan alat kriptografi ( monitor, printer, scanner, keyboard, dll.), diizinkan untuk digunakan setelah penghancuran CIPF tanpa batasan. Pada saat yang sama, informasi yang mungkin tertinggal di perangkat memori peralatan ( misalnya printer, scanner), harus dilepas dengan aman ( dihapus).

2.2. Pengoperasian CIPF dilakukan oleh orang-orang yang ditunjuk atas perintah direktur organisasi dan dilatih untuk bekerja dengan mereka. Jika ada dua atau lebih pengguna CIPF, tugas di antara mereka didistribusikan dengan mempertimbangkan tanggung jawab pribadi untuk keamanan sarana kripto, kunci, dokumentasi operasional dan teknis, serta untuk area kerja yang ditugaskan.

Pengguna cryptocurrency diharuskan untuk:

  • tidak mengungkapkan informasi yang mereka terima, termasuk informasi tentang CIPF dan tindakan perlindungan lainnya;
  • tidak mengungkapkan informasi tentang dokumen-dokumen kunci;
  • mencegah pembuatan salinan dokumen kunci;
  • mencegah dokumen penting ditampilkan ( monitor) komputer pribadi atau pencetak;
  • tidak mengizinkan perekaman informasi asing pada pembawa kunci;
  • mencegah penginstalan dokumen penting di komputer pribadi lainnya;
  • memenuhi persyaratan untuk memastikan keamanan informasi, persyaratan untuk memastikan keamanan CIPF dan dokumen kunci untuk mereka;
  • melaporkan upaya oleh orang yang tidak berwenang yang diketahui oleh mereka untuk mendapatkan informasi tentang alat perlindungan informasi kriptografi yang digunakan atau dokumen kunci untuk mereka;
  • segera memberi tahu tentang fakta kehilangan atau kekurangan CIPF, dokumen kuncinya, kunci tempat, brankas, segel pribadi, dan fakta lain yang dapat mengarah pada pengungkapan informasi yang dilindungi;
  • menyerahkan CIPF, dokumentasi operasional dan teknis untuk mereka, dokumen kunci pada saat pemecatan atau pemecatan dari pelaksanaan tugas yang terkait dengan penggunaan alat kriptografi.

Keamanan pemrosesan informasi menggunakan CIPF dipastikan dengan:

  • ketaatan oleh pengguna kerahasiaan ketika menangani informasi yang mereka percayai atau ketahui di tempat kerja, termasuk informasi tentang fungsi dan prosedur keamanan alat perlindungan informasi kriptografi yang digunakan dan dokumen kunci untuk mereka;
  • pemenuhan yang tepat oleh pengguna CIPF atas persyaratan keamanan informasi;
  • penyimpanan dokumentasi operasional dan teknis yang andal untuk CIPF, dokumen kunci, media distribusi terbatas;
  • deteksi tepat waktu atas upaya orang yang tidak berwenang untuk mendapatkan informasi tentang informasi yang dilindungi, tentang CIPF yang digunakan atau dokumen kunci untuk mereka;
  • mengambil tindakan segera untuk mencegah pengungkapan informasi yang dilindungi, serta kemungkinan kebocorannya ketika fakta kehilangan atau kekurangan CIPF, dokumen kunci untuk mereka, sertifikat, izin masuk, kunci bangunan, brankas, brankas terungkap ( lemari besi), segel pribadi, dll.

Jika perlu, transfer sarana teknis tautan pesan layanan akses terbatas mengenai organisasi dan pengoperasian CIPF, pesan-pesan ini harus dikirimkan hanya dengan menggunakan sarana kriptografi. Transfer kunci crypto melalui sarana komunikasi teknis tidak diperbolehkan, dengan pengecualian sistem yang diatur secara khusus dengan pasokan kunci crypto yang terdesentralisasi.

CIPF tunduk pada akuntansi menggunakan indeks atau nama bersyarat dan nomor pendaftaran. Daftar indeks, nama bersyarat, dan nomor registrasi cryptocurrency ditentukan Layanan Federal keamanan Federasi Rusia.

CIPF yang digunakan atau disimpan, dokumentasi operasional dan teknis untuk mereka, dokumen-dokumen kunci tunduk pada salinan akuntansi. Bentuk Buku Catatan CIPF diberikan dalam Lampiran No. 1, Buku Catatan Pembawa Utama dalam Lampiran No. 2 Polis ini. Pada saat yang sama, perangkat lunak CIPF harus diperhitungkan bersama dengan perangkat keras yang digunakan untuk menjalankan operasi regulernya. Jika alat perlindungan informasi kriptografi perangkat keras atau perangkat keras-perangkat lunak terhubung ke bus sistem atau ke salah satu antarmuka perangkat keras internal, maka alat kriptografi tersebut juga diperhitungkan bersama dengan perangkat keras yang sesuai.

Unit penyalinan dokumen kunci dianggap sebagai pembawa kunci yang dapat digunakan kembali, sebuah buku catatan kunci. Jika media kunci yang sama berulang kali digunakan untuk merekam kunci kripto, maka harus didaftarkan secara terpisah setiap saat.

Semua salinan crypto-means yang diterima, dokumentasi operasional dan teknis untuk mereka, dokumen-dokumen kunci harus diterbitkan terhadap tanda terima dalam daftar salinan-per-instance yang sesuai untuk pengguna crypto-means yang secara pribadi bertanggung jawab atas keselamatan mereka.

Transfer alat perlindungan informasi kriptografi, dokumentasi operasional dan teknis kepada mereka, dokumen kunci hanya diperbolehkan antara pengguna alat kriptografi dan (atau) pengguna alat kriptografi yang bertanggung jawab terhadap penerimaan dalam log yang relevan dari akuntansi instans demi instans. Transfer semacam itu antara pengguna alat kriptografi harus disahkan.

Penyimpanan media instalasi CIPF, dokumentasi operasional dan teknis, dokumen kunci dilakukan di lemari ( kotak, penyimpanan) penggunaan individu dalam kondisi yang mengecualikan akses tidak terkendali ke mereka, serta penghancuran yang tidak disengaja.

Perangkat keras yang digunakan untuk menjalankan fungsi reguler CIPF, serta perangkat keras dan perangkat keras-perangkat lunak CIPF harus dilengkapi dengan sarana untuk mengontrol pembukaannya ( disegel, disegel). Tempat penyegelan ( penyegelan) kripto-artinya, perangkat keras harus sedemikian rupa sehingga dapat dikontrol secara visual. Di hadapan kelayakan teknis selama tidak ada pengguna alat kriptografi, dana ini harus diputuskan dari jalur komunikasi dan disimpan di brankas tertutup.

Membuat perubahan pada perangkat lunak CIPF dan dokumentasi teknis untuk CIPF dilakukan berdasarkan penerimaan dari pabrikan CIPF dan pembaruan terdokumentasi dengan fiksasi checksum.

Pengoperasian CIPF melibatkan pemeliharaan setidaknya dua salinan cadangan perangkat lunak dan satu cadangan pembawa kunci. Pemulihan kinerja CIPF dalam situasi darurat dilakukan sesuai dengan dokumentasi operasional.

2.3. Pembuatan dokumen kunci dari informasi kunci asli dilakukan oleh pengguna CIPF yang bertanggung jawab, menggunakan alat kriptografi biasa, jika kesempatan seperti itu disediakan oleh dokumentasi operasional dan teknis dengan adanya lisensi dari Layanan Keamanan Federal dari Rusia untuk produksi dokumen kunci untuk alat kriptografi.

Dokumen kunci dapat dikirimkan melalui kurir ( termasuk departemen) komunikasi atau dengan pengguna alat kriptografi dan karyawan yang ditunjuk secara khusus dan bertanggung jawab, tunduk pada tindakan yang mengecualikan akses tidak terkendali ke dokumen kunci selama pengiriman.

Untuk mengirim dokumen kunci, mereka harus ditempatkan dalam kemasan yang kuat, yang mengecualikan kemungkinan kerusakan fisik dan pengaruh eksternal. Pada paket menunjukkan pengguna yang bertanggung jawab untuk siapa paket ini ditujukan. Paket tersebut ditandai "Secara pribadi". Paket disegel sedemikian rupa sehingga tidak mungkin untuk mengekstrak isinya tanpa melanggar paket dan cetakan segel.

Sebelum deportasi awal ( atau kembali) penerima diberitahu melalui surat terpisah tentang deskripsi paket yang dikirimkan kepadanya dan segel yang dapat digunakan untuk menyegelnya.

Untuk mengirim dokumen kunci, surat pengantar disiapkan, di mana perlu untuk menunjukkan: apa yang dikirim dan dalam jumlah berapa, nomor rekening dokumen, dan, jika perlu, tujuan dan prosedur penggunaan kiriman. Surat pengantar terlampir di salah satu paket.

Paket yang diterima dibuka hanya oleh pengguna yang bertanggung jawab dari alat kriptografi yang dimaksudkan. Jika isi paket yang diterima tidak sesuai dengan yang ditentukan dalam surat pengantar atau paket itu sendiri dan segel - deskripsinya ( kesan), dan juga jika kemasannya rusak, mengakibatkan akses bebas ke isinya, penerima membuat akta yang dikirim ke pengirim. Dokumen kunci yang diterima dengan pengiriman tersebut tidak diperbolehkan untuk digunakan sampai instruksi diterima dari pengirim.

Jika ditemukan dokumen kunci atau kunci kripto yang rusak, satu salinan dari produk yang rusak harus dikembalikan ke pabrikan untuk menentukan penyebab insiden dan menghilangkannya di masa mendatang, dan salinan yang tersisa harus disimpan hingga instruksi tambahan dari pabrikan diberikan. diterima.

Penerimaan dokumen kunci harus dikonfirmasikan kepada pengirim sesuai dengan prosedur yang tertera pada surat pengantar. Pengirim berkewajiban untuk mengontrol pengiriman barangnya ke penerima. Jika konfirmasi yang sesuai belum diterima dari penerima tepat waktu, pengirim harus mengirimkan permintaan kepadanya dan mengambil tindakan untuk mengklarifikasi lokasi kiriman.

Pesanan untuk produksi dokumen kunci berikutnya, produksi dan distribusinya ke tempat penggunaan untuk penggantian dokumen kunci yang ada tepat waktu dilakukan sebelumnya. Indikasi mulai berlakunya dokumen kunci berikutnya diberikan oleh pengguna alat kriptografi yang bertanggung jawab hanya setelah menerima konfirmasi dari mereka bahwa dokumen kunci berikutnya telah diterima.

Dokumen kunci yang tidak terpakai atau tidak berfungsi harus dikembalikan kepada pengguna alat kriptografi yang bertanggung jawab atau, atas arahannya, harus dihancurkan di tempat.

Penghancuran kunci kripto ( informasi kunci awal) dapat dilakukan dengan menghancurkan secara fisik media kunci di mana mereka berada, atau dengan menghapus ( penghancuran) cryptokey ( informasi kunci awal) tanpa merusak pembawa kunci ( untuk memungkinkannya digunakan kembali).

Kunci kripto ( informasi kunci asli) dihapus sesuai dengan teknologi yang diadopsi untuk media kunci yang dapat digunakan kembali yang sesuai ( floppy disk, compact disk (CD-ROM), Data Key, Smart Card, Touch Memory, dll.). Tindakan langsung untuk menghapus kunci kripto ( informasi kunci awal), serta kemungkinan pembatasan penggunaan lebih lanjut dari media kunci relevan yang dapat digunakan kembali diatur oleh dokumentasi operasional dan teknis untuk alat perlindungan informasi kriptografi yang relevan, serta instruksi dari organisasi yang merekam kunci kripto ( informasi kunci awal).

Pembawa kunci dihancurkan dengan menimbulkan kerusakan fisik yang tidak dapat diperbaiki pada mereka, mengecualikan kemungkinan penggunaannya, serta memulihkan informasi kunci. Tindakan langsung untuk menghancurkan jenis pembawa kunci tertentu diatur oleh dokumentasi operasional dan teknis untuk alat perlindungan informasi kriptografi yang relevan, serta instruksi dari organisasi yang mencatat kunci kripto ( informasi kunci awal).

Kertas dan pembawa kunci yang mudah terbakar lainnya dihancurkan dengan membakar atau menggunakan mesin pemotong kertas apa pun.

Dokumen kunci dihancurkan dalam batas waktu yang ditentukan dalam dokumentasi operasional dan teknis untuk CIPF yang relevan. Fakta penghancuran didokumentasikan dalam register copy-by-instance yang relevan.

Pemusnahan menurut akta tersebut dilakukan oleh suatu komisi yang beranggotakan sekurang-kurangnya dua orang. Undang-undang itu menentukan apa yang dihancurkan dan berapa jumlahnya. Di akhir tindakan, entri terakhir dibuat (dalam angka dan kata-kata) tentang jumlah barang dan salinan dokumen kunci yang akan dihancurkan, memasang media CIPF, dokumentasi operasional dan teknis. Koreksi dalam teks akta harus ditentukan dan disahkan dengan tanda tangan semua anggota komisi yang ikut serta dalam perusakan. Tentang pemusnahan yang dilakukan, tanda dibuat di jurnal salinan akuntansi yang sesuai.

Cryptokey yang dicurigai telah disusupi, serta cryptokey lain yang beroperasi bersamaan dengannya, harus segera dinonaktifkan, kecuali ditentukan lain dalam dokumentasi operasional dan teknis CIPF. Dalam kasus darurat, ketika tidak ada kunci kripto untuk menggantikan kunci kripto yang disusupi, diizinkan, dengan keputusan pengguna alat kripto yang bertanggung jawab, yang disepakati dengan operator, untuk menggunakan kunci kripto yang disusupi. Dalam hal ini, periode penggunaan kunci kripto yang disusupi harus sesingkat mungkin, dan informasi yang dilindungi harus dibuat seminimal mungkin.

Pada pelanggaran yang dapat menyebabkan kompromi kunci crypto, komponennya atau ditransmisikan ( disimpan) dengan penggunaan datanya, pengguna alat kriptografi diharuskan untuk melapor kepada pengguna alat kriptografi yang bertanggung jawab.

Inspeksi media kunci yang dapat digunakan kembali oleh orang yang tidak berwenang tidak boleh dianggap sebagai kecurigaan untuk mengkompromikan cryptokeys, jika ini mengecualikan kemungkinan untuk menyalinnya ( membaca, reproduksi).

Dalam kasus kekurangan, non-presentasi dokumen kunci, serta ketidakpastian lokasinya, pengguna yang bertanggung jawab mengambil langkah mendesak untuk mencarinya dan melokalkan konsekuensi dari kompromi dokumen kunci.

  1. Prosedur pengelolaan sistem kunci

Pendaftaran orang dengan hak manajemen kunci dilakukan sesuai dengan dokumentasi operasional untuk CIPF.

Manajemen kunci adalah proses informasi yang mencakup tiga elemen:

- pembuatan kunci;

— akumulasi kunci;

- distribusi kunci.

Dalam sistem informasi organisasi, metode perangkat keras dan perangkat lunak khusus untuk menghasilkan kunci acak digunakan. Sebagai aturan, generator nomor acak semu digunakan ( Lebih jauh - PSCH ), dengan tingkat keacakan yang cukup tinggi pada generasinya. Cukup dapat diterima adalah generator kunci perangkat lunak yang menghitung PRNG sebagai fungsi kompleks dari waktu sekarang dan ( atau) nomor yang dimasukkan oleh pengguna.

Di bawah akumulasi kunci dipahami organisasi penyimpanan, akuntansi, dan penghapusannya.

Kunci rahasia tidak boleh ditulis secara eksplisit pada media yang dapat dibaca atau disalin.

Semua informasi tentang kunci yang digunakan harus disimpan dalam bentuk terenkripsi. Kunci yang mengenkripsi informasi kunci disebut kunci master. Setiap pengguna harus mengetahui kunci master dengan hati, dilarang menyimpannya di media material apa pun.

Untuk kondisi keamanan informasi, perlu dilakukan pemutakhiran informasi kunci dalam sistem informasi secara berkala. Ini menetapkan kembali kunci reguler dan kunci master.

Saat mendistribusikan kunci, persyaratan berikut harus dipenuhi:

- efisiensi dan ketepatan distribusi;

— kerahasiaan kunci yang didistribusikan.

Alternatifnya adalah dua pengguna mendapatkan kunci bersama dari otoritas pusat, pusat distribusi kunci (KDC), di mana mereka dapat berinteraksi dengan aman. Untuk mengatur pertukaran data antara CRC dan pengguna, yang terakhir diberi kunci khusus selama pendaftaran, yang mengenkripsi pesan yang dikirimkan di antara mereka. Setiap pengguna dialokasikan kunci terpisah.

MANAJEMEN KUNCI BERDASARKAN SISTEM KUNCI PUBLIK

Sebelum menggunakan kriptosistem kunci publik untuk bertukar kunci rahasia biasa, pengguna harus menukar kunci publik mereka.

Manajemen kunci publik dapat dilakukan melalui layanan direktori online atau offline, dan pengguna juga dapat bertukar kunci secara langsung.

  1. Pemantauan dan pengendalian penggunaan CIPF

Untuk meningkatkan tingkat keamanan selama pengoperasian perlindungan informasi kriptografi dalam sistem, perlu diterapkan prosedur pemantauan yang merekam semua peristiwa penting yang terjadi selama pertukaran. pesan elektronik, dan semua insiden keamanan informasi. Deskripsi dan daftar prosedur ini harus ditetapkan dalam dokumentasi operasional CIPF.

Pengendalian penggunaan CIPF menyediakan:

  • kontrol atas kepatuhan pengaturan dan konfigurasi alat keamanan informasi, serta perangkat keras dan perangkat lunak yang dapat mempengaruhi pemenuhan persyaratan alat keamanan informasi, peraturan dan dokumentasi teknis;
  • memantau kepatuhan terhadap aturan untuk menyimpan informasi akses terbatas yang digunakan dalam pengoperasian alat keamanan informasi ( khususnya, kunci, kata sandi, dan informasi otentikasi);
  • kontrol terhadap kemungkinan akses oleh orang yang tidak berwenang terhadap alat keamanan informasi, serta perangkat keras dan perangkat lunak yang dapat mempengaruhi pemenuhan persyaratan alat keamanan informasi;
  • memantau kepatuhan dengan aturan respons insiden informasi informasi (tentang fakta kehilangan, kompromi kunci, kata sandi dan informasi otentikasi, serta informasi lain dengan akses terbatas);
  • kontrol kepatuhan sarana teknis dan perangkat lunak CIPF dan dokumentasi untuk sarana ini dengan sampel referensi ( jaminan pemasok atau mekanisme kontrol yang memungkinkan kepatuhan tersebut ditetapkan secara independen);
  • kontrol integritas perangkat keras dan perangkat lunak CIPF dan dokumentasi untuk alat ini selama penyimpanan dan commissioning alat ini ( menggunakan kedua mekanisme kontrol yang dijelaskan dalam dokumentasi untuk CIPF, dan menggunakan organisasi).

Unduh file ZIP (43052)

Dokumen berguna - beri "suka":

Siapa pun yang serius memikirkan keamanan informasi rahasianya menghadapi tugas memilih perangkat lunak untuk perlindungan data kriptografi. Dan sama sekali tidak ada yang mengejutkan dalam hal ini - enkripsi sejauh ini merupakan salah satu cara paling andal untuk mencegah akses tidak sah ke dokumen penting, database, foto, dan file lainnya.

Masalahnya adalah untuk pilihan yang kompeten perlu memahami semua aspek pengoperasian produk kriptografi. Jika tidak, Anda dapat dengan mudah membuat kesalahan dan berhenti pada perangkat lunak yang tidak memungkinkan Anda melindungi semua informasi yang diperlukan, atau tidak memberikan tingkat keamanan yang sesuai. Apa yang harus Anda perhatikan? Pertama, ini adalah algoritme enkripsi yang tersedia di produk. Kedua, metode otentikasi pemilik informasi. Ketiga, cara untuk melindungi informasi. Keempat, penambahan fitur dan kemampuan. Kelima, otoritas dan ketenaran pabrikan, serta ketersediaan sertifikat untuk pengembangan alat enkripsi. Dan bukan itu saja yang mungkin penting saat memilih sistem perlindungan kriptografi.

Jelas sulit bagi orang yang tidak ahli di bidang keamanan informasi untuk menemukan jawaban atas semua pertanyaan tersebut.

Disk Rahasia 4 Lite

Secret Disk 4 Lite dikembangkan oleh Aladdin, salah satu pemimpin dunia yang bekerja di bidang keamanan informasi. Dia memiliki banyak sertifikasi. Dan meskipun produk tersebut bukan alat bersertifikat (Secret Disk 4 memiliki versi bersertifikat terpisah), fakta ini menunjukkan pengakuan perusahaan sebagai pengembang alat kriptografi yang serius.

Secret Disk 4 Lite dapat digunakan untuk enkripsi bagian terpisah hard drive, semua drive yang dapat dilepas, serta untuk membuat drive virtual yang aman. Dengan demikian, dengan alat ini, Anda dapat menyelesaikan sebagian besar masalah yang berkaitan dengan kriptografi. Secara terpisah, perlu diperhatikan kemungkinan enkripsi partisi sistem. Dalam hal ini, boot OS oleh pengguna yang tidak sah menjadi tidak mungkin. Selain itu, perlindungan ini jauh lebih andal daripada alat perlindungan Windows bawaan.

Secret Disk 4 Lite tidak memiliki algoritme enkripsi bawaan. Program ini menggunakan penyedia kriptografi eksternal untuk pekerjaannya. Secara default, modul standar yang terintegrasi ke dalam Windows digunakan. Ini mengimplementasikan algoritma DES dan 3DES. Namun, hari ini mereka dianggap usang. Oleh karena itu, untuk perlindungan yang lebih baik Anda dapat mengunduh Paket Rahasia Disk Crypto khusus dari situs web Aladdin. Ini adalah penyedia kriptografi yang mengimplementasikan teknologi kriptografi paling aman hingga saat ini, termasuk AES dan Twofish dengan panjang kunci hingga 256 bit. Omong-omong, jika perlu, dalam kombinasi dengan Secret Disk 4 Lite, Anda dapat menggunakan penyedia algoritme bersertifikat Signal-COM CSP dan CryptoPro CSP.

Ciri khas Secret Disk 4 Lite adalah sistem otentikasi pengguna. Intinya adalah itu dibangun berdasarkan penggunaan sertifikat digital. Untuk melakukan ini, perangkat keras USB eToken disertakan dalam paket produk. Ini adalah penyimpanan yang sangat aman untuk kunci rahasia. Faktanya, kita berbicara tentang otentikasi dua faktor yang lengkap (keberadaan token plus pengetahuan tentang kode PIN-nya). Akibatnya, sistem enkripsi yang sedang dipertimbangkan terhindar dari "kemacetan" seperti penggunaan perlindungan kata sandi konvensional.

Dari fungsi tambahan Secret Disk 4 Lite, orang dapat mencatat kemungkinan kerja multi-pengguna (pemilik disk terenkripsi dapat memberikan akses ke orang lain) dan operasi latar belakang dari proses enkripsi.

Antarmuka Secret Disk 4 Lite sederhana dan lugas. Itu dibuat dalam bahasa Rusia, seperti sistem bantuan mendetail, yang menjelaskan semua nuansa penggunaan produk.

InfoWatch CryptoStorage

InfoWatch CryptoStorage adalah produk dari perusahaan InfoWatch yang cukup terkenal, yang memiliki sertifikat untuk pengembangan, distribusi, dan pemeliharaan alat enkripsi. Seperti yang sudah disebutkan, mereka tidak wajib, tetapi mereka dapat memainkan peran semacam indikator keseriusan perusahaan dan kualitas produknya.

Gambar 1. Menu konteks

InfoWatch CryptoStorage hanya mengimplementasikan satu algoritme enkripsi - AES dengan panjang kunci 128 bit. Otentikasi pengguna diimplementasikan menggunakan perlindungan kata sandi konvensional. Demi keadilan, perlu dicatat bahwa program tersebut memiliki batas panjang minimum kata kunci, sama dengan enam karakter. Namun, perlindungan kata sandi tentu jauh lebih rendah keandalannya daripada otentikasi dua faktor menggunakan token. Fitur dari program InfoWatch CryptoStorage adalah keserbagunaannya. Intinya bisa digunakan untuk mengenkripsi file individu dan folder, seluruh partisi hard drive, semua drive yang dapat dilepas, serta drive virtual.

Produk ini, seperti yang sebelumnya, memungkinkan Anda untuk melindungi penggerak sistem, yaitu, dapat digunakan untuk mencegah booting komputer yang tidak sah. Faktanya, InfoWatch CryptoStorage memungkinkan Anda untuk menyelesaikan seluruh rangkaian tugas yang terkait dengan penggunaan enkripsi simetris.

Fitur tambahan dari produk yang dipertimbangkan adalah pengorganisasian akses multi-pengguna ke informasi terenkripsi. Selain itu, InfoWatch CryptoStorage mengimplementasikan penghancuran data yang dijamin tanpa kemungkinan pemulihannya.

InfoWatch CryptoStorage adalah program berbahasa Rusia. Antarmukanya dibuat dalam bahasa Rusia, tetapi agak tidak biasa: jendela utama tidak ada (hanya ada jendela konfigurator kecil), dan hampir semua pekerjaan dilakukan dengan menggunakan menu konteks. Solusi semacam itu tidak biasa, tetapi orang tidak bisa tidak mengenali kesederhanaan dan kenyamanannya. Biasanya, dokumentasi berbahasa Rusia dalam program ini juga tersedia.

Rohos Disk adalah produk Tesline-Service.S.R.L. Ini adalah bagian dari rangkaian utilitas kecil yang mengimplementasikan berbagai alat untuk melindungi informasi rahasia. Seri ini telah dikembangkan sejak tahun 2003.


Gambar 2. Antarmuka program

Rohos Disk dirancang untuk perlindungan kriptografi data komputer. Ini memungkinkan Anda membuat drive virtual terenkripsi tempat Anda dapat menyimpan file dan folder apa pun, serta menginstal perangkat lunak.

Untuk melindungi data, produk ini menggunakan algoritma kriptografi AES dengan panjang kunci 256 bit, yang menyediakan derajat yang tinggi keamanan.

Rohos Disk memiliki dua metode untuk otentikasi pengguna. Yang pertama adalah perlindungan kata sandi biasa dengan segala kekurangannya. Pilihan kedua adalah menggunakan disk USB biasa, yang berisi kunci yang diperlukan.

Opsi ini juga tidak terlalu bisa diandalkan. Saat menggunakannya, hilangnya "flash drive" dapat menyebabkan masalah serius.

Rohos Disk memiliki berbagai fitur tambahan. Pertama-tama, perlu diperhatikan perlindungan drive USB. Esensinya adalah membuat partisi terenkripsi khusus pada "flash drive" tempat Anda dapat mentransfer data rahasia dengan aman.

Selain itu, produk ini menyertakan utilitas terpisah yang dapat digunakan untuk membuka dan melihat drive USB ini di komputer yang tidak menginstal Rohos Disk.

Fitur tambahan berikutnya adalah dukungan steganografi. Inti dari teknologi ini adalah menyembunyikan informasi terenkripsi di dalam file multimedia (mendukung format AVI, MP3, MPG, WMV, WMA, OGG).

Penggunaannya memungkinkan Anda menyembunyikan fakta keberadaan disk rahasia dengan menempatkannya, misalnya, di dalam film. Fungsi tambahan terakhir adalah penghancuran informasi tanpa kemungkinan pemulihannya.

Program Rohos Disk memiliki antarmuka tradisional berbahasa Rusia. Selain itu, dia ditemani sistem bantuan, mungkin tidak sedetail kedua produk sebelumnya, namun cukup menguasai prinsip penggunaannya.

Berbicara tentang utilitas kriptografi, orang tidak dapat tidak menyebutkan perangkat lunak gratis. Memang, saat ini di hampir semua wilayah ada produk layak yang didistribusikan secara gratis. Dan keamanan informasi tidak terkecuali aturan ini.

Benar, ada sikap ganda terhadap penggunaan perangkat lunak gratis untuk perlindungan informasi. Faktanya adalah bahwa banyak utilitas ditulis oleh pemrogram tunggal atau kelompok kecil. Pada saat yang sama, tidak ada yang dapat menjamin kualitas penerapannya dan tidak adanya "lubang", yang disengaja atau tidak disengaja. Tetapi solusi kriptografi sendiri cukup sulit untuk dikembangkan. Saat membuatnya, Anda perlu mempertimbangkan sejumlah besar nuansa berbeda. Itulah mengapa disarankan untuk hanya menggunakan produk terkenal, dan selalu bersama sumber terbuka. Ini adalah satu-satunya cara untuk memastikan bahwa mereka bebas dari "bookmark" dan diuji oleh sejumlah besar spesialis, yang berarti mereka kurang lebih dapat diandalkan. Contoh produk semacam itu adalah program TrueCrypt.


Gambar 3. Antarmuka program

TrueCrypt bisa dibilang salah satu utilitas kriptografi gratis paling kaya fitur di luar sana. Awalnya, ini hanya digunakan untuk membuat disk virtual yang aman. Namun, bagi sebagian besar pengguna, ini adalah cara paling nyaman untuk melindungi berbagai informasi. Namun, seiring waktu, fungsi mengenkripsi partisi sistem muncul di dalamnya. Seperti yang sudah kita ketahui, ini dimaksudkan untuk melindungi komputer dari startup yang tidak sah. Namun, TrueCrypt belum mengetahui cara mengenkripsi semua partisi lain, serta file dan folder individual.

Produk yang dimaksud mengimplementasikan beberapa algoritme enkripsi: AES, Serpent, dan Twofish. Pemilik informasi dapat memilih mana yang ingin dia gunakan saat ini. Otentikasi pengguna di TrueCrypt dapat dilakukan dengan menggunakan kata sandi biasa. Namun, ada opsi lain - menggunakan file kunci yang dapat disimpan di hard drive atau apa pun penyimpanan yang dapat dilepas. Secara terpisah, perlu dicatat bahwa program ini mendukung token dan kartu pintar, yang memungkinkan Anda mengatur otentikasi dua faktor yang andal.

Dari fitur tambahan dari program yang sedang dipertimbangkan, dimungkinkan untuk mencatat kemungkinan pembuatan volume tersembunyi di dalam yang utama. Ini digunakan untuk menyembunyikan data sensitif saat drive dibuka di bawah paksaan. Juga, TrueCrypt mengimplementasikan sistem Salinan cadangan header volume untuk pemulihan kerusakan atau kembali ke kata sandi lama.

Antarmuka TrueCrypt akrab dengan utilitas semacam ini. Ini multibahasa, dan dimungkinkan untuk menginstal bahasa Rusia. Dokumentasi jauh lebih buruk. Ini, dan sangat rinci, tetapi ditulis bahasa Inggris. Secara alami, tentang apapun dukungan teknis tidak boleh ada ucapan.

Untuk lebih jelasnya, semua fitur dan fungsinya dirangkum dalam tabel 2.

Meja 2 - Kegunaan program perlindungan informasi kriptografi.

Disk Rahasia 4 lite

InfoWatch CryptoStorage

Algoritma enkripsi

DES, 3DES, AES, TwoFish

AES, Ular, Dua Ikan

Panjang kunci enkripsi maksimum

Menghubungkan penyedia kripto eksternal

Otentikasi yang kuat menggunakan token

+ (token dibeli secara terpisah)

Enkripsi file dan folder

Enkripsi partisi

Enkripsi Sistem

Enkripsi disk virtual

Enkripsi penyimpanan yang dapat dilepas

Dukungan untuk pekerjaan multi-pengguna

Penghancuran data terjamin

Menyembunyikan objek terenkripsi

Bekerja di bawah tekanan

Antarmuka berbahasa Rusia

dokumentasi bahasa Rusia

Dukungan teknis

Dengar ... bisakah, untuk kepentingan kita bersama, setiap surat yang masuk ke kantor pos Anda, masuk dan keluar, Anda tahu, mencetaknya sedikit dan membaca: apakah itu berisi laporan atau hanya korespondensi .. .

N.V. Gogol "Inspektur"

Idealnya, hanya dua orang yang dapat membaca surat rahasia: pengirim dan orang yang dituju.Perumusan hal yang tampaknya sangat sederhana ini adalah titik awal dari sistem proteksi kripto. Perkembangan matematika memberikan dorongan untuk pengembangan sistem tersebut.

Sudah di abad XVII-XVIII, sandi di Rusia cukup canggih dan tahan terhadap kerusakan. Banyak ahli matematika Rusia mengerjakan pembuatan atau peningkatan sistem enkripsi dan pada saat yang sama mencoba mengambil kunci sandi dari sistem lain. Saat ini, beberapa sistem enkripsi Rusia dapat dicatat, seperti Lexicon Verba, Secret Net, DALLAS LOCK, Secret Disk, keluarga produk Accord, dll. Kami akan membicarakannya. Anda juga akan berkenalan dengan perangkat lunak utama dan perangkat keras serta perangkat lunak kompleks cryptoprotection, pelajari tentang kemampuan, kekuatan, dan kelemahan. Kami harap artikel ini akan membantu Anda menentukan pilihan sistem perlindungan kriptografi.

Perkenalan

Apakah Anda khawatir itu informasi penting dari komputer Anda bisa jatuh ke tangan yang salah? Informasi ini dapat digunakan oleh pesaing, otoritas pengatur, dan simpatisan. Jelas, tindakan seperti itu dapat membawa Anda kerusakan yang signifikan. Apa yang harus dilakukan? Untuk melindungi informasi Anda dari orang asing, Anda harus menginstal salah satu program enkripsi data. Ulasan kami dikhususkan untuk analisis sistem enkripsi untuk sistem desktop. Perlu dicatat bahwa penggunaan sistem enkripsi asing di Rusia sangat terbatas karena sejumlah alasan organisasi negara dan perusahaan domestik besar terpaksa menggunakan perkembangan Rusia. Namun, perusahaan menengah dan kecil, serta individu, terkadang lebih menyukai sistem asing.

Untuk yang belum tahu, enkripsi informasi tampak seperti ilmu hitam. Memang, mengenkripsi pesan untuk menyembunyikan isinya dari orang luar adalah masalah matematika yang rumit. Selain itu, sandi harus dipilih sedemikian rupa sehingga hampir tidak mungkin untuk membukanya tanpa kunci, dan dengan cepat dan mudah dengan kunci. Banyak perusahaan dan organisasi merasa sangat sulit untuk melakukannya pilihan optimal saat menginstal program enkripsi. Masalahnya semakin diperumit oleh fakta bahwa tidak ada komputer yang benar-benar aman dan sistem enkripsi yang benar-benar andal. Namun, masih ada cukup cara untuk menolak hampir semua upaya untuk mengungkapkan informasi terenkripsi.

Apa yang dimiliki program enkripsi di dalamnya

Program enkripsi berbeda satu sama lain dalam algoritma enkripsi. Setelah file dienkripsi, Anda dapat menulisnya ke floppy disk, mengirimkannya melalui surel atau letakkan di server di jaringan lokal Anda. Penerima enkripsi Anda harus memiliki program enkripsi yang sama agar dapat membaca konten file.

Jika Anda ingin mengirim pesan terenkripsi ke beberapa pengguna sekaligus, maka informasi Anda untuk setiap penerima dapat dienkripsi dengan kunci mereka sendiri atau dengan kunci bersama untuk semua pengguna (termasuk pembuat pesan).

Cryptosystem menggunakan kode rahasia untuk mengubah informasi Anda menjadi kumpulan karakter pseudo-random yang tidak berarti. Pada algoritma yang baik enkripsi, hampir tidak mungkin mendekripsi pesan tanpa mengetahuinya Kode rahasia digunakan untuk enkripsi. Algoritma semacam itu disebut algoritma kunci simetris karena kunci yang sama digunakan untuk mengenkripsi dan mendekripsi informasi.

Untuk melindungi data Anda, program enkripsi membuat kunci rahasia berdasarkan kata sandi Anda. Anda hanya perlu menyetel kata sandi panjang yang tidak dapat ditebak oleh siapa pun. Namun, jika Anda ingin orang lain membaca file tersebut, Anda harus memberi tahu orang itu kunci rahasia (atau kata sandi yang menjadi dasarnya). Anda dapat yakin bahwa algoritme enkripsi sederhana pun akan melindungi data Anda dari pengguna biasa, katakanlah, dari rekan kerja. Namun, para profesional memiliki sejumlah cara untuk mendekripsi pesan tanpa mengetahui kode rahasianya.

Tanpa pengetahuan khusus, Anda tidak akan dapat memeriksa sendiri seberapa andal algoritme enkripsi Anda. Tapi Anda bisa mengandalkan pendapat para profesional. Beberapa algoritme enkripsi, seperti Triple DES (Standar Enkripsi Data) telah diuji selama bertahun-tahun. Menurut hasil pengujian, algoritme ini telah membuktikan dirinya dengan baik, dan para kriptografer yakin bahwa algoritme ini dapat dipercaya. Sebagian besar algoritma baru juga dipelajari dengan cermat, dan hasilnya dipublikasikan dalam literatur khusus.

Jika algoritme program belum ditinjau dan didiskusikan secara terbuka oleh para profesional, jika tidak memiliki sertifikat dan dokumen resmi lainnya, ini adalah alasan untuk meragukan keandalannya dan menolak untuk menggunakan program semacam itu.

Tipe lain dari sistem enkripsi adalah sistem kunci publik. Agar sistem seperti itu berfungsi, tidak perlu memberi tahu penerima kunci rahasia (atau kata sandi yang menjadi dasar pembuatannya). Sistem enkripsi ini menghasilkan dua kunci digital untuk setiap pengguna: satu digunakan untuk mengenkripsi data, yang lain - untuk mendekripsinya. Kunci pertama (disebut kunci publik) dapat dibuat publik, sedangkan kunci kedua dirahasiakan. Setelah itu, siapa pun dapat mengenkripsi informasi menggunakan kunci publik, dan hanya mereka yang memiliki kunci rahasia yang sesuai yang dapat mendekripsinya.

Beberapa program enkripsi berisi alat perlindungan penting lainnya - tanda tangan digital. Tanda tangan digital menyatakan bahwa file belum dimodifikasi sejak ditandatangani dan memberikan informasi kepada penerima tentang siapa sebenarnya yang menandatangani file tersebut. Algoritma pembuatan tanda tangan digital berdasarkan perhitungan checksum - yang disebut hash sum, atau intisari pesan. Algoritme yang diterapkan menjamin bahwa tidak mungkin untuk mengambil dua file berbeda yang jumlah hashnya cocok.

Saat penerima menerima file yang ditandatangani secara digital, program enkripsi mereka menghitung ulang jumlah hash untuk file tersebut. Penerima kemudian menggunakan kunci publik yang diterbitkan oleh pengirim untuk memulihkan tanda tangan digital. Jika hasilnya cocok dengan nilai yang dihitung untuk file tersebut, maka penerima dapat yakin bahwa teks pesan tidak diubah (jika ini terjadi, jumlah hash akan berbeda), dan tanda tangan adalah milik orang yang memiliki akses ke kunci rahasia pengirim.

Melindungi informasi sensitif atau rahasia membutuhkan lebih dari sekedar program yang bagus enkripsi. Anda perlu mengambil sejumlah tindakan untuk memastikan keamanan informasi. Jika kata sandi Anda lemah (para ahli merekomendasikan untuk mengaturnya menjadi delapan karakter atau lebih) atau jika salinan informasi rahasia yang tidak terenkripsi disimpan di komputer Anda, maka dalam hal ini bahkan sistem terbaik enkripsi tidak akan berdaya.

Sistem leksikon-Verba

Sistem Lexicon-Verba adalah sarana pengorganisasian yang dilindungi pengelolaan dokumen elektronik baik dalam jaringan perusahaan maupun antar organisasi yang berbeda. Lexicon-Verba menggunakan dua modifikasi sistem kriptografi: sistem Verba-W ditujukan untuk badan negara (perlindungan informasi rahasia, khususnya chipboard; kunci tanda tangan terbuka, kunci enkripsi ditutup), sistem Verba-OW untuk komersial organisasi (perlindungan rahasia dagang; tanda tangan dan kunci enkripsi terbuka).

Ada beberapa standar enkripsi global, tetapi hanya sebagian kecil yang disertifikasi oleh Badan Federal untuk Komunikasi dan Informasi Pemerintah (FAPSI), yang membuat penggunaan solusi non-sertifikasi tidak mungkin dilakukan di Rusia. Sistem Verba-W memiliki sertifikat FAPSI No. SF/114-0176. Sistem Verba-OW - Sertifikat FAPSI No. SF / 114-0174.

"Lexicon-Verba" menyediakan enkripsi dan tanda tangan digital sesuai dengan persyaratan GOST 28147-89 "Sistem pemrosesan informasi. Perlindungan kriptografi" dan GOST R34.10-94 " Teknologi Informasi. Perlindungan informasi kriptografi. Prosedur pengembangan dan verifikasi tanda tangan digital elektronik berdasarkan algoritma kriptografi asimetris.

Program ini disertifikasi oleh Komisi Teknis Negara di bawah Presiden Federasi Rusia. Pada bulan Juli, diharapkan menerima sertifikat dari Kementerian Pertahanan Rusia.

Perlindungan kriptografi sistem didasarkan pada metode enkripsi dengan kunci publik. Setiap kunci yang mengidentifikasi pengguna terdiri dari dua bagian: kunci publik dan kunci privat. Kunci publik didistribusikan secara bebas dan digunakan untuk mengenkripsi informasi pengguna ini. Untuk mendekripsi dokumen, orang yang mengenkripsinya harus memiliki kunci publik Anda dan mengidentifikasi Anda sebagai pemilik akses ke dokumen saat mengenkripsinya.

Untuk mendekripsi dokumen, Anda perlu menggunakan kunci privat. Kunci pribadi terdiri dari dua bagian, salah satunya disimpan di kartu pintar atau memori sentuh, dan yang lainnya disimpan di hard drive komputer Anda. Dengan demikian, baik kehilangan kartu pintar maupun akses tidak sah ke komputer tidak memungkinkan, secara individual, untuk mendekripsi dokumen.

Set kunci awal termasuk informasi lengkap tentang kunci publik dan pribadi pengguna, dibuat di tempat kerja aman yang dilengkapi peralatan khusus. Floppy disk dengan informasi kunci hanya digunakan pada tahap persiapan tempat kerja pengguna.

Sistem Lexicon-Verba dapat digunakan dalam kerangka dua sistem utama untuk mengatur manajemen dokumen yang aman:

  • sebagai solusi mandiri. Jika organisasi memiliki jaringan lokal, sistem tidak dapat diinstal di semua komputer, tetapi hanya di komputer yang perlu bekerja dengan dokumen rahasia. Artinya di dalam jaringan perusahaan terdapat subnet untuk pertukaran informasi rahasia. Pada saat yang sama, peserta di bagian tertutup sistem dapat bertukar dokumen terbuka dengan karyawan lain;
  • sebagai bagian dari alur kerja. Lexicon-Verba memiliki antarmuka koneksi standar fungsi eksternal untuk melakukan operasi pembukaan, penyimpanan, penutupan dan pengiriman dokumen, yang memudahkan untuk mengintegrasikan sistem ini ke dalam sistem alur kerja yang sudah ada dan yang baru dikembangkan.

Perlu dicatat bahwa sifat-sifat sistem Lexicon-Verba membuatnya tidak hanya menjadi sarana penyediaan perlindungan informasi dari intrusi eksternal, tetapi juga sebagai sarana untuk meningkatkan kerahasiaan intra-perusahaan dan berbagi akses.

Salah satu sumber daya tambahan yang penting untuk meningkatkan tingkat kontrol keamanan informasi adalah kemampuan untuk memelihara "log peristiwa" untuk dokumen apa pun. Fitur perbaikan riwayat dokumen hanya dapat diaktifkan atau dinonaktifkan saat sistem diinstal; ketika dihidupkan majalah ini akan dilakukan terlepas dari keinginan pengguna.

Keuntungan utama dan ciri khas sistem adalah implementasi fungsi keamanan informasi yang sederhana dan intuitif dengan tetap mempertahankan tradisional pengolah kata lingkungan kerja pengguna.

Unit kriptografi melakukan enkripsi, serta pemasangan dan penghapusan dokumen tanda tangan digital elektronik (EDS).

Fungsi tambahan dari blok - mengunduh kunci rahasia, mengekspor dan mengimpor kunci publik, menyiapkan dan memelihara direktori kunci pelanggan sistem.

Dengan demikian, masing-masing dari mereka yang memiliki akses ke dokumen hanya dapat membubuhkan tanda tangannya, tetapi menghapus salah satu yang telah ditetapkan sebelumnya.

Ini mencerminkan prosedur pekerjaan kantor yang diterima, ketika dokumen disetujui, dapat direvisi pada tahap yang berbeda, tetapi setelah itu dokumen harus disetujui lagi.

Jika Anda mencoba mengubah dokumen dengan cara selain "Lexicon-Verba", EDS rusak, akibatnya akan muncul tulisan "Rusak" di kolom "Status Tanda Tangan".

Kantor

Seiring bertambahnya jumlah pengguna sistem, memasukkan setiap kunci publik di setiap komputer menjadi sulit. Oleh karena itu, untuk mengatur pekerjaan kantor, administrasi terpusat dari direktori kunci publik diatur. Ini dilakukan dengan cara berikut:

1) "Lexicon-Verba" diinstal di komputer administrator dalam mode lokal. Ini membuat direktori kunci publik, di mana administrator menambahkan setiap kunci yang digunakan di kantor;

2) di semua komputer lain, sistem diinstal modus jaringan. Mode ini menggunakan direktori kunci publik yang terletak di komputer administrator;

3) masing-masing Pengguna baru, ditambahkan oleh administrator ke direktori, menjadi "terlihat" oleh semua pengguna yang terhubung ke direktori. Sejak saat itu, mereka mendapat kesempatan untuk mentransfer dokumen terenkripsi kepadanya.

Administrasi direktori menjadi terpusat, tetapi ini tidak mempengaruhi tingkat keamanan sistem, karena memberikan akses ke kunci publik adalah semacam "kenalan" pengguna, tetapi tidak memberikan akses ke dokumen apa pun. Agar pengguna dapat mendekripsi dokumen, kunci publik mereka tidak hanya harus ada di direktori, tetapi juga harus terdaftar secara eksplisit sebagai yang memiliki akses ke dokumen.

KE sarana perlindungan informasi kriptografi(CIPF), meliputi hardware, firmware dan software yang mengimplementasikan algoritma kriptografi transformasi informasi.

Diasumsikan bahwa alat perlindungan informasi kriptografi digunakan di beberapa sistem komputer (di sejumlah sumber - sistem informasi dan telekomunikasi atau jaringan komunikasi), bersama dengan mekanisme untuk menerapkan dan menjamin kebijakan keamanan tertentu.

Seiring dengan istilah "sarana perlindungan informasi kriptografi", istilah ini sering digunakan pengacak- perangkat atau program yang mengimplementasikan algoritma enkripsi. Konsep CIPF yang diperkenalkan mencakup pembuat enkode, tetapi secara umum lebih luas.

Sistem operasi (OS) pertama untuk komputer pribadi (MS-DOS dan Versi Windows hingga 3.1 inklusif) sama sekali tidak memiliki sarana perlindungan sendiri, yang menimbulkan masalah dalam menciptakan sarana perlindungan tambahan. Urgensi masalah ini secara praktis tidak berkurang dengan munculnya sistem operasi yang lebih bertenaga dengan subsistem perlindungan yang canggih. Ini karena sebagian besar sistem tidak dapat melindungi data yang ada di luarnya, misalnya saat menggunakan pertukaran informasi jaringan.

Alat perlindungan informasi kriptografi yang memberikan peningkatan tingkat perlindungan dapat dibagi menjadi lima kelompok utama (Gbr. 2.1).

Beras. 2.1 Kelompok utama CIPF

Kelompok pertama terbentuk sistem identifikasi Dan otentikasi pengguna. Sistem seperti itu digunakan untuk membatasi akses pengguna biasa dan ilegal ke sumber daya sistem komputer. Algoritma umum Pengoperasian sistem ini adalah untuk memperoleh informasi dari pengguna yang membuktikan identitasnya, memverifikasi keasliannya dan kemudian memberikan (atau tidak memberikan) kepada pengguna ini kemampuan untuk bekerja dengan sistem.

Kelompok alat kedua yang memberikan peningkatan tingkat perlindungan adalah sistem enkripsi disk. Tugas utama yang diselesaikan oleh sistem semacam itu adalah melindungi dari penggunaan data yang tidak sah yang terletak di media disk.

Memastikan kerahasiaan data yang terletak pada media disk biasanya dilakukan dengan mengenkripsinya menggunakan algoritma enkripsi simetris. Fitur klasifikasi utama untuk kompleks enkripsi adalah tingkat integrasinya ke dalam sistem komputer.

Sistem enkripsi data dapat melakukan transformasi data kriptografi:

9. pada tingkat file (file individu dilindungi);

10. pada level disk (seluruh disk dilindungi).

Program jenis pertama menyertakan pengarsipan seperti WinRAR, yang memungkinkan Anda menggunakan metode kriptografi untuk melindungi file arsip. Contoh sistem jenis kedua adalah program enkripsi Diskreet, yang merupakan bagian dari paket perangkat lunak Norton Utilities yang populer.

Fitur klasifikasi lain dari sistem enkripsi data disk adalah cara pengoperasiannya.

Menurut metode fungsinya, sistem enkripsi data disk dibagi menjadi dua kelas:

4) sistem enkripsi "transparan";

5) sistem yang secara khusus dipanggil untuk penerapan enkripsi.

Dalam sistem enkripsi transparan(enkripsi on-the-fly) transformasi kriptografi dilakukan secara real time, tanpa disadari oleh pengguna. Contoh yang mencolok adalah enkripsi folder Temp dan Dokumen Saya saat menggunakan EFS Win2000 - selama operasi, tidak hanya dokumen itu sendiri yang dienkripsi, tetapi juga file sementara yang dibuat, dan pengguna tidak memperhatikan proses ini.

Sistem kelas dua biasanya merupakan utilitas yang perlu dijalankan secara khusus untuk melakukan enkripsi. Ini termasuk, misalnya, pengarsipan dengan perlindungan kata sandi bawaan.

Kelompok alat ketiga yang memberikan peningkatan tingkat perlindungan meliputi sistem enkripsi untuk data yang dikirimkan melalui jaringan komputer. Ada dua metode enkripsi utama:

enkripsi saluran;

enkripsi terminal (pelanggan).

Kapan enkripsi saluran semua informasi yang dikirimkan melalui saluran komunikasi, termasuk informasi layanan, dilindungi. Prosedur enkripsi yang sesuai diimplementasikan menggunakan protokol lapisan tautan dari model interaksi referensi tujuh lapisan sistem terbuka OSI (Open System Interconnect).

Metode enkripsi ini memiliki keunggulan sebagai berikut - menyematkan prosedur enkripsi pada lapisan tautan memungkinkan penggunaan perangkat keras, yang meningkatkan kinerja sistem.

Namun, pendekatan ini memiliki kekurangan yang signifikan, khususnya enkripsi informasi layanan, yang tidak dapat dihindari tingkat yang diberikan, dapat menyebabkan munculnya pola statistik pada data terenkripsi; ini memengaruhi keandalan perlindungan dan memberlakukan pembatasan pada penggunaan algoritme kriptografi.

Enkripsi end-to-end (pelanggan). memungkinkan Anda untuk memastikan kerahasiaan data yang dikirimkan antara dua objek aplikasi (pelanggan). Enkripsi end-to-end diimplementasikan menggunakan aplikasi atau protokol layer presentasi dari model referensi OSI. Dalam hal ini, hanya konten pesan yang dilindungi, semua informasi layanan tetap terbuka. Metode ini memungkinkan Anda menghindari masalah yang terkait dengan enkripsi informasi layanan, tetapi masalah lain muncul. Secara khusus, seorang penyerang yang memiliki akses ke saluran komunikasi jaringan komputer, mendapat kemampuan untuk menganalisis informasi tentang struktur pertukaran pesan, misalnya tentang pengirim dan penerima, tentang waktu dan kondisi pengiriman data, serta tentang jumlah data yang dikirimkan.

Kelompok pertahanan keempat adalah sistem otentikasi data elektronik.

Saat bertukar data elektronik melalui jaringan komunikasi, muncul masalah otentikasi penulis dokumen dan dokumen itu sendiri, mis. menetapkan identitas penulis dan memeriksa tidak adanya perubahan pada dokumen yang diterima.

Untuk mengautentikasi data elektronik, digunakan kode autentikasi pesan (penyisipan imitasi) atau tanda tangan digital elektronik. Saat membuat kode autentikasi pesan dan tanda tangan digital elektronik, jenis yang berbeda sistem enkripsi.

Kelompok kelima sarana yang memberikan peningkatan tingkat perlindungan dibentuk oleh alat manajemen informasi utama. Informasi kunci dipahami sebagai totalitas dari semua informasi yang digunakan dalam sistem komputer atau jaringan kunci kriptografi.

Seperti yang Anda ketahui, keamanan algoritma kriptografi apa pun ditentukan oleh kunci kriptografi yang digunakan. Dalam kasus manajemen kunci yang lemah, penyerang dapat memperoleh informasi kunci dan mendapatkan akses penuh semua informasi pada sistem komputer atau jaringan.

Fitur klasifikasi utama alat manajemen informasi kunci adalah jenis fungsi manajemen kunci. Ada jenis utama fungsi manajemen kunci berikut: pembuatan kunci, penyimpanan kunci, dan distribusi kunci.

Cara generasi kunci berbeda untuk kriptosistem simetris dan asimetris. Untuk menghasilkan kunci kriptosistem simetris, perangkat keras dan perangkat lunak digunakan untuk menghasilkan angka acak. Pembuatan kunci untuk kriptosistem asimetris adalah tugas yang jauh lebih sulit karena kebutuhan untuk mendapatkan kunci dengan sifat matematika tertentu.

Fungsi penyimpanan kunci melibatkan organisasi penyimpanan yang aman, menghitung dan menghapus kunci. Untuk memastikan penyimpanan dan transmisi kunci yang aman, mereka dienkripsi menggunakan kunci lain. Pendekatan ini mengarah ke konsep hierarki utama. Hirarki kunci biasanya mencakup kunci master (master key), kunci enkripsi kunci, dan kunci enkripsi data. Perlu dicatat bahwa pembuatan dan penyimpanan kunci master adalah masalah penting dalam perlindungan kriptografi.

Distribusi kunci adalah proses yang paling bertanggung jawab dalam manajemen kunci. Proses ini harus menjamin kerahasiaan kunci yang didistribusikan, serta kecepatan dan keakuratan distribusinya. Ada dua cara utama untuk mendistribusikan kunci antara pengguna jaringan komputer:

penggunaan satu atau lebih pusat distribusi kunci;

pertukaran langsung kunci sesi antara pengguna.

Mari beralih ke perumusan persyaratan untuk perlindungan informasi kriptografi, umum untuk semua kelas yang dipertimbangkan.

Metode kriptografi perlindungan informasi dapat diimplementasikan baik dalam perangkat lunak maupun perangkat keras. Encoder perangkat keras atau perangkat perlindungan data kriptografi (UKZD), paling sering, adalah papan ekspansi yang dimasukkan ke dalam konektor 18A atau PC1 motherboard komputer pribadi (PC) (Gbr. 3.21). Ada opsi implementasi lain, misalnya dalam bentuk kunci u8B dengan fungsi kriptografi (Gbr. 3.22).

Produsen pembuat enkode perangkat keras biasanya melengkapinya dengan berbagai fitur tambahan, antara lain:

Pembuatan angka acak diperlukan untuk mendapatkan kunci kriptografi. Selain itu, banyak algoritme kriptografi menggunakannya untuk tujuan lain, misalnya, dalam algoritme tanda tangan digital elektronik, GOST R 34.10-2001, nomor acak baru diperlukan untuk setiap perhitungan tanda tangan;

Beras. 3.21. Encoder perangkat keras dalam bentuk papan PC1:

1 - konektor teknologi; 2 - memori untuk logging; 3 - sakelar mode; 4 - memori multifungsi; 5 - unit kontrol dan mikroprosesor; 6- antarmuka PC1; 7- Pengontrol PC1; 8- DSC; 9- antarmuka untuk menghubungkan pembawa kunci

Beras. 3.22.

  • kontrol masuk komputer. Saat menyalakan PC, perangkat mengharuskan pengguna memasukkan informasi pribadi (misalnya, memasukkan perangkat dengan kunci pribadi). Memuat sistem operasi akan diizinkan hanya setelah perangkat mengenali kunci yang disajikan dan menganggapnya "miliknya". Jika tidak, Anda harus membukanya Unit sistem dan lepaskan pembuat enkode dari sana untuk memuat sistem operasi (namun, informasi di hard drive PC juga dapat dienkripsi);
  • kontrol integritas file sistem operasi untuk mencegah modifikasi berbahaya file konfigurasi Dan program sistem. Encoder menyimpan daftar semua file penting dengan nilai hash kontrol yang dihitung sebelumnya untuk masing-masing file tersebut, dan jika nilai hash dari setidaknya satu file yang dikontrol tidak sesuai dengan standar pada boot OS berikutnya, komputer akan diblokir.

Enkripsi yang melakukan kontrol masuk pada PC dan memeriksa integritas sistem operasi juga disebut " kunci elektronik» (lihat par. 1.3).

Pada ara. 3.23 menunjukkan struktur khas pembuat enkode perangkat keras. Pertimbangkan fungsi blok utamanya:

  • unit kontrol - modul utama pembuat enkode. Ini biasanya diimplementasikan berdasarkan mikrokontroler, ketika memilih mana yang utama adalah kecepatan dan sumber daya internal yang cukup, serta port eksternal untuk menghubungkan semua modul yang diperlukan;
  • Pengontrol bus sistem PC (misalnya, PC1), yang melaluinya pertukaran data utama antara UKZD dan komputer dilakukan;
  • perangkat penyimpanan non-volatile (memori), biasanya diimplementasikan berdasarkan chip memori flash. Itu harus cukup luas (beberapa megabyte) dan memungkinkan banyak siklus tulis. Di sinilah perangkat lunak mikrokontroler, yaitu Anda

Beras. 3.23. Struktur UKZD diisi saat perangkat diinisialisasi (saat pembuat enkode mengambil kendali saat komputer melakukan booting);

  • memori log audit, yang juga merupakan memori non-volatile (untuk menghindari kemungkinan tabrakan, memori program dan memori log tidak boleh digabungkan);
  • prosesor sandi (atau beberapa unit serupa) - sirkuit mikro atau sirkuit mikro khusus dari PLD logika yang dapat diprogram (Perangkat Logika yang Dapat Diprogram), yang memastikan kinerja operasi kriptografi (enkripsi dan dekripsi, perhitungan dan verifikasi EDS, hashing);
  • generator angka acak, yang merupakan perangkat yang menghasilkan sinyal acak dan tidak dapat diprediksi secara statistik (disebut white noise). Ini bisa berupa, misalnya, dioda derau. Sebelum digunakan lebih lanjut dalam prosesor cipher, menurut aturan khusus, derau putih diubah menjadi bentuk digital;
  • blok untuk memasukkan informasi kunci. Memberikan tanda terima kunci pribadi yang aman dari pembawa kunci dan masukan informasi identifikasi tentang pengguna yang diperlukan untuk autentikasinya;
  • blok sakelar diperlukan untuk menonaktifkan kemampuan bekerja dengan perangkat eksternal (drive, CD-ROM, port paralel dan serial, bus USB, dll.). Jika pengguna bekerja dengan informasi yang sangat sensitif, UKZD akan memblokir semuanya perangkat eksternal, termasuk bahkan kartu jaringan.

Operasi kriptografi di UKZD harus dilakukan sedemikian rupa untuk mengecualikan akses tidak sah ke sesi dan kunci pribadi dan kemungkinan mempengaruhi hasil pelaksanaannya. Oleh karena itu, prosesor sandi secara logis terdiri dari beberapa blok (Gbr. 3.24):

  • kalkulator - satu set register, penambah, blok substitusi, dll. saling terhubung dengan bus data. Dirancang untuk eksekusi operasi kriptografi tercepat. Sebagai masukan, kalkulator menerima data terbuka yang harus dienkripsi (didekripsi) atau ditandatangani, dan kunci kriptografi;
  • unit kontrol - program yang diimplementasikan perangkat keras yang mengontrol kalkulator. Jika untuk alasan apapun

Beras. 3.24.

program akan berubah, pekerjaannya akan mulai goyah. Itu sebabnya program ini tidak hanya harus disimpan dengan aman dan berfungsi secara stabil, tetapi juga secara teratur memeriksa integritasnya. Unit kontrol eksternal yang dijelaskan di atas juga secara berkala mengirimkan tugas kontrol ke unit kontrol. Dalam praktiknya, untuk kepercayaan yang lebih besar pada pembuat enkode, dua prosesor sandi dipasang yang secara konstan membandingkan hasil operasi kriptografi mereka (jika tidak cocok, operasi diulang);

Buffer I/O diperlukan untuk meningkatkan kinerja perangkat: saat blok data pertama dienkripsi, blok data berikutnya sedang dimuat, dan seterusnya Hal yang sama terjadi pada output. Transmisi pipa data seperti itu secara serius meningkatkan kecepatan operasi kriptografi di pembuat enkode.

Ada satu tugas lagi untuk memastikan keamanan saat melakukan operasi kriptografi oleh encryptor: memuat kunci ke dalam encryptor, melewati RAM komputer, di mana mereka secara teoritis dapat dicegat dan bahkan diganti. Untuk melakukan ini, UKZD juga berisi port input-output (misalnya, COM atau USB), yang terhubung langsung dengan berbagai pembaca media utama. Ini bisa berupa kartu pintar, token (tombol USB khusus) atau elemen Memori Sentuh (lihat par. 1.3). Selain memasukkan kunci langsung ke UKZD, banyak dari media ini juga menyediakan penyimpanan yang andal - bahkan pembawa kunci tanpa mengetahui kode akses khusus (misalnya, kode PIN) tidak akan dapat membaca isinya.

Untuk menghindari tabrakan saat mengakses encoder secara bersamaan program yang berbeda, perangkat lunak khusus dipasang di sistem komputer


Beras. 3.25.

  • (perangkat lunak) untuk mengontrol encoder (Gbr. 3.25). Perangkat lunak semacam itu mengeluarkan perintah melalui driver enkoder dan mentransmisikan data ke enkoder, memastikan bahwa arus informasi dari sumber yang berbeda tidak tumpang tindih, dan juga bahwa pembuat enkode selalu berisi kunci yang tepat. Dengan demikian, UKZD melakukan dua hal secara mendasar jenis yang berbeda perintah:
  • sebelum memuat sistem operasi, perintah dijalankan yang ada di memori pembuat enkode, yang melakukan semua pemeriksaan yang diperlukan (misalnya, identifikasi dan otentikasi pengguna) dan mengatur tingkat keamanan yang diperlukan (misalnya, matikan perangkat eksternal);
  • setelah memuat OS (misalnya, Windows), perintah dieksekusi yang datang melalui perangkat lunak kontrol enkripsi (mengenkripsi data, memuat ulang kunci, menghitung angka acak, dll.).

Pemisahan seperti itu diperlukan untuk alasan keamanan - setelah menjalankan perintah dari blok pertama, yang tidak dapat dilewati, penyusup tidak dapat lagi melakukan tindakan yang tidak sah.

Tujuan lain dari perangkat lunak manajemen enkoder adalah untuk memberikan kemampuan untuk mengganti satu enkoder dengan yang lain (katakanlah, yang lebih produktif atau mengimplementasikan algoritme kriptografi lainnya) tanpa mengubah perangkat lunak. Ini terjadi dengan cara yang sama, misalnya, berubah kartu jaringan: Enkripsi dilengkapi dengan driver yang memungkinkan program untuk melakukan serangkaian fungsi kriptografi standar sesuai dengan beberapa antarmuka pemrograman aplikasi (misalnya, CryptAP1).

Dengan cara yang sama, Anda dapat mengganti pembuat enkode perangkat keras dengan perangkat lunak (misalnya, emulator pembuat enkode). Untuk melakukan ini, encoder perangkat lunak biasanya diimplementasikan sebagai driver yang menyediakan serangkaian fungsi yang sama.

Namun, tidak semua UKZD membutuhkan perangkat lunak manajemen encoder (khususnya, encoder untuk enkripsi-dekripsi "transparan" dari semua perangkat keras PC hanya perlu diatur sekali).

Untuk tambahan memastikan keamanan melakukan operasi kriptografi di UKZD, perlindungan multi-level kunci kriptografi enkripsi simetris dapat digunakan, di mana kunci sesi acak dienkripsi dengan kunci pengguna jangka panjang, dan itu, pada gilirannya, dengan kunci utama (Gbr. 3.26).

Pada tahap pemuatan awal, kunci master dimasukkan ke dalam sel kunci No. 3 memori encoder. Tetapi untuk enkripsi tiga tingkat, Anda perlu mendapatkan dua lagi. Kunci sesi dihasilkan sebagai hasil permintaan ke generator (sensor)

Beras. 3.26. Enkripsi file menggunakan encoder nomor UKZD ny (DSN) untuk mendapatkan nomor acak, yang dimuat ke sel kunci No. 1 yang sesuai dengan kunci sesi. Itu mengenkripsi konten file dan membuat file baru A yang menyimpan informasi terenkripsi.

Selanjutnya, pengguna diminta untuk memasukkan kunci jangka panjang, yang dimuat ke sel kunci #2 dengan dekripsi menggunakan kunci utama yang terletak di sel #3. dalam hal ini, kuncinya tidak pernah "meninggalkan" encoder sama sekali. Terakhir, kunci sesi dienkripsi menggunakan kunci jangka panjang di sel 2, diunduh dari enkripsi, dan ditulis ke header file yang dienkripsi.

Saat mendekripsi file, kunci sesi pertama kali didekripsi menggunakan kunci jangka panjang pengguna, dan kemudian informasi dipulihkan dengan menggunakannya.

Pada prinsipnya, satu kunci dapat digunakan untuk enkripsi, tetapi skema multi-kunci memiliki keuntungan yang serius. Pertama, kemungkinan serangan terhadap kunci jangka panjang berkurang, karena hanya digunakan untuk mengenkripsi kunci sesi pendek. Dan ini mempersulit cryptanalysis penyerang informasi terenkripsi untuk mendapatkan kunci jangka panjang. Kedua, saat mengubah kunci jangka panjang, Anda dapat mengenkripsi ulang file dengan sangat cepat: cukup mengenkripsi ulang kunci sesi dari kunci jangka panjang lama ke yang baru. Ketiga, pembawa kunci diturunkan, karena hanya kunci master yang disimpan di dalamnya, dan semua kunci jangka panjang (dan pengguna mungkin memiliki beberapa di antaranya untuk tujuan yang berbeda) dapat disimpan dienkripsi dengan kunci master bahkan di hard PC. menyetir.

Enkripsi dalam bentuk kunci SHV (lihat Gambar 3.22) belum dapat menjadi pengganti lengkap untuk pembuat enkode perangkat keras untuk bus PC1 karena kecepatan enkripsi yang rendah. Namun, mereka memiliki beberapa fitur menarik. Pertama, token (kunci SW) bukan hanya pembuat enkode perangkat keras, tetapi juga pembawa kunci enkripsi, yaitu perangkat dua-dalam-satu. Kedua, token biasanya mematuhi standar kriptografi internasional umum (RKSB #11, 1BO 7816, RS / 8C, dll.), dan dapat digunakan tanpa pengaturan tambahan di yang ada alat perangkat lunak perlindungan informasi (misalnya, mereka dapat digunakan untuk mengautentikasi pengguna dalam sistem operasi keluarga Microsoft Windows). Dan terakhir, harga pembuat enkode semacam itu sepuluh kali lebih rendah daripada harga pembuat enkode perangkat keras klasik untuk bus PCI.



Memuat...
Atas