Çfarë është skzi në një kompjuter. Mbrojtja e informacionit kriptografik

1.1. Kjo politikë financimi mbrojtje kriptografike informacion ( Me tutje - Politika ) përcakton procedurën për organizimin dhe sigurimin e funksionimit të enkriptimit ( kriptografike) mjete të krijuara për të mbrojtur informacionin që nuk përmban informacione që përbëjnë sekret shtetëror ( Me tutje - CIPF, kripto-mjete ) nëse përdoren për të garantuar sigurinë informacion konfidencial dhe të dhënat personale kur ato përpunohen në sistemet e informacionit.

1.2. Kjo politikë është zhvilluar në zbatim të:

  • ligji federal "Rreth të dhënave personale" , akte rregullatore të Qeverisë së Federatës Ruse në fushën e garantimit të sigurisë së të dhënave personale;
  • Ligji Federal Nr. 63-FZ "Rreth nënshkrim elektronik " ;
  • Urdhri i FSB i Federatës Ruse Nr. 378 "Për miratimin e përbërjes dhe përmbajtjes së masave organizative dhe teknike për të garantuar sigurinë e të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale duke përdorur mjetet e mbrojtjes së informacionit kriptografik të nevojshme për të përmbushur kërkesat e vendosura nga Qeveria e Federatës Ruse për mbrojtjen e të dhënat personale për secilin nga nivelet e sigurisë";
  • Urdhri FAPSI Nr. 152 " Për miratimin e Udhëzimit për organizimin dhe garantimin e sigurisë së ruajtjes, përpunimit dhe transmetimit përmes kanaleve të komunikimit duke përdorur mbrojtjen kriptografike të informacionit me akses të kufizuar që nuk përmban informacione që përbëjnë sekret shtetëror»;
  • Urdhri i Shërbimit Federal të Sigurisë të Federatës Ruse N 66 " Për miratimin e Rregullores për zhvillimin, prodhimin, shitjen dhe funksionimin e mjeteve të enkriptimit (kriptografik) të mbrojtjes së informacionit (Rregullorja PKZ-2005) »;

1.3. Kjo politikë zbatohet për mjetet e kriptove të krijuara për të garantuar sigurinë e informacionit konfidencial dhe të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit;

1.4. Mjetet kriptografike të mbrojtjes së informacionit ( Me tutje - CIPF ) që zbatojnë funksionet e enkriptimit dhe nënshkrimit elektronik përdoren për të mbrojtur dokumente elektronike të transmetuara përmes kanaleve të komunikimit publik, për shembull, rrjet publik Internet, ose kanale komunikimi me telefon.

1.5. Për të garantuar sigurinë, është e nevojshme të përdoret CIPF, e cila:

  • lejojnë përfshirjen në proceset teknologjike për përpunimin e mesazheve elektronike, ofrojnë ndërveprim me softuerin e aplikacionit në nivelin e përpunimit të kërkesave për transformimet kriptografike dhe nxjerrja e rezultateve;
  • furnizohen nga zhvilluesit me një grup të plotë dokumentacioni operacional, duke përfshirë një përshkrim të sistemit kryesor, rregullat për të punuar me të, si dhe një arsyetim për organizimin dhe personelin e nevojshëm;
  • mbështesin vazhdimësinë e proceseve të regjistrimit të funksionimit të CIPF dhe garantimit të integritetit software për mjedisin funksional të CIPF, i cili është një grup mjetesh harduerike dhe softuerike, së bashku me të cilat kryhet funksionimi i rregullt i CIPF dhe që mund të ndikojnë në përmbushjen e kërkesave për CIPF;
  • të certifikuar nga një organ i autorizuar shtetëror ose të ketë leje nga FSB e Rusisë.

1.6. CIPF që përdoret për të mbrojtur të dhënat personale duhet të ketë një klasë prej të paktën KS2.

1.7. CIPF zbatohet në bazë të algoritmeve që përputhen me standardet kombëtare të Federatës Ruse, kushtet e kontratës me palën tjetër.

1.8. CIPF, licencat, dokumentet kyçe përkatëse, udhëzimet për CIPF merren nga organizata në mënyrë të pavarur ose mund të merren nga një organizatë e palës së tretë që fillon një rrjedhë të sigurt dokumentesh.

1.9. CIPF, duke përfshirë median e instalimit, dokumentet kryesore, përshkrimet dhe udhëzimet për CIPF, përbëjnë një sekret tregtar në përputhje me Rregulloret për informacionin konfidencial.

  1. Procedura për përdorimin e CIPF

2.1. Instalimi dhe konfigurimi i mjeteve të mbrojtjes së informacionit kriptografik kryhet në përputhje me dokumentacionin operacional, udhëzimet e Shërbimit Federal të Sigurisë të Rusisë, organizatave të tjera të përfshira në menaxhimin e sigurt të dokumenteve elektronike. Pas përfundimit të instalimit dhe konfigurimit, kontrollohet gatishmëria e CIPF për përdorim, nxirren përfundime mbi mundësinë e funksionimit të tyre dhe CIPF vihet në funksion.

Vendosja dhe instalimi i CIPF, si dhe i pajisjeve të tjera që operojnë me kripto-mjete, në ambiente të ndjeshme duhet të minimizojnë mundësinë e aksesit të pakontrolluar të personave të paautorizuar në këto mjete. Mirëmbajtja pajisjet e tilla dhe ndryshimi i çelësave kripto kryhen në mungesë të personave që nuk lejohen të punojnë me të dhënat CIPF. Është e nevojshme të parashikohen masa organizative dhe teknike që përjashtojnë mundësinë e përdorimit të CIPF nga persona të paautorizuar. Vendndodhja fizike e CIPF duhet të garantojë sigurinë e CIPF, duke parandaluar hyrjen e paautorizuar në CIPF. Qasja e personave në ambientet ku ndodhen pajisjet mbrojtëse është e kufizuar në përputhje me nevojat e biznesit dhe përcaktohet nga një listë e miratuar nga drejtori.

Përfshirja e mjeteve kriptomatike të klasës KS1 dhe KS2 kryhet pa kontroll nga FSB e Rusisë ( nëse ky kontroll nuk parashikohet nga termat e referencës për zhvillimin (modernizimin) e sistemit të informacionit).

Përfshirja e mjeteve kriptografike të klasave KS3, KB1, KB2 dhe KA1 kryhet vetëm nën kontrollin e FSB të Rusisë.

Përfshirja e mjeteve kriptografike të klasës KS1, KS2 ose KS3 mund të kryhet ose nga vetë përdoruesi i mjetit kriptografik, nëse ai ka licencën e duhur nga FSB e Rusisë, ose nga një organizatë që ka licencën e duhur nga FSB e Rusisë.

Vendosja e një mjeti kriptografik të klasës KV1, KV2 ose KA1 kryhet nga një organizatë që ka licencën e duhur nga FSB e Rusisë.

Çmontimi i CIPF kryhet në varësi të procedurave që sigurojnë heqjen e garantuar të informacionit, përdorimi i paautorizuar i të cilit mund të dëmtojë aktivitetet e biznesit të organizatës dhe informacionin e përdorur nga mjetet e sigurisë. siguria e informacionit, nga kujtesa e përhershme dhe nga media e jashtme (me përjashtim të arkivave të dokumenteve elektronike dhe protokolleve të ndërveprimit elektronik, mirëmbajtja dhe ruajtja e të cilave për një periudhë të caktuar kohore parashikohet nga dokumentet përkatëse rregullatore dhe (ose) kontraktuale.) dhe hartohet me ligj. CIPF shkatërrojë ( disponojnë) me vendim të pronarit të instrumentit kriptografik dhe me njoftimin e organizatës përgjegjëse në përputhje me organizimin e kontabilitetit të kopjeve të instrumenteve kriptografike.

planifikuar për shkatërrim riciklimi) CIPF janë subjekt i tërheqjes nga hardueri me të cilin kanë funksionuar. Në të njëjtën kohë, mjetet kriptografike konsiderohen të tërhequra nga pajisja nëse përfundon procedura për heqjen e softuerit të mjeteve kriptografike të parashikuara nga dokumentacioni operativ dhe teknik për CIPF dhe ato janë shkëputur plotësisht nga hardueri.

Njësitë dhe pjesët e pajisjeve për qëllime të përgjithshme të përshtatshme për përdorim të mëtejshëm, të cilat nuk janë projektuar posaçërisht për zbatimin harduer të algoritmeve kriptografike ose funksione të tjera të mbrojtjes së informacionit kriptografik, si dhe pajisje që funksionojnë së bashku me mjetet kriptografike ( monitorë, printera, skaner, tastierë etj.), lejohet të përdoret pas shkatërrimit të CIPF pa kufizime. Në të njëjtën kohë, informacioni që mund të mbetet në pajisjet e kujtesës së pajisjes ( p.sh printera, skanerë), duhet të hiqet mirë ( fshihet).

2.2. Funksionimi i CIPF kryhet nga persona të caktuar me urdhër të drejtorit të organizatës dhe të trajnuar për të punuar me ta. Nëse ka dy ose më shumë përdorues të CIPF, detyrat ndërmjet tyre shpërndahen duke marrë parasysh përgjegjësinë personale për sigurinë e mjeteve kriptomatike, dokumentacionin kyç, operacional dhe teknik, si dhe për fushat e caktuara të punës.

Përdoruesit e kriptomonedhave u kërkohet të:

  • të mos zbulojnë informacionin në të cilin janë pranuar, duke përfshirë informacionin në lidhje me CIPF dhe masa të tjera mbrojtëse;
  • të mos zbulojë informacione për dokumentet kryesore;
  • parandaloni bërjen e kopjeve të dokumenteve kryesore;
  • parandaloni shfaqjen e dokumenteve kryesore ( monitoruar) Kompjuter personal ose printer;
  • të mos lejojë regjistrimin e informacionit të jashtëm në transportuesin kryesor;
  • parandaloni instalimin e dokumenteve kryesore në kompjuterë të tjerë personalë;
  • të respektojë kërkesat për garantimin e sigurisë së informacionit, kërkesat për garantimin e sigurisë së CIPF dhe dokumenteve kryesore të tyre;
  • raportojnë për përpjekjet e personave të paautorizuar që u janë bërë të njohura për të marrë informacion në lidhje me mjetet e përdorura për mbrojtjen e informacionit kriptografik ose dokumentet kryesore për ta;
  • të njoftojë menjëherë për faktet e humbjes ose mungesës së CIPF, dokumentet kryesore të tyre, çelësat e ambienteve, kasafortat, vulat personale dhe fakte të tjera që mund të çojnë në zbulimin e informacionit të mbrojtur;
  • dorëzojë CIPF, dokumentacionin operativ dhe teknik për ta, dokumentet kyçe me rastin e shkarkimit ose largimit nga kryerja e detyrave që lidhen me përdorimin e mjeteve kriptografike.

Siguria e përpunimit të informacionit duke përdorur CIPF sigurohet nga:

  • respektimi i konfidencialitetit nga përdoruesit gjatë trajtimit të informacionit që atyre u është besuar ose i bëhet i ditur në punë, duke përfshirë informacionin në lidhje me funksionimin dhe procedurat e sigurisë të mjeteve të aplikuara të mbrojtjes së informacionit kriptografik dhe dokumenteve kryesore për ta;
  • përmbushja e saktë nga përdoruesit e CIPF të kërkesave për sigurinë e informacionit;
  • ruajtje e besueshme e dokumentacionit operativ dhe teknik për CIPF, dokumente kyçe, media me shpërndarje të kufizuar;
  • zbulimi në kohë i përpjekjeve nga persona të paautorizuar për të marrë informacion në lidhje me informacionin e mbrojtur, për CIPF-në e përdorur ose dokumentet kryesore për ta;
  • marrjen e masave të menjëhershme për të parandaluar zbulimin e informacionit të mbrojtur, si dhe rrjedhjen e mundshme të tij në rast të humbjes ose mungesës së CIPF, dokumenteve kryesore për to, certifikatave, lejeve, çelësave të lokaleve, kasafortave, kasafortave ( kabinete metalike), vulat personale etj.

Nëse është e nevojshme, transferoni mjete teknike lidhjet e mesazheve të shërbimit akses i kufizuar në lidhje me organizimin dhe funksionimin e CIPF, këto mesazhe duhet të transmetohen vetëm duke përdorur mjete kriptografike. Transferimi i çelësave kripto me mjete teknike të komunikimit nuk lejohet, me përjashtim të sistemeve të organizuara posaçërisht me furnizim të decentralizuar të çelësave kripto.

CIPF i nënshtrohet kontabilitetit duke përdorur indekse ose emra të kushtëzuar dhe numra regjistrimi. Përcaktohet lista e indekseve, emrave të kushtëzuar dhe numrave të regjistrimit të kriptomonedhave Shërbimi Federal siguria e Federatës Ruse.

CIPF i përdorur ose i ruajtur, dokumentacioni operativ dhe teknik për ta, dokumentet kryesore i nënshtrohen kontabilitetit të kopjeve. Formulari i Ditarit të CIPF jepet në Shtojcën Nr. 1, Ditari i Transportuesve Kryesor në Shtojcën nr. 2 të kësaj Politike. Në të njëjtën kohë, duhet të merret parasysh softueri CIPF së bashku me harduerin me të cilin kryhet funksionimi i rregullt i tyre. Nëse mjetet e mbrojtjes së informacionit kriptografik të harduerit ose harduerit-software janë të lidhura me autobusin e sistemit ose me një nga ndërfaqet e brendshme të harduerit, atëherë mjete të tilla kriptografike merren gjithashtu parasysh së bashku me harduerin përkatës.

Njësia e kontabilitetit të kopjeve të dokumenteve kryesore konsiderohet të jetë një mbajtës çelësi i ripërdorshëm, një bllok shënimesh kyçe. Nëse i njëjti medium kyç përdoret në mënyrë të përsëritur për të regjistruar çelësat kripto, atëherë ai duhet të regjistrohet veçmas çdo herë.

Të gjitha kopjet e marra të kripto-mjetet, dokumentacioni operativ dhe teknik për ta, dokumentet kyçe duhet të lëshohen kundrejt marrjes në regjistrin e duhur të kopjeve për përdoruesit e mjeteve kriptomake që janë personalisht përgjegjës për sigurinë e tyre.

Transferimi i CIPF, dokumentacioni operacional dhe teknik tek ata, dokumentet kryesore lejohet vetëm midis përdoruesve të mjeteve kriptografike dhe (ose) përdoruesit përgjegjës të mjeteve kriptografike kundrejt marrjes në regjistrat përkatës të kontabilitetit të shembullit. Një transferim i tillë ndërmjet përdoruesve të mjeteve kriptografike duhet të autorizohet.

Ruajtja e mediave të instalimit CIPF, dokumentacionit operacional dhe teknik, dokumenteve kryesore kryhet në kabinete ( kuti, magazinim) përdorim individual në kushte që përjashtojnë aksesin e pakontrolluar në to, si dhe shkatërrimin e paqëllimshëm të tyre.

Hardueri me të cilin kryhet funksionimi i rregullt i CIPF, si dhe hardueri dhe hardueri-softueri CIPF duhet të pajisen me mjete për të kontrolluar hapjen e tyre ( vulosur, vulosur). Vendi i vulosjes ( vulosje) kripto-mjetet, hardueri duhet të jetë i tillë që të mund të kontrollohet vizualisht. Në prani të fizibiliteti teknik gjatë mungesës së përdoruesve të mjeteve kriptografike, këto fonde duhet të shkëputen nga linja e komunikimit dhe të vendosen në kasaforta të mbyllura.

Bërja e ndryshimeve në softuerin CIPF dhe dokumentacionin teknik për CIPF kryhet në bazë të azhurnimeve të marra nga prodhuesi CIPF dhe përditësimeve të dokumentuara me fiksimin e shumave të kontrollit.

Funksionimi i CIPF përfshin mbajtjen e të paktën dy kopjeve rezervë të softuerit dhe një rezervë transportuesit kryesorë. Rikuperimi i performancës së CIPF në situata emergjente kryhet në përputhje me dokumentacionin operacional.

2.3. Prodhimi i dokumenteve kryesore nga informacioni kryesor origjinal kryhet nga përdoruesit përgjegjës të sistemit të mbrojtjes së informacionit kriptografik, duke përdorur mjete standarde kriptografike, nëse një mundësi e tillë parashikohet nga dokumentacioni operativ dhe teknik në prani të një licence nga Federata Federale. Shërbimi i Sigurisë i Rusisë për prodhimin e dokumenteve kryesore për mjetet kriptografike.

Dokumentet kryesore mund të dorëzohen me korrier ( duke përfshirë departamentin) komunikimi ose me përdoruesit përgjegjës të caktuar posaçërisht të mjeteve kriptografike dhe punonjësit, subjekt i masave që përjashtojnë aksesin e pakontrolluar në dokumentet kryesore gjatë dorëzimit.

Për të dërguar dokumente kyçe, ato duhet të vendosen në një paketë të fortë që përjashton mundësinë e dëmtimit të tyre fizik dhe ndikimit të jashtëm. Në pako tregoni përdoruesin përgjegjës për të cilin synohen këto paketa. Paketa të tilla janë shënuar "Personalisht". Paketimet janë të mbyllura në mënyrë të tillë që të jetë e pamundur të nxirret përmbajtja prej tyre pa cenuar paketimet dhe mbresat e vulave.

Para deportimit fillestar ( ose kthehen) marrësi informohet me një letër të veçantë për përshkrimin e paketave që i dërgohen dhe vulat me të cilat ato mund të vulosen.

Për të dërguar dokumentet kryesore, përgatitet një letër motivuese, në të cilën duhet të tregohet: çfarë dërgohet dhe në çfarë sasie, numrat e llogarisë së dokumenteve dhe, nëse është e nevojshme, qëllimi dhe procedura e përdorimit të artikullit të dërguar. Një letër motivuese është e bashkangjitur në një nga paketat.

Paketat e marra hapen vetëm nga përdoruesi përgjegjës i mjeteve kriptografike për të cilat synohen. Nëse përmbajtja e paketës së marrë nuk korrespondon me ato të specifikuara në letrën motivuese ose vetë paketën dhe vulën - përshkrimi i tyre ( përshtypje), dhe gjithashtu nëse paketimi është dëmtuar, duke rezultuar në akses të lirë në përmbajtjen e tij, marrësi harton një akt që i dërgohet dërguesit. Dokumentet kryesore të marra me dërgesa të tilla nuk lejohen të përdoren derisa të merren udhëzimet nga dërguesi.

Nëse gjenden dokumente kyçe me defekt ose çelësa kripto, një kopje e produktit me defekt duhet t'i kthehet prodhuesit për të përcaktuar shkaqet e incidentit dhe për t'i eliminuar ato në të ardhmen, dhe kopjet e mbetura duhet të ruhen derisa të jepen udhëzimet shtesë nga prodhuesi. marrë.

Marrja e dokumenteve kryesore duhet t'i konfirmohet dërguesit në përputhje me procedurën e treguar në letrën motivuese. Dërguesi është i detyruar të kontrollojë dërgimin e sendeve të tij tek adresuesit. Nëse konfirmimi i duhur nuk është marrë në kohën e duhur nga adresuesi, dërguesi duhet t'i dërgojë atij një kërkesë dhe të marrë masa për të sqaruar vendndodhjen e sendeve.

Një urdhër për prodhimin e dokumenteve kryesore të radhës, prodhimin dhe shpërndarjen e tyre në vendet e përdorimit për zëvendësimin në kohë të dokumenteve kryesore ekzistuese bëhet paraprakisht. Një tregues i hyrjes në fuqi të dokumenteve kyçe të radhës jepet nga përdoruesi përgjegjës i mjeteve kriptografike vetëm pasi të marrin konfirmimin e marrjes së dokumenteve kryesore të radhës.

Dokumentet kyçe të papërdorura ose jashtë funksionit duhet t'i kthehen përdoruesit përgjegjës të mjeteve kriptografike ose, në drejtimin e tij, duhet të asgjësohen në vend.

Shkatërrimi i çelësave kripto ( informacion kyç fillestar) mund të bëhet duke shkatërruar fizikisht mediumin kyç në të cilin ndodhen, ose duke fshirë ( shkatërrimi) kriptoçelësat ( informacion kyç fillestar) pa dëmtuar mbajtësin e çelësit ( për të mundësuar ripërdorimin e tij).

Çelësat kripto ( informacion kryesor origjinal) fshihen sipas teknologjisë së adoptuar për mediat kyçe përkatëse të ripërdorshme ( disketa, disqe kompakte (CD-ROM), Çelësi i të dhënave, Karta inteligjente, Memoria me prekje, etj.). Veprime të drejtpërdrejta për të fshirë çelësat kripto ( informacion kyç fillestar), si dhe kufizimet e mundshme për përdorimin e mëtejshëm të mediave të ripërdorshme të çelësit rregullohen nga dokumentacioni operacional dhe teknik për mjetet përkatëse të mbrojtjes së informacionit kriptografik, si dhe udhëzimet nga organizata që regjistroi çelësat kripto ( informacion kyç fillestar).

Transportuesit kryesorë shkatërrohen duke u shkaktuar atyre dëme të pariparueshme fizike, duke përjashtuar mundësinë e përdorimit të tyre, si dhe duke rivendosur informacionin kryesor. Veprimet e drejtpërdrejta për të shkatërruar një lloj specifik të mbajtësit të çelësave rregullohen nga dokumentacioni operativ dhe teknik për mjetet përkatëse të mbrojtjes së informacionit kriptografik, si dhe udhëzimet nga organizata që regjistroi çelësat e kriptove ( informacion kyç fillestar).

Letra dhe bartës të tjerë të djegshëm të çelësave shkatërrohen duke djegur ose duke përdorur ndonjë makinë prerëse letre.

Dokumentet kryesore asgjësohen brenda afateve kohore të përcaktuara në dokumentacionin operativ dhe teknik për CIPF-në përkatëse. Fakti i shkatërrimit dokumentohet në regjistrat përkatës kopje për instancë.

Shkatërrimi sipas aktit kryhet nga një komision i përbërë nga të paktën dy persona. Akti specifikon se çfarë shkatërrohet dhe në çfarë sasie. Në përfundim të aktit bëhet një shënim përfundimtar (me numra dhe me fjalë) për numrin e artikujve dhe kopjeve të dokumenteve kyçe që shkatërrohen, duke instaluar median CIPF, dokumentacionin operacional dhe teknik. Korrigjimet në tekstin e aktit duhet të specifikohen dhe vërtetohen me nënshkrimet e të gjithë anëtarëve të komisionit që morën pjesë në shkatërrim. Në lidhje me shkatërrimin e kryer, shënimet bëhen në revistat përkatëse të kontabilitetit të kopjeve.

Kriptoçelësat që dyshohet se janë komprometuar, si dhe kriptoçelësat e tjerë që operojnë në lidhje me ta, duhet të çaktivizohen menjëherë, përveç rasteve kur specifikohet ndryshe në dokumentacionin operativ dhe teknik të CIPF. Në raste urgjente, kur nuk ka kriptoçelës për të zëvendësuar të dëmtuarit, lejohet, me vendim të përdoruesit përgjegjës të mjeteve kriptografike, të rënë dakord me operatorin, të përdoren kriptoçelës të komprometuar. Në këtë rast, periudha e përdorimit të çelësave kripto të komprometuar duhet të jetë sa më e shkurtër që të jetë e mundur dhe informacioni i mbrojtur duhet të jetë sa më pak i vlefshëm.

Për shkeljet që mund të çojnë në kompromentimin e çelësave kripto, përbërësve të tyre ose të transmetuar ( të ruajtura) me përdorimin e tyre të të dhënave, përdoruesit e mjeteve kriptografike janë të detyruar të raportojnë te përdoruesi përgjegjës i mjeteve kriptografike.

Inspektimi i mediave kyçe të ripërdorshme nga persona të paautorizuar nuk duhet të konsiderohet si dyshim për kompromentimin e kriptoçelësave, nëse kjo përjashton mundësinë e kopjimit të tyre ( lexim, riprodhim).

Në rastet e mungesës, mosparaqitjes së dokumenteve kyçe, si dhe pasigurisë së vendndodhjes së tyre, përdoruesi përgjegjës merr masa urgjente për kërkimin e tyre dhe lokalizimin e pasojave të komprometimit të dokumenteve kyçe.

  1. Procedura kryesore e menaxhimit të sistemit

Regjistrimi i personave me të drejta kryesore të menaxhimit kryhet në përputhje me dokumentacionin operativ për CIPF.

Menaxhimi i çelësave është një proces informacioni që përfshin tre elementë:

- gjenerimi i çelësave;

— grumbullimi i çelësave;

- shpërndarja e çelësave.

Në sistemet e informacionit të organizatës, përdoren metoda të veçanta harduerike dhe softuerike për gjenerimin e çelësave të rastit. Si rregull, përdoren gjeneratorë pseudo të numrave të rastësishëm ( Me tutje - PSCH ), me një shkallë mjaft të lartë rastësie të gjenerimit të tyre. Mjaft të pranueshëm janë gjeneruesit e çelësave të softuerit që llogaritin PRNG si funksion kompleks nga koha aktuale dhe ( ose) numri i futur nga përdoruesi.

Nën akumulimin e çelësave kuptohet organizimi i ruajtjes, kontabilitetit dhe fshirjes së tyre.

Çelësat sekretë nuk duhet të shkruhen në mënyrë eksplicite në një medium që mund të lexohet ose kopjohet.

Të gjitha informacionet në lidhje me çelësat e përdorur duhet të ruhen në formë të koduar. Çelësat që enkriptojnë informacionin kyç quhen çelësa kryesor. Çdo përdorues duhet t'i dijë përmendësh çelësat kryesorë, është e ndaluar t'i ruajë ato në çdo media materiale.

Për gjendjen e sigurisë së informacionit, është i nevojshëm përditësimi periodik i informacionit kyç në sistemet e informacionit. Kjo ricakton si çelësat e rregullt ashtu edhe çelësat kryesorë.

Gjatë shpërndarjes së çelësave, duhet të plotësohen kërkesat e mëposhtme:

- efikasiteti dhe saktësia e shpërndarjes;

— fshehtësia e çelësave të shpërndarë.

Një alternativë është që dy përdorues të marrin një çelës të përbashkët nga një autoritet qendror, një qendër e shpërndarjes së çelësave (KDC), përmes së cilës ata mund të ndërveprojnë në mënyrë të sigurt. Për të organizuar shkëmbimin e të dhënave midis CRC dhe përdoruesit, këtij të fundit i ndahet një çelës i veçantë gjatë regjistrimit, i cili kodon mesazhet e transmetuara midis tyre. Çdo përdoruesi i ndahet një çelës i veçantë.

MENAXHIMI I ÇELËSIT BAZUAR NË SISTEME TË ÇELËSVE PUBLIK

Përpara se të përdorni një kriptosistem me çelës publik për të shkëmbyer çelësa të zakonshëm sekret, përdoruesit duhet të shkëmbejnë çelësat e tyre publikë.

Menaxhimi i çelësit publik mund të bëhet përmes një shërbimi direktorie online ose offline, dhe përdoruesit gjithashtu mund të shkëmbejnë çelësat drejtpërdrejt.

  1. Monitorimi dhe kontrolli i përdorimit të CIPF

Për të rritur nivelin e sigurisë gjatë funksionimit të mbrojtjes së informacionit kriptografik në sistem, është e nevojshme të zbatohen procedura monitorimi që regjistrojnë të gjitha ngjarjet e rëndësishme që kanë ndodhur gjatë shkëmbimit. mesazhe elektronike, dhe të gjitha incidentet e sigurisë së informacionit. Përshkrimi dhe lista e këtyre procedurave duhet të përcaktohet në dokumentacionin operativ për CIPF.

Kontrolli i përdorimit të CIPF siguron:

  • kontrollin e përputhshmërisë së vendosjes dhe konfigurimit të mjeteve të sigurisë së informacionit, si dhe mjeteve harduerike dhe softuerike që mund të ndikojnë në përmbushjen e kërkesave për mjetet e sigurisë së informacionit, dokumentacionin rregullator dhe teknik;
  • monitorimi i pajtueshmërisë me rregullat për ruajtjen e informacionit me akses të kufizuar të përdorur në funksionimin e mjeteve të sigurisë së informacionit ( në veçanti, çelësi, fjalëkalimi dhe informacioni i vërtetimit);
  • kontrollin e mundësisë së aksesit të personave të paautorizuar në mjetet e sigurisë së informacionit, si dhe në mjetet harduerike dhe softuerike që mund të ndikojnë në përmbushjen e kërkesave për mjetet e sigurisë së informacionit;
  • monitorimi i pajtueshmërisë me rregullat e reagimit ndaj incidentit informacion informacioni (në lidhje me faktet e humbjes, komprometimit të çelësit, fjalëkalimit dhe informacionit të vërtetimit, si dhe çdo informacion tjetër me akses të kufizuar);
  • kontrolli i përputhshmërisë së mjeteve teknike dhe softuerike të CIPF dhe dokumentacionit për këto mjete me mostrat e referencës ( garancitë e furnizuesit ose mekanizmat e kontrollit që lejojnë një pajtueshmëri të tillë të vendoset në mënyrë të pavarur);
  • kontrolli i integritetit të harduerit dhe softuerit të CIPF dhe dokumentacionit për këto mjete gjatë ruajtjes dhe vënies në punë të këtyre mjeteve ( duke përdorur të dy mekanizmat e kontrollit të përshkruar në dokumentacionin për CIPF, dhe duke përdorur organizativ).

Shkarko skedar ZIP (43052)

Dokumentet erdhën në ndihmë - vendosni një "like":

Kushdo që mendon seriozisht për sigurinë e informacionit të tij konfidencial përballet me detyrën e zgjedhjes së softuerit për mbrojtjen e të dhënave kriptografike. Dhe nuk ka absolutisht asgjë befasuese në këtë - kriptimi është deri tani një nga mënyrat më të besueshme për të parandaluar aksesin e paautorizuar në dokumente të rëndësishme, baza të të dhënave, foto dhe çdo skedar tjetër.

Problemi është se për një zgjedhje kompetente është e nevojshme të kuptohen të gjitha aspektet e funksionimit të produkteve kriptografike. Përndryshe, shumë lehtë mund të gaboni dhe të ndaleni te softueri që ose nuk ju lejon të mbroni të gjithë informacionin e nevojshëm, ose nuk ofron një shkallë adekuate sigurie. Çfarë duhet t'i kushtoni vëmendje? Së pari, këto janë algoritmet e enkriptimit të disponueshëm në produkt. Së dyti, metodat e vërtetimit të pronarëve të informacionit. Së treti, mënyrat për të mbrojtur informacionin. Së katërti, veçori dhe aftësi shtesë. Së pesti, autoriteti dhe fama e prodhuesit, si dhe disponueshmëria e certifikatave për zhvillimin e mjeteve të kriptimit. Dhe kjo nuk është gjithçka që mund të jetë e rëndësishme kur zgjidhni një sistem mbrojtjeje kriptografike.

Është e qartë se është e vështirë për një person që nuk është i aftë në fushën e sigurisë së informacionit të gjejë përgjigje për të gjitha këto pyetje.

Sekret Disk 4 Lite

Secret Disk 4 Lite është zhvilluar nga Aladdin, një nga liderët botërorë që punon në fushën e sigurisë së informacionit. Ajo ka shumë certifikata. Dhe megjithëse produkti në fjalë nuk është një mjet i certifikuar (Secret Disk 4 ka një version të veçantë të certifikuar), ky fakt tregon njohjen e kompanisë si një zhvillues serioz i mjeteve kriptografike.

Secret Disk 4 Lite mund të përdoret për të enkriptuar ndarjet individuale të diskut të ngurtë, çdo disqe të lëvizshme dhe gjithashtu për të krijuar disqe të sigurt virtual. Kështu, me këtë mjet, ju mund të zgjidhni shumicën e problemeve që lidhen me kriptografinë. Më vete, vlen të përmendet mundësia e kriptimit ndarjen e sistemit. Në këtë rast, nisja e OS nga një përdorues i paautorizuar bëhet i pamundur. Për më tepër, kjo mbrojtje është pa masë më e besueshme se mjetet e integruara të mbrojtjes së Windows.

Secret Disk 4 Lite nuk ka algoritme të integruara të kriptimit. Ky program përdor ofrues të jashtëm kriptografikë për punën e tij. Si parazgjedhje, përdoret një modul standard i integruar në Windows. Ai zbaton algoritmet DES dhe 3DES. Megjithatë, sot ato konsiderohen të vjetruara. Prandaj, për mbrojtje më e mirë Ju mund të shkarkoni një paketë të veçantë kripto disk sekret nga faqja e internetit Aladdin. Ky është një ofrues kriptografik që zbaton teknologjitë kriptografike më të sigurta deri më sot, duke përfshirë AES dhe Twofish me një gjatësi çelësi deri në 256 bit. Nga rruga, nëse është e nevojshme, në kombinim me Secret Disk 4 Lite, mund të përdorni ofruesit e certifikuar të algoritmit Signal-COM CSP dhe CryptoPro CSP.

Një tipar dallues i Secret Disk 4 Lite është sistemi i vërtetimit të përdoruesit. Çështja është se është ndërtuar mbi përdorimin certifikatat dixhitale. Për ta bërë këtë, një USB eToken hardueri përfshihet në paketën e produktit. Është një ruajtje shumë e sigurt për çelësat sekretë. Në fakt, ne po flasim për vërtetim të plotë me dy faktorë (prania e një token plus njohuri për kodin e tij PIN). Si rezultat, sistemi i enkriptimit në shqyrtim i shpëton një "blloqe të ngushtë" si përdorimi i mbrojtjes konvencionale me fjalëkalim.

Nga funksionet shtesë të Secret Disk 4 Lite, mund të vërehet mundësia e punës me shumë përdorues (pronari i disqeve të koduar mund të sigurojë qasje në to për njerëzit e tjerë) dhe funksionimin e sfondit të procesit të kriptimit.

Ndërfaqja e Secret Disk 4 Lite është e thjeshtë dhe e drejtpërdrejtë. Është bërë në Rusisht, ashtu si sistemi i detajuar i ndihmës, i cili përshkruan të gjitha nuancat e përdorimit të produktit.

InfoWatch CryptoStorage

InfoWatch CryptoStorage është një produkt i një kompanie mjaft të njohur InfoWatch, e cila ka certifikata për zhvillimin, shpërndarjen dhe mirëmbajtjen e mjeteve të kriptimit. Siç u përmend tashmë, ato nuk janë të detyrueshme, por ato mund të luajnë rolin e një lloj treguesi të seriozitetit të kompanisë dhe cilësisë së produkteve të saj.

Figura 1. Menyja e kontekstit

InfoWatch CryptoStorage zbaton vetëm një algoritëm enkriptimi - AES me një gjatësi çelësi prej 128 bit. Autentifikimi i përdoruesit zbatohet duke përdorur mbrojtjen konvencionale të fjalëkalimit. Për hir të drejtësisë, duhet theksuar se programi ka një kufi minimal të gjatësisë fjalë kyçe, e barabartë me gjashtë karaktere. Sidoqoftë, mbrojtja me fjalëkalim është sigurisht shumë inferiore në besueshmërinë e saj ndaj vërtetimit me dy faktorë duke përdorur argumentet. Një veçori e programit InfoWatch CryptoStorage është shkathtësia e tij. Çështja është se mund të përdoret për të kriptuar skedarë individualë dhe dosjet, ndarjet e tëra të hard drive-it, çdo disku të lëvizshëm, si dhe disqet virtuale.

Ky produkt, si ai i mëparshmi, ju lejon të mbroni disqet e sistemit, domethënë mund të përdoret për të parandaluar nisjen e paautorizuar të kompjuterit. Në fakt, InfoWatch CryptoStorage ju lejon të zgjidhni të gjithë gamën e detyrave që lidhen me përdorimin e kriptimit simetrik.

Një veçori shtesë e produktit në shqyrtim është organizimi i aksesit për shumë përdorues në informacionin e koduar. Përveç kësaj, InfoWatch CryptoStorage zbaton shkatërrimin e garantuar të të dhënave pa mundësinë e rikuperimit të tyre.

InfoWatch CryptoStorage është një program në gjuhën ruse. Ndërfaqja e saj është bërë në Rusisht, por është mjaft e pazakontë: dritarja kryesore si e tillë mungon (ekziston vetëm një dritare e vogël konfiguruesi), dhe pothuajse e gjithë puna është bërë duke përdorur menyja e kontekstit. Një zgjidhje e tillë është e pazakontë, por nuk mund të mos njohësh thjeshtësinë dhe komoditetin e saj. Natyrisht, dokumentacioni në gjuhën ruse në program është gjithashtu i disponueshëm.

Rohos Disk është një produkt i Tesline-Service.S.R.L. Është pjesë e një linje shërbimesh të vogla që zbatojnë mjete të ndryshme për mbrojtjen e informacionit konfidencial. Kjo seri ka qenë në zhvillim që nga viti 2003.


Figura 2. Ndërfaqja e programit

Rohos Disk është krijuar për mbrojtjen kriptografike të të dhënave kompjuterike. Kjo ju lejon të krijoni disqe virtuale të koduara në të cilat mund të ruani çdo skedar dhe dosje, si dhe të instaloni softuer.

Për të mbrojtur të dhënat, ky produkt përdor algoritmin kriptografik AES me një gjatësi çelësi prej 256 bit, i cili siguron një shkallë të lartë sigurinë.

Rohos Disk ka dy metoda për vërtetimin e përdoruesit. E para prej tyre është mbrojtja e zakonshme e fjalëkalimit me të gjitha mangësitë e saj. Opsioni i dytë është përdorimi i një disku të rregullt USB, në të cilin është shkruar çelësi i nevojshëm.

Ky opsion gjithashtu nuk është shumë i besueshëm. Kur e përdorni, humbja e një "flash drive" mund të çojë në probleme serioze.

Rohos Disk ka një gamë të gjerë karakteristikash shtesë. Para së gjithash, vlen të përmendet mbrojtja e disqeve USB. Thelbi i saj është të krijoni një ndarje të veçantë të koduar në "flash drive" në të cilën mund të transferoni me siguri të dhëna konfidenciale.

Për më tepër, produkti përfshin një mjet të veçantë me të cilin mund të hapni dhe shikoni këto disqe USB në kompjuterë që nuk kanë të instaluar Rohos Disk.

Tipari tjetër shtesë është mbështetja e steganografisë. Thelbi i kësaj teknologjie është fshehja e informacionit të koduar brenda skedarëve multimedialë (mbështeten formatet AVI, MP3, MPG, WMV, WMA, OGG).

Përdorimi i tij ju lejon të fshehni vetë faktin e pranisë së një disku sekret duke e vendosur atë, për shembull, brenda filmit. Funksioni i fundit shtesë është shkatërrimi i informacionit pa mundësinë e rikuperimit të tij.

Programi Rohos Disk ka një ndërfaqe tradicionale në gjuhën ruse. Përveç kësaj, ajo shoqërohet sistemi i ndihmës, ndoshta jo aq i detajuar sa dy produktet e mëparshme, por të mjaftueshme për të zotëruar parimet e përdorimit të tij.

Duke folur për shërbimet kriptografike, nuk mund të mos përmendet softueri i lirë. Në të vërtetë, sot pothuajse në të gjitha fushat ka produkte të denja që shpërndahen plotësisht lirshëm. Dhe siguria e informacionit nuk bën përjashtim nga ky rregull.

Vërtetë, ekziston një qëndrim i dyfishtë ndaj përdorimit të softuerit të lirë për mbrojtjen e informacionit. Fakti është se shumë shërbime janë shkruar nga programues të vetëm ose grupe të vogla. Në të njëjtën kohë, askush nuk mund të garantojë për cilësinë e zbatimit të tyre dhe mungesën e "vrimave", aksidentale apo të qëllimshme. Por vetë zgjidhjet kriptografike janë mjaft të vështira për t'u zhvilluar. Kur i krijoni ato, duhet të merrni parasysh një numër të madh nuancash të ndryshme. Kjo është arsyeja pse rekomandohet përdorimi i vetëm produkteve të njohura dhe gjithmonë me burim të hapur. Kjo është e vetmja mënyrë për t'u siguruar që ato janë pa "shënues" dhe testuar nga një numër i madh specialistësh, që do të thotë se janë pak a shumë të besueshëm. Një shembull i një produkti të tillë është programi TrueCrypt.


Figura 3. Ndërfaqja e programit

TrueCrypt është padyshim një nga shërbimet kriptografike më të pasura me funksione falas atje. Fillimisht, u përdor vetëm për të krijuar disqe virtuale të sigurta. Megjithatë, për shumicën e përdoruesve, kjo është mënyra më e përshtatshme për të mbrojtur informacione të ndryshme. Sidoqoftë, me kalimin e kohës, funksioni i kriptimit të ndarjes së sistemit u shfaq në të. Siç e dimë tashmë, ai synon të mbrojë kompjuterin nga fillimi i paautorizuar. Sidoqoftë, TrueCrypt nuk di ende se si të kriptohet të gjitha ndarjet e tjera, si dhe skedarët dhe dosjet individuale.

Produkti në fjalë zbaton disa algoritme kriptimi: AES, Serpent dhe Twofish. Pronari i informacionit mund të zgjedhë cilin dëshiron të përdorë për momentin. Autentifikimi i përdoruesit në TrueCrypt mund të bëhet duke përdorur fjalëkalime të rregullta. Sidoqoftë, ekziston një mundësi tjetër - përdorimi i skedarëve kyç që mund të ruhen në një hard disk ose në ndonjë disk të lëvizshëm. Më vete, vlen të përmendet se ky program mbështet argumentet dhe kartat inteligjente, gjë që ju lejon të organizoni vërtetim të besueshëm me dy faktorë.

Nga funksionet shtesë të programit në fjalë, mund të vërehet mundësia e krijimit vëllime të fshehura brenda atyre kryesore. Përdoret për të fshehur të dhënat e ndjeshme kur një disku hapet nën presion. TrueCrypt gjithashtu zbaton një sistem rezervë për titujt e vëllimit për t'i rikthyer ato në rast dështimi ose kthimi në fjalëkalimet e vjetra.

Ndërfaqja TrueCrypt është e njohur për shërbimet e këtij lloji. Është shumëgjuhëshe, dhe është e mundur të instaloni gjuhën ruse. Dokumentacioni është shumë më i keq. Është, dhe shumë i detajuar, por i shkruar në gjuhe angleze. Natyrisht, për çdo mbeshtetje teknike nuk mund të ketë fjalim.

Për qartësi më të madhe, të gjitha veçoritë dhe funksionaliteti i tyre janë përmbledhur në tabelën 2.

Tabela 2 - Funksionaliteti programe për mbrojtjen e informacionit kriptografik.

Disk sekret 4 lite

InfoWatch CryptoStorage

Algoritmet e enkriptimit

DES, 3DES, AES, TwoFish

AES, Gjarpri, Dypeshk

Gjatësia maksimale e çelësit të enkriptimit

Lidhja e ofruesve të jashtëm të kriptove

Vërtetim i fortë duke përdorur argumente

+ (shenjat blihen veçmas)

Kriptimi i skedarëve dhe dosjeve

Kriptimi i ndarjes

Kriptimi i sistemit

Kriptimi i disqeve virtuale

Kriptimi i ruajtjes së lëvizshme

Mbështetje për punën me shumë përdorues

Shkatërrimi i garantuar i të dhënave

Fshehja e objekteve të koduara

Punoni nën presion

Ndërfaqja në gjuhën ruse

Dokumentacioni në gjuhën ruse

Mbeshtetje teknike

Dëgjoni... a mundeni, për përfitimin tonë të përbashkët, çdo letër që mbërrin në postën tuaj, hyrëse dhe dalëse, e dini, ta printoni pak dhe të lexoni: a përmban ndonjë raport apo thjesht korrespondencë... .

N.V. Gogol "Inspektor"

Idealisht, vetëm dy persona duhet të jenë në gjendje të lexojnë një letër konfidenciale: dërguesi dhe ai të cilit i drejtohet.Formulimi i një gjëje kaq të thjeshtë në dukje ishte pikënisja e sistemeve të kriptombrojtjes. Zhvillimi i matematikës i dha shtysë zhvillimit të sistemeve të tilla.

Tashmë në shekujt XVII-XVIII, shifrat në Rusi ishin mjaft të sofistikuara dhe rezistente ndaj thyerjes. Shumë matematikanë rusë punuan në krijimin ose përmirësimin e sistemeve të kriptimit dhe në të njëjtën kohë u përpoqën të merrnin çelësat e shifrave të sistemeve të tjera. Aktualisht, mund të vërehen disa sisteme ruse të enkriptimit, si Lexicon Verba, Secret Net, DALLAS LOCK, Secret Disk, familja e produkteve Accord etj. Ne do të flasim për to. Do të njiheni gjithashtu me softuerin dhe harduerin kryesor- komplekset e kriptombrojtjes softuerike, mësoni për aftësitë, pikat e forta dhe dobësitë. Shpresojmë që ky artikull t'ju ndihmojë të zgjidhni një sistem mbrojtjeje kriptografike.

Prezantimi

A ju shqetëson kjo informacion i rendesishem nga kompjuteri juaj mund të bien në duar të gabuara? Ky informacion mund të përdoret nga konkurrentët, autoritetet rregullatore dhe thjesht keqbërësit. Natyrisht, veprime të tilla mund t'ju sjellin dëme të konsiderueshme. Çfarë duhet bërë? Për të mbrojtur informacionin tuaj nga të huajt, duhet të instaloni një nga programet e enkriptimit të të dhënave. Rishikimi ynë i kushtohet analizës së sistemeve të enkriptimit për sistemet desktop. Duhet të theksohet se përdorimi i sistemeve të huaja të enkriptimit në Rusi është shumë i kufizuar për një numër arsyesh, prandaj organizatat shtetërore dhe kompanitë e mëdha vendase detyrohen të përdorin zhvillimet ruse. Megjithatë, kompanitë e mesme dhe të vogla, si dhe individët, ndonjëherë preferojnë sisteme të huaja.

Për ata që nuk janë iniciuar, kriptimi i informacionit duket si një magji e zezë. Në të vërtetë, kriptimi i mesazheve për të fshehur përmbajtjen e tyre nga të huajt është një problem kompleks matematikor. Për më tepër, shifra duhet të zgjidhet në atë mënyrë që të jetë praktikisht e pamundur hapja e tij pa çelës, dhe shpejt dhe lehtë me çelës. Shumë kompani dhe organizata e kanë shumë të vështirë zgjedhje optimale kur instaloni programe enkriptimi. Çështja ndërlikohet më tej nga fakti se nuk ekzistojnë kompjuterë absolutisht të sigurt dhe sisteme enkriptimi absolutisht të besueshëm. Sidoqoftë, ka ende mënyra të mjaftueshme me të cilat mund të zmbrapsni pothuajse të gjitha përpjekjet për të zbuluar informacionin e koduar.

Çfarë kanë brenda programet e enkriptimit

Programet e enkriptimit ndryshojnë nga njëri-tjetri në algoritmin e enkriptimit. Pasi skedari të jetë i koduar, mund ta shkruani në një floppy disk, ta dërgoni nëpërmjet e-mail ose vendosni një server në rrjetin tuaj lokal. Marrësi i enkriptimit tuaj duhet të ketë të njëjtin program enkriptimi për të lexuar përmbajtjen e skedarit.

Nëse dëshironi të dërgoni një mesazh të koduar për shumë përdorues në të njëjtën kohë, atëherë informacioni juaj për secilin marrës mund të kodohet me çelësin e tij ose me një çelës të përbashkët për të gjithë përdoruesit (përfshirë autorin e mesazhit).

Kriptosistemi përdor një kod sekret për ta kthyer informacionin tuaj në një grup karakteresh të pakuptimta, pseudo të rastësishme. Me një algoritëm të mirë kriptimi, është pothuajse e pamundur të deshifrosh një mesazh pa e ditur Kodi sekret përdoret për enkriptim. Algoritme të tilla quhen algoritme kyçe simetrike sepse i njëjti çelës përdoret për të kriptuar dhe deshifruar informacionin.

Për të mbrojtur të dhënat tuaja, programi i enkriptimit krijon një çelës sekret bazuar në fjalëkalimin tuaj. Thjesht duhet të vendosni një fjalëkalim të gjatë që askush nuk mund ta marrë me mend. Megjithatë, nëse dëshironi që dikush tjetër ta lexojë skedarin, do t'ju duhet t'i tregoni atij personi çelësin sekret (ose fjalëkalimin ku bazohet). Ju mund të jeni i sigurt se edhe një algoritëm i thjeshtë kriptimi do t'i mbrojë të dhënat tuaja nga përdorues i rregullt, le të themi, nga një koleg në punë. Megjithatë, profesionistët kanë një sërë mënyrash për të deshifruar një mesazh pa e ditur kodin sekret.

Pa njohuri të veçanta, nuk do të jeni në gjendje të kontrolloni në mënyrë të pavarur se sa i besueshëm është algoritmi juaj i kriptimit. Por ju mund të mbështeteni në mendimin e profesionistëve. Disa algoritme enkriptimi, të tilla si Triple DES (Standardi i Enkriptimit të të Dhënave) i janë nënshtruar vitesh testimi. Sipas rezultateve të testit, ky algoritëm e ka provuar veten mirë dhe kriptografët besojnë se mund t'i besohet. Shumica e algoritmeve të reja gjithashtu studiohen me kujdes dhe rezultatet janë publikuar në literaturën e specializuar.

Nëse algoritmi i programit nuk është shqyrtuar dhe diskutuar hapur nga profesionistë, nëse nuk ka certifikata dhe dokumente të tjera zyrtare, kjo është një arsye për të dyshuar në besueshmërinë e tij dhe për të refuzuar përdorimin e një programi të tillë.

Një lloj tjetër i sistemeve të enkriptimit janë sistemet me çelës publik. Që një sistem i tillë të funksionojë, nuk ka nevojë t'i tregoni adresuesit çelësin sekret (ose fjalëkalimin në bazë të të cilit është krijuar). Këto sisteme enkriptimi gjenerojnë dy çelësa dixhitalë për secilin përdorues: njëri përdoret për të kriptuar të dhënat, tjetri për dekriptimin e tyre. Çelësi i parë (i quajtur çelësi publik) mund të bëhet publik, ndërsa çelësi i dytë mbahet i fshehtë. Pas kësaj, çdokush mund të enkriptojë informacionin duke përdorur çelësin publik, dhe vetëm ata që kanë çelësin sekret përkatës mund ta deshifrojnë atë.

Disa programe enkriptimi përmbajnë një tjetër mjet të rëndësishëm mbrojtjeje - një nënshkrim dixhital. Një nënshkrim dixhital vërteton se skedari nuk është modifikuar që kur është nënshkruar dhe i jep marrësit informacione se kush e ka nënshkruar saktësisht skedarin. Algoritmi i krijimit nënshkrim dixhital bazuar në llogaritjen e shumës së kontrollit - e ashtuquajtura hash sum, ose digest mesazhi. Algoritmet e aplikuara garantojnë se është e pamundur të merren dy skedarë të ndryshëm, shumat e hash-it të të cilëve do të përputheshin.

Kur marrësi merr një skedar të nënshkruar në mënyrë dixhitale, programi i tij i enkriptimit rillogarit shumën hash për atë skedar. Më pas, marrësi përdor çelësin publik të publikuar nga dërguesi për të rikuperuar nënshkrimin dixhital. Nëse rezultati përputhet me vlerën e llogaritur për skedarin, atëherë marrësi mund të jetë i sigurt se teksti i mesazhit nuk është ndryshuar (nëse kjo do të kishte ndodhur, shuma e hash-it do të kishte qenë e ndryshme), dhe nënshkrimi i përket një personi që ka akses në çelësin sekret të dërguesit.

Mbrojtja e informacionit të ndjeshëm ose konfidencial kërkon më shumë sesa thjesht program i mirë enkriptimi. Ju duhet të merrni një sërë masash për të garantuar sigurinë e informacionit. Nëse fjalëkalimi juaj është i dobët (ekspertët rekomandojnë ta vendosni në tetë ose më shumë karaktere) ose nëse një kopje e pakriptuar e informacionit konfidencial ruhet në kompjuterin tuaj, atëherë në këtë rast edhe sistemi më i mirë enkriptimi do të jetë i pafuqishëm.

Sistemi Leksikon-Fjalë

Sistemi Lexicon-Verba është një mjet për të organizuar një të mbrojtur menaxhimi elektronik i dokumenteve si brenda rrjetit të korporatës ashtu edhe ndërmjet organizatave të ndryshme. "Lexicon-Verba" përdor dy modifikime të sistemit të kriptografisë: sistemi "Verba-W" është i destinuar për organet shtetërore (mbrojtja e informacionit konfidencial, në veçanti chipboard; çelësat e nënshkrimit janë të hapur, çelësat e enkriptimit janë të mbyllur), "Verba Sistemi -OW" është për organizata tregtare (mbrojtja e sekreteve tregtare; çelësat e nënshkrimit dhe enkriptimit janë të hapur).

Ekzistojnë mjaft standarde globale të kriptimit, por vetëm një pjesë e vogël e tyre janë të certifikuara nga Agjencia Federale për Komunikimet dhe Informacionin e Qeverisë (FAPSI), gjë që e bën të pamundur përdorimin e zgjidhjeve jo të certifikuara në Rusi. Sistemi Verba-W ka një certifikatë FAPSI nr. SF / 114-0176. Sistemi Verba-OW - Certifikata FAPSI Nr. SF / 114-0174.

"Lexicon-Verba" siguron kriptim dhe nënshkrim dixhital në përputhje me kërkesat e GOST 28147-89 "Sistemet e përpunimit të informacionit. Mbrojtja kriptografike" dhe GOST R34.10-94 " Teknologjia e informacionit. Mbrojtja kriptografike e informacionit. Procedurat për zhvillimin dhe verifikimin e një nënshkrimi elektronik dixhital bazuar në një algoritëm kriptografik asimetrik.

Programi është i certifikuar nga Komisioni Teknik Shtetëror nën Presidentin e Federatës Ruse. Në korrik pritet të marrë një certifikatë nga Ministria e Mbrojtjes Ruse.

Mbrojtja kriptografike e sistemit bazohet në metodën e kriptimit me çelës publik. Çdo çelës që identifikon një përdorues përbëhet nga dy pjesë: një çelës publik dhe një çelës privat. Çelësi publik shpërndahet lirisht dhe përdoret për të kriptuar informacionin këtë përdorues. Për të deshifruar një dokument, personi që e ka koduar atë duhet të ketë çelësin tuaj publik dhe t'ju identifikojë se keni akses në dokument kur e kriptoni atë.

Për të deshifruar një dokument, duhet të përdorni çelësin privat. Çelësi privat përbëhet nga dy pjesë, njëra prej të cilave ruhet në një kartë inteligjente ose memorie me prekje dhe tjetra ruhet në hard diskun e kompjuterit tuaj. Kështu, as humbja e një karte inteligjente dhe as aksesi i paautorizuar në një kompjuter nuk bën të mundur, individualisht, deshifrimin e dokumenteve.

Seti fillestar i çelësave, i cili përfshin informacion të plotë rreth çelësave publikë dhe privatë të përdoruesit, krijohet në një vend pune të pajisur posaçërisht të sigurt. Një floppy disk me informacionin kryesor përdoret vetëm në fazën e përgatitjes së vendit të punës së përdoruesit.

Sistemi Lexicon-Verba mund të përdoret në kuadrin e dy sistemeve kryesore për organizimin e menaxhimit të sigurt të dokumenteve:

  • si një zgjidhje e pavarur. Nëse organizata ka një rrjet lokal, sistemi mund të instalohet jo në të gjithë kompjuterët, por vetëm në ata që kërkojnë të punojnë me dokumente konfidenciale. Kjo do të thotë se brenda rrjetit të korporatës ekziston një nënrrjet për shkëmbimin e informacionit të klasifikuar. Në të njëjtën kohë, pjesëmarrësit në pjesën e mbyllur të sistemit mund të shkëmbejnë dokumente të hapura me punonjës të tjerë;
  • si pjesë e rrjedhës së punës. Lexicon-Verba ka ndërfaqe standarde të lidhjes funksionet e jashtme për të kryer operacionet e hapjes, ruajtjes, mbylljes dhe dërgimit të dokumenteve, gjë që e bën të lehtë integrimin e këtij sistemi si në sistemet e rrjedhës së punës ekzistuese ashtu edhe në ato të reja të zhvilluara.

Duhet theksuar se vetitë e sistemit Lexicon-Verba e bëjnë atë jo vetëm një mjet sigurimi mbrojtjen e informacionit nga ndërhyrjet e jashtme, por edhe si një mjet për të rritur konfidencialitetin brenda korporatës dhe aksesin ndaj ndarjes.

Një nga burimet shtesë të rëndësishme për rritjen e nivelit të kontrollit të sigurisë së informacionit është aftësia për të mbajtur një "regjistër ngjarjesh" për çdo dokument. Veçoria e rregullimit të historisë së dokumenteve mund të aktivizohet ose çaktivizohet vetëm kur sistemi është i instaluar; kur është i ndezur këtë revistë do të kryhet pavarësisht nga dëshira e përdoruesit.

Avantazhi kryesor dhe tipar dallues Sistemi është një zbatim i thjeshtë dhe intuitiv i funksioneve të sigurisë së informacionit duke ruajtur tradicionalen përpunuesit e tekstit mjedisin e punës së përdoruesit.

Njësia e kriptografisë kryen kriptim, si dhe instalimin dhe heqjen e një nënshkrimi elektronik dixhital (EDS) të dokumenteve.

Funksionet ndihmëse të bllokut - shkarkimi i një çelësi sekret, eksportimi dhe importimi i çelësave publikë, vendosja dhe mbajtja e një drejtorie të çelësave të pajtimtarëve të sistemit.

Kështu, secili prej atyre që kanë akses në dokument mund të vendosë vetëm nënshkrimin e tij, por të heqë ndonjë nga ato të vendosura më parë.

Kjo pasqyron procedurën e pranuar të punës në zyrë, kur, me miratimin e dokumentit, ai mund t'i nënshtrohet rishikimeve në faza të ndryshme, por pas kësaj dokumenti duhet të miratohet sërish.

Nëse përpiqeni të bëni ndryshime në dokument me mjete të tjera përveç "Lexicon-Verba", EDS është dëmtuar, si rezultat, mbishkrimi "Dëmtuar" do të shfaqet në fushën "Statusi i nënshkrimit".

Zyrë

Me rritjen e numrit të përdoruesve të sistemit, futja e çdo çelësi publik në çdo kompjuter bëhet e vështirë. Prandaj, për të organizuar punën e zyrës, organizohet administrimi i centralizuar i drejtorisë së çelësit publik. Kjo bëhet në mënyrën e mëposhtme:

1) "Lexicon-Verba" është instaluar në kompjuterin e administratorit në modalitetin lokal. Kjo krijon një direktori të çelësave publikë, në të cilën administratori shton çdo çelës të përdorur në zyrë;

2) në të gjithë kompjuterët e tjerë, sistemi është i instaluar në modaliteti i rrjetit. Ky modalitet përdor direktorinë e çelësit publik të vendosur në kompjuterin e administratorit;

3) çdo përdorues i ri i shtuar nga administratori në drejtori bëhet "i dukshëm" për të gjithë përdoruesit e lidhur me drejtorinë. Që nga ai moment, ata marrin mundësinë për t'i transferuar atij dokumente të koduara.

Administrimi i drejtorisë bëhet i centralizuar, por kjo nuk ndikon në nivelin e sigurisë së sistemit, pasi sigurimi i aksesit në çelësat publik është një lloj "njohjeje" e përdoruesve, por nuk jep akses në asnjë dokument. Që një përdorues të jetë në gjendje të deshifrojë një dokument, çelësi i tij publik jo vetëm që duhet të jetë në drejtori, por gjithashtu duhet të renditet në mënyrë eksplicite se ka akses në dokument.

për të mjetet e mbrojtjes së informacionit kriptografik(CIPF), përfshijnë harduerin, firmuerin dhe softuerin që zbatojnë algoritme kriptografike transformimi i informacionit.

Supozohet se mjetet e mbrojtjes së informacionit kriptografik përdoren në një sistem të caktuar kompjuterik (në një numër burimesh - një sistem informacioni dhe telekomunikacioni ose një rrjet komunikimi), së bashku me mekanizmat për zbatimin dhe garantimin e një politike të caktuar sigurie.

Së bashku me termin "mjete për mbrojtjen e informacionit kriptografik", termi përdoret shpesh gërvishtëse- një pajisje ose program që zbaton një algoritëm kriptimi. Koncepti i prezantuar i CIPF përfshin një kodues, por në përgjithësi është më i gjerë.

Sistemet e para operative (OS) për kompjuterët personal (MS-DOS dhe versionet e Windows deri në 3.1 përfshirë) nuk kishin fare mjetet e tyre të mbrojtjes, gjë që krijoi problemin e krijimit të mjeteve shtesë të mbrojtjes. Urgjenca e këtij problemi praktikisht nuk është ulur me ardhjen e sistemeve operative më të fuqishme me nënsisteme të avancuara të mbrojtjes. Kjo për faktin se shumica e sistemeve nuk janë në gjendje të mbrojnë të dhënat që janë jashtë tyre, për shembull, kur përdorin shkëmbimin e informacionit në rrjet.

Mjetet e mbrojtjes së informacionit kriptografik që ofrojnë një nivel më të lartë mbrojtjeje mund të ndahen në pesë grupe kryesore (Fig. 2.1).

Oriz. 2.1 Grupet kryesore të CIPF

Formohet grupi i parë sistemet e identifikimit dhe vërtetimi i përdoruesit. Sisteme të tilla përdoren për të kufizuar aksesin e përdoruesve të rastësishëm dhe të paligjshëm në burimet e një sistemi kompjuterik. Algoritmi i përgjithshëm Puna e këtyre sistemeve është të marrin nga përdoruesi informacion që vërteton identitetin e tij, të verifikojë vërtetësinë e tij dhe më pas t'i japë (ose mos i japë) këtij përdoruesi aftësinë për të punuar me sistemin.

Grupi i dytë i mjeteve që ofrojnë një nivel të rritur mbrojtjeje janë sistemet e enkriptimit të diskut. Detyra kryesore e zgjidhur nga sisteme të tilla është mbrojtja nga përdorimi i paautorizuar i të dhënave të vendosura në median e diskut.

Sigurimi i konfidencialitetit të të dhënave të vendosura në median e diskut zakonisht kryhet duke i enkriptuar ato duke përdorur algoritme simetrike të kriptimit. Tipari kryesor i klasifikimit për komplekset e enkriptimit është niveli i integrimit të tyre në një sistem kompjuterik.

Sistemet e enkriptimit të të dhënave mund të kryejnë transformime kriptografike të të dhënave:

9. në nivel skedari (skedarët individualë janë të mbrojtur);

10. në nivel disku (të gjithë disqet janë të mbrojtur).

Programet e llojit të parë përfshijnë arkivues të tillë si WinRAR, të cilët ju lejojnë të përdorni metodat kriptografike për të mbrojtur skedarët e arkivuar. Një shembull i llojit të dytë të sistemit është programi i enkriptimit Diskreet, i cili është pjesë e paketës softuerike popullore Norton Utilities.

Një veçori tjetër e klasifikimit të sistemeve të enkriptimit të të dhënave të diskut është mënyra se si ato funksionojnë.

Sipas metodës së funksionimit, sistemi i enkriptimit të të dhënave të diskut ndahet në dy klasa:

4) Sisteme "transparente" të enkriptimit;

5) sistemet e thirrura posaçërisht për zbatimin e enkriptimit.

Në sisteme enkriptim transparent(kriptimi në fluturim) transformimet kriptografike kryhen në kohë reale, në mënyrë të padukshme për përdoruesin. Një shembull i mrekullueshëm është kriptimi i dosjes Temp dhe Dokumentet e mia kur përdorni EFS Win2000 - gjatë funksionimit, jo vetëm vetë dokumentet janë të koduara, por edhe skedarët e përkohshëm të krijuar, dhe përdoruesi nuk e vëren këtë proces.

Sistemet e klasit të dytë janë zakonisht shërbime që duhet të thirren në mënyrë specifike për të kryer enkriptimin. Këto përfshijnë, për shembull, arkivues me mbrojtje të integruar me fjalëkalim.

Grupi i tretë i mjeteve që ofrojnë një nivel të rritur mbrojtjeje përfshijnë sistemet e enkriptimit për të dhënat e transmetuara përmes rrjeteve kompjuterike. Ekzistojnë dy metoda kryesore të kriptimit:

enkriptimi i kanalit;

enkriptimi i terminalit (abonentit).

Kur enkriptimi i kanalit i gjithë informacioni i transmetuar përmes kanalit të komunikimit, duke përfshirë informacionin e shërbimit, është i mbrojtur. Procedurat përkatëse të enkriptimit zbatohen duke përdorur protokollin e shtresës së lidhjes të modelit referencë me shtatë shtresa të ndërveprimit sistemet e hapura OSI (Open System Interconnect).

Kjo metodë e kriptimit ka avantazhin e mëposhtëm - futja e procedurave të enkriptimit në shtresën e lidhjes lejon përdorimin e harduerit, i cili përmirëson performancën e sistemit.

Megjithatë, kjo qasje ka të meta të rëndësishme, në veçanti, kriptimi i informacionit të shërbimit, i cili është i pashmangshëm në niveli i dhënë, mund të çojë në shfaqjen e modeleve statistikore në të dhënat e koduara; kjo ndikon në besueshmërinë e mbrojtjes dhe vendos kufizime në përdorimin e algoritmeve kriptografike.

Kriptimi nga fundi në fund (abonenti). ju lejon të siguroni konfidencialitetin e të dhënave të transmetuara midis dy objekteve të aplikacionit (abonentëve). Kriptimi nga fundi në fund zbatohet duke përdorur një protokoll aplikimi ose niveli prezantimi të modelit të referencës OSI. Në këtë rast, vetëm përmbajtja e mesazhit mbrohet, të gjitha informacionet e shërbimit mbeten të hapura. Kjo metodë shmang problemet që lidhen me kriptimin e informacionit të shërbimit, por lindin probleme të tjera. Në veçanti, një sulmues që ka akses në kanalet e komunikimit rrjeti kompjuterik, merr aftësinë për të analizuar informacionin rreth strukturës së shkëmbimit të mesazhit, për shembull, për dërguesin dhe marrësin, për kohën dhe kushtet e transmetimit të të dhënave, si dhe sasinë e të dhënave të transmetuara.

Grupi i katërt i mbrojtjeve janë sistemet elektronike të vërtetimit të të dhënave.

Gjatë shkëmbimit të të dhënave elektronike përmes rrjeteve të komunikimit, lind problemi i vërtetimit të autorit të dokumentit dhe vetë dokumentit, d.m.th. vërtetimi i identitetit të autorit dhe kontrollimi i mungesës së ndryshimeve në dokumentin e marrë.

Për të vërtetuar të dhënat elektronike, përdoret një kod vërtetimi i mesazhit (futja imituese) ose një nënshkrim dixhital elektronik. Kur gjenerohet një kod vërtetimi i mesazhit dhe një nënshkrim elektronik dixhital, përdoren lloje të ndryshme të sistemeve të enkriptimit.

Grupi i pestë i mjeteve që ofrojnë një nivel të rritur mbrojtjeje është formuar nga mjetet kryesore të menaxhimit të informacionit. Informacioni kyç kuptohet si tërësia e të gjithë informacionit të përdorur në një sistem kompjuterik ose rrjet çelësat kriptografikë.

Siç e dini, siguria e çdo algoritmi kriptografik përcaktohet nga çelësat kriptografikë të përdorur. Në rastin e menaxhimit të dobët të çelësave, një sulmues mund të marrë informacionin kryesor dhe të marrë akses të plotë për të gjithë informacionin në një sistem kompjuterik ose rrjet.

Tipari kryesor i klasifikimit të mjeteve kryesore të menaxhimit të informacionit është lloji i funksionit të menaxhimit të çelësit. Ekzistojnë këto lloje kryesore të funksioneve të menaxhimit të çelësave: gjenerimi i çelësave, ruajtja e çelësave dhe shpërndarja e çelësave.

Mënyrat gjenerimi kyç ndryshojnë për kriptosistemet simetrike dhe asimetrike. Për të gjeneruar çelësa të kriptosistemeve simetrike, përdoren mjete harduerike dhe softuerike për gjenerimin e numrave të rastit. Gjenerimi i çelësave për kriptosistemet asimetrike është një detyrë shumë më e vështirë për shkak të nevojës për të marrë çelësa me veti të caktuara matematikore.

Funksioni ruajtja e çelësave përfshin organizimin e ruajtjes së sigurt, llogaritjen dhe fshirjen e çelësave. Për të siguruar ruajtjen dhe transmetimin e sigurt të çelësave, ato kodohen duke përdorur çelësa të tjerë. Kjo qasje çon në konceptet kryesore të hierarkisë. Hierarkia e çelësit zakonisht përfshin një çelës kryesor (çelës kryesor), një çelës kriptimi të çelësit dhe një çelës kriptimi të të dhënave. Duhet të theksohet se gjenerimi dhe ruajtja e çelësave kryesorë janë çështje kritike në mbrojtjen kriptografike.

Shpërndarja e çelësitështë procesi më i përgjegjshëm në menaxhimin kyç. Ky proces duhet të garantojë sekretin e çelësave të shpërndarë, si dhe shpejtësinë dhe saktësinë e shpërndarjes së tyre. Ekzistojnë dy mënyra kryesore të shpërndarjes së çelësave midis përdoruesve të një rrjeti kompjuterik:

përdorimi i një ose më shumë qendrave kryesore të shpërndarjes;

shkëmbim i drejtpërdrejtë i çelësave të sesionit midis përdoruesve.

Le të kalojmë në formulimin e kërkesave për mbrojtjen e informacionit kriptografik, të përbashkëta për të gjitha klasat e konsideruara.

Metodat kriptografike të mbrojtjes së informacionit mund të zbatohen si në softuer ashtu edhe në harduer. Një kodues hardueri ose një pajisje për mbrojtjen e të dhënave kriptografike (UKZD) është, më shpesh, një tabelë zgjerimi e futur në lidhësin 18A ose PC1 të një pllake amë të një kompjuteri personal (PC) (Fig. 3.21). Ekzistojnë opsione të tjera zbatimi, për shembull, në formën e një çelësi u8B me funksione kriptografike (Fig. 3.22).

Prodhuesit e koduesve të harduerit zakonisht i pajisin ato me të ndryshme veçori shtesë, ndër të cilat:

Gjenerimi i numrave të rastësishëm të nevojshëm për të marrë çelësat kriptografikë. Për më tepër, shumë algoritme kriptografike i përdorin ato për qëllime të tjera, për shembull, në algoritmin elektronik të nënshkrimit dixhital, GOST R 34.10-2001, kërkohet një numër i ri i rastësishëm për secilën llogaritje të nënshkrimit;

Oriz. 3.21. Koduesi i harduerit në formën e një bordi PC1:

1 - lidhëse teknologjike; 2 - memorie për prerje; 3 - çelsin e modalitetit; 4 - memorie shumëfunksionale; 5 - njësia e kontrollit dhe mikroprocesori; 6- ndërfaqe PC1; 7- kontrollues PC1; 8- DSC; 9- ndërfaqet për lidhjen e transportuesve kryesorë

Oriz. 3.22.

  • kontrolli i hyrjes në kompjuter. Kur ndizni kompjuterin, pajisja kërkon që përdoruesi të fusë të dhënat personale (për shembull, të fusë një pajisje me një çelës privat). Po ngarkohet sistemi operativ do të lejohet vetëm pasi pajisja të njohë çelësat e paraqitur dhe t'i konsiderojë "të sajat". Përndryshe, do t'ju duhet të hapni njësi të sistemit dhe hiqni koduesin prej andej për të ngarkuar sistemin operativ (megjithatë, informacioni në hard diskun e PC-së gjithashtu mund të kodohet);
  • kontrolli i integritetit të skedarëve të sistemit operativ për të parandaluar modifikimet me qëllim të keq skedarët e konfigurimit dhe programet e sistemit. Enkoder ruan një listë të të gjithë skedarëve të rëndësishëm me vlera të parallogaritura të hash-it të kontrollit për secilin prej tyre, dhe nëse vlera hash e të paktën një prej skedarëve të kontrolluar nuk përputhet me standardin në nisjen tjetër të OS, kompjuteri do të të jetë i bllokuar.

Një kriptor që kryen kontrollin e hyrjes në një PC dhe kontrollon integritetin e sistemit operativ quhet gjithashtu " mbyllje elektronike» (shih par. 1.3).

Në fig. 3.23 tregon një strukturë tipike të një koduesi harduer. Konsideroni funksionet e blloqeve të tij kryesore:

  • njësia e kontrollit - moduli kryesor i koduesit. Zakonisht zbatohet në bazë të një mikrokontrollues, kur zgjedh që gjëja kryesore është shpejtësia dhe një sasi e mjaftueshme e burimeve të brendshme, si dhe portet e jashtme për të lidhur të gjitha modulet e nevojshme;
  • një kontrollues autobusi i sistemit PC (për shembull, PC1), përmes të cilit kryhet shkëmbimi kryesor i të dhënave midis UKZD dhe një kompjuteri;
  • pajisje ruajtëse jo të paqëndrueshme (memorie), zakonisht e implementuar në bazë të çipave të memories flash. Duhet të jetë mjaftueshëm i madh (disa megabajt) dhe të lejojë një numër të madh ciklesh shkrimi. Këtu ndodhet softueri i mikrokontrolluesit, të cilin ju

Oriz. 3.23. Struktura UKZD plotësohet kur pajisja inicializohet (kur koduesi merr kontrollin kur kompjuteri niset);

  • memoria e regjistrit të auditimit, e cila është gjithashtu një memorie jo e paqëndrueshme (për të shmangur përplasjet e mundshme, memoria e programit dhe memoria e regjistrit nuk duhet të kombinohen);
  • procesor shifror (ose disa njësi të ngjashme) - një mikroqark ose mikroqark i specializuar i logjikës së programueshme PLD (Pajisja Logjike e Programueshme), e cila siguron kryerjen e operacioneve kriptografike (kriptimi dhe deshifrimi, llogaritja dhe verifikimi i EDS, hashing);
  • gjenerator i numrave të rastësishëm, i cili është një pajisje që prodhon një sinjal statistikisht të rastësishëm dhe të paparashikueshëm (të ashtuquajturat zhurma e bardhë). Mund të jetë, për shembull, një diodë zhurme. Para përdorimit të mëtejshëm në procesorin e shifrimit, sipas rregullave të veçanta, zhurma e bardhë shndërrohet në formë dixhitale;
  • bllok për futjen e informacionit kryesor. Siguron marrjen e sigurt të çelësave privatë nga transportuesi i çelësit dhe futjen e informacionit identifikues rreth përdoruesit të kërkuar për vërtetimin e tij;
  • blloku i çelsave që kërkohet për të çaktivizuar aftësinë për të punuar me pajisje të jashtme (disqe, CD-ROM, porta paralele dhe serike, autobus USB, etj.). Nëse përdoruesi punon me informacione shumë të ndjeshme, UKZD do t'i bllokojë të gjitha pajisje të jashtme, duke përfshirë edhe një kartë rrjeti.

Operacionet kriptografike në UKZD duhet të kryhen në mënyrë të tillë që të përjashtojë aksesin e paautorizuar në sesion dhe çelësat privatë dhe mundësinë e ndikimit në rezultatet e zbatimit të tyre. Prandaj, procesori i shifrimit logjikisht përbëhet nga disa blloqe (Fig. 3.24):

  • kalkulator - një grup regjistrash, grumbulluesish, blloqesh zëvendësuese, etj. të ndërlidhura nga autobusët e të dhënave. Projektuar për ekzekutimin më të shpejtë të operacioneve kriptografike. Si hyrje, kalkulatori merr të dhëna të hapura që duhet të kodohen (deshifrohen) ose nënshkruhen, dhe një çelës kriptografik;
  • njësia e kontrollit - një program i implementuar nga hardueri që kontrollon kalkulatorin. Nëse për ndonjë arsye

Oriz. 3.24.

programi do të ndryshojë, puna e tij do të fillojë të lëkundet. Kështu që këtë program jo vetëm që duhet të ruhet në mënyrë të sigurt dhe të funksionojë në mënyrë të qëndrueshme, por edhe të kontrollojë rregullisht integritetin e tij. Njësia e kontrollit të jashtëm të përshkruar më sipër gjithashtu dërgon periodikisht detyrat e kontrollit në njësinë e kontrollit. Në praktikë, për një besim më të madh në kodues, janë instaluar dy procesorë shifrorë që krahasojnë vazhdimisht rezultatet e operacioneve të tyre kriptografike (nëse nuk përputhen, operacioni përsëritet);

Buferi I/O nevojitet për të përmirësuar performancën e pajisjes: ndërsa blloku i parë i të dhënave është duke u enkriptuar, tjetri po ngarkohet, e kështu me radhë. E njëjta gjë ndodh në dalje. Një transmetim i tillë i tubacionit të të dhënave rrit seriozisht shpejtësinë e operacioneve kriptografike në kodues.

Ekziston edhe një detyrë tjetër për të siguruar sigurinë gjatë kryerjes së operacioneve kriptografike nga kriptori: ngarkimi i çelësave në enkriptues, anashkalimi RAM kompjuter, ku teorikisht mund të përgjohen dhe madje të zëvendësohen. Për ta bërë këtë, UKZD përmban gjithashtu porte hyrëse-dalëse (për shembull, COM ose USB), me të cilat lidhen drejtpërdrejt lexues të ndryshëm të mediave kryesore. Këto mund të jenë çdo kartë inteligjente, token (çelësat specialë USB) ose elementë të memories së prekjes (shih par. 1.3). Përveç hyrjes direkte të çelësave në UKZD, shumë prej këtyre mediave sigurojnë gjithashtu ruajtjen e tyre të besueshme - madje edhe një transportues çelësi pa ditur një kod të veçantë aksesi (për shembull, një kod PIN) nuk do të jetë në gjendje të lexojë përmbajtjen e tij.

Në mënyrë që të shmangen përplasjet kur qaseni njëkohësisht në kodues programe të ndryshme, në sistemin kompjuterik është instaluar softuer special


Oriz. 3.25.

  • (software) për të kontrolluar koduesin (Fig. 3.25). Një softuer i tillë lëshon komanda përmes drejtuesit të koduesit dhe transmeton të dhëna në kodues, duke u siguruar që rrjedhat e informacionit nga burime të ndryshme të mos mbivendosen, dhe gjithashtu që koduesi të përmbajë gjithmonë çelësat e duhur. Kështu, UKZD kryen dy në thelb tipe te ndryshme komandat:
  • përpara se të ngarkoni sistemin operativ, ekzekutohen komandat në memorien e koduesit, të cilat kryejnë të gjitha kontrollet e nevojshme (për shembull, identifikimin dhe vërtetimin e përdoruesit) dhe vendosin nivelin e kërkuar të sigurisë (për shembull, fikni pajisjet e jashtme);
  • pasi të jetë ngarkuar OS (për shembull, Windows), ekzekutohen komandat që vijnë përmes softuerit të kontrollit të enkriptorit (kriptoni të dhënat, ringarkoni çelësat, llogaritni numra të rastësishëm, etj.).

Një ndarje e tillë është e nevojshme për arsye sigurie - pas ekzekutimit të komandave të bllokut të parë, i cili nuk mund të anashkalohet, ndërhyrës nuk do të jetë më në gjendje të kryejë veprime të paautorizuara.

Një qëllim tjetër i softuerit të menaxhimit të koduesit është të sigurojë aftësinë për të zëvendësuar një kodues me një tjetër (të themi, një që është më produktiv ose që zbaton algoritme të tjera kriptografike) pa ndryshuar softuerin. Kjo ndodh në të njëjtën mënyrë, për shembull, duke ndryshuar kartën e rrjetit: Kriptori vjen me një drejtues që lejon programet të kryejnë një grup standard funksionesh kriptografike në përputhje me disa ndërfaqe programimi të aplikacioneve (për shembull, CryptAP1).

Në të njëjtën mënyrë, mund të zëvendësoni një kodues hardueri me një softuer (për shembull, një emulator kodues). Për ta bërë këtë, një kodues softuerësh zakonisht zbatohet si një drejtues që ofron të njëjtin grup funksionesh.

Megjithatë, jo të gjitha UKZD kanë nevojë për softuerin e menaxhimit të koduesit (në veçanti, një kodues për enkriptim-deshifrimin "transparent" të të gjithëve hard disk PC duhet të konfigurohet vetëm një herë).

Për të garantuar gjithashtu sigurinë e kryerjes së operacioneve kriptografike në UKZD, mund të përdoret mbrojtja me shumë nivele e çelësave kriptografikë të enkriptimit simetrik, në të cilin një çelës i rastësishëm sesioni është i koduar me një çelës përdoruesi afatgjatë, dhe ai, nga ana tjetër, me një çelësi kryesor (Fig. 3.26).

Në fazën e ngarkimit fillestar, çelësi kryesor futet në qelizën e çelësit nr. 3 të kujtesës së koduesit. Por për kriptim me tre nivele, duhet të merrni edhe dy të tjera. Çelësi i sesionit gjenerohet si rezultat i një kërkese drejtuar gjeneratorit (sensorit)

Oriz. 3.26. Kriptimi i skedarit duke përdorur koduesin e numrave ny UKZD (DSN) për të marrë një numër të rastësishëm, i cili ngarkohet në qelizën e çelësit nr. 1 që korrespondon me çelësin e sesionit. Ai kodon përmbajtjen e skedarit dhe krijon skedar i ri A që ruan informacionin e koduar.

Më pas, përdoruesit i kërkohet një çelës afatgjatë, i cili ngarkohet në qelizën e çelësit #2 me deshifrim duke përdorur çelësin kryesor të vendosur në qelizën #3. në këtë rast, çelësi nuk "largohet" fare nga koduesi. Dhe së fundi, çelësi i sesionit kodohet duke përdorur çelësin afatgjatë të vendosur në qelizën numër 2, i shkarkuar nga kriptori dhe i shkruar në kokën e skedarit të koduar.

Kur deshifroni një skedar, çelësi i sesionit fillimisht deshifrohet duke përdorur çelësin afatgjatë të përdoruesit dhe më pas informacioni rikthehet duke përdorur atë.

Në parim, një çelës mund të përdoret për kriptim, por një skemë me shumë çelësa ka avantazhe serioze. Së pari, mundësia e një sulmi ndaj një çelësi afatgjatë zvogëlohet, pasi përdoret vetëm për të kriptuar çelësat e sesioneve të shkurtra. Dhe kjo e ndërlikon kriptanalizën e sulmuesit të informacionit të koduar për të marrë një çelës afatgjatë. Së dyti, kur ndryshoni çelësin afatgjatë, mund ta rikriptoni skedarin shumë shpejt: mjafton të rikriptoni çelësin e seancës nga çelësi i vjetër afatgjatë në atë të ri. Së treti, mbajtësi i çelësit shkarkohet, pasi vetëm çelësi kryesor ruhet në të dhe të gjithë çelësat afatgjatë (dhe përdoruesi mund të ketë disa prej tyre për qëllime të ndryshme) mund të ruhen të koduar me çelësin kryesor edhe në kompjuterin e vështirë. makinë.

Enkriptuesit në formën e çelësave SHV (shih Fig. 3.22) nuk mund të bëhen ende një zëvendësim i plotë për një kodues harduerik për autobusin PC1 për shkak të shpejtësisë së ulët të enkriptimit. Sidoqoftë, ato kanë disa veçori interesante. Së pari, një token (çelës SW) nuk është vetëm një kodues harduer, por edhe një bartës i çelësave të enkriptimit, d.m.th. një pajisje dy-në-një. Së dyti, shenjat zakonisht përputhen me standardet e përbashkëta ndërkombëtare kriptografike (RKSB #11, 1BO 7816, RS / 8C, etj.), dhe ato mund të përdoren pa cilësimet shtesë në ekzistuese mjete softuerike mbrojtja e informacionit (për shembull, ato mund të përdoren për të vërtetuar përdoruesit në sistemin operativ të familjes Microsoft Windows). Dhe së fundi, çmimi i një koduesi të tillë është dhjetë herë më i ulët se ai i një koduesi klasik harduer për autobusin PCI.



Po ngarkohet...
Top