Čo je to skzi na počítači. Ochrana kryptografických informácií

1.1. Táto politika financovania kryptografická ochrana informácie ( Ďalej - politika ) určuje postup organizácie a zabezpečenia fungovania šifrovania ( kryptografických prostriedky určené na ochranu informácií, ktoré neobsahujú informácie predstavujúce štátne tajomstvo ( Ďalej - CIPF, kryptomena ), ak sa používajú na zaistenie bezpečnosti dôverné informácie a osobné údaje, keď sa spracúvajú v informačné systémy.

1.2. Táto politika bola vyvinutá v súlade s:

  • federálny zákon "O osobných údajoch" , regulačné akty vlády Ruskej federácie v oblasti zaistenia bezpečnosti osobných údajov;
  • Federálny zákon č. 63-FZ "O elektronický podpis " ;
  • Rozkaz FSB Ruskej federácie č. 378 „O schválení Zloženia a obsahu organizačno-technických opatrení na zaistenie bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov využívajúcich nástroje na ochranu kryptografických informácií potrebných na splnenie požiadaviek stanovených vládou Ruskej federácie na ochranu osobné údaje pre každú z úrovní zabezpečenia“;
  • Objednávka FAPSI č. 152" Po schválení Pokynu na organizáciu a zaistenie bezpečnosti uchovávania, spracovania a prenosu prostredníctvom komunikačných kanálov využívajúcich kryptografickú ochranu informácií s obmedzeným prístupom, ktoré neobsahujú informácie predstavujúce štátne tajomstvo»;
  • Rozkaz Federálnej bezpečnostnej služby Ruskej federácie N 66 " O schválení Vyhlášky o vývoji, výrobe, predaji a prevádzke šifrovacích (kryptografických) prostriedkov ochrany informácií (Nariadenie PKZ-2005) »;

1.3. Tieto Zásady sa vzťahujú na kryptonástroje určené na zaistenie bezpečnosti dôverných informácií a osobných údajov počas ich spracovania v informačných systémoch;

1.4. Kryptografické nástroje informačná bezpečnosť ( Ďalej - CIPF ), ktoré implementujú funkcie šifrovania a elektronického podpisu sa používajú na ochranu elektronické dokumenty prenášané cez verejné komunikačné kanály, napr. verejná sieť Internet alebo dial-up komunikačné kanály.

1.5. Na zaistenie bezpečnosti je potrebné použiť CIPF, ktorý:

  • umožňujú zabudovanie do technologických procesov spracovania elektronických správ, zabezpečujú interakciu s aplikačným softvérom na úrovni spracovania požiadaviek na kryptografické transformácie a vydávanie výsledkov;
  • vývojári dodávajú kompletnú prevádzkovú dokumentáciu vrátane popisu kľúčového systému, pravidiel práce s ním, ako aj zdôvodnenia potrebného organizačného a personálneho zabezpečenia;
  • podporovať kontinuitu procesov zaznamenávania prevádzky CIPF a zabezpečovania integrity softvér pre funkčné prostredie CIPF, čo je súbor hardvérových a softvérových nástrojov, spolu s ktorými prebieha pravidelné fungovanie CIPF a ktoré môžu ovplyvniť plnenie požiadaviek na CIPF;
  • certifikované oprávneným štátnym orgánom alebo mať povolenie od FSB Ruska.

1.6. CIPF používaný na ochranu osobných údajov musí mať triedu aspoň KS2.

1.7. CIPF sa implementujú na základe algoritmov, ktoré sú v súlade s národnými normami Ruskej federácie, podmienkami zmluvy s protistranou.

1.8. CIPF, licencie, súvisiace kľúčové dokumenty, pokyny pre CIPF získava organizácia nezávisle alebo ich možno získať od organizácie tretej strany, ktorá iniciuje bezpečný tok dokumentov.

1.9. CIPF, vrátane inštalačných médií, kľúčových dokumentov, popisov a pokynov pre CIPF, predstavuje obchodné tajomstvo v súlade s predpismi o dôverných informáciách.

  1. Postup pri používaní CIPF

2.1. Inštalácia a konfigurácia nástrojov na ochranu kryptografických informácií sa vykonáva v súlade s prevádzkovou dokumentáciou, pokynmi Federálnej bezpečnostnej služby Ruska, inými organizáciami zapojenými do bezpečnej správy elektronických dokumentov. Po dokončení inštalácie a konfigurácie sa skontroluje pripravenosť CIPF na použitie, vypracujú sa závery o možnosti ich prevádzky a CIPF sa uvedie do prevádzky.

Umiestnenie a inštalácia CIPF, ako aj iných zariadení pracujúcich s kryptomenami, v citlivých priestoroch by mala minimalizovať možnosť nekontrolovaného prístupu neoprávnených osôb k týmto prostriedkom. Údržba takéto vybavenie a výmena šifrovacích kľúčov sa vykonáva v neprítomnosti osôb, ktorým nie je dovolené pracovať s údajmi CIPF. Je potrebné zabezpečiť organizačné a technické opatrenia, ktoré vylučujú možnosť použitia CIPF neoprávnenými osobami. Fyzické umiestnenie CIPF by malo zabezpečiť bezpečnosť CIPF a zabrániť neoprávnenému prístupu k CIPF. Vstup osôb do priestorov, kde sa ochranné prostriedky nachádzajú, je obmedzený v súlade s potrebou obsluhy a určuje sa zoznamom schváleným riaditeľom.

Vkladanie krypto-prostriedkov triedy KS1 a KS2 vykonáva bez kontroly FSB Ruska ( ak táto kontrola nie je zabezpečená zadaním rozvoja (modernizácie) informačného systému).

Vkladanie kryptografických nástrojov tried KS3, KB1, KB2 a KA1 sa vykonáva iba pod kontrolou FSB Ruska.

Vloženie kryptografických nástrojov triedy KS1, KS2 alebo KS3 môže vykonať buď používateľ kryptografického nástroja, ak má príslušnú licenciu od FSB Ruska, alebo organizácia, ktorá má príslušnú licenciu od FSB Rusko.

Vloženie kryptografického nástroja triedy KV1, KV2 alebo KA1 vykonáva organizácia, ktorá má príslušnú licenciu od FSB Ruska.

Vyradenie CIPF z prevádzky sa vykonáva v súlade s postupmi, ktoré zabezpečujú zaručené vymazanie informácií, ktorých neoprávnené použitie môže poškodiť obchodné aktivity organizácie, a informácií používaných bezpečnostnými nástrojmi. informačná bezpečnosť, z trvalej pamäte a z externé médiá (s výnimkou archívov elektronických dokumentov a protokolov elektronickej interakcie, ktorých udržiavanie a uchovávanie po určitú dobu ustanovujú príslušné regulačné a (alebo) zmluvné dokumenty) a je vypracovaný zákonom. CIPF zničiť ( zbaviť sa) na základe rozhodnutia vlastníka kryptografického nástroja a na základe oznámenia zodpovednej organizácie v súlade s organizáciou evidencie kópií kryptografických nástrojov.

naplánované na zničenie recyklácia) CIPF podliehajú stiahnutiu hardvéru, s ktorým fungovali. Kryptografické nástroje sa zároveň považujú za vyradené z hardvéru, ak je ukončený postup na odstránenie softvéru kryptografických nástrojov stanovený v prevádzkovej a technickej dokumentácii CIPF a sú úplne odpojené od hardvéru.

Jednotky a časti univerzálneho hardvéru vhodného na ďalšie použitie, ktoré nie sú špecificky navrhnuté na hardvérovú implementáciu kryptografických algoritmov alebo iných funkcií ochrany kryptografických informácií, ako aj zariadenia, ktoré pracujú v spojení s kryptografickými nástrojmi ( monitory, tlačiarne, skenery, klávesnice atď.), je povolené používať po zničení CIPF bez obmedzení. Súčasne môžu zostať informácie, ktoré môžu zostať v pamäťových zariadeniach zariadenia ( napríklad tlačiarne, skenery), musia byť bezpečne odstránené ( vymazané).

2.2. Prevádzku CIPF vykonávajú osoby poverené príkazom riaditeľa organizácie a vyškolené na prácu s nimi. Ak sú dvaja alebo viacerí používatelia CIPF, povinnosti medzi nimi sú rozdelené s prihliadnutím na osobnú zodpovednosť za bezpečnosť krypto-prostriedkov, kľúčov, prevádzkovej a technickej dokumentácie, ako aj za pridelené oblasti práce.

Od používateľov kryptomien sa vyžaduje:

  • nezverejňovať informácie, ku ktorým majú prístup, vrátane informácií o CIPF a iných ochranných opatreniach;
  • nezverejňovať informácie o kľúčových dokumentoch;
  • zabrániť vytváraniu kópií kľúčových dokumentov;
  • zabrániť zobrazeniu kľúčových dokumentov ( monitorovať) osobný počítač alebo tlačiareň;
  • neumožňujú zaznamenávanie cudzích informácií na kľúčovom nosiči;
  • zabrániť inštalácii kľúčových dokumentov na iné osobné počítače;
  • dodržiavať požiadavky na zaistenie bezpečnosti informácií, požiadavky na zaistenie bezpečnosti CIPF a kľúčových dokumentov k nim;
  • podávať správy o pokusoch neoprávnených osôb, o ktorých sa dozvedeli, získať informácie o používaných nástrojoch na ochranu kryptografických informácií alebo o kľúčových dokumentoch, ktoré im boli poskytnuté;
  • bezodkladne oznámiť skutočnosti straty alebo nedostatku CIPF, kľúčových dokumentov k nim, kľúčov od priestorov, trezorov, osobných pečatí a iných skutočností, ktoré môžu viesť k sprístupneniu chránených informácií;
  • odovzdať CIPF, prevádzkovo-technickú dokumentáciu k nim, kľúčové dokumenty pri odvolaní alebo odvolaní z výkonu povinností súvisiacich s používaním kryptografických nástrojov.

Bezpečnosť spracovania informácií pomocou CIPF je zabezpečená:

  • zachovávanie mlčanlivosti zo strany používateľov pri nakladaní s informáciami, ktoré im boli zverené alebo ktoré sa dozvedeli pri práci, vrátane informácií o fungovaní a bezpečnostných postupoch používaných nástrojov na ochranu kryptografických informácií a pre nich kľúčových dokumentov;
  • presné plnenie požiadaviek na informačnú bezpečnosť používateľmi CIPF;
  • spoľahlivé uchovávanie prevádzkovej a technickej dokumentácie pre CIPF, kľúčové dokumenty, médiá s obmedzenou distribúciou;
  • včasné odhalenie pokusov neoprávnených osôb získať informácie o chránených informáciách, o použitých CIPF alebo o kľúčových dokumentoch k nim;
  • prijatie okamžitých opatrení na zabránenie prezradeniu chránených informácií, ako aj ich možnému úniku pri odhalení skutočností straty alebo nedostatku CIPF, kľúčových dokumentov k nim, certifikátov, preukazov, kľúčov od priestorov, trezorov, trezorov ( kovové skrine), osobné pečate atď.

V prípade potreby preneste technické prostriedky odkazy na servisné správy obmedzený prístup pokiaľ ide o organizáciu a činnosť CIPF, tieto správy sa musia prenášať iba pomocou šifrovacích prostriedkov. Prenos krypto kľúčov prostredníctvom technických komunikačných prostriedkov nie je povolený, s výnimkou špeciálne organizovaných systémov s decentralizovanou dodávkou krypto kľúčov.

CIPF podliehajú účtovaniu pomocou indexov alebo podmienených mien a evidenčné čísla. Stanovuje sa zoznam indexov, podmienených názvov a registračných čísel kryptomien Federálna služba bezpečnosť Ruskej federácie.

Použité alebo uložené CIPF, prevádzková a technická dokumentácia k nim, kľúčové dokumenty podliehajú kopírovaniu účtovníctva. Formulár denníka CIPF je uvedený v prílohe č. 1, denníka kľúčových dopravcov v prílohe č. 2 k týmto zásadám. Zároveň by sa mal brať do úvahy softvér CIPF spolu s hardvérom, s ktorým sa vykonáva ich pravidelná prevádzka. Ak sú hardvérové ​​alebo hardvérovo-softvérové ​​prostriedky na ochranu kryptografických informácií pripojené k systémovej zbernici alebo k jednému z interných hardvérových rozhraní, potom sa spolu s príslušným hardvérom zohľadňujú aj takéto kryptografické prostriedky.

Jednotka evidencie kópií kľúčových dokumentov sa považuje za opakovane použiteľný nosič kľúčov, kľúčový poznámkový blok. Ak sa na zaznamenávanie šifrovacích kľúčov opakovane používa rovnaké médium kľúča, potom by sa malo zakaždým zaregistrovať samostatne.

Všetky prijaté kópie krypto-prostriedkov, prevádzková a technická dokumentácia k nim, kľúčové dokumenty musia byť vydané proti prijatiu v príslušnom registri jednotlivých kópií pre používateľov krypto-prostriedkov, ktorí sú osobne zodpovední za ich bezpečnosť.

Prenos nástrojov na ochranu kryptografických informácií, prevádzkovej a technickej dokumentácie k nim, kľúčových dokumentov je povolený iba medzi používateľmi kryptografických nástrojov a (alebo) zodpovedným používateľom kryptografických nástrojov proti prijatiu v príslušných protokoloch účtovania jednotlivých inštancií. Takýto prenos medzi používateľmi kryptografických nástrojov musí byť povolený.

Skladovanie inštalačných médií CIPF, prevádzkovej a technickej dokumentácie, kľúčových dokumentov sa realizuje v skriniach ( boxy, sklad) individuálne použitie v podmienkach, ktoré vylučujú nekontrolovaný prístup k nim, ako aj ich neúmyselné zničenie.

Hardvér, pomocou ktorého sa vykonáva pravidelné fungovanie CIPF, ako aj hardvér a hardvér-softvér CIPF musia byť vybavené prostriedkami na kontrolu ich otvárania ( zapečatené, zapečatené). Miesto tesnenia ( tesnenie) šifrovanie znamená, že hardvér by mal byť taký, aby ho bolo možné vizuálne kontrolovať. V prítomnosti technická realizovateľnosť počas neprítomnosti používateľov kryptografických nástrojov musia byť tieto prostriedky odpojené od komunikačnej linky a uložené v zapečatených trezoroch.

Vykonávanie zmien v softvéri CIPF a technickej dokumentácii pre CIPF sa vykonáva na základe prijatých od výrobcu CIPF a zdokumentovaných aktualizácií s fixáciou kontrolných súčtov.

Prevádzka CIPF zahŕňa udržiavanie najmenej dvoch záložných kópií softvéru a jednej zálohovanie kľúčoví dopravcovia. Obnova výkonu CIPF v havarijných situáciách sa vykonáva v súlade s prevádzkovou dokumentáciou.

2.3. Vytváranie kľúčových dokumentov z pôvodných kľúčových informácií vykonávajú zodpovední používatelia CIPF pomocou bežných kryptografických nástrojov, ak takúto možnosť poskytuje prevádzková a technická dokumentácia v prítomnosti licencie od Federálnej bezpečnostnej služby Rusko na výrobu kľúčových dokumentov pre kryptografické nástroje.

Kľúčové dokumenty je možné doručiť kuriérom ( vrátane rezortných) komunikácia alebo s osobitne určenými zodpovednými používateľmi kryptografických nástrojov a zamestnancami, s výhradou opatrení, ktoré vylučujú nekontrolovaný prístup ku kľúčovým dokumentom počas doručovania.

Pre odoslanie kľúčových dokumentov musia byť vložené do pevného obalu, ktorý vylučuje možnosť ich fyzického poškodenia a vonkajších vplyvov. Na obaloch uveďte zodpovedného používateľa, pre ktorého sú tieto obaly určené. Takéto balíčky sú označené ako "Osobne". Obaly sú zapečatené tak, že nie je možné z nich vytiahnuť obsah bez porušenia obalov a odtlačkov pečatí.

Pred prvou deportáciou ( alebo vrátiť) je adresát informovaný samostatným listom o popise balíkov, ktoré mu boli zaslané, a o pečatiach, ktorými môžu byť zapečatené.

K odoslaniu kľúčových dokumentov je pripravený sprievodný list, v ktorom je potrebné uviesť: čo sa odosiela a v akom množstve, čísla účtov dokumentov, prípadne účel a postup použitia zasielanej veci. V jednom z balíkov je priložený sprievodný list.

Prijaté balíky otvára iba zodpovedný používateľ kryptografických nástrojov, pre ktoré sú určené. Ak obsah prevzatého balíka nezodpovedá obsahu uvedenému v sprievodnom liste alebo samotnom balíku a pečati - ich popis ( dojem), a tiež v prípade, že je obal poškodený, čím je voľný prístup k jeho obsahu, príjemca vyhotoví akt, ktorý je zaslaný odosielateľovi. Kľúčové dokumenty prijaté s takýmito zásielkami nie je možné použiť, kým od odosielateľa nedostanete pokyny.

Ak sa zistia chybné kľúčové dokumenty alebo šifrovacie kľúče, jedna kópia chybného produktu by sa mala vrátiť výrobcovi, aby sa určili príčiny incidentu a odstránili sa v budúcnosti, a zvyšné kópie by sa mali uschovať, kým nebudú vydané ďalšie pokyny od výrobcu. prijaté.

Prijatie kľúčových dokumentov musí byť potvrdené odosielateľovi v súlade s postupom uvedeným v sprievodnom liste. Odosielateľ je povinný kontrolovať doručovanie svojich zásielok adresátom. Ak nebolo od adresáta včas doručené príslušné potvrdenie, odosielateľ mu musí zaslať žiadosť a prijať opatrenia na objasnenie polohy zásielok.

Objednávka na výrobu ďalších kľúčových dokumentov, ich výroba a distribúcia na miesta použitia pre včasnú výmenu existujúcich kľúčových dokumentov je vopred realizovaná. Oznámenie o nadobudnutí platnosti ďalších kľúčových dokumentov dáva zodpovedný používateľ kryptografických nástrojov až po prijatí potvrdenia o prijatí ďalších kľúčových dokumentov.

Nepoužité alebo nefunkčné kľúčové dokumenty sa vrátia zodpovednému používateľovi kryptografických nástrojov alebo sa na jeho pokyn musia na mieste zničiť.

Zničenie krypto kľúčov ( počiatočné kľúčové informácie) možno vykonať fyzickým zničením kľúčového média, na ktorom sa nachádzajú, alebo vymazaním ( zničenie) kryptomeny ( počiatočné kľúčové informácie) bez poškodenia nosiča kľúča ( aby ho bolo možné opätovne použiť).

krypto kľúče ( pôvodné kľúčové informácie) sa vymažú podľa technológie prijatej pre príslušné kľúčové opakovane použiteľné médiá ( diskety, kompaktné disky (CD-ROM), dátový kľúč, čipová karta, dotyková pamäť atď.). Priame akcie na vymazanie krypto kľúčov ( počiatočné kľúčové informácie), ako aj prípadné obmedzenia ďalšieho používania príslušných kľúčov opakovane použiteľných médií upravuje prevádzková a technická dokumentácia k príslušným nástrojom ochrany kryptografických informácií, ako aj pokyny organizácie, ktorá krypto kľúče zaznamenala ( počiatočné kľúčové informácie).

Kľúčové nosiče sa zničia tým, že sa im spôsobí nenapraviteľné fyzické poškodenie, pričom sa vylúči možnosť ich použitia, ako aj obnovenie kľúčových informácií. Priame akcie na zničenie konkrétneho typu nosiča kľúčov sú upravené prevádzkovou a technickou dokumentáciou pre príslušné nástroje na ochranu kryptografických informácií, ako aj pokynmi organizácie, ktorá krypto kľúče zaznamenala ( počiatočné kľúčové informácie).

Papier a iné horľavé nosiče kľúčov sa ničia spálením alebo použitím akýchkoľvek strojov na rezanie papiera.

Kľúčové dokumenty sa likvidujú v lehotách uvedených v prevádzkovo-technickej dokumentácii príslušného CIPF. Skutočnosť zničenia je zdokumentovaná v príslušných registroch podľa jednotlivých inštancií.

Ničenie podľa zákona vykonáva komisia zložená najmenej z dvoch osôb. Zákon špecifikuje, čo sa ničí a v akom množstve. Na konci aktu sa vykoná konečný záznam (číslami a slovami) o počte predmetov a kópií kľúčových dokumentov, ktoré sa majú zničiť, o inštalácii médií CIPF, prevádzkovej a technickej dokumentácie. Opravy v texte zákona musia byť špecifikované a potvrdené podpismi všetkých členov komisie, ktorí sa na ničení podieľali. O vykonanom zničení sa urobia značky v príslušných denníkoch účtovania kópií.

Kryptokúče, ktoré sú podozrivé z kompromitácie, ako aj iné kryptokúče, ktoré s nimi fungujú, musia byť okamžite deaktivované, pokiaľ nie je v prevádzkovej a technickej dokumentácii CIPF uvedené inak. V núdzových prípadoch, keď neexistujú žiadne krypto kľúče, ktoré by nahradili napadnuté, je na základe rozhodnutia zodpovedného používateľa krypto nástrojov po dohode s prevádzkovateľom povolené použiť kompromitované krypto kľúče. V tomto prípade by mala byť doba používania kompromitovaných krypto kľúčov čo najkratšia a chránené informácie by mali byť čo najmenej cenné.

O porušeniach, ktoré môžu viesť ku kompromitácii krypto kľúčov, ich komponentov alebo prenášaných ( uložené) pri používaní údajov sú používatelia kryptografických nástrojov povinní nahlásiť sa zodpovednému používateľovi kryptografických nástrojov.

Kontrola kľúčov opakovane použiteľných médií neoprávnenými osobami by sa nemala považovať za podozrenie z kompromitovania kryptokeu, ak to vylučuje možnosť ich kopírovania ( čítanie, reprodukcia).

V prípade nedostatku, neprezentácie kľúčových dokumentov, ako aj neistoty ich lokalizácie prijíma zodpovedný používateľ urgentné opatrenia na ich vyhľadávanie a lokalizáciu následkov kompromitovania kľúčových dokumentov.

  1. Postup riadenia kľúčového systému

Registrácia osôb s kľúčovými manažérskymi právami sa vykonáva v súlade s prevádzkovou dokumentáciou pre CIPF.

Manažment kľúčov je informačný proces, ktorý zahŕňa tri prvky:

- generovanie kľúčov;

- hromadenie kľúčov;

- distribúcia kľúčov.

V informačných systémoch organizácie sa používajú špeciálne hardvérové ​​a softvérové ​​metódy na generovanie náhodných kľúčov. Spravidla sa používajú generátory pseudonáhodných čísel ( Ďalej - PSCH ), s dostatočne vysokým stupňom náhodnosti ich generovania. Celkom prijateľné sú generátory softvérových kľúčov, ktoré vypočítavajú PRNG ako komplexná funkcia od aktuálneho času a ( alebo) číslo zadané používateľom.

Pod hromadením kľúčov sa rozumie organizácia ich ukladania, účtovania a vymazávania.

Tajné kľúče by nemali byť napísané výslovne na médiu, ktoré je možné čítať alebo kopírovať.

Všetky informácie o použitých kľúčoch musia byť uložené v zašifrovanej forme. Kľúče, ktoré šifrujú informácie o kľúčoch, sa nazývajú hlavné kľúče. Každý užívateľ musí poznať hlavné kľúče naspamäť, je zakázané ukladať ich na akékoľvek hmotné nosiče.

Pre podmienku informačnej bezpečnosti je potrebné periodicky aktualizovať kľúčové informácie v informačných systémoch. Týmto sa priradia bežné aj hlavné kľúče.

Pri distribúcii kľúčov musia byť splnené tieto požiadavky:

- efektívnosť a presnosť distribúcie;

— utajenie distribuovaných kľúčov.

Alternatívou je, že dvaja používatelia získajú zdieľaný kľúč od ústredného orgánu, centra distribúcie kľúčov (KDC), prostredníctvom ktorého môžu bezpečne interagovať. Na organizovanie výmeny údajov medzi CRC a používateľom je používateľovi pri registrácii pridelený špeciálny kľúč, ktorý šifruje správy prenášané medzi nimi. Každý používateľ má pridelený samostatný kľúč.

KĽÚČOVÝ MANAŽMENT NA ZÁKLADE SYSTÉMOV VEREJNÝCH KĽÚČOV

Pred použitím kryptosystému s verejným kľúčom na výmenu bežných tajných kľúčov si používatelia musia vymeniť svoje verejné kľúče.

Správa verejných kľúčov sa môže vykonávať prostredníctvom online alebo offline adresárovej služby a používatelia si môžu kľúče vymieňať aj priamo.

  1. Monitorovanie a kontrola používania CIPF

Pre zvýšenie úrovne bezpečnosti počas prevádzky ochrany kryptografických informácií v systéme je potrebné implementovať monitorovacie postupy, ktoré zaznamenávajú všetky významné udalosti, ktoré sa udiali počas výmeny elektronické správy a všetky incidenty bezpečnosti informácií. Opis a zoznam týchto postupov by mali byť uvedené v prevádzkovej dokumentácii pre CIPF.

Kontrola používania CIPF zabezpečuje:

  • kontrola súladu nastavení a konfigurácie nástrojov informačnej bezpečnosti, ako aj hardvérových a softvérových nástrojov, ktoré môžu ovplyvniť plnenie požiadaviek na nástroje informačnej bezpečnosti, regulačnú a technickú dokumentáciu;
  • monitorovanie dodržiavania pravidiel pre uchovávanie informácií s obmedzeným prístupom používaných pri prevádzke nástrojov informačnej bezpečnosti ( najmä kľúč, heslo a overovacie informácie);
  • kontrola možnosti prístupu neoprávnených osôb k nástrojom informačnej bezpečnosti, ako aj k hardvérovým a softvérovým nástrojom, ktoré môžu ovplyvniť plnenie požiadaviek na nástroje informačnej bezpečnosti;
  • monitorovanie dodržiavania pravidiel reakcie na incidenty informačné informácie (o skutočnostiach straty, ohrozenia kľúča, hesla a autentifikačných informácií, ako aj akýchkoľvek iných informácií s obmedzeným prístupom);
  • kontrola súladu technických a softvérových prostriedkov CIPF a dokumentácie k týmto prostriedkom s referenčnými vzorkami ( dodávateľské záruky alebo kontrolné mechanizmy, ktoré umožňujú, aby takýto súlad bol stanovený nezávisle);
  • kontrola integrity hardvéru a softvéru CIPF a dokumentácie k týmto nástrojom počas skladovania a uvádzania týchto nástrojov do prevádzky ( pomocou kontrolných mechanizmov popísaných v dokumentácii k CIPF a pomocou organizačných).

Stiahnuť ▼ súbor ZIP (43052)

Dokumenty sa hodili - dajte "like":

Každý, kto to myslí vážne s bezpečnosťou svojich dôverných informácií, stojí pred úlohou vybrať softvér na ochranu kryptografických údajov. A nie je na tom absolútne nič prekvapujúce – šifrovanie je zďaleka jedným z najspoľahlivejších spôsobov, ako zabrániť neoprávnenému prístupu k dôležitým dokumentom, databázam, fotografiám a akýmkoľvek iným súborom.

Problémom je, že pre kompetentnú voľbu je potrebné pochopiť všetky aspekty fungovania kryptografických produktov. V opačnom prípade sa môžete veľmi ľahko pomýliť a zastaviť sa pri softvéri, ktorý vám buď neumožňuje ochrániť všetky potrebné informácie, alebo neposkytuje náležitý stupeň zabezpečenia. Na čo by ste si mali dať pozor? Po prvé, toto sú šifrovacie algoritmy dostupné v produkte. Po druhé, metódy overovania vlastníkov informácií. Po tretie, spôsoby ochrany informácií. Po štvrté, ďalšie funkcie a možnosti. Po piate, autorita a sláva výrobcu, ako aj dostupnosť certifikátov pre vývoj šifrovacích nástrojov. A to nie je všetko, čo môže byť dôležité pri výbere systému kryptografickej ochrany.

Je jasné, že pre človeka, ktorý sa v oblasti informačnej bezpečnosti neorientuje, je ťažké nájsť odpovede na všetky tieto otázky.

Tajný disk 4 Lite

Secret Disk 4 Lite vyvinul Aladdin, jeden zo svetových lídrov pôsobiacich v oblasti informačnej bezpečnosti. Má veľa certifikátov. A hoci predmetný produkt nie je certifikovaným nástrojom (Secret Disk 4 má samostatnú certifikovanú verziu), táto skutočnosť naznačuje uznanie spoločnosti ako seriózneho vývojára kryptografických nástrojov.

Na šifrovanie je možné použiť Secret Disk 4 Lite oddelené sekcie pevný disk, akékoľvek vymeniteľné jednotky, ako aj na vytváranie bezpečných virtuálnych jednotiek. S týmto nástrojom teda môžete vyriešiť väčšinu problémov súvisiacich s kryptografiou. Samostatne stojí za zmienku možnosť šifrovania systémový oddiel. V takom prípade nebude možné spustenie operačného systému neoprávneným používateľom. Navyše je táto ochrana neporovnateľne spoľahlivejšia ako vstavané nástroje ochrany Windows.

Secret Disk 4 Lite nemá vstavané šifrovacie algoritmy. Tento program využíva na svoju prácu externých poskytovateľov kryptografie. Štandardne sa používa štandardný modul integrovaný do Windows. Implementuje algoritmy DES a 3DES. Dnes sa však považujú za zastarané. Preto pre lepšia ochranaŠpeciálny balíček Secret Disk Crypto Pack si môžete stiahnuť z webovej stránky Aladdin. Ide o poskytovateľa kryptografie, ktorý implementuje doteraz najbezpečnejšie kryptografické technológie vrátane AES a Twofish s dĺžkou kľúča až 256 bitov. Mimochodom, ak je to potrebné, v kombinácii s Secret Disk 4 Lite môžete použiť certifikovaných poskytovateľov algoritmov Signal-COM CSP a CryptoPro CSP.

Charakteristickým rysom Secret Disk 4 Lite je systém overovania používateľov. Ide o to, že je to postavené na používaní digitálnych certifikátov. Na tento účel je súčasťou balenia produktu hardvérový USB eToken. Je to vysoko bezpečné úložisko pre tajné kľúče. V skutočnosti hovoríme o plnohodnotnej dvojfaktorovej autentifikácii (prítomnosť tokenu plus znalosť jeho PIN kódu). V dôsledku toho je uvažovaný šifrovací systém ušetrený takého „úzkeho miesta“, akým je použitie konvenčnej ochrany heslom.

Z ďalších funkcií Secret Disk 4 Lite si možno všimnúť možnosť práce viacerých používateľov (majiteľ šifrovaných diskov môže poskytnúť prístup k nim iným ľuďom) a operácie šifrovania na pozadí.

Rozhranie Secret Disk 4 Lite je jednoduché a priamočiare. Je vyrobený v ruštine, rovnako ako podrobný systém pomoci, ktorý popisuje všetky nuansy používania produktu.

InfoWatch CryptoStorage

InfoWatch CryptoStorage je produkt pomerne známej spoločnosti InfoWatch, ktorá má certifikáty na vývoj, distribúciu a údržbu šifrovacích nástrojov. Ako už bolo uvedené, nie sú povinné, ale môžu zohrávať úlohu akéhosi indikátora serióznosti spoločnosti a kvality jej produktov.

Obrázok 1. Kontextové menu

InfoWatch CryptoStorage implementuje iba jeden šifrovací algoritmus - AES s dĺžkou kľúča 128 bitov. Autentifikácia používateľa sa realizuje pomocou konvenčnej ochrany heslom. V záujme spravodlivosti treba poznamenať, že program má limit minimálnej dĺžky Kľúčové slová, rovná šiestim znakom. Ochrana heslom je však vo svojej spoľahlivosti určite oveľa nižšia ako dvojfaktorová autentifikácia pomocou tokenov. Funkciou programu InfoWatch CryptoStorage je jeho všestrannosť. Ide o to, že sa dá použiť na šifrovanie jednotlivé súbory a priečinky, celé oddiely pevného disku, všetky vymeniteľné jednotky, ako aj virtuálne jednotky.

Tento produkt, rovnako ako predchádzajúci, vám umožňuje chrániť systémové disky, to znamená, že ho možno použiť na zabránenie neoprávnenému spusteniu počítača. InfoWatch CryptoStorage vám v skutočnosti umožňuje riešiť celý rad úloh súvisiacich s používaním symetrického šifrovania.

Ďalšou vlastnosťou uvažovaného produktu je organizácia prístupu viacerých používateľov k zašifrovaným informáciám. InfoWatch CryptoStorage navyše implementuje garantované zničenie dát bez možnosti ich obnovy.

InfoWatch CryptoStorage je program v ruskom jazyku. Jeho rozhranie je vyrobené v ruštine, ale je dosť nezvyčajné: hlavné okno ako také chýba (existuje iba malé okno konfigurátora) a takmer všetka práca sa vykonáva pomocou obsahové menu. Takéto riešenie je nezvyčajné, ale nedá sa neuznať jeho jednoduchosť a pohodlnosť. Prirodzene je k dispozícii aj ruská dokumentácia v programe.

Rohos Disk je produktom Tesline-Service.S.R.L. Je súčasťou radu malých utilít, ktoré implementujú rôzne nástroje na ochranu dôverných informácií. Táto séria sa vyvíja od roku 2003.


Obrázok 2. Rozhranie programu

Rohos Disk je určený na kryptografickú ochranu počítačových dát. Umožňuje vám vytvárať šifrované virtuálne disky, na ktoré môžete ukladať ľubovoľné súbory a priečinky, ako aj inštalovať softvér.

Na ochranu údajov tento produkt používa kryptografický algoritmus AES s dĺžkou kľúča 256 bitov, ktorý poskytuje vysoký stupeň bezpečnosť.

Rohos Disk má dva spôsoby overenia používateľa. Prvým z nich je bežná ochrana heslom so všetkými nedostatkami. Druhou možnosťou je použiť obyčajný USB disk, na ktorý sa zapíše potrebný kľúč.

Táto možnosť tiež nie je príliš spoľahlivá. Pri jeho používaní môže strata „flash disku“ viesť k vážnym problémom.

Rohos Disk má širokú škálu doplnkových funkcií. V prvom rade stojí za zmienku ochrana USB diskov. Jeho podstatou je vytvorenie špeciálneho šifrovaného oddielu na „flash disku“, v ktorom môžete bezpečne prenášať dôverné údaje.

Okrem toho produkt obsahuje samostatnú utilitu, pomocou ktorej môžete tieto USB disky otvárať a prezerať na počítačoch, ktoré nemajú nainštalovaný Rohos Disk.

Ďalšou doplnkovou funkciou je podpora steganografie. Podstatou tejto technológie je skrytie zašifrovaných informácií vo vnútri multimediálnych súborov (podporované sú formáty AVI, MP3, MPG, WMV, WMA, OGG).

Jeho použitie vám umožňuje skryť samotný fakt prítomnosti tajného disku jeho umiestnením napríklad do filmu. Poslednou doplnkovou funkciou je zničenie informácií bez možnosti ich obnovy.

Program Rohos Disk má tradičné rozhranie v ruskom jazyku. Okrem toho ju sprevádza systém pomoci, možno nie tak podrobný ako dva predchádzajúce produkty, ale dostatočný na zvládnutie princípov jeho používania.

Keď už hovoríme o kryptografických nástrojoch, nemožno nespomenúť slobodný softvér. V skutočnosti dnes takmer vo všetkých oblastiach existujú hodnotné produkty, ktoré sa distribuujú úplne voľne. A informačná bezpečnosť nie je výnimkou z tohto pravidla.

Je pravda, že k používaniu slobodného softvéru na ochranu informácií existuje dvojaký prístup. Faktom je, že veľa nástrojov je napísaných jednotlivými programátormi alebo malými skupinami. Zároveň sa nikto nemôže zaručiť za kvalitu ich implementácie a absenciu "dier", náhodných alebo úmyselných. Samotné kryptografické riešenia sa však vyvíjajú pomerne ťažko. Pri ich vytváraní musíte brať do úvahy obrovské množstvo rôznych nuancií. Preto sa odporúča používať iba známe produkty a vždy s open source. Len tak máte istotu, že sú bez „záložiek“ a testované veľkým počtom špecialistov, čiže sú viac-menej spoľahlivé. Príkladom takéhoto produktu je program TrueCrypt.


Obrázok 3. Rozhranie programu

TrueCrypt je pravdepodobne jedným z najbohatších bezplatných kryptografických nástrojov. Spočiatku sa používal iba na vytváranie bezpečných virtuálnych diskov. Napriek tomu je to pre väčšinu používateľov najpohodlnejší spôsob ochrany rôznych informácií. Postupom času sa v ňom však objavila funkcia šifrovania systémového oddielu. Ako už vieme, má chrániť počítač pred neoprávneným spustením. TrueCrypt však zatiaľ nevie zašifrovať všetky ostatné partície, ako aj jednotlivé súbory a priečinky.

Príslušný produkt implementuje niekoľko šifrovacích algoritmov: AES, Serpent a Twofish. Vlastník informácií si môže vybrať, v ktorej z nich chce použiť tento moment. Overenie používateľa v TrueCrypt je možné vykonať pomocou bežných hesiel. Existuje však aj iná možnosť - pomocou kľúčových súborov, ktoré môžu byť uložené na pevnom disku alebo akomkoľvek inom vymeniteľné úložisko. Samostatne stojí za zmienku, že tento program podporuje tokeny a čipové karty, čo vám umožňuje organizovať spoľahlivú dvojfaktorovú autentifikáciu.

Od pridané vlastnosti uvažovaného programu je možné zaznamenať možnosť tvorby skryté zväzky vnútri tých hlavných. Používa sa na skrytie citlivých údajov pri otvorení disku pod nátlakom. TrueCrypt tiež implementuje systém Rezervovať kópiu hlavičky zväzkov na obnovenie po zlyhaní alebo návrat k starým heslám.

Rozhranie TrueCrypt je nástrojom tohto druhu známe. Je viacjazyčný a je možné nainštalovať ruský jazyk. Dokumentácia je oveľa horšia. Je to veľmi podrobné, ale napísané anglický jazyk. Prirodzene, o akomkoľvek technická podpora nemôže byť reč.

Pre lepšiu prehľadnosť sú všetky ich vlastnosti a funkcie zhrnuté v tabuľke 2.

Tabuľka 2 - Funkčnosť programy na ochranu kryptografických informácií.

Tajný disk 4 lite

InfoWatch CryptoStorage

Šifrovacie algoritmy

DES, 3DES, AES, TwoFish

AES, had, dve ryby

Maximálna dĺžka šifrovacieho kľúča

Pripojenie externých poskytovateľov kryptomien

Silná autentifikácia pomocou tokenov

+ (žetóny sa kupujú samostatne)

Šifrovanie súborov a priečinkov

Šifrovanie oddielov

Systémové šifrovanie

Šifrovanie virtuálnych diskov

Šifrovanie vymeniteľného úložiska

Podpora pre prácu viacerých používateľov

Zaručené zničenie dát

Skrytie šifrovaných objektov

Pracujte pod nátlakom

Rozhranie v ruskom jazyku

Dokumentácia v ruskom jazyku

Technická podpora

Počúvajte...môžete si, pre náš spoločný prospech, každý list, ktorý vám príde na poštu, došlý a odchádzajúci, viete, akosi trochu vytlačiť a prečítať: obsahuje nejakú správu alebo len korešpondenciu... .

N.V. Gogol "Inšpektor"

V ideálnom prípade by dôverný list mali vedieť prečítať iba dvaja ľudia: odosielateľ a ten, komu je adresovaný Formulácia takejto zdanlivo veľmi jednoduchej veci bola východiskovým bodom kryptoochranných systémov. Rozvoj matematiky dal impulz vývoju takýchto systémov.

Už v XVII-XVIII storočia boli šifry v Rusku dosť sofistikované a odolné voči prelomeniu. Mnohí ruskí matematici pracovali na vytváraní alebo zlepšovaní šifrovacích systémov a zároveň sa pokúšali vyzdvihnúť kľúče k šifrám iných systémov. V súčasnosti je možné zaznamenať niekoľko ruských šifrovacích systémov, ako napríklad Lexicon Verba, Secret Net, DALLAS LOCK, Secret Disk, rodina produktov Accord atď.. Budeme o nich hovoriť, zoznámite sa tiež s hlavným softvérom a hardvérom a softvérom komplexy kryptoprotekcie, spoznajte ich schopnosti, silné stránky a slabiny. Dúfame, že vám tento článok pomôže pri výbere systému kryptografickej ochrany.

Úvod

Máte z toho obavy dôležitá informácia z vášho počítača sa môže dostať do nesprávnych rúk? Tieto informácie môžu použiť konkurenti, regulačné orgány a jednoducho nepriatelia. Je zrejmé, že takéto konanie vám môže spôsobiť značné škody. Čo robiť? Ak chcete chrániť svoje informácie pred cudzími ľuďmi, musíte si nainštalovať jeden z programov na šifrovanie údajov. Naša recenzia je venovaná analýze šifrovacích systémov pre desktopové systémy. Treba poznamenať, že používanie cudzích šifrovacích systémov v Rusku je z viacerých dôvodov veľmi obmedzené štátne organizácie a veľké domáce spoločnosti sú nútené využívať ruský vývoj. Stredné a malé firmy, ale aj jednotlivci však niekedy uprednostňujú zahraničné systémy.

Pre nezasvätených vyzerá šifrovanie informácií ako niečo ako čierna mágia. Šifrovanie správ s cieľom skryť ich obsah pred cudzincami je skutočne zložitý matematický problém. Šifru je navyše potrebné zvoliť tak, aby ju bolo prakticky nemožné otvoriť bez kľúča a rýchlo a jednoducho pomocou kľúča. Mnoho spoločností a organizácií to má veľmi ťažké optimálna voľba pri inštalácii šifrovacích programov. Vec je ďalej komplikovaná skutočnosťou, že neexistujú absolútne bezpečné počítače a absolútne spoľahlivé šifrovacie systémy. Stále však existuje dostatok spôsobov, ktorými môžete odraziť takmer všetky pokusy o odhalenie zašifrovaných informácií.

Čo obsahujú šifrovacie programy

Šifrovacie programy sa navzájom líšia v šifrovacom algoritme. Keď je súbor zašifrovaný, môžete ho zapísať na disketu a odoslať cez e-mail alebo umiestniť na server vo vašej lokálnej sieti. Príjemca vášho šifrovania musí mať rovnaký šifrovací program, aby mohol čítať obsah súboru.

Ak chcete poslať šifrovanú správu viacerým používateľom súčasne, potom môžu byť vaše informácie pre každého príjemcu zašifrované pomocou vlastného kľúča alebo pomocou zdieľaného kľúča pre všetkých používateľov (vrátane autora správy).

Kryptosystém používa tajný kód na premenu vašich informácií na bezvýznamnú, pseudonáhodnou sadu znakov. o dobrý algoritmusšifrovanie, je takmer nemožné dešifrovať správu bez vedomia tajný kód používané na šifrovanie. Takéto algoritmy sa nazývajú algoritmy symetrického kľúča, pretože rovnaký kľúč sa používa na šifrovanie a dešifrovanie informácií.

Na ochranu vašich údajov šifrovací program vytvorí tajný kľúč na základe vášho hesla. Stačí si nastaviť dlhé heslo, ktoré nikto neuhádne. Ak však chcete, aby si súbor prečítal niekto iný, budete musieť tejto osobe povedať tajný kľúč (alebo heslo, na ktorom je založené). Môžete si byť istí, že aj jednoduchý šifrovací algoritmus ochráni vaše dáta pred bežný používateľ povedzme od kolegu v práci. Profesionáli však majú množstvo spôsobov, ako dešifrovať správu bez toho, aby poznali tajný kód.

Bez špeciálnych znalostí nebudete môcť nezávisle skontrolovať, aký spoľahlivý je váš šifrovací algoritmus. Môžete sa však spoľahnúť na názor profesionálov. Niektoré šifrovacie algoritmy, ako napríklad Triple DES (Data Encryption Standard), boli podrobené dlhoročnému testovaniu. Podľa výsledkov testu sa tento algoritmus osvedčil a kryptografi veria, že sa mu dá dôverovať. Väčšina nových algoritmov je tiež starostlivo študovaná a výsledky sú publikované v odbornej literatúre.

Ak algoritmus programu nebol otvorene preskúmaný a prediskutovaný odborníkmi, ak nemá certifikáty a iné oficiálne dokumenty, je to dôvod pochybovať o jeho spoľahlivosti a odmietnuť používať takýto program.

Ďalším typom šifrovacích systémov sú systémy verejného kľúča. Aby takýto systém fungoval, nie je potrebné oznamovať adresátovi tajný kľúč (alebo heslo, na základe ktorého bol vytvorený). Tieto šifrovacie systémy generujú dva digitálne kľúče pre každého používateľa: jeden sa používa na šifrovanie údajov, druhý na ich dešifrovanie. Prvý kľúč (nazývaný verejný kľúč) je možné zverejniť, zatiaľ čo druhý kľúč je utajený. Potom môže ktokoľvek zašifrovať informácie pomocou verejného kľúča a iba tí, ktorí majú zodpovedajúci tajný kľúč, ich môžu dešifrovať.

Niektoré šifrovacie programy obsahujú ďalší dôležitý prostriedok ochrany – digitálny podpis. Digitálny podpis potvrdzuje, že súbor nebol od podpísania zmenený a poskytuje príjemcovi informácie o tom, kto presne súbor podpísal. Algoritmus tvorby digitálny podpis na základe výpočtu kontrolného súčtu – takzvaného hash sum, alebo message digest. Použité algoritmy zaručujú, že nie je možné vybrať dva rôzne súbory, ktorých súčty hash by sa zhodovali.

Keď príjemca dostane digitálne podpísaný súbor, jeho šifrovací program prepočíta hašovaciu sumu pre tento súbor. Príjemca potom použije verejný kľúč zverejnený odosielateľom na obnovenie digitálneho podpisu. Ak sa výsledok zhoduje s hodnotou vypočítanou pre súbor, príjemca si môže byť istý, že text správy nebol zmenený (ak by sa tak stalo, súčet hash by bol iný) a podpis patrí osobe, ktorá má prístup na tajný kľúč odosielateľa.

Ochrana citlivých alebo dôverných informácií si vyžaduje viac než len dobrý programšifrovanie. Na zabezpečenie informačnej bezpečnosti musíte prijať množstvo opatrení. Ak je vaše heslo slabé (odborníci odporúčajú nastaviť ho na osem alebo viac znakov) alebo ak je vo vašom počítači uložená nezašifrovaná kópia dôverných informácií, potom v tomto prípade aj najlepší systémšifrovanie bude bezmocné.

Systém lexikón-verba

Systém Lexicon-Verba je prostriedkom na organizáciu chránených elektronická správa dokumentov v rámci podnikovej siete aj medzi rôznymi organizáciami. Lexicon-Verba využíva dve modifikácie kryptografického systému: systém Verba-W je určený pre štátne orgány (ochrana dôverných informácií, najmä drevotrieskových dosiek; podpisové kľúče sú otvorené, šifrovacie kľúče sú uzavreté), systém Verba-OW je pre komerčné organizácie (ochrana obchodného tajomstva; podpisové a šifrovacie kľúče sú otvorené).

Existuje pomerne veľa globálnych šifrovacích štandardov, ale len malá časť z nich je certifikovaná Federálnou agentúrou pre vládne komunikácie a informácie (FAPSI), čo znemožňuje používanie necertifikovaných riešení v Rusku. Systém Verba-W má certifikát FAPSI č. SF / 114-0176. Systém Verba-OW - FAPSI certifikát č.SF / 114-0174.

„Lexicon-Verba“ poskytuje šifrovanie a digitálny podpis v súlade s požiadavkami GOST 28147-89 „Systémy spracovania informácií. Kryptografická ochrana" a GOST R34.10-94" Informačné technológie. Kryptografická ochrana informácií. Postupy na vývoj a overovanie elektronického digitálneho podpisu založeného na asymetrickom kryptografickom algoritme.

Program je certifikovaný Štátnou technickou komisiou pod vedením prezidenta Ruskej federácie. V júli sa očakáva, že dostane certifikát od ruského ministerstva obrany.

Kryptografická ochrana systému je založená na metóde šifrovania verejným kľúčom. Každý kľúč, ktorý identifikuje používateľa, pozostáva z dvoch častí: verejného kľúča a súkromného kľúča. Verejný kľúč je voľne distribuovaný a používa sa na šifrovanie informácií tohto používateľa. Na dešifrovanie dokumentu musí mať osoba, ktorá ho zašifrovala, váš verejný kľúč a pri šifrovaní vás musí identifikovať ako osobu s prístupom k dokumentu.

Ak chcete dešifrovať dokument, musíte použiť súkromný kľúč. Súkromný kľúč pozostáva z dvoch častí, z ktorých jedna je uložená na čipovej karte alebo v dotykovej pamäti a druhá je uložená na pevnom disku vášho počítača. Strata čipovej karty ani neoprávnený prístup k počítaču teda neumožňuje individuálne dešifrovanie dokumentov.

Počiatočná sada kľúčov vrátane úplné informácie o verejných a súkromných kľúčoch používateľa, sa vytvára na špeciálne vybavenom zabezpečenom pracovisku. Disketa s kľúčovými informáciami sa používa iba vo fáze prípravy pracoviska používateľa.

Systém Lexicon-Verba možno použiť v rámci dvoch hlavných systémov na organizáciu bezpečnej správy dokumentov:

  • ako samostatné riešenie. Ak má organizácia lokálnu sieť, systém možno nainštalovať nie na všetky počítače, ale iba na tie, ktoré vyžadujú prácu s dôvernými dokumentmi. To znamená, že vo vnútri podnikovej siete existuje podsieť na výmenu utajovaných informácií. Účastníci uzavretej časti systému si zároveň môžu vymieňať otvorené dokumenty s ostatnými zamestnancami;
  • ako súčasť pracovného postupu. Lexicon-Verba má štandardné pripojovacie rozhrania vonkajšie funkcie na vykonávanie operácií otvárania, ukladania, zatvárania a odosielania dokumentov, čo uľahčuje integráciu tohto systému do existujúcich aj novo vyvinutých systémov workflow.

Treba poznamenať, že vlastnosti systému Lexicon-Verba z neho robia nielen prostriedok poskytovania ochranu informácií pred vonkajšími prienikmi, ale aj ako prostriedok na zvýšenie vnútropodnikovej dôvernosti a zdieľania prístupu.

Jedným z dôležitých dodatočných zdrojov na zvýšenie úrovne kontroly informačnej bezpečnosti je schopnosť viesť „záznam udalostí“ pre akýkoľvek dokument. Funkciu opravy histórie dokumentov je možné povoliť alebo zakázať iba vtedy, keď je systém nainštalovaný; keď je zapnutý tento časopis bude prebiehať bez ohľadu na želanie užívateľa.

Hlavnou výhodou a charakteristický znak systém je jednoduchá a intuitívna implementácia funkcií informačnej bezpečnosti pri zachovaní tradičných textové procesory pracovné prostredie používateľa.

Kryptografická jednotka vykonáva šifrovanie, ako aj inštaláciu a odstránenie elektronického digitálneho podpisu (EDS) dokumentov.

Pomocné funkcie bloku - sťahovanie tajného kľúča, export a import verejných kľúčov, nastavenie a údržba adresára systémových účastníckych kľúčov.

Každý z tých, ktorí majú prístup k dokumentu, teda môže vložiť iba svoj podpis, ale odstrániť ktorýkoľvek z predtým nastavených.

Odzrkadľuje to akceptovaný postup kancelárskej práce, keď dokument po schválení môže podliehať revíziám v rôznych fázach, ale potom musí byť dokument znovu schválený.

Ak sa pokúsite vykonať zmeny v dokumente iným spôsobom ako „Lexikon-Verba“, EDS je poškodený, v dôsledku toho sa v poli „Stav podpisu“ zobrazí nápis „Poškodený“.

Kancelária

S rastúcim počtom používateľov systému je zadávanie každého verejného kľúča na každom počítači ťažké. Na organizovanie práce úradu je preto organizovaná centralizovaná správa adresára verejných kľúčov. Toto sa vykonáva nasledujúcim spôsobom:

1) „Lexicon-Verba“ je nainštalovaný na počítači správcu v lokálnom režime. Tým sa vytvorí adresár verejných kľúčov, do ktorého správca pridá každý kľúč používaný v kancelárii;

2) na všetkých ostatných počítačoch je systém nainštalovaný Sieťový mód. Tento režim používa adresár verejného kľúča umiestnený na počítači správcu;

3) každý Nový užívateľ, pridaný administrátorom do adresára, sa stane „viditeľným“ pre všetkých používateľov pripojených k adresáru. Od toho momentu dostávajú možnosť preniesť mu zašifrované dokumenty.

Správa adresárov sa stáva centralizovanou, ale neovplyvňuje to úroveň zabezpečenia systému, pretože poskytovanie prístupu k verejným kľúčom je akýmsi „zoznámením“ používateľov, ale neumožňuje prístup k žiadnym dokumentom. Aby používateľ mohol dešifrovať dokument, jeho verejný kľúč musí byť nielen v adresári, ale musí byť aj explicitne uvedený ako osoba s prístupom k dokumentu.

TO prostriedky na ochranu kryptografických informácií(CIPF), zahŕňajú hardvér, firmvér a softvér, ktoré implementujú kryptografické algoritmy transformácia informácií.

Predpokladá sa, že v niektorom počítačovom systéme (v mnohých zdrojoch - informačnom a telekomunikačnom systéme alebo komunikačnej sieti) sa používajú nástroje na ochranu kryptografických informácií spolu s mechanizmami na implementáciu a garantovanie určitej bezpečnostnej politiky.

Spolu s pojmom „prostriedky ochrany kryptografických informácií“ sa tento výraz často používa scrambler- zariadenie alebo program, ktorý implementuje šifrovací algoritmus. Zavedený koncept CIPF zahŕňa kodér, ale vo všeobecnosti je širší.

Prvé operačné systémy (OS) pre osobné počítače (MS-DOS a Verzie systému Windows do 3.1 vrátane) vôbec nedisponovali vlastnými ochrannými prostriedkami, čím vznikol problém vytvorenia dodatočných ochranných prostriedkov. Naliehavosť tohto problému sa s príchodom výkonnejších operačných systémov s pokročilými ochrannými subsystémami prakticky neznížila. Je to spôsobené tým, že väčšina systémov nie je schopná ochrániť dáta, ktoré sú mimo nej, napríklad pri využívaní sieťovej výmeny informácií.

Nástroje ochrany kryptografických informácií, ktoré poskytujú zvýšenú úroveň ochrany, možno rozdeliť do piatich hlavných skupín (obr. 2.1).

Ryža. 2.1 Hlavné skupiny CIPF

Vytvorí sa prvá skupina identifikačné systémy A overenie užívateľa. Takéto systémy sa používajú na obmedzenie prístupu náhodných a nelegálnych používateľov k zdrojom počítačového systému. Všeobecný algoritmus Prevádzkou týchto systémov je získať od používateľa informácie preukazujúce jeho totožnosť, overiť ich pravosť a následne poskytnúť (alebo neposkytnúť) tomuto používateľovi možnosť pracovať so systémom.

Druhou skupinou nástrojov, ktoré poskytujú zvýšenú úroveň ochrany sú systémy na šifrovanie diskov. Hlavnou úlohou, ktorú takéto systémy riešia, je ochrana pred neoprávneným použitím údajov umiestnených na diskových médiách.

Zabezpečenie dôvernosti údajov umiestnených na diskových médiách sa zvyčajne vykonáva ich šifrovaním pomocou symetrických šifrovacích algoritmov. Hlavným klasifikačným znakom pre šifrovacie komplexy je úroveň ich integrácie do počítačového systému.

Systémy na šifrovanie údajov môžu vykonávať kryptografické transformácie údajov:

9. na úrovni súborov (chránené sú jednotlivé súbory);

10. na úrovni disku (chránené sú celé disky).

Programy prvého typu zahŕňajú archivátory ako WinRAR, ktoré umožňujú používať kryptografické metódy na ochranu archívnych súborov. Príkladom druhého typu systému je šifrovací program Diskreet, ktorý je súčasťou obľúbeného softvérového balíka Norton Utilities.

Ďalšou klasifikačnou vlastnosťou systémov na šifrovanie údajov na disku je spôsob, akým fungujú.

Podľa spôsobu fungovania je systém šifrovania údajov na disku rozdelený do dvoch tried:

4) „transparentné“ šifrovacie systémy;

5) systémy špeciálne povolané na implementáciu šifrovania.

V systémoch transparentné šifrovanie(šifrovanie za chodu) kryptografické transformácie sa vykonávajú v reálnom čase, pre používateľa nepostrehnuteľné. Pozoruhodným príkladom je šifrovanie priečinka Temp a My Documents pri použití EFS Win2000 - počas prevádzky sú šifrované nielen samotné dokumenty, ale aj vytvorené dočasné súbory a používateľ tento proces nezaznamená.

Systémy druhej triedy sú zvyčajne nástroje, ktoré je potrebné špecificky vyvolať na vykonanie šifrovania. Patria sem napríklad archivátory so zabudovanou ochranou heslom.

Do tretej skupiny nástrojov, ktoré poskytujú zvýšenú úroveň ochrany, patrí Šifrovacie systémy pre dáta prenášané cez počítačové siete. Existujú dva hlavné spôsoby šifrovania:

kódovanie kanálov;

terminálové (účastnícke) šifrovanie.

Kedy kódovanie kanála všetky informácie prenášané cez komunikačný kanál, vrátane servisných informácií, sú chránené. Zodpovedajúce šifrovacie postupy sú implementované pomocou protokolu spojovej vrstvy sedemvrstvového referenčného modelu interakcie otvorené systémy OSI (Open System Interconnect).

Tento spôsob šifrovania má nasledujúcu výhodu – vloženie šifrovacích procedúr do spojovej vrstvy umožňuje použitie hardvéru, ktorý zlepšuje výkon systému.

Tento prístup má však značné nevýhody, najmä šifrovanie servisných informácií, ktoré je nevyhnutné na danej úrovni, môže viesť k výskytu štatistických vzorov v zašifrovaných údajoch; to ovplyvňuje spoľahlivosť ochrany a ukladá obmedzenia na používanie kryptografických algoritmov.

End-to-end (predplatiteľ) šifrovanie umožňuje zabezpečiť dôvernosť dát prenášaných medzi dvoma aplikačnými objektmi (predplatiteľmi). End-to-end šifrovanie sa implementuje pomocou protokolu aplikačnej alebo prezentačnej vrstvy referenčného modelu OSI. V tomto prípade je chránený iba obsah správy, všetky informácie o službe zostávajú otvorené. Táto metóda umožňuje vyhnúť sa problémom spojeným so šifrovaním servisných informácií, ale vznikajú aj iné problémy. Najmä útočník, ktorý má prístup ku komunikačným kanálom počítačová sieť, získava schopnosť analyzovať informácie o štruktúre výmeny správ, napríklad o odosielateľovi a príjemcovi, o čase a podmienkach prenosu údajov, ako aj o množstve prenášaných údajov.

Štvrtou skupinou obrany sú systémy elektronickej autentifikácie údajov.

Pri výmene elektronických údajov cez komunikačné siete vzniká problém autentifikácie autora dokumentu a dokumentu samotného, ​​t.j. zistenie totožnosti autora a kontrola absencie zmien v prijatom dokumente.

Na autentifikáciu elektronických údajov sa používa autentifikačný kód správy (vloženie imitácie) alebo elektronický digitálny podpis. Pri generovaní overovacieho kódu správy a elektronického digitálneho podpisu odlišné typyšifrovacie systémy.

Piatu skupinu prostriedkov poskytujúcich zvýšenú úroveň ochrany tvoria nástroje na správu kľúčových informácií. Kľúčové informácie sa chápu ako súhrn všetkých informácií používaných v počítačovom systéme alebo sieti kryptografické kľúče.

Ako viete, bezpečnosť každého kryptografického algoritmu je určená použitými kryptografickými kľúčmi. V prípade slabej správy kľúčov môže útočník získať kľúčové informácie a získať ich plný prístup na všetky informácie v počítačovom systéme alebo sieti.

Hlavným klasifikačným znakom nástrojov správy kľúčových informácií je typ funkcie správy kľúčov. Existujú tieto hlavné typy funkcií správy kľúčov: generovanie kľúčov, ukladanie kľúčov a distribúcia kľúčov.

Spôsoby generovanie kľúčov sa líšia pre symetrické a asymetrické kryptosystémy. Na generovanie kľúčov symetrických kryptosystémov sa používajú hardvérové ​​a softvérové ​​nástroje na generovanie náhodných čísel. Generovanie kľúčov pre asymetrické kryptosystémy je oveľa náročnejšia úloha kvôli potrebe získať kľúče s určitými matematickými vlastnosťami.

Funkcia úložisko kľúčov zahŕňa organizáciu bezpečné skladovanie, účtovanie a mazanie kľúčov. Aby sa zabezpečilo bezpečné uloženie a prenos kľúčov, sú šifrované pomocou iných kľúčov. Tento prístup vedie k kľúčové koncepty hierarchie. Hierarchia kľúčov zvyčajne zahŕňa hlavný kľúč (hlavný kľúč), kľúč na šifrovanie kľúča a kľúč na šifrovanie údajov. Je potrebné poznamenať, že generovanie a ukladanie hlavných kľúčov sú kritické problémy v kryptografickej ochrane.

Rozdelenie kľúčov je najzodpovednejší proces v manažmente kľúčov. Tento proces by mal zaručiť utajenie distribuovaných kľúčov, ako aj rýchlosť a presnosť ich distribúcie. Existujú dva hlavné spôsoby distribúcie kľúčov medzi používateľmi počítačovej siete:

používanie jedného alebo viacerých kľúčových distribučných centier;

priama výmena kľúčov relácie medzi používateľmi.

Prejdime k formulovaniu požiadaviek na ochranu kryptografických informácií, spoločných pre všetky uvažované triedy.

Kryptografické metódy ochrany informácií môžu byť implementované ako softvérovo, tak aj hardvérovo. Hardvérovým kodérom alebo zariadením na ochranu kryptografických dát (UKZD) je najčastejšie rozširujúca doska vložená do konektora 18A alebo PC1 základnej dosky osobného počítača (PC) (obr. 3.21). Existujú aj ďalšie možnosti implementácie, napríklad v podobe kľúča u8B s kryptografickými funkciami (obr. 3.22).

Výrobcovia hardvérových kódovačov ich zvyčajne vybavujú rôznymi doplnkovými funkciami vrátane:

Generovanie náhodných čísel potrebných na získanie kryptografických kľúčov. Okrem toho ich mnoho kryptografických algoritmov používa na iné účely, napríklad v algoritme elektronického digitálneho podpisu, GOST R 34.10-2001, sa pre každý výpočet podpisu vyžaduje nové náhodné číslo;

Ryža. 3.21. Hardvérový kódovač vo forme dosky PC1:

1 - technologické konektory; 2 - pamäť na zaznamenávanie; 3 - prepínače režimov; 4 - multifunkčná pamäť; 5 - riadiaca jednotka a mikroprocesor; 6- rozhranie PC1; 7- ovládač PC1; 8- DSC; 9- rozhrania na pripojenie kľúčových nosičov

Ryža. 3.22.

  • ovládanie prihlásenia do počítača. Pri zapnutí počítača zariadenie vyžaduje od používateľa zadanie osobných údajov (napríklad vloženie zariadenia so súkromným kľúčom). Načítava operačný systém budú povolené až potom, čo zariadenie rozpozná prezentované kľúče a považuje ich za „svoje“. V opačnom prípade budete musieť otvoriť systémová jednotka a odtiaľ odstráňte kódovač, aby sa načítal operačný systém (informácie na pevnom disku počítača však môžu byť tiež šifrované);
  • kontrola integrity súborov operačného systému, aby sa zabránilo škodlivým modifikáciám konfiguračné súbory A systémové programy. Kódovač ukladá zoznam všetkých dôležitých súborov s vopred vypočítanými kontrolnými hašovacími hodnotami pre každý z nich, a ak hašovacia hodnota aspoň jedného z kontrolovaných súborov nezodpovedá štandardu pri nasledujúcom spustení OS, počítač byť zablokovaný.

Šifrovač, ktorý vykonáva kontrolu prihlásenia na PC a kontroluje integritu operačného systému, sa tiež nazýva „ elektronický zámok» (pozri odsek 1.3).

Na obr. 3.23 ukazuje typickú štruktúru hardvérového kódovača. Zvážte funkcie jeho hlavných blokov:

  • riadiaca jednotka - hlavný modul kódovača. Zvyčajne sa implementuje na základe mikrokontroléra, pri výbere ktorého hlavnou vecou je rýchlosť a dostatočné množstvo vnútorných zdrojov, ako aj externé porty na pripojenie všetkých potrebných modulov;
  • ovládač systémovej zbernice PC (napríklad PC1), prostredníctvom ktorého sa uskutočňuje hlavná výmena údajov medzi UKZD a počítačom;
  • energeticky nezávislé úložné zariadenie (pamäť), zvyčajne realizované na báze flash pamäťových čipov. Musí byť dostatočne priestranný (niekoľko megabajtov) a umožňovať veľký počet cyklov zápisu. Tu sa nachádza softvér mikrokontroléra, ktorý si

Ryža. 3.23. Štruktúra UKZD sa vyplní pri inicializácii zariadenia (keď kódovač prevezme kontrolu pri bootovaní počítača);

  • pamäť auditovacieho denníka, ktorá je tiež energeticky nezávislou pamäťou (aby sa predišlo možným kolíziám, pamäť programu a pamäť denníka by sa nemali kombinovať);
  • šifrovací procesor (alebo niekoľko podobných jednotiek) - špecializovaný mikroobvod alebo mikroobvod programovateľnej logiky PLD (Programmable Logic Device), ktorý zabezpečuje vykonávanie kryptografických operácií (šifrovanie a dešifrovanie, výpočet a overenie EDS, hashovanie);
  • generátor náhodných čísel, čo je zariadenie, ktoré produkuje štatisticky náhodný a nepredvídateľný signál (tzv. biely šum). Môže to byť napríklad šumová dióda. Pred ďalším použitím v šifrovacom procesore sa podľa osobitných pravidiel biely šum prevedie do digitálnej podoby;
  • blok na zadávanie kľúčových informácií. Zabezpečuje bezpečný príjem súkromných kľúčov od nosiča kľúčov a zadávanie identifikačných informácií o užívateľovi potrebných na jeho autentifikáciu;
  • blok prepínačov potrebný na deaktiváciu možnosti práce s externými zariadeniami (jednotky, CD-ROM, paralelné a sériové porty, zbernica USB atď.). Ak používateľ pracuje s vysoko citlivými informáciami, UKZD zablokuje všetky externých zariadení vrátane sieťovej karty.

Kryptografické operácie v UKZD by sa mali vykonávať tak, aby sa vylúčil neoprávnený prístup k relácii a súkromné ​​kľúče a možnosť ovplyvňovať výsledky ich realizácie. Preto sa šifrovací procesor logicky skladá z niekoľkých blokov (obr. 3.24):

  • kalkulačka - súbor registrov, sčítačiek, substitučných blokov atď. vzájomne prepojené dátovými zbernicami. Navrhnuté pre najrýchlejšie vykonávanie kryptografických operácií. Ako vstup dostane kalkulačka otvorené dáta, ktoré by mali byť zašifrované (dešifrované) alebo podpísané, a kryptografický kľúč;
  • riadiaca jednotka - hardvérovo implementovaný program, ktorý riadi kalkulačku. Ak z akéhokoľvek dôvodu

Ryža. 3.24.

program sa zmení, jeho práca začne haprovať. Preto tento program by mal byť nielen bezpečne uložený a stabilne fungovať, ale aj pravidelne kontrolovať jeho integritu. Vyššie opísaná externá riadiaca jednotka tiež periodicky posiela riadiacej jednotke riadiace úlohy. V praxi sú pre väčšiu dôveru v kódovač nainštalované dva šifrovacie procesory, ktoré neustále porovnávajú výsledky svojich kryptografických operácií (ak sa nezhodujú, operácia sa opakuje);

I/O vyrovnávacia pamäť je potrebná na zlepšenie výkonu zariadenia: kým sa prvý blok údajov šifruje, načítava sa ďalší atď.. To isté sa deje na výstupe. Takýto prenos dátovým potrubím výrazne zvyšuje rýchlosť kryptografických operácií v kódovači.

Existuje ešte jedna úloha na zaistenie bezpečnosti pri vykonávaní kryptografických operácií šifrátorom: načítanie kľúčov do šifrovača, obchádzanie RAM počítač, kde ich možno teoreticky zachytiť a dokonca nahradiť. K tomu UKZD navyše obsahuje vstupno-výstupné porty (napríklad COM alebo USB), na ktoré sú priamo pripojené rôzne čítačky kľúčových médií. Môžu to byť ľubovoľné čipové karty, tokeny (špeciálne USB kľúče) alebo prvky dotykovej pamäte (pozri ods. 1.3). Mnohé z týchto médií poskytujú okrem priameho vstupu kľúčov do UKZD aj ich spoľahlivé uloženie - ani nosič kľúčov bez znalosti špeciálneho prístupového kódu (napríklad PIN kódu) neprečíta jeho obsah.

Aby sa predišlo kolíziám pri súčasnom prístupe ku kódovaču rôzne programy, v počítačovom systéme je nainštalovaný špeciálny softvér


Ryža. 3.25.

  • (softvér) na ovládanie enkodéra (obr. 3.25). Takýto softvér vydáva príkazy prostredníctvom ovládača kódovača a prenáša údaje do kódovača, pričom zabezpečuje, aby sa informačné toky z rôznych zdrojov neprekrývali, a tiež aby kódovač vždy obsahoval správne klávesy. UKZD teda vykonáva zásadne dve odlišné typy príkazy:
  • pred načítaním operačného systému sa vykonajú príkazy, ktoré sú v pamäti kódovača, ktoré vykonajú všetky potrebné kontroly (napríklad identifikácia a autentifikácia používateľa) a nastavia požadovanú úroveň zabezpečenia (napríklad vypnutie externých zariadení);
  • po načítaní OS (napríklad Windows) sa vykonajú príkazy, ktoré prichádzajú cez riadiaci softvér šifrovača (šifrovanie údajov, opätovné načítanie kľúčov, výpočet náhodných čísel atď.).

Takéto oddelenie je potrebné z bezpečnostných dôvodov - po vykonaní príkazov prvého bloku, ktoré nemožno obísť, už narušiteľ nebude môcť vykonávať neoprávnené akcie.

Ďalším účelom softvéru na správu kódovača je poskytnúť možnosť nahradiť jeden kódovač iným (povedzme, ktorý je produktívnejší alebo implementuje iné kryptografické algoritmy) bez zmeny softvéru. To sa deje rovnakým spôsobom, napríklad pri zmene internetová karta: Šifrovač sa dodáva s ovládačom, ktorý programom umožňuje vykonávať štandardnú sadu kryptografických funkcií v súlade s niektorým aplikačným programovacím rozhraním (napríklad CryptAP1).

Rovnakým spôsobom môžete nahradiť hardvérový kódovač softvérovým (napríklad emulátorom kódovača). Na tento účel je softvérový kódovač zvyčajne implementovaný ako ovládač, ktorý poskytuje rovnakú sadu funkcií.

Nie všetky UKZD však potrebujú softvér na správu kodéra (najmä kodér na „transparentné“ šifrovanie-dešifrovanie všetkých pevný disk PC je potrebné nastaviť iba raz).

Na dodatočné zaistenie bezpečnosti vykonávania kryptografických operácií v UKZD je možné použiť viacúrovňovú ochranu kryptografických kľúčov symetrického šifrovania, pri ktorej je náhodný kľúč relácie zašifrovaný dlhodobým užívateľským kľúčom a ten zasa hlavný kľúč (obr. 3.26).

V štádiu počiatočného načítania sa hlavný kľúč zadá do bunky kľúča č. 3 pamäte kódovača. Na trojúrovňové šifrovanie si však musíte zaobstarať ďalšie dve. Kľúč relácie sa generuje ako výsledok požiadavky na generátor (senzor)

Ryža. 3.26. Zašifrovanie súboru pomocou kódovača UKZD ny čísla (DSN) na získanie náhodného čísla, ktoré sa nahrá do bunky kľúča č.1 zodpovedajúcej kľúču relácie. Zašifruje obsah súboru a vytvorí nový súbor A, ktorý uchováva zašifrované informácie.

Ďalej je používateľ vyzvaný na zadanie dlhodobého kľúča, ktorý sa načíta do bunky kľúča #2 s dešifrovaním pomocou hlavného kľúča umiestneného v bunke #3. v tomto prípade kľúč nikdy „neopustí“ kódovač. Nakoniec sa kľúč relácie zašifruje pomocou dlhodobého kľúča v bunke 2, stiahne sa z šifrovača a zapíše sa do hlavičky zašifrovaného súboru.

Pri dešifrovaní súboru sa kľúč relácie najprv dešifruje pomocou dlhodobého kľúča používateľa a potom sa pomocou neho obnovia informácie.

V zásade možno na šifrovanie použiť jeden kľúč, ale schéma viacerých kľúčov má vážne výhody. Po prvé, znižuje sa možnosť útoku na dlhodobý kľúč, pretože sa používa iba na šifrovanie kľúčov krátkych relácií. A to komplikuje útočníkovi kryptoanalýzu zašifrovaných informácií s cieľom získať dlhodobý kľúč. Po druhé, pri zmene dlhodobého kľúča môžete veľmi rýchlo znova zašifrovať súbor: stačí prešifrovať kľúč relácie zo starého dlhodobého kľúča na nový. Po tretie, nosič kľúča je uvoľnený, pretože je na ňom uložený iba hlavný kľúč a všetky dlhodobé kľúče (a používateľ ich môže mať niekoľko na rôzne účely) môžu byť uložené zašifrované pomocou hlavného kľúča aj na pevnom počítači. riadiť.

Šifrovače v podobe kľúčov SHV (viď obr. 3.22) sa zatiaľ nemôžu stať plnohodnotnou náhradou hardvérového kódovača pre zbernicu PC1 z dôvodu nízkej rýchlosti šifrovania. Majú však niekoľko zaujímavých funkcií. Po prvé, token (SW kľúč) nie je len hardvérový kódovač, ale aj nosič šifrovacích kľúčov, teda zariadenie dva v jednom. Po druhé, tokeny zvyčajne vyhovujú bežným medzinárodným kryptografickým štandardom (RKSB #11, 1BO 7816, RS / 8C atď.) a možno ich použiť bez dodatočné nastavenia v existujúcich softvérové ​​nástroje ochrana informácií (môžu byť napríklad použité na autentifikáciu používateľov v operačnom systéme rodiny Microsoft Windows). A napokon, cena takéhoto enkodéra je desaťkrát nižšia ako cena klasického hardvérového enkodéra pre PCI zbernicu.



Načítava...
Hore