Ce este skzi pe un computer. Protecția informațiilor criptografice

1.1. Această politică de finanțare protecţie criptografică informație ( Mai departe - Politică ) stabilește procedura de organizare și asigurare a funcționării criptării ( criptografic) mijloace destinate să protejeze informațiile care nu conțin informații care constituie secret de stat ( Mai departe - CIPF, cripto-mijloace ) dacă sunt utilizate pentru asigurarea siguranței informații confidențialeși datele personale atunci când sunt prelucrate în sisteme de informare.

1.2. Această politică a fost elaborată în conformitate cu:

  • lege federala "Despre datele personale" , acte de reglementare ale Guvernului Federației Ruse în domeniul asigurării securității datelor cu caracter personal;
  • Legea federală nr. 63-FZ "Despre semnatura electronica " ;
  • Ordinul FSB al Federației Ruse nr. 378 „Cu privire la aprobarea Compoziției și a conținutului măsurilor organizatorice și tehnice pentru a asigura securitatea datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu date cu caracter personal, folosind instrumente de protecție a informațiilor criptografice necesare pentru îndeplinirea cerințelor stabilite de Guvernul Federației Ruse pentru protecția date personale pentru fiecare dintre nivelurile de securitate";
  • Ordinul FAPSI nr. 152 " La aprobarea Instrucțiunii privind organizarea și asigurarea securității stocării, prelucrării și transmiterii prin canalele de comunicare prin utilizarea protecției criptografice a informațiilor cu acces limitat care nu conțin informații care constituie secret de stat»;
  • Ordinul Serviciului Federal de Securitate al Federației Ruse N 66 " La aprobarea Regulamentului privind dezvoltarea, producerea, vânzarea și operarea mijloacelor de criptare (criptografice) de protecție a informațiilor (Regulamentul PKZ-2005) »;

1.3. Această Politică se aplică instrumentelor cripto concepute pentru a asigura securitatea informațiilor confidențiale și a datelor cu caracter personal în timpul prelucrării acestora în sistemele informaționale;

1.4. Instrumente criptografice securitatea informatiilor ( Mai departe - CIPF ) care implementează funcții de criptare și semnătură electronică sunt folosite pentru a proteja documente electronice transmise prin canale publice de comunicare, de exemplu, retea publica Internet sau canale de comunicare dial-up.

1.5. Pentru a asigura securitatea, este necesar să se utilizeze CIPF, care:

  • permit încorporarea în procese tehnologice de prelucrare a mesajelor electronice, asigură interacțiunea cu aplicația software la nivelul procesării cererilor de transformări criptograficeși emiterea rezultatelor;
  • sunt furnizate de dezvoltatori cu un set complet de documentație operațională, inclusiv o descriere a sistemului cheie, reguli de lucru cu acesta, precum și o justificare pentru organizarea și personalul necesar;
  • sprijinirea continuității proceselor de înregistrare a funcționării CIPF și asigurarea integrității software pentru mediul de funcționare al CIPF, care este un set de instrumente hardware și software, împreună cu care are loc funcționarea regulată a CIPF și care poate afecta îndeplinirea cerințelor pentru CIPF;
  • certificate de un organism de stat autorizat sau au permisiunea FSB al Rusiei.

1.6. CIPF utilizat pentru protejarea datelor cu caracter personal trebuie să aibă o clasă de cel puțin KS2.

1.7. CIPF sunt implementate pe baza algoritmilor care respectă standardele naționale ale Federației Ruse, termenii contractului cu contrapartea.

1.8. CIPF, licențele, documentele cheie aferente, instrucțiunile pentru CIPF sunt achiziționate de organizație în mod independent sau pot fi obținute de la o organizație terță care inițiază un flux de documente securizat.

1.9. CIPF, inclusiv mediile de instalare, documentele cheie, descrierile și instrucțiunile pentru CIPF, constituie un secret comercial în conformitate cu Reglementările privind informațiile confidențiale.

  1. Procedura de utilizare a CIPF

2.1. Instalarea și configurarea instrumentelor de protecție a informațiilor criptografice se efectuează în conformitate cu documentația operațională, instrucțiunile Serviciului Federal de Securitate al Rusiei, alte organizații implicate în gestionarea securizată a documentelor electronice. La finalizarea instalării și configurării, se verifică disponibilitatea CIPF pentru utilizare, se elaborează concluzii privind posibilitatea funcționării acestora și se pune în funcțiune CIPF.

Amplasarea și instalarea CIPF, precum și a altor echipamente care funcționează cu mijloace cripto, în spații sensibile ar trebui să minimizeze posibilitatea accesului necontrolat al persoanelor neautorizate la aceste mijloace. întreținere astfel de echipamente și schimbarea cheilor cripto se efectuează în absența persoanelor care nu au permisiunea de a lucra cu datele CIPF. Este necesar să se prevadă măsuri organizatorice și tehnice care să excludă posibilitatea utilizării CIPF de către persoane neautorizate. Locația fizică a CIPF ar trebui să asigure securitatea CIPF, prevenind accesul neautorizat la CIPF. Accesul persoanelor în incinta în care se află echipamentul de protecție este limitat în funcție de nevoia de service și este determinat de o listă aprobată de director.

Încorporarea mijloacelor cripto din clasa KS1 și KS2 este efectuată fără control de către FSB al Rusiei ( dacă acest control nu este prevăzut de caietul de sarcini pentru dezvoltarea (modernizarea) sistemului informaţional).

Încorporarea instrumentelor criptografice din clasele KS3, KB1, KB2 și KA1 se realizează numai sub controlul FSB al Rusiei.

Încorporarea instrumentelor criptografice din clasa KS1, KS2 sau KS3 poate fi efectuată fie de către utilizatorul instrumentului criptografic dacă are licența corespunzătoare de la FSB al Rusiei, fie de către o organizație care are licența corespunzătoare de la FSB din Rusia. Rusia.

Încorporarea unui instrument criptografic al clasei KV1, KV2 sau KA1 este efectuată de o organizație care are licența corespunzătoare de la FSB al Rusiei.

Dezafectarea CIPF se efectuează sub rezerva unor proceduri care asigură ștergerea garantată a informațiilor, a căror utilizare neautorizată poate afecta activitățile de afaceri ale organizației, precum și informațiile utilizate de instrumentele de securitate. securitatea informatiei, din memoria permanentă și din medii externe (cu excepția arhivelor de documente electronice și a protocoalelor de interacțiune electronică, a căror întreținere și păstrare pentru o anumită perioadă de timp sunt prevăzute de documentele de reglementare și (sau) contractuale relevante.) și este întocmită prin lege. CIPF distruge ( dispune) prin decizie a proprietarului instrumentului criptografic, și cu notificarea organizației responsabile în conformitate cu organizarea contabilității de copiere a instrumentelor criptografice.

programate pentru distrugere reciclare) CIPF sunt supuse retragerii din hardware-ul cu care au funcționat. Totodată, instrumentele criptografice sunt considerate retrase din hardware dacă procedura de eliminare a software-ului instrumentelor criptografice prevăzută de documentația operațională și tehnică pentru CIPF este finalizată și sunt complet deconectate de la hardware.

Unități și părți de hardware de uz general adecvate pentru utilizare ulterioară, care nu sunt concepute special pentru implementarea hardware a algoritmilor criptografici sau a altor funcții de protecție a informațiilor criptografice, precum și echipamente care funcționează împreună cu instrumente criptografice ( monitoare, imprimante, scanere, tastaturi etc.), este permisă utilizarea după distrugerea CIPF fără restricții. În același timp, informațiile care pot rămâne în dispozitivele de memorie ale echipamentului ( de exemplu, imprimante, scanere), trebuie îndepărtat în siguranță ( sters).

2.2. Funcționarea CIPF este realizată de persoane desemnate prin ordin al directorului organizației și instruite să lucreze cu acestea. Dacă există doi sau mai mulți utilizatori ai CIPF, sarcinile între aceștia sunt distribuite ținând cont de responsabilitatea personală pentru siguranța mijloacelor cripto, cheie, documentația operațională și tehnică, precum și pentru zonele de lucru alocate.

Utilizatorii criptomonedelor trebuie să:

  • să nu dezvăluie informații la care sunt admiși, inclusiv informații despre CIPF și alte măsuri de protecție;
  • să nu dezvăluie informații despre documentele cheie;
  • împiedică realizarea de copii ale documentelor cheie;
  • împiedică afișarea documentelor cheie ( monitor) calculator personal sau imprimanta;
  • să nu permită înregistrarea informațiilor străine asupra purtătorului de chei;
  • împiedică instalarea documentelor cheie pe alte computere personale;
  • respectă cerințele pentru asigurarea securității informațiilor, cerințele pentru asigurarea securității CIPF și documentele cheie pentru acestea;
  • raportează încercările persoanelor neautorizate care le-au devenit cunoscute de a obține informații despre instrumentele de protecție a informațiilor criptografice utilizate sau documentele cheie ale acestora;
  • notifică imediat despre faptele de pierdere sau lipsă de CIPF, documentele cheie ale acestora, cheile sediilor, seifuri, sigilii personale și alte fapte care pot duce la dezvăluirea informațiilor protejate;
  • preda CIPF, documentația operațională și tehnică pentru aceștia, documentele cheie la demiterea sau scoaterea din îndeplinirea atribuțiilor legate de utilizarea instrumentelor criptografice.

Securitatea prelucrării informațiilor cu ajutorul CIPF este asigurată de:

  • respectarea de către utilizatori a confidențialității atunci când manipulează informațiile care le sunt încredințate sau de care iau cunoștință la locul de muncă, inclusiv informații despre funcționarea și procedurile de securitate ale instrumentelor de protecție a informațiilor criptografice utilizate și documentele cheie pentru acestea;
  • îndeplinirea exactă de către utilizatorii CIPF a cerințelor de securitate a informațiilor;
  • stocarea fiabilă a documentației operaționale și tehnice pentru CIPF, documente cheie, medii de distribuție limitată;
  • detectarea în timp util a încercărilor persoanelor neautorizate de a obține informații despre informații protejate, despre CIPF utilizate sau documente cheie pentru acestea;
  • luarea de măsuri imediate pentru a preveni divulgarea informațiilor protejate, precum și posibila scurgere a acestora atunci când sunt dezvăluite fapte de pierdere sau lipsă de CIPF, documente cheie pentru acestea, certificate, permise, chei de la sediul, seifuri, seifuri ( dulapuri metalice), sigilii personale etc.

Dacă este necesar, transferați mijloace tehnice link-uri pentru mesaje de serviciu acces limitat privind organizarea și funcționarea CIPF, aceste mesaje trebuie transmise numai prin mijloace criptografice. Transferul cheilor criptografice prin mijloace tehnice de comunicare nu este permis, cu excepția sistemelor special organizate cu furnizare descentralizată de chei criptografice.

CIPF sunt supuse contabilității folosind indici sau denumiri condiționate și numere de înregistrare. Se stabilește lista de indici, denumirile condiționale și numerele de înregistrare ale criptomonedelor Serviciul Federal securitatea Federației Ruse.

CIPF folosit sau stocat, documentația operațională și tehnică pentru acestea, documentele cheie sunt supuse copierii contabilității. Forma Jurnalului CIPF este prezentată în Anexa nr. 1, Jurnalul Transportatorilor Cheie în Anexa nr. 2 la această Politică. În același timp, software-ul CIPF ar trebui să fie luat în considerare împreună cu hardware-ul cu care se realizează funcționarea lor obișnuită. Dacă mijloacele hardware sau hardware-software de protecție a informațiilor criptografice sunt conectate la magistrala de sistem sau la una dintre interfețele hardware interne, atunci astfel de mijloace criptografice sunt de asemenea luate în considerare împreună cu hardware-ul corespunzător.

Unitatea de evidență a copiei documentelor cheie este considerată a fi un purtător de chei reutilizabil, un bloc de note cu cheie. Dacă același mediu de cheie este utilizat în mod repetat pentru a înregistra cheile cripto, atunci acesta ar trebui înregistrat separat de fiecare dată.

Toate copiile primite ale cripto-mijloacele, documentația operațională și tehnică pentru acestea, documentele cheie trebuie eliberate împotriva primirii în registrul corespondent copie-cu-instanță utilizatorilor de cripto-mijloace care sunt personal responsabili pentru siguranța lor.

Transferul instrumentelor de protecție a informațiilor criptografice, a documentației operaționale și tehnice către acestea, a documentelor cheie este permis numai între utilizatorii instrumentelor criptografice și (sau) utilizatorul responsabil al instrumentelor criptografice, contra primirii în jurnalele relevante ale contabilității pentru fiecare instanță. Un astfel de transfer între utilizatorii instrumentelor criptografice trebuie să fie autorizat.

Depozitarea suporturilor de instalare CIPF, documentația operațională și tehnică, documentele cheie se realizează în dulapuri ( cutii, depozitare) utilizarea individuală în condiții care exclud accesul necontrolat la acestea, precum și distrugerea lor neintenționată.

Hardware-ul cu care se realizează funcționarea regulată a CIPF, precum și hardware-ul și hardware-software-ul CIPF trebuie să fie echipate cu mijloace de control al deschiderii acestora ( sigilat, sigilat). Loc de etanșare ( sigila) cripto-înseamnă, hardware-ul ar trebui să fie astfel încât să poată fi controlat vizual. În prezența fezabilitate tehnicăîn absența utilizatorilor instrumentelor criptografice, aceste fonduri trebuie deconectate de la linia de comunicație și depozitate în seifuri sigilate.

Modificarea software-ului CIPF și a documentației tehnice pentru CIPF se realizează pe baza actualizărilor primite de la producătorul CIPF și documentate cu fixarea sumelor de control.

Funcționarea CIPF presupune menținerea a cel puțin două copii de rezervă ale software-ului și una backup purtători de chei. Recuperarea performanței CIPF în situații de urgență se realizează în conformitate cu documentația operațională.

2.3. Producerea documentelor cheie din informațiile cheie originale este efectuată de utilizatori responsabili ai CIPF, folosind instrumente criptografice obișnuite, dacă o astfel de oportunitate este prevăzută de documentația operațională și tehnică în prezența unei licențe din partea Serviciului Federal de Securitate al Rusia pentru producerea de documente cheie pentru instrumente criptografice.

Documentele cheie pot fi livrate prin curier ( inclusiv departamentale) comunicarea sau cu utilizatorii responsabili special desemnați ai instrumentelor criptografice și angajații, sub rezerva măsurilor care exclud accesul necontrolat la documentele cheie în timpul livrării.

Pentru a trimite documentele cheie, acestea trebuie plasate în ambalaje rezistente, ceea ce exclude posibilitatea deteriorării lor fizice și a influenței externe. Pe pachete indicați utilizatorul responsabil căruia îi sunt destinate aceste pachete. Astfel de pachete sunt marcate „Personal”. Pachetele sunt sigilate în așa fel încât să fie imposibil să se extragă conținutul din ele fără a încălca ambalajele și amprentele sigiliului.

Înainte de deportarea inițială ( sau întoarcere) se aduce la cunoștință destinatarului printr-o scrisoare separată descrierea pachetelor care îi sunt trimise și sigiliile cu care acestea pot fi sigilate.

Pentru a trimite documentele cheie, se întocmește o scrisoare de intenție, în care este necesar să se indice: ce este trimis și în ce cantitate, numerele de cont ale documentelor și, dacă este necesar, scopul și procedura de utilizare a articolului trimis. Într-unul dintre pachete este inclusă o scrisoare de intenție.

Pachetele primite sunt deschise numai de utilizatorul responsabil al instrumentelor criptografice pentru care sunt destinate. Dacă conținutul coletului primit nu corespunde cu cele specificate în scrisoarea de intenție sau coletul în sine și sigiliul - descrierea acestora ( impresie), precum și în cazul în care ambalajul este deteriorat, rezultând accesul liber la conținutul acestuia, destinatarul întocmește un act care se transmite expeditorului. Documentele cheie primite cu astfel de expedieri nu pot fi utilizate până când nu se primesc instrucțiuni de la expeditor.

Dacă se găsesc documente cu chei defecte sau chei criptografice, o copie a produsului defect trebuie returnată producătorului pentru a determina cauzele incidentului și pentru a le elimina în viitor, iar copiile rămase trebuie păstrate până la instrucțiuni suplimentare de la producător. primit.

Primirea documentelor cheie trebuie confirmată expeditorului în conformitate cu procedura indicată în scrisoarea de intenție. Expeditorul este obligat să controleze livrarea articolelor sale către destinatari. În cazul în care confirmarea corespunzătoare nu a fost primită de la destinatar în timp util, expeditorul trebuie să îi trimită o cerere și să ia măsuri pentru a clarifica locația articolelor.

Se face în prealabil o comandă pentru producerea următoarelor documente cheie, producerea și distribuirea acestora la locurile de utilizare pentru înlocuirea la timp a documentelor cheie existente. O indicație a intrării în vigoare a următoarelor documente cheie este dată de utilizatorul responsabil al instrumentelor criptografice numai după primirea confirmării de la acesta că următoarele documente cheie au fost primite.

Documentele cheie neutilizate sau izolate trebuie returnate utilizatorului responsabil al instrumentelor criptografice sau, la indicația acestuia, trebuie distruse pe loc.

Distrugerea cheilor cripto ( informațiile cheie inițiale) se poate face prin distrugerea fizică a suportului cheie pe care se află sau prin ștergerea ( distrugere) chei criptografice ( informațiile cheie inițiale) fără a deteriora suportul cheii ( pentru a permite reutilizarea acestuia).

Chei cripto ( informații cheie originale) sunt șterse conform tehnologiei adoptate pentru mediile reutilizabile cheie corespunzătoare ( dischete, discuri compacte (CD-ROM), cheie de date, card inteligent, memorie tactilă etc.). Acțiuni directe pentru ștergerea cheilor cripto ( informațiile cheie inițiale( informațiile cheie inițiale).

Purtătorii de chei sunt distruși prin producerea unor daune fizice ireparabile asupra lor, excluzând posibilitatea utilizării lor, precum și restabilirea informațiilor cheie. Acțiunile directe de distrugere a unui anumit tip de purtător de chei sunt reglementate de documentația operațională și tehnică pentru instrumentele relevante de protecție a informațiilor criptografice, precum și de instrucțiunile organizației care a înregistrat cheile criptografice ( informațiile cheie inițiale).

Hârtia și alte suporturi combustibile pentru chei sunt distruse prin ardere sau prin utilizarea oricăror mașini de tăiat hârtie.

Documentele cheie sunt distruse în termenele specificate în documentația operațională și tehnică pentru CIPF relevantă. Faptul distrugerii este documentat în registrele relevante copie după instanță.

Distrugerea conform actului se efectuează de către o comisie formată din cel puțin două persoane. Actul precizează ce este distrus și în ce cantitate. La finalul actului se face o înregistrare finală (în cifre și în cuvinte) asupra numărului de articole și copii ale documentelor cheie ce urmează a fi distruse, instalarea media CIPF, documentația operațională și tehnică. Corectările în textul actului trebuie precizate și certificate prin semnăturile tuturor membrilor comisiei care au luat parte la distrugere. Despre distrugerea efectuată, se fac semne în jurnalele corespunzătoare de contabilitate a copiei.

Criptocheile care sunt suspectate a fi compromise, precum și alte criptochei care funcționează împreună cu acestea, trebuie dezactivate imediat, dacă nu se specifică altfel în documentația operațională și tehnică a CIPF. În cazuri de urgență, când nu există chei cripto care să le înlocuiască pe cele compromise, este permisă, prin decizie a utilizatorului responsabil de instrumente cripto, convenită cu operatorul, utilizarea cheilor cripto compromise. În acest caz, perioada de utilizare a cheilor cripto compromise ar trebui să fie cât mai scurtă posibil, iar informațiile protejate ar trebui să fie cât mai puțin valoroase posibil.

Cu privire la încălcările care pot duce la compromiterea cheilor cripto, componentele acestora sau transmise ( stocate) odată cu utilizarea datelor, utilizatorii instrumentelor criptografice sunt obligați să raporteze utilizatorului responsabil al instrumentelor criptografice.

Inspectarea suporturilor reutilizabile a cheilor de către persoane neautorizate nu ar trebui să fie considerată o suspiciune de compromitere a criptokey-urilor, dacă aceasta exclude posibilitatea copierii acestora ( lectură, reproducere).

În cazurile de deficit, neprezentarea documentelor cheie, precum și incertitudinea locației acestora, utilizatorul responsabil ia măsuri urgente pentru a le căuta și a localiza consecințele compromiterii documentelor cheie.

  1. Procedura de management al sistemului cheie

Înregistrarea persoanelor cu drepturi cheie de management se realizează în conformitate cu documentația operațională pentru CIPF.

Managementul cheilor este un proces de informare care include trei elemente:

- generarea cheilor;

— acumularea de chei;

- distribuirea cheilor.

În sistemele informaționale ale organizației se folosesc metode hardware și software speciale pentru generarea cheilor aleatorii. De regulă, se folosesc generatoare de numere pseudoaleatoare ( Mai departe - PSCH ), cu un grad suficient de mare de aleatorie a generației lor. Destul de acceptabile sunt generatoarele de chei software care calculează PRNG ca functie complexa de la ora curentă și ( sau) numărul introdus de utilizator.

Sub acumularea de chei se înțelege organizarea stocării, contabilității și ștergerii acestora.

Cheile secrete nu trebuie scrise în mod explicit pe un suport care poate fi citit sau copiat.

Toate informațiile despre cheile utilizate trebuie să fie stocate în formă criptată. Cheile care criptează informațiile cheie se numesc chei principale. Fiecare utilizator trebuie să cunoască pe de rost cheile principale, fiind interzisă stocarea lor pe orice suport material.

Pentru condiția securității informațiilor, este necesară actualizarea periodică a informațiilor cheie din sistemele informaționale. Acest lucru reatribuie atât cheile obișnuite, cât și cheile principale.

La distribuirea cheilor, trebuie îndeplinite următoarele cerințe:

- eficienta si acuratetea distributiei;

— secretul cheilor distribuite.

O alternativă este ca doi utilizatori să obțină o cheie partajată de la o autoritate centrală, un centru de distribuție a cheilor (KDC), prin care pot interacționa în siguranță. Pentru a organiza schimbul de date între CRC și utilizator, acestuia din urmă îi este alocată o cheie specială în timpul înregistrării, care criptează mesajele transmise între ei. Fiecărui utilizator i se aloca o cheie separată.

MANAGEMENTUL CHEILOR BAZAT PE SISTEME CHEIE PUBLICE

Înainte de a utiliza un criptosistem cu chei publice pentru a schimba cheile secrete obișnuite, utilizatorii trebuie să își schimbe cheile publice.

Gestionarea cheilor publice se poate face printr-un serviciu de director online sau offline, iar utilizatorii pot, de asemenea, schimba cheile direct.

  1. Monitorizarea și controlul utilizării CIPF

Pentru a crește nivelul de securitate în timpul funcționării protecției informațiilor criptografice în sistem, este necesar să se implementeze proceduri de monitorizare care să înregistreze toate evenimentele semnificative care au avut loc în timpul schimbului. mesaje electroniceși toate incidentele de securitate a informațiilor. Descrierea și lista acestor proceduri ar trebui stabilite în documentația operațională pentru CIPF.

Controlul utilizării CIPF prevede:

  • controlul asupra conformității setărilor și configurării instrumentelor de securitate a informațiilor, precum și a instrumentelor hardware și software care pot afecta îndeplinirea cerințelor pentru instrumentele de securitate a informațiilor, documentația de reglementare și tehnică;
  • monitorizarea conformității cu regulile de stocare a informațiilor cu acces restricționat utilizate în operarea instrumentelor de securitate a informațiilor ( în special, cheie, parolă și informații de autentificare);
  • controlul posibilității de acces al persoanelor neautorizate la instrumentele de securitate a informațiilor, precum și la instrumentele hardware și software care pot afecta îndeplinirea cerințelor pentru instrumentele de securitate a informațiilor;
  • monitorizarea conformității cu regulile de răspuns la incident informatii informative (despre faptele de pierdere, compromiterea cheii, parolei și informațiile de autentificare, precum și orice alte informații cu acces limitat);
  • controlul conformității mijloacelor tehnice și software ale CIPF și documentarea acestor mijloace cu mostre de referință ( garanțiile furnizorilor sau mecanismele de control care permit stabilirea independentă a acestei conformități);
  • controlul integrității hardware-ului și software-ului CIPF și documentația pentru aceste instrumente în timpul depozitării și punerii în funcțiune a acestor instrumente ( folosind atât mecanismele de control descrise în documentația pentru CIPF, cât și utilizarea organizațională).

Descarca fișier Zip (43052)

Documentele au venit la îndemână - puneți un „like”:

Oricine se gândește serios la securitatea informațiilor confidențiale se confruntă cu sarcina de a selecta software pentru protecția datelor criptografice. Și nu este absolut nimic surprinzător în asta - criptarea este de departe una dintre cele mai fiabile modalități de a preveni accesul neautorizat la documente importante, baze de date, fotografii și orice alte fișiere.

Problema este că pentru o alegere competentă este necesar să înțelegem toate aspectele funcționării produselor criptografice. În caz contrar, puteți greși foarte ușor și vă opriți la un software care fie nu vă permite să protejați toate informațiile necesare, fie nu oferă gradul de securitate adecvat. La ce ar trebui să fii atent? În primul rând, aceștia sunt algoritmii de criptare disponibili în produs. În al doilea rând, metodele de autentificare a deținătorilor de informații. În al treilea rând, modalități de a proteja informațiile. În al patrulea rând, caracteristici și capacități suplimentare. În al cincilea rând, autoritatea și faima producătorului, precum și disponibilitatea certificatelor pentru dezvoltarea instrumentelor de criptare. Și asta nu este tot ceea ce poate fi important atunci când alegeți un sistem de protecție criptografică.

Este clar că este dificil pentru o persoană care nu este versată în domeniul securității informațiilor să găsească răspunsuri la toate aceste întrebări.

Secret Disk 4 Lite

Secret Disk 4 Lite este dezvoltat de Aladdin, unul dintre liderii mondiali care lucrează în domeniul securității informațiilor. Are multe certificări. Și deși produsul în cauză nu este un instrument certificat (Secret Disk 4 are o versiune certificată separată), acest fapt indică recunoașterea companiei ca dezvoltator serios de instrumente criptografice.

Secret Disk 4 Lite poate fi folosit pentru criptare secțiuni separate hard disk, orice unități amovibile, precum și pentru a crea unități virtuale securizate. Astfel, cu acest instrument, puteți rezolva majoritatea problemelor legate de criptografie. Separat, merită remarcată posibilitatea de criptare partiția sistemului. În acest caz, pornirea sistemului de operare de către un utilizator neautorizat devine imposibilă. În plus, această protecție este incomensurabil mai fiabilă decât instrumentele de protecție Windows încorporate.

Secret Disk 4 Lite nu are algoritmi de criptare încorporați. Acest program folosește furnizori externi de criptografie pentru activitatea sa. În mod implicit, este utilizat un modul standard integrat în Windows. Implementează algoritmii DES și 3DES. Cu toate acestea, astăzi sunt considerate învechite. Prin urmare, pentru protectie mai buna Puteți descărca un pachet secret secret Crypto de pe site-ul web Aladdin. Acesta este un furnizor criptografic care implementează cele mai sigure tehnologii criptografice până în prezent, inclusiv AES și Twofish, cu o lungime a cheii de până la 256 de biți. Apropo, dacă este necesar, în combinație cu Secret Disk 4 Lite, puteți folosi furnizorii de algoritmi certificați Signal-COM CSP și CryptoPro CSP.

O caracteristică distinctivă a Secret Disk 4 Lite este sistemul de autentificare a utilizatorului. Ideea este că se bazează pe utilizare certificate digitale. Pentru a face acest lucru, un eToken hardware USB este inclus în pachetul produsului. Este o stocare foarte sigură pentru cheile secrete. De fapt, vorbim despre autentificare cu doi factori cu drepturi depline (prezența unui token plus cunoașterea codului său PIN). Ca rezultat, sistemul de criptare luat în considerare este scutit de un astfel de „gât de sticlă” precum utilizarea protecției convenționale cu parolă.

Dintre funcțiile suplimentare ale Secret Disk 4 Lite, se poate observa posibilitatea de lucru cu mai mulți utilizatori (proprietarul de discuri criptate poate oferi acces la acestea altor persoane) și funcționarea în fundal a procesului de criptare.

Interfața Secret Disk 4 Lite este simplă și directă. Este realizat în limba rusă, la fel ca sistemul de ajutor detaliat, care descrie toate nuanțele utilizării produsului.

InfoWatch CryptoStorage

InfoWatch CryptoStorage este un produs al unei companii destul de cunoscute InfoWatch, care deține certificate pentru dezvoltarea, distribuția și întreținerea instrumentelor de criptare. După cum sa menționat deja, acestea nu sunt obligatorii, dar pot juca rolul unui fel de indicator al seriozității companiei și al calității produselor sale.

Figura 1. Meniul contextual

InfoWatch CryptoStorage implementează un singur algoritm de criptare - AES cu o lungime a cheii de 128 de biți. Autentificarea utilizatorului este implementată folosind protecția convențională prin parolă. Din motive de corectitudine, trebuie remarcat faptul că programul are o limită minimă de lungime Cuvinte cheie, egal cu șase caractere. Cu toate acestea, protecția prin parolă este cu siguranță mult inferioară în ceea ce privește fiabilitatea sa față de autentificarea cu doi factori folosind token-uri. O caracteristică a programului InfoWatch CryptoStorage este versatilitatea sa. Ideea este că poate fi folosit pentru a cripta fisiere individualeși foldere, partiții întregi ale hard diskului, orice unități amovibile, precum și unități virtuale.

Acest produs, ca și precedentul, vă permite să vă protejați unități de sistem, adică poate fi folosit pentru a preveni pornirea neautorizată a computerului. De fapt, InfoWatch CryptoStorage vă permite să rezolvați întreaga gamă de sarcini legate de utilizarea criptării simetrice.

O caracteristică suplimentară a produsului în cauză este organizarea accesului multi-utilizator la informații criptate. În plus, InfoWatch CryptoStorage implementează distrugerea garantată a datelor fără posibilitatea recuperării acestora.

InfoWatch CryptoStorage este un program în limba rusă. Interfața sa este realizată în limba rusă, dar este destul de neobișnuită: lipsește fereastra principală ca atare (există doar o mică fereastră de configurare) și aproape toată munca se face folosind meniul contextual. O astfel de soluție este neobișnuită, dar nu se poate decât să-i recunoască simplitatea și comoditatea. Desigur, este disponibilă și documentația în limba rusă din program.

Rohos Disk este un produs al Tesline-Service.S.R.L. Face parte dintr-o linie de utilitare mici care implementează diverse instrumente pentru protejarea informațiilor confidențiale. Această serie este în curs de dezvoltare din 2003.


Figura 2. Interfața programului

Rohos Disk este conceput pentru protecția criptografică a datelor computerului. Vă permite să creați unități virtuale criptate pe care puteți salva orice fișiere și foldere, precum și să instalați software.

Pentru a proteja datele, acest produs folosește algoritmul criptografic AES cu o lungime a cheii de 256 de biți, care oferă un grad înalt Securitate.

Rohos Disk are două metode de autentificare a utilizatorilor. Prima dintre ele este protecția obișnuită prin parolă cu toate deficiențele ei. A doua opțiune este să utilizați un disc USB obișnuit, pe care este scrisă cheia necesară.

Această opțiune nu este, de asemenea, foarte fiabilă. Când îl utilizați, pierderea unei „unități flash” poate duce la probleme grave.

Rohos Disk are o gamă largă de funcții suplimentare. În primul rând, este de remarcat protecția unităților USB. Esența sa este de a crea o partiție specială criptată pe „unitatea flash” în care puteți transfera în siguranță date confidențiale.

Mai mult, produsul include un utilitar separat cu care puteți deschide și vizualiza aceste unități USB pe computerele care nu au Rohos Disk instalat.

Următoarea caracteristică suplimentară este suportul pentru steganografie. Esența acestei tehnologii este ascunderea informațiilor criptate în interiorul fișierelor multimedia (formatele AVI, MP3, MPG, WMV, WMA, OGG sunt acceptate).

Utilizarea acestuia vă permite să ascundeți însuși faptul prezenței unui disc secret, plasându-l, de exemplu, în interiorul filmului. Ultima funcție suplimentară este distrugerea informațiilor fără posibilitatea recuperării acesteia.

Programul Rohos Disk are o interfață tradițională în limba rusă. În plus, ea este însoțită sistem de ajutor, poate nu la fel de detaliat ca cele două produse anterioare, dar suficient pentru a stăpâni principiile de utilizare a acestuia.

Vorbind de utilitare criptografice, nu se poate să nu menționăm software-ul liber. Într-adevăr, astăzi în aproape toate zonele există produse demne care sunt distribuite complet gratuit. Și securitatea informațiilor nu face excepție de la această regulă.

Adevărat, există o dublă atitudine față de utilizarea software-ului liber pentru protecția informațiilor. Faptul este că multe utilități sunt scrise de programatori individuali sau grupuri mici. În același timp, nimeni nu poate garanta calitatea implementării lor și absența „găurilor”, accidentale sau intenționate. Dar soluțiile criptografice în sine sunt destul de greu de dezvoltat. Când le creați, trebuie să țineți cont de un număr mare de nuanțe diferite. De aceea este recomandat să folosiți numai produse cunoscute, și întotdeauna cu sursa deschisa. Doar așa poți fi sigur că sunt lipsite de „marcaje” și testate de un număr mare de specialiști, ceea ce înseamnă că sunt mai mult sau mai puțin de încredere. Un exemplu de astfel de produs este programul TrueCrypt.


Figura 3. Interfața programului

TrueCrypt este, fără îndoială, una dintre cele mai bogate în funcții utilitare criptografice gratuite. Inițial, a fost folosit doar pentru a crea discuri virtuale securizate. Totuși, pentru majoritatea utilizatorilor, acesta este cel mai convenabil mod de a proteja diverse informații. Cu toate acestea, de-a lungul timpului, funcția de criptare a partiției de sistem a apărut în ea. După cum știm deja, este destinat să protejeze computerul de pornirea neautorizată. Cu toate acestea, TrueCrypt nu știe încă cum să cripteze toate celelalte partiții, precum și fișierele și folderele individuale.

Produsul în cauză implementează mai mulți algoritmi de criptare: AES, Serpent și Twofish. Proprietarul informațiilor poate alege pe care dorește să o folosească acest moment. Autentificarea utilizatorului în TrueCrypt se poate face folosind parole obișnuite. Cu toate acestea, există o altă opțiune - utilizarea fișierelor cheie care pot fi stocate pe un hard disk sau pe oricare depozitare detașabilă. Separat, merită remarcat faptul că acest program acceptă jetoane și carduri inteligente, ceea ce vă permite să organizați o autentificare fiabilă cu doi factori.

Din caracteristici suplimentare a programului luat în considerare, se poate observa posibilitatea creării volume ascunseîn interiorul celor principale. Este folosit pentru a ascunde datele sensibile atunci când o unitate este deschisă sub presiune. De asemenea, TrueCrypt implementează un sistem Rezervă copie anteturi de volum pentru recuperarea în caz de accident sau revenirea la parolele vechi.

Interfața TrueCrypt este familiară utilităților de acest tip. Este multilingv și este posibil să instalați limba rusă. Documentarea este mult mai proastă. Este, și foarte detaliat, dar scris în Limba engleză. Desigur, despre orice suport tehnic nu poate exista vorbire.

Pentru o mai mare claritate, toate caracteristicile și funcționalitatea lor sunt rezumate în tabelul 2.

Masa 2 - Funcționalitate programe de protecție a informațiilor criptografice.

Secret Disk 4 lite

InfoWatch CryptoStorage

Algoritmi de criptare

DES, 3DES, AES, TwoFish

AES, Șarpe, TwoFish

Lungimea maximă a cheii de criptare

Conectarea furnizorilor externi de criptomonede

Autentificare puternică folosind jetoane

+ (jetoanele sunt achiziționate separat)

Criptarea fișierelor și folderelor

Criptarea partiției

Criptarea sistemului

Criptarea discurilor virtuale

Criptare de stocare detașabilă

Suport pentru lucrul cu mai mulți utilizatori

Distrugerea datelor garantată

Ascunderea obiectelor criptate

Lucrați sub constrângere

Interfață în limba rusă

documentație în limba rusă

Suport tehnic

Ascultă... poți, în beneficiul nostru comun, fiecare scrisoare care sosește la oficiul tău poștal, de intrare și de ieșire, știi, să o tipăriți puțin și să citiți: conține vreun raport sau doar corespondență...

N.V. Gogol „Inspectorul”

În mod ideal, doar două persoane ar trebui să poată citi o scrisoare confidențială: expeditorul și cel căruia i se adresează.Formularea unui astfel de lucru aparent foarte simplu a fost punctul de plecare al sistemelor de criptoprotecție. Dezvoltarea matematicii a dat impuls dezvoltării unor astfel de sisteme.

Deja în secolele XVII-XVIII, cifrurile din Rusia erau destul de sofisticate și rezistente la rupere. Mulți matematicieni ruși au lucrat la crearea sau îmbunătățirea sistemelor de criptare și, în același timp, au încercat să ridice cheile pentru cifrurile altor sisteme. În prezent, pot fi remarcate mai multe sisteme de criptare rusești, precum Lexicon Verba, Secret Net, DALLAS LOCK, Secret Disk, familia de produse Accord etc.. Vom vorbi despre ele. De asemenea, vă veți familiariza cu principalele software și hardware și software. complexe de criptoprotecție, aflați despre capacitățile, punctele lor forte și puncte slabe. Sperăm că acest articol vă va ajuta să alegeți un sistem de protecție criptografică.

Introducere

Ești îngrijorat de asta Informații importante de la computer poate cădea în mâini greșite? Aceste informații pot fi folosite de concurenți, autorități de reglementare și pur și simplu nedoritori. Evident, astfel de acțiuni vă pot aduce pagube semnificative. Ce să fac? Pentru a vă proteja informațiile de străini, trebuie să instalați unul dintre programele de criptare a datelor. Revizuirea noastră este dedicată analizei sistemelor de criptare pentru sisteme desktop. Trebuie remarcat faptul că, prin urmare, utilizarea sistemelor de criptare străine în Rusia este foarte limitată din mai multe motive organizatii de stat iar marile companii autohtone sunt nevoite să folosească dezvoltările rusești. Cu toate acestea, companiile mijlocii și mici, precum și persoanele fizice, preferă uneori sistemele străine.

Pentru cei neinițiați, criptarea informațiilor arată ca o magie neagră. Într-adevăr, criptarea mesajelor pentru a le ascunde conținutul de persoane din afară este o problemă matematică complexă. În plus, cifrul trebuie ales în așa fel încât să fie practic imposibil de deschis fără cheie și rapid și ușor cu o cheie. Multe companii și organizații le este foarte dificil alegere optimă la instalarea programelor de criptare. Problema este și mai complicată de faptul că nu există computere absolut sigure și sisteme de criptare absolut fiabile. Cu toate acestea, există încă suficiente moduri prin care puteți respinge aproape toate încercările de a dezvălui informații criptate.

Ce au programele de criptare în interior

Programele de criptare diferă unele de altele în algoritmul de criptare. Odată ce fișierul este criptat, îl puteți scrie pe o dischetă, îl puteți trimite prin intermediul e-mail sau puneți pe un server în rețeaua locală. Destinatarul criptării dvs. trebuie să aibă același program de criptare pentru a citi conținutul fișierului.

Dacă doriți să trimiteți un mesaj criptat către mai mulți utilizatori în același timp, atunci informațiile dvs. pentru fiecare destinatar pot fi criptate cu propria cheie sau cu o cheie partajată pentru toți utilizatorii (inclusiv autorul mesajului).

Criptosistemul folosește un cod secret pentru a vă transforma informațiile într-un set de caractere fără sens, pseudo-aleatoriu. La un algoritm bun criptare, este aproape imposibil să decriptezi un mesaj fără să știi cod secret folosit pentru criptare. Astfel de algoritmi sunt numiți algoritmi cu cheie simetrică deoarece aceeași cheie este folosită pentru a cripta și decripta informațiile.

Pentru a vă proteja datele, programul de criptare creează o cheie secretă pe baza parolei dvs. Trebuie doar să setați o parolă lungă pe care nimeni nu o poate ghici. Cu toate acestea, dacă doriți ca altcineva să citească fișierul, va trebui să îi spuneți acelei persoane cheia secretă (sau parola pe care se bazează). Puteți fi sigur că chiar și un simplu algoritm de criptare vă va proteja datele de utilizator obișnuit, să zicem, de la un coleg de serviciu. Cu toate acestea, profesioniștii au o serie de moduri de a decripta un mesaj fără a cunoaște codul secret.

Fără cunoștințe speciale, nu veți putea verifica în mod independent cât de fiabil este algoritmul dvs. de criptare. Dar te poți baza pe părerea profesioniștilor. Unii algoritmi de criptare, cum ar fi Triple DES (Standard de criptare a datelor) au fost supuși unor ani de testare. Conform rezultatelor testului, acest algoritm s-a dovedit bine, iar criptografii cred că poate fi de încredere. Majoritatea noilor algoritmi sunt, de asemenea, studiați cu atenție, iar rezultatele sunt publicate în literatura de specialitate.

Dacă algoritmul programului nu a fost revizuit și discutat în mod deschis de profesioniști, dacă nu are certificate și alte documente oficiale, acesta este un motiv pentru a ne îndoi de fiabilitatea acestuia și a refuza să folosești un astfel de program.

Un alt tip de sisteme de criptare sunt sistemele cu chei publice. Pentru ca un astfel de sistem să funcționeze, nu este nevoie să îi spuneți destinatarului cheia secretă (sau parola pe baza căreia a fost creată). Aceste sisteme de criptare generează două chei digitale pentru fiecare utilizator: una este folosită pentru a cripta datele, cealaltă - pentru a le decripta. Prima cheie (numită cheie publică) poate fi făcută publică, în timp ce a doua cheie este păstrată secretă. După aceea, oricine poate cripta informațiile folosind cheia publică și numai cei care au cheia secretă corespunzătoare o pot decripta.

Unele programe de criptare conțin un alt mijloc important de protecție - o semnătură digitală. O semnătură digitală certifică faptul că fișierul nu a fost modificat de când a fost semnat și oferă destinatarului informații despre cine a semnat exact fișierul. Algoritm de creare semnatura digitala pe baza calculului sumei de control - așa-numita sumă hash, sau mesaj digest. Algoritmii aplicați garantează că este imposibil să ridicați două fișiere diferite ale căror sume hash s-ar potrivi.

Când destinatarul primește un fișier semnat digital, programul său de criptare recalculează suma hash pentru acel fișier. Destinatarul folosește apoi cheia publică publicată de expeditor pentru a recupera semnătura digitală. Dacă rezultatul se potrivește cu valoarea calculată pentru fișier, atunci destinatarul poate fi sigur că textul mesajului nu a fost modificat (dacă s-ar întâmpla acest lucru, suma hash ar fi diferită), iar semnătura aparține unei persoane care are acces la cheia secretă a expeditorului.

Protejarea informațiilor sensibile sau confidențiale necesită mai mult decât doar program bun criptare. Trebuie să luați o serie de măsuri pentru a asigura securitatea informațiilor. Dacă parola dvs. este slabă (expertii recomandă să o setați la opt sau mai multe caractere) sau dacă pe computer este stocată o copie necriptată a informațiilor confidențiale, atunci în acest caz chiar cel mai bun sistem criptarea va fi neputincioasă.

Sistemul Lexicon-Verba

Sistemul Lexicon-Verba este un mijloc de organizare a unei persoane protejate managementul documentelor electronice atât în ​​cadrul rețelei corporative cât și între diferite organizații. Lexicon-Verba folosește două modificări ale sistemului de criptare: sistemul Verba-W este destinat organelor de stat (protecția informațiilor confidențiale, în special PAL; cheile de semnătură sunt deschise, cheile de criptare sunt închise), sistemul Verba-OW este destinat comercial organizații (protecția secretelor comerciale; cheile de semnătură și de criptare sunt deschise).

Există destul de multe standarde globale de criptare, dar doar o mică parte dintre acestea sunt certificate de către Agenția Federală pentru Comunicații și Informații Guvernamentale (FAPSI), ceea ce face imposibilă utilizarea soluțiilor necertificate în Rusia. Sistemul Verba-W are certificat FAPSI Nr. SF / 114-0176. Sistem Verba-OW - certificat FAPSI Nr SF / 114-0174.

„Lexicon-Verba” oferă criptare și semnătură digitală în conformitate cu cerințele GOST 28147-89 „Sisteme de procesare a informațiilor. Protecție criptografică" și GOST R34.10-94 " Tehnologia de informație. Protecția criptografică a informațiilor. Proceduri pentru dezvoltarea și verificarea unei semnături digitale electronice bazate pe un algoritm criptografic asimetric.

Programul este certificat de către Comisia Tehnică de Stat sub președintele Federației Ruse. În iulie, este de așteptat să primească un certificat de la Ministerul rus al Apărării.

Protecția criptografică a sistemului se bazează pe metoda de criptare cu cheie publică. Fiecare cheie care identifică un utilizator constă din două părți: o cheie publică și o cheie privată. Cheia publică este distribuită gratuit și este folosită pentru a cripta informațiile acest utilizator. Pentru a decripta un document, persoana care l-a criptat trebuie să aibă cheia dumneavoastră publică și să vă identifice ca având acces la document atunci când îl criptați.

Pentru a decripta un document, trebuie să utilizați cheia privată. Cheia privată este formată din două părți, dintre care una este stocată pe un smart card sau pe o memorie tactilă, iar cealaltă este stocată pe hard disk-ul computerului. Astfel, nici pierderea unui smart card, nici accesul neautorizat la un computer nu fac posibilă, individual, decriptarea documentelor.

Set de chei inițial, inclusiv informatii complete despre cheile publice și private ale utilizatorului, este creat la un loc de muncă securizat special echipat. O dischetă cu informații cheie este utilizată numai în etapa de pregătire a locului de muncă al utilizatorului.

Sistemul Lexicon-Verba poate fi utilizat în cadrul a două sisteme principale pentru organizarea managementului securizat al documentelor:

  • ca soluție de sine stătătoare. Dacă organizația are o rețea locală, sistemul poate fi instalat nu pe toate computerele, ci doar pe cele care necesită lucrul cu documente confidențiale. Aceasta înseamnă că în interiorul rețelei corporative există o subrețea pentru schimbul de informații clasificate. În același timp, participanții din partea închisă a sistemului pot face schimb de documente deschise cu alți angajați;
  • ca parte a fluxului de lucru. Lexicon-Verba are interfețe de conectare standard funcții externe pentru a efectua operațiunile de deschidere, salvare, închidere și trimitere a documentelor, ceea ce facilitează integrarea acestui sistem atât în ​​sistemele de flux de lucru existente, cât și în cele nou dezvoltate.

Trebuie remarcat faptul că proprietățile sistemului Lexicon-Verba îl fac nu doar un mijloc de furnizare protectia informatiilor de la intruziuni externe, dar și ca mijloc de creștere a confidențialității intra-corporate și de partajare a accesului.

Una dintre resursele suplimentare importante pentru creșterea nivelului de control al securității informațiilor este capacitatea de a menține un „jurnal de evenimente” pentru orice document. Caracteristica de fixare a istoricului documentelor poate fi activată sau dezactivată numai atunci când sistemul este instalat; când este pornit această revistă va fi efectuată indiferent de dorința utilizatorului.

Principalul avantaj și trăsătură distinctivă Sistemul este o implementare simplă și intuitivă a funcțiilor de securitate a informațiilor, păstrând în același timp cele tradiționale procesoare de cuvinte mediul de lucru al utilizatorului.

Unitatea de criptare realizează criptarea, precum și instalarea și îndepărtarea unei semnături digitale electronice (EDS) a documentelor.

Funcții auxiliare ale blocului - descărcarea unei chei secrete, exportul și importul cheilor publice, configurarea și menținerea unui director de chei de abonat de sistem.

Astfel, fiecare dintre cei care au acces la document își poate pune doar semnătura, dar înlătură pe oricare dintre cele setate anterior.

Aceasta reflectă procedura acceptată de muncă de birou, când, pe măsură ce documentul este aprobat, acesta poate fi supus revizuirilor în diferite etape, dar după aceea documentul trebuie aprobat din nou.

Dacă încercați să faceți modificări documentului prin alte mijloace decât „Lexicon-Verba”, EDS-ul este deteriorat, ca urmare, în câmpul „Starea semnăturii” va apărea inscripția „Defecte”.

Birou

Pe măsură ce numărul utilizatorilor sistemului crește, introducerea fiecărei chei publice pe fiecare computer devine dificilă. Prin urmare, pentru a organiza munca biroului, se organizează administrarea centralizată a directorului cheii publice. Acest lucru se face în felul următor:

1) „Lexicon-Verba” este instalat pe computerul administratorului în modul local. Se creează astfel un director de chei publice, în care administratorul adaugă fiecare cheie folosită în birou;

2) pe toate celelalte computere, sistemul este instalat în mod retea. Acest mod folosește directorul de chei publice situat pe computerul administratorului;

3) fiecare Utilizator nou, adăugat de administrator în director, devine „vizibil” pentru toți utilizatorii conectați la director. Din acel moment, au posibilitatea de a-i transfera documente criptate.

Administrarea directorului devine centralizată, dar acest lucru nu afectează nivelul de securitate a sistemului, deoarece furnizarea accesului la cheile publice este un fel de „cunoștință” a utilizatorilor, dar nu dă acces la niciun document. Pentru ca un utilizator să poată decripta un document, cheia publică a acestuia nu trebuie să fie doar în director, ci trebuie să fie, de asemenea, listată în mod explicit ca având acces la document.

LA mijloace de protecție a informațiilor criptografice(CIPF), includ hardware, firmware și software care le implementează algoritmi criptografici transformarea informaţiei.

Se presupune că instrumentele de protecție a informațiilor criptografice sunt utilizate în anumite sisteme informatice (într-un număr de surse - un sistem de informare și telecomunicații sau o rețea de comunicații), împreună cu mecanisme de implementare și garantare a unei anumite politici de securitate.

Alături de termenul „mijloace de protecție a informațiilor criptografice”, termenul este adesea folosit scrambler- un dispozitiv sau program care implementează un algoritm de criptare. Conceptul introdus de CIPF include un codificator, dar în general este mai larg.

Primele sisteme de operare (OS) pentru computere personale (MS-DOS și versiuni Windows până la 3.1 inclusiv) nu aveau deloc mijloace proprii de protecție, ceea ce a dat naștere problemei creării unor mijloace suplimentare de protecție. Urgența acestei probleme practic nu a scăzut odată cu apariția sistemelor de operare mai puternice cu subsisteme avansate de protecție. Acest lucru se datorează faptului că majoritatea sistemelor nu sunt capabile să protejeze datele care se află în afara acestora, de exemplu, atunci când se utilizează schimbul de informații în rețea.

Instrumentele de protecție a informațiilor criptografice care oferă un nivel crescut de protecție pot fi împărțite în cinci grupuri principale (Fig. 2.1).

Orez. 2.1 Principalele grupuri ale CIPF

Se formează primul grup sisteme de identificareȘi autentificarea utilizatorului. Astfel de sisteme sunt folosite pentru a limita accesul utilizatorilor ocazionali și ilegali la resursele unui sistem informatic. Algoritm general Funcționarea acestor sisteme este de a obține de la utilizator informații care dovedesc identitatea acestuia, de a verifica autenticitatea acesteia și apoi de a oferi (sau nu) acest utilizator capacitatea de a lucra cu sistemul.

Al doilea grup de instrumente care oferă un nivel crescut de protecție sunt sisteme de criptare a discurilor. Sarcina principală rezolvată de astfel de sisteme este de a proteja împotriva utilizării neautorizate a datelor aflate pe suport de disc.

Asigurarea confidențialității datelor aflate pe disc se realizează de obicei prin criptarea lor folosind algoritmi de criptare simetrică. Principala caracteristică de clasificare a complexelor de criptare este nivelul de integrare a acestora într-un sistem informatic.

Sistemele de criptare a datelor pot efectua transformări criptografice de date:

9. la nivel de fișier (fișierele individuale sunt protejate);

10. la nivel de disc (discurile întregi sunt protejate).

Programele de primul tip includ arhivare precum WinRAR, care vă permit să utilizați metode criptografice pentru a proteja fișierele de arhivă. Un exemplu de al doilea tip de sistem este programul de criptare Diskreet, care face parte din popularul pachet software Norton Utilities.

O altă caracteristică de clasificare a sistemelor de criptare a datelor de pe disc este modul în care funcționează.

În funcție de metoda de funcționare, sistemul de criptare a datelor de pe disc este împărțit în două clase:

4) sisteme de criptare „transparente”;

5) sisteme special solicitate pentru implementarea criptării.

În sisteme criptare transparentă(criptare on-the-fly) transformările criptografice sunt efectuate în timp real, imperceptibil pentru utilizator. Un exemplu izbitor este criptarea folderului Temp și Documentele mele atunci când utilizați EFS Win2000 - în timpul funcționării, nu numai documentele în sine sunt criptate, ci și fișierele temporare create, iar utilizatorul nu observă acest proces.

Sistemele de clasa a doua sunt de obicei utilități care trebuie invocate în mod special pentru a realiza criptarea. Acestea includ, de exemplu, arhivele cu protecție încorporată prin parolă.

Al treilea grup de instrumente care oferă un nivel crescut de protecție include Sisteme de criptare pentru date transmise prin reţele de calculatoare. Există două metode principale de criptare:

criptarea canalului;

criptarea terminalului (abonatului).

Când criptarea canalului toate informațiile transmise prin canalul de comunicare, inclusiv informațiile de serviciu, sunt protejate. Procedurile de criptare corespunzătoare sunt implementate folosind protocolul stratului de legătură al modelului de interacțiune de referință cu șapte straturi sisteme deschise OSI (Open System Interconnect).

Această metodă de criptare are următorul avantaj - încorporarea procedurilor de criptare la nivelul de legătură permite utilizarea hardware-ului, ceea ce îmbunătățește performanța sistemului.

Cu toate acestea, această abordare are dezavantaje semnificative, în special, criptarea informațiilor de serviciu, care este inevitabil nivelul dat, poate duce la apariția unor modele statistice în datele criptate; acest lucru afectează fiabilitatea protecției și impune restricții privind utilizarea algoritmilor criptografici.

Criptare end-to-end (abonat). vă permite să asigurați confidențialitatea datelor transmise între două obiecte de aplicație (abonați). Criptarea end-to-end este implementată folosind o aplicație sau un protocol de nivel de prezentare al modelului de referință OSI. În acest caz, numai conținutul mesajului este protejat, toate informațiile de serviciu rămân deschise. Aceasta metoda vă permite să evitați problemele asociate cu criptarea informațiilor de serviciu, dar apar și alte probleme. În special, un atacator care are acces la canalele de comunicare rețea de calculatoare, obține capacitatea de a analiza informații despre structura schimbului de mesaje, de exemplu, despre expeditor și destinatar, despre timpul și condițiile de transmitere a datelor, precum și despre cantitatea de date transmise.

Al patrulea grup de apărări sunt sisteme electronice de autentificare a datelor.

La schimbul de date electronice prin rețele de comunicații, apare problema autentificării autorului documentului și a documentului în sine, adică. stabilirea identității autorului și verificarea absenței modificărilor în documentul primit.

Pentru autentificarea datelor electronice, se folosește un cod de autentificare a mesajului (inserție de imitație) sau o semnătură digitală electronică. Când se generează un cod de autentificare a mesajului și o semnătură digitală electronică, tipuri diferite sisteme de criptare.

A cincea grupă de mijloace care asigură un nivel crescut de protecție este format din instrumente cheie de gestionare a informațiilor. Informațiile cheie sunt înțelese ca totalitatea tuturor informațiilor utilizate într-un sistem informatic sau o rețea chei criptografice.

După cum știți, securitatea oricărui algoritm criptografic este determinată de cheile criptografice utilizate. În cazul unui management slab al cheilor, un atacator poate obține informații cheie și obține acces complet la toate informațiile dintr-un sistem informatic sau dintr-o rețea.

Principala caracteristică de clasificare a instrumentelor de management al informațiilor cheie este tipul funcției de gestionare a cheilor. Există următoarele tipuri principale de funcții de gestionare a cheilor: generarea cheilor, stocarea cheilor și distribuirea cheilor.

Căi generarea cheilor diferă pentru sistemele cripto simetrice și asimetrice. Pentru a genera chei ale criptosistemelor simetrice, se folosesc instrumente hardware și software pentru generarea de numere aleatorii. Generarea cheilor pentru criptosistemele asimetrice este o sarcină mult mai dificilă din cauza necesității de a obține chei cu anumite proprietăți matematice.

Funcţie stocarea cheilor implică organizația depozitare în siguranță, contabilitate și ștergere chei. Pentru a asigura stocarea și transmiterea în siguranță a cheilor, acestea sunt criptate folosind alte chei. Această abordare duce la concepte cheie ale ierarhiei. Ierarhia cheilor include de obicei o cheie principală (cheie principală), o cheie de criptare a cheii și o cheie de criptare a datelor. Trebuie remarcat faptul că generarea și stocarea cheilor principale sunt probleme critice în protecția criptografică.

Distribuția cheilor este cel mai responsabil proces în managementul cheilor. Acest proces ar trebui să garanteze secretul cheilor distribuite, precum și viteza și acuratețea distribuirii acestora. Există două moduri principale de distribuire a cheilor între utilizatorii unei rețele de calculatoare:

utilizarea unuia sau mai multor centre de distribuție cheie;

schimbul direct de chei de sesiune între utilizatori.

Să trecem la formularea cerințelor de protecție a informațiilor criptografice, comune tuturor claselor luate în considerare.

Metodele criptografice de protecție a informațiilor pot fi implementate atât în ​​software, cât și în hardware. Un codificator hardware sau un dispozitiv de protecție a datelor criptografice (UKZD) este, cel mai adesea, o placă de expansiune introdusă în conectorul 18A sau PC1 al plăcii de bază a unui computer personal (PC) (Fig. 3.21). Există și alte opțiuni de implementare, de exemplu, sub forma unei chei u8B cu funcții criptografice (Fig. 3.22).

Producătorii de codificatoare hardware îi echipează de obicei cu diverse caracteristici suplimentare, inclusiv:

Generarea numerelor aleatorii necesare pentru obținerea cheilor criptografice. În plus, mulți algoritmi criptografici îi folosesc în alte scopuri, de exemplu, în algoritmul de semnătură digitală electronică, GOST R 34.10-2001, este necesar un nou număr aleator pentru fiecare calcul al semnăturii;

Orez. 3.21. Codificator hardware sub forma unei plăci PC1:

1 - conectori tehnologici; 2 - memorie pentru logare; 3 - comutatoare de mod; 4 - memorie multifunctionala; 5 - unitate de control și microprocesor; 6- interfata PC1; 7- controler PC1; 8- DSC; 9- interfețe pentru conectarea purtătorilor de chei

Orez. 3.22.

  • control de conectare la computer. La pornirea computerului, dispozitivul solicită utilizatorului să introducă informații personale (de exemplu, introduceți un dispozitiv cu o cheie privată). Se încarcă sistem de operare va fi permis numai după ce dispozitivul recunoaște cheile prezentate și le consideră „proprii”. În caz contrar, va trebui să deschizi unitate de sistemși scoateți codificatorul de acolo pentru a încărca sistemul de operare (cu toate acestea, informațiile de pe hard disk-ul PC-ului pot fi și criptate);
  • controlul integrității fișierelor sistemului de operare pentru a preveni modificările rău intenționate fișierele de configurareȘi programe de sistem. Codificatorul stochează o listă cu toate fișierele importante cu valori hash de control precalculate pentru fiecare dintre ele, iar dacă valoarea hash a cel puțin unuia dintre fișierele controlate nu se potrivește cu standardul la următoarea pornire a sistemului de operare, computerul va fi blocat.

Un criptator care efectuează controlul autentificării pe un PC și verifică integritatea sistemului de operare se mai numește „ încuietoare electronică» (vezi par. 1.3).

Pe fig. 3.23 prezintă o structură tipică a unui codificator hardware. Luați în considerare funcțiile blocurilor sale principale:

  • unitatea de control - modulul principal al codificatorului. De obicei, este implementat pe baza unui microcontroler, atunci când alegeți care principalul lucru este viteza și o cantitate suficientă de resurse interne, precum și porturi externe pentru a conecta toate modulele necesare;
  • Controler de magistrală de sistem PC (de exemplu, PC1), prin care se realizează schimbul principal de date între UKZD și un computer;
  • dispozitiv de stocare nevolatil (memorie), implementat de obicei pe baza de cipuri de memorie flash. Trebuie să fie suficient de încăpător (câțiva megaocteți) și să permită un număr mare de cicluri de scriere. Aici se află software-ul microcontrolerului, pe care îl aveți

Orez. 3.23. Structura UKZD este completată când dispozitivul este inițializat (când encoderul preia controlul la pornirea computerului);

  • memoria jurnalului de audit, care este și o memorie nevolatilă (pentru a evita posibilele coliziuni, memoria programului și memoria jurnalului nu trebuie combinate);
  • procesor de cifrare (sau mai multe unități similare) - un microcircuit specializat sau microcircuit de logic programabil PLD (Programmable Logic Device), care asigură efectuarea operațiunilor criptografice (criptare și decriptare, calcul și verificare EDS, hashing);
  • generator de numere aleatorii, care este un dispozitiv care produce un semnal statistic aleatoriu și imprevizibil (așa-numitul zgomot alb). Poate fi, de exemplu, o diodă de zgomot. Înainte de utilizarea ulterioară în procesorul de cifrare, conform regulilor speciale, zgomotul alb este convertit în formă digitală;
  • bloc pentru introducerea informațiilor cheie. Oferă primirea în siguranță a cheilor private de la purtătorul de chei și introducerea informațiilor de identificare despre utilizator necesare pentru autentificarea acestuia;
  • bloc de comutatoare necesare pentru a dezactiva capacitatea de a lucra cu dispozitive externe (unități, CD-ROM, porturi paralele și seriale, magistrală USB etc.). Dacă utilizatorul lucrează cu informații extrem de sensibile, UKZD le va bloca pe toate dispozitive externe, inclusiv chiar și o placă de rețea.

Operațiunile criptografice în UKZD ar trebui să fie efectuate astfel încât să excludă accesul neautorizat la sesiune și chei privateși posibilitatea de a influența rezultatele implementării lor. Prin urmare, procesorul de cifrare constă în mod logic din mai multe blocuri (Fig. 3.24):

  • calculator - un set de registre, sumatori, blocuri de substituție etc. interconectate prin magistrale de date. Proiectat pentru cea mai rapidă execuție a operațiunilor criptografice. Ca intrare, calculatorul primește date deschise care ar trebui să fie criptate (decriptate) sau semnate și o cheie criptografică;
  • unitate de control - un program implementat hardware care controlează calculatorul. Dacă din orice motiv

Orez. 3.24.

programul se va schimba, munca lui va începe să se clatine. De aceea acest program ar trebui nu numai să fie depozitat în siguranță și să funcționeze stabil, ci și să verifice în mod regulat integritatea acestuia. Unitatea de control extern descrisă mai sus trimite periodic sarcini de control către unitatea de control. În practică, pentru o mai mare încredere în codificator, sunt instalate două procesoare de criptare care compară constant rezultatele operațiunilor lor criptografice (dacă nu se potrivesc, operația se repetă);

Bufferul I/O este necesar pentru a îmbunătăți performanța dispozitivului: în timp ce primul bloc de date este criptat, următorul este încărcat și așa mai departe. Același lucru se întâmplă și la ieșire. O astfel de transmisie prin conductă de date crește serios viteza operațiunilor criptografice în codificator.

Mai există o sarcină de asigurare a securității atunci când se efectuează operațiuni criptografice de către criptor: încărcarea cheilor în criptor, ocolirea RAM computer, unde teoretic pot fi interceptate și chiar înlocuite. Pentru a face acest lucru, UKZD conține în plus porturi de intrare-ieșire (de exemplu, COM sau USB), la care sunt conectate direct diverse cititoare media cheie. Acestea pot fi orice carduri inteligente, jetoane (chei USB speciale) sau elemente Touch Memory (vezi par. 1.3). Pe lângă introducerea directă a cheilor în UKZD, multe dintre aceste medii oferă și stocarea lor fiabilă - chiar și un purtător de chei fără a cunoaște un cod de acces special (de exemplu, un cod PIN) nu va putea citi conținutul acestuia.

Pentru a evita coliziunile la accesarea simultană a codificatorului diferite programe, software-ul special este instalat în sistemul informatic


Orez. 3.25.

  • (software) pentru a controla codificatorul (Fig. 3.25). Un astfel de software emite comenzi prin driverul de codificator și transmite date către encoder, asigurându-se că fluxurile de informații din diferite surse nu se suprapun și, de asemenea, că codificatorul conține întotdeauna tastele potrivite. Astfel, UKZD efectuează două în mod fundamental tipuri diferite comenzi:
  • înainte de a încărca sistemul de operare, sunt executate comenzi care se află în memoria codificatorului, care efectuează toate verificările necesare (de exemplu, identificarea și autentificarea utilizatorului) și setează nivelul de securitate necesar (de exemplu, oprirea dispozitivelor externe);
  • după încărcarea sistemului de operare (de exemplu, Windows), sunt executate comenzi care vin prin intermediul software-ului de control al criptatorului (criptare date, reîncărcare chei, calculare numere aleatorii etc.).

O astfel de separare este necesară din motive de securitate - după executarea comenzilor primului bloc, care nu poate fi ocolită, intrusul nu va mai putea efectua acțiuni neautorizate.

Un alt scop al software-ului de gestionare a codificatorului este acela de a oferi posibilitatea de a înlocui un codificator cu altul (de exemplu, unul care este mai productiv sau implementează alți algoritmi criptografici) fără a schimba software-ul. Acest lucru se întâmplă în același mod, de exemplu, în schimbare card de retea: Criptorul vine cu un driver care permite programelor să efectueze un set standard de funcții criptografice în conformitate cu anumite interfețe de programare a aplicațiilor (de exemplu, CryptAP1).

În același mod, puteți înlocui un codificator hardware cu unul software (de exemplu, un emulator de codificator). Pentru a face acest lucru, un codificator software este de obicei implementat ca un driver care oferă același set de funcții.

Cu toate acestea, nu toate UKZD au nevoie de software-ul de gestionare a codificatorului (în special, un codificator pentru criptare-decriptare „transparentă” a tuturor hard disk PC-ul trebuie configurat o singură dată).

Pentru a asigura suplimentar securitatea efectuării operațiunilor criptografice în UKZD, poate fi utilizată protecția pe mai multe niveluri a cheilor criptografice de criptare simetrică, în care o cheie de sesiune aleatorie este criptată cu o cheie de utilizator pe termen lung și aceasta, la rândul său, cu un cheia principală (Fig. 3.26).

În etapa de încărcare inițială, cheia principală este introdusă în celula cheie nr. 3 a memoriei codificatorului. Dar pentru criptarea pe trei niveluri, trebuie să obțineți încă două. Cheia de sesiune este generată ca urmare a unei solicitări către generator (senzor)

Orez. 3.26. Criptarea fișierului folosind codificatorul UKZD ny numbers (DSN) pentru a obține un număr aleator, care este încărcat în celula cheie nr. 1 corespunzătoare cheii de sesiune. Criptează conținutul fișierului și creează fișier nou A care stochează informațiile criptate.

Apoi, utilizatorului i se solicită o cheie pe termen lung, care este încărcată în celula cheie #2 cu decriptare folosind cheia principală situată în celula #3. în acest caz, cheia nu „părăsește” deloc codificatorul. În cele din urmă, cheia de sesiune este criptată folosind cheia pe termen lung din celula 2, descărcată din criptor și scrisă în antetul fișierului criptat.

La decriptarea unui fișier, cheia de sesiune este mai întâi decriptată folosind cheia pe termen lung a utilizatorului, iar apoi informațiile sunt restaurate folosindu-l.

În principiu, o cheie poate fi folosită pentru criptare, dar o schemă cu mai multe chei are avantaje serioase. În primul rând, posibilitatea unui atac asupra unei chei pe termen lung este redusă, deoarece este folosită doar pentru a cripta cheile de sesiune scurtă. Și acest lucru complică criptanaliza atacatorului a informațiilor criptate pentru a obține o cheie pe termen lung. În al doilea rând, atunci când schimbați cheia pe termen lung, puteți recripta foarte rapid fișierul: este suficient să recriptați cheia de sesiune de la vechea cheie pe termen lung la cea nouă. În al treilea rând, purtătorul de chei este descărcat, deoarece numai cheia principală este stocată pe el și toate cheile pe termen lung (și utilizatorul poate avea mai multe dintre ele în scopuri diferite) pot fi stocate criptate cu cheia principală chiar și pe hard PC. conduce.

Criptoarele sub formă de chei SHV (vezi Fig. 3.22) nu pot deveni încă un înlocuitor cu drepturi depline pentru un codificator hardware pentru magistrala PC1 din cauza vitezei scăzute de criptare. Cu toate acestea, au câteva caracteristici interesante. În primul rând, un token (cheie SW) nu este doar un codificator hardware, ci și un purtător de chei de criptare, adică un dispozitiv două în unu. În al doilea rând, jetoanele respectă de obicei standardele criptografice internaționale comune (RKSB #11, 1BO 7816, RS / 8C etc.) și pot fi utilizate fără setari aditionaleîn existentă instrumente software protecția informațiilor (de exemplu, pot fi folosite pentru autentificarea utilizatorilor în sistemul de operare al familiei Microsoft Windows). Și, în sfârșit, prețul unui astfel de encoder este de zece ori mai mic decât cel al unui encoder hardware clasic pentru magistrala PCI.



Se încarcă...
Top