1.1. นโยบายการระดมทุนนี้ การป้องกันการเข้ารหัสข้อมูล ( ไกลออกไป - นโยบาย ) กำหนดขั้นตอนการจัดระเบียบและรับรองการทำงานของการเข้ารหัส ( การเข้ารหัส) หมายถึงการออกแบบเพื่อปกป้องข้อมูลที่ไม่มีข้อมูลที่เป็นความลับของรัฐ ( ไกลออกไป - CIPF หมายถึงการเข้ารหัสลับ ) หากใช้เพื่อความปลอดภัย ข้อมูลลับและข้อมูลส่วนบุคคลเมื่อมีการประมวลผลใน ระบบข้อมูล.
1.2. นโยบายนี้ได้รับการพัฒนาขึ้นตาม:
- กฎหมายของรัฐบาลกลาง "เกี่ยวกับข้อมูลส่วนบุคคล" , การดำเนินการตามกฎระเบียบของรัฐบาลสหพันธรัฐรัสเซียในด้านการประกันความปลอดภัยของข้อมูลส่วนบุคคล
- กฎหมายของรัฐบาลกลางฉบับที่ 63-FZ "เกี่ยวกับ ลายเซนต์อิเล็กทรอนิกส์ " ;
- คำสั่งของ FSB แห่งสหพันธรัฐรัสเซีย หมายเลข 378 "ในการอนุมัติองค์ประกอบและเนื้อหาของมาตรการองค์กรและทางเทคนิคเพื่อให้มั่นใจถึงความปลอดภัยของข้อมูลส่วนบุคคลในระหว่างการประมวลผลในระบบข้อมูลข้อมูลส่วนบุคคลโดยใช้เครื่องมือป้องกันข้อมูลเข้ารหัสที่จำเป็นเพื่อให้เป็นไปตามข้อกำหนดที่กำหนดโดยรัฐบาลสหพันธรัฐรัสเซียสำหรับการคุ้มครอง ข้อมูลส่วนบุคคลสำหรับแต่ละระดับความปลอดภัย";
- คำสั่ง FAPSI ฉบับที่ 152" เมื่อได้รับอนุมัติคำสั่งเกี่ยวกับการจัดระเบียบและรับรองความปลอดภัยของการจัดเก็บ การประมวลผล และการส่งผ่านช่องทางการสื่อสารโดยใช้การป้องกันข้อมูลแบบเข้ารหัสด้วยการเข้าถึงแบบจำกัดที่ไม่มีข้อมูลที่เป็นความลับของรัฐ»;
- คำสั่งของ Federal Security Service ของสหพันธรัฐรัสเซีย N 66 " ในการอนุมัติกฎระเบียบเกี่ยวกับการพัฒนา การผลิต การขาย และการดำเนินการของวิธีการเข้ารหัส (cryptographic) ของการปกป้องข้อมูล (ระเบียบ PKZ-2005) »;
1.3. นโยบายนี้ใช้กับเครื่องมือเข้ารหัสลับที่ออกแบบมาเพื่อรับรองความปลอดภัยของข้อมูลที่เป็นความลับและข้อมูลส่วนบุคคลในระหว่างการประมวลผลในระบบข้อมูล
1.4. เครื่องมือการเข้ารหัสความปลอดภัยของข้อมูล ( ไกลออกไป - ซีไอพีเอฟ ) ที่ใช้ฟังก์ชันการเข้ารหัสและลายเซ็นอิเล็กทรอนิกส์เพื่อป้องกัน เอกสารอิเล็กทรอนิกส์ส่งผ่านช่องทางสื่อสารสาธารณะ เช่น เครือข่ายสาธารณะอินเทอร์เน็ตหรือช่องทางการสื่อสารผ่านสายโทรศัพท์
1.5. เพื่อความปลอดภัย จำเป็นต้องใช้ CIPF ซึ่ง:
- อนุญาตให้ฝังในกระบวนการทางเทคโนโลยีสำหรับการประมวลผลข้อความอิเล็กทรอนิกส์ ให้การโต้ตอบกับแอปพลิเคชันซอฟต์แวร์ในระดับการประมวลผลคำขอ การแปลงรหัสลับและการออกผล;
- จัดทำโดยนักพัฒนาพร้อมชุดเอกสารการปฏิบัติงานที่สมบูรณ์รวมถึงคำอธิบายของระบบคีย์ กฎสำหรับการทำงานกับมัน ตลอดจนเหตุผลสำหรับองค์กรและบุคลากรที่จำเป็น
- สนับสนุนความต่อเนื่องของกระบวนการบันทึกการทำงานของ CIPF และรับประกันความสมบูรณ์ ซอฟต์แวร์สำหรับสภาพแวดล้อมการทำงานของ CIPF ซึ่งเป็นชุดเครื่องมือฮาร์ดแวร์และซอฟต์แวร์ ร่วมกับการทำงานปกติของ CIPF ซึ่งอาจส่งผลต่อการปฏิบัติตามข้อกำหนดสำหรับ CIPF
- ได้รับการรับรองโดยหน่วยงานของรัฐที่ได้รับอนุญาตหรือได้รับอนุญาตจาก FSB ของรัสเซีย
1.6. CIPF ที่ใช้ในการปกป้องข้อมูลส่วนบุคคลต้องมีคลาสอย่างน้อย KS2
1.7. CIPF ดำเนินการตามอัลกอริทึมที่สอดคล้องกับมาตรฐานแห่งชาติของสหพันธรัฐรัสเซีย เงื่อนไขของสัญญากับคู่สัญญา
1.8. CIPF, ใบอนุญาต, เอกสารสำคัญที่เกี่ยวข้อง, คำแนะนำสำหรับ CIPF จะได้รับโดยองค์กรโดยอิสระหรือสามารถได้รับจากองค์กรบุคคลที่สามที่เริ่มต้นโฟลว์เอกสารที่ปลอดภัย
1.9. CIPF รวมถึงสื่อการติดตั้ง เอกสารสำคัญ คำอธิบายและคำแนะนำสำหรับ CIPF ถือเป็นความลับทางการค้าตามข้อบังคับว่าด้วยข้อมูลที่เป็นความลับ
ขั้นตอนการใช้ CIPF
2.1. การติดตั้งและกำหนดค่าเครื่องมือป้องกันข้อมูลเข้ารหัสดำเนินการตามเอกสารการปฏิบัติงาน คำแนะนำของ Federal Security Service of Russia องค์กรอื่น ๆ ที่เกี่ยวข้องกับการจัดการเอกสารอิเล็กทรอนิกส์ที่ปลอดภัย เมื่อเสร็จสิ้นการติดตั้งและกำหนดค่าแล้ว จะมีการตรวจสอบความพร้อมของ CIPF สำหรับการใช้งาน ข้อสรุปเกี่ยวกับความเป็นไปได้ของการดำเนินการ และ CIPF จะถูกนำไปใช้
การจัดวางและการติดตั้ง CIPF รวมถึงอุปกรณ์อื่น ๆ ที่ทำงานด้วยวิธีการเข้ารหัสในสถานที่ที่ละเอียดอ่อนควรลดความเป็นไปได้ของการเข้าถึงโดยไม่ได้รับอนุญาตของบุคคลที่ไม่ได้รับอนุญาตไปยังวิธีการเหล่านี้ การซ่อมบำรุงอุปกรณ์ดังกล่าวและการเปลี่ยนรหัสลับจะดำเนินการในกรณีที่ไม่มีบุคคลที่ไม่ได้รับอนุญาตให้ทำงานกับข้อมูล CIPF จำเป็นต้องมีมาตรการเชิงองค์กรและทางเทคนิคที่ไม่รวมความเป็นไปได้ในการใช้ CIPF โดยบุคคลที่ไม่ได้รับอนุญาต ตำแหน่งทางกายภาพของ CIPF ควรรับประกันความปลอดภัยของ CIPF ป้องกันการเข้าถึง CIPF โดยไม่ได้รับอนุญาต การเข้าถึงของบุคคลไปยังสถานที่ที่อุปกรณ์ป้องกันตั้งอยู่นั้นถูกจำกัดตามความต้องการในการบริการและถูกกำหนดโดยรายการที่ได้รับอนุมัติจากผู้อำนวยการ
การฝังการเข้ารหัสลับของคลาส KS1 และ KS2 นั้นดำเนินการโดยไม่มีการควบคุมโดย FSB ของรัสเซีย ( หากการควบคุมนี้ไม่ได้ระบุไว้ในเงื่อนไขการอ้างอิงสำหรับการพัฒนา (ความทันสมัย) ของระบบข้อมูล).
การฝังเครื่องมือเข้ารหัสของคลาส KS3, KB1, KB2 และ KA1 นั้นดำเนินการภายใต้การควบคุมของ FSB ของรัสเซียเท่านั้น
การฝังเครื่องมือเข้ารหัสของคลาส KS1, KS2 หรือ KS3 สามารถดำเนินการได้โดยผู้ใช้เครื่องมือเข้ารหัสหากมีใบอนุญาตที่เหมาะสมจาก FSB ของรัสเซีย หรือโดยองค์กรที่มีใบอนุญาตที่เหมาะสมจาก FSB ของ รัสเซีย.
การฝังเครื่องมือเข้ารหัสของคลาส KV1, KV2 หรือ KA1 ดำเนินการโดยองค์กรที่มีใบอนุญาตที่เหมาะสมจาก FSB ของรัสเซีย
การเลิกใช้งาน CIPF ดำเนินการภายใต้ขั้นตอนที่รับประกันการลบข้อมูล การใช้งานโดยไม่ได้รับอนุญาตซึ่งอาจทำให้กิจกรรมทางธุรกิจขององค์กรเสียหาย และข้อมูลที่ใช้โดยเครื่องมือรักษาความปลอดภัย ความปลอดภัยของข้อมูล, จากหน่วยความจำถาวรและจาก สื่อภายนอก (ยกเว้นการเก็บถาวรของเอกสารอิเล็กทรอนิกส์และโปรโตคอลของการโต้ตอบทางอิเล็กทรอนิกส์การบำรุงรักษาและการเก็บรักษาซึ่งในช่วงเวลาหนึ่งจัดทำโดยเอกสารกำกับดูแลและ (หรือ) สัญญาที่เกี่ยวข้อง) และร่างขึ้นโดยพระราชบัญญัติ CIPF ทำลาย ( กำจัด) โดยการตัดสินใจของเจ้าของเครื่องมือเข้ารหัสและด้วยการแจ้งขององค์กรที่รับผิดชอบตามองค์กรของการบัญชีสำเนาของเครื่องมือเข้ารหัส
กำหนดไว้สำหรับการทำลายล้าง การรีไซเคิล) CIPF อาจถูกถอนออกจากฮาร์ดแวร์ที่ใช้งานอยู่ ในเวลาเดียวกัน เครื่องมือการเข้ารหัสจะถือว่าถูกถอนออกจากฮาร์ดแวร์ หากขั้นตอนการลบซอฟต์แวร์ของเครื่องมือการเข้ารหัสที่ให้ไว้โดยเอกสารการปฏิบัติงานและทางเทคนิคสำหรับ CIPF เสร็จสิ้นและไม่ได้เชื่อมต่อกับฮาร์ดแวร์โดยสมบูรณ์
หน่วยและชิ้นส่วนของฮาร์ดแวร์ที่ใช้งานทั่วไปซึ่งเหมาะสำหรับการใช้งานต่อไป ซึ่งไม่ได้ออกแบบมาโดยเฉพาะสำหรับการใช้งานฮาร์ดแวร์ของอัลกอริธึมการเข้ารหัสหรือฟังก์ชันการป้องกันข้อมูลการเข้ารหัสอื่นๆ รวมถึงอุปกรณ์ที่ทำงานร่วมกับเครื่องมือการเข้ารหัสลับ ( จอภาพ เครื่องพิมพ์ สแกนเนอร์ แป้นพิมพ์ ฯลฯ) อนุญาตให้ใช้หลังจากการทำลาย CIPF โดยไม่มีข้อจำกัด ในขณะเดียวกัน ข้อมูลที่อาจยังคงอยู่ในหน่วยความจำของอุปกรณ์ ( เช่น เครื่องพิมพ์ สแกนเนอร์) ต้องเอาออกอย่างปลอดภัย ( ลบ).
2.2. การดำเนินงานของ CIPF ดำเนินการโดยบุคคลที่ได้รับการแต่งตั้งตามคำสั่งของผู้อำนวยการองค์กรและได้รับการฝึกฝนให้ทำงานร่วมกับพวกเขา หากมีผู้ใช้ CIPF สองคนขึ้นไป หน้าที่ระหว่างพวกเขาจะถูกแจกจ่ายโดยคำนึงถึงความรับผิดชอบส่วนบุคคลเพื่อความปลอดภัยของวิธีการเข้ารหัสลับ คีย์ เอกสารการปฏิบัติงานและทางเทคนิค ตลอดจนพื้นที่งานที่ได้รับมอบหมาย
ผู้ใช้ cryptocurrencies จะต้อง:
- ไม่เปิดเผยข้อมูลที่ได้รับ รวมถึงข้อมูลเกี่ยวกับ CIPF และมาตรการป้องกันอื่นๆ
- ไม่เปิดเผยข้อมูลเกี่ยวกับเอกสารสำคัญ
- ป้องกันการทำสำเนาเอกสารสำคัญ
- ป้องกันการแสดงเอกสารสำคัญ ( เฝ้าสังเกต) คอมพิวเตอร์ส่วนบุคคลหรือเครื่องพิมพ์
- ไม่อนุญาตให้บันทึกข้อมูลที่ไม่เกี่ยวข้องบนพาหะหลัก
- ป้องกันการติดตั้งเอกสารสำคัญบนคอมพิวเตอร์ส่วนบุคคลเครื่องอื่น
- ปฏิบัติตามข้อกำหนดในการรับรองความปลอดภัยของข้อมูลข้อกำหนดในการรับรองความปลอดภัยของ CIPF และเอกสารสำคัญสำหรับพวกเขา
- รายงานเกี่ยวกับความพยายามของบุคคลที่ไม่ได้รับอนุญาตซึ่งเป็นที่รู้จักสำหรับพวกเขาเพื่อรับข้อมูลเกี่ยวกับเครื่องมือป้องกันข้อมูลเข้ารหัสลับที่ใช้หรือเอกสารสำคัญสำหรับพวกเขา
- แจ้งทันทีเกี่ยวกับข้อเท็จจริงของการสูญหายหรือการขาดแคลน CIPF, เอกสารสำคัญสำหรับพวกเขา, กุญแจสู่สถานที่, ห้องนิรภัย, ตราประทับส่วนบุคคล และข้อเท็จจริงอื่น ๆ ที่อาจนำไปสู่การเปิดเผยข้อมูลที่ได้รับการคุ้มครอง;
- ส่งมอบ CIPF, เอกสารการปฏิบัติงานและทางเทคนิคสำหรับพวกเขา, เอกสารสำคัญเมื่อเลิกจ้างหรือถอดถอนจากการปฏิบัติหน้าที่ที่เกี่ยวข้องกับการใช้เครื่องมือเข้ารหัส
ความปลอดภัยของการประมวลผลข้อมูลโดยใช้ CIPF ได้รับการรับรองโดย:
- การรักษาความลับของผู้ใช้เมื่อต้องจัดการกับข้อมูลที่พวกเขาได้รับความไว้วางใจหรือรับรู้ในที่ทำงาน รวมถึงข้อมูลเกี่ยวกับการทำงานและขั้นตอนการรักษาความปลอดภัยของเครื่องมือป้องกันข้อมูลเข้ารหัสลับที่ใช้และเอกสารสำคัญสำหรับพวกเขา
- ปฏิบัติตามข้อกำหนดโดยผู้ใช้ CIPF สำหรับความปลอดภัยของข้อมูล
- การจัดเก็บเอกสารการปฏิบัติงานและทางเทคนิคที่เชื่อถือได้สำหรับ CIPF เอกสารสำคัญ สื่อที่มีการแจกจ่ายอย่างจำกัด
- ตรวจจับความพยายามของบุคคลที่ไม่ได้รับอนุญาตอย่างทันท่วงทีเพื่อรับข้อมูลเกี่ยวกับข้อมูลที่ได้รับการคุ้มครองเกี่ยวกับ CIPF ที่ใช้หรือเอกสารสำคัญสำหรับพวกเขา
- ใช้มาตรการทันทีเพื่อป้องกันการเปิดเผยข้อมูลที่ได้รับการคุ้มครอง เช่นเดียวกับการรั่วไหลที่เป็นไปได้เมื่อข้อเท็จจริงของการสูญหายหรือการขาดแคลน CIPF เอกสารสำคัญสำหรับพวกเขา ใบรับรอง บัตรผ่าน กุญแจสู่สถานที่ ห้องนิรภัย ตู้เซฟถูกเปิดเผย ( ตู้โลหะ) ตราส่วนบุคคล ฯลฯ
หากจำเป็นให้โอน วิธีการทางเทคนิคลิงค์ข้อความบริการ การเข้าถึงที่จำกัดเกี่ยวกับองค์กรและการดำเนินงานของ CIPF ข้อความเหล่านี้จะต้องส่งโดยใช้วิธีการเข้ารหัสเท่านั้น ไม่อนุญาตให้โอนคีย์เข้ารหัสลับด้วยวิธีการสื่อสารทางเทคนิค ยกเว้นระบบที่จัดไว้เป็นพิเศษซึ่งมีการจัดหาคีย์เข้ารหัสลับแบบกระจายอำนาจ
CIPF อยู่ภายใต้การบัญชีโดยใช้ดัชนีหรือชื่อเงื่อนไขและ หมายเลขทะเบียน. รายการของดัชนี ชื่อเงื่อนไข และหมายเลขการลงทะเบียนของสกุลเงินดิจิทัลจะถูกกำหนด บริการของรัฐบาลกลางความปลอดภัยของสหพันธรัฐรัสเซีย
CIPF ที่ใช้หรือเก็บไว้, เอกสารการปฏิบัติงานและทางเทคนิคสำหรับพวกเขา, เอกสารสำคัญอยู่ภายใต้การทำสำเนาบัญชี แบบฟอร์มของสมุดจดรายการต่าง CIPF มีให้ในภาคผนวกหมายเลข 1 สมุดจดรายการต่างของผู้ให้บริการหลักในภาคผนวกหมายเลข 2 ของนโยบายนี้ ในขณะเดียวกันควรคำนึงถึงซอฟต์แวร์ CIPF ร่วมกับฮาร์ดแวร์ที่ใช้งานตามปกติ หากวิธีป้องกันข้อมูลการเข้ารหัสฮาร์ดแวร์หรือฮาร์ดแวร์-ซอฟต์แวร์เชื่อมต่อกับบัสระบบหรือหนึ่งในอินเทอร์เฟซฮาร์ดแวร์ภายใน วิธีเข้ารหัสลับดังกล่าวจะถูกนำมาพิจารณาร่วมกับฮาร์ดแวร์ที่เกี่ยวข้องด้วย
หน่วยของการบัญชีสำเนาของเอกสารสำคัญถือเป็นพาหะหลักที่ใช้ซ้ำได้ ซึ่งเป็นสมุดบันทึกสำคัญ หากมีการใช้สื่อกลางของคีย์เดียวกันซ้ำๆ เพื่อบันทึกคีย์เข้ารหัสลับ ควรลงทะเบียนแยกกันในแต่ละครั้ง
สำเนาของวิธีการเข้ารหัสลับทั้งหมดที่ได้รับ เอกสารการปฏิบัติงานและทางเทคนิคสำหรับพวกเขา เอกสารสำคัญจะต้องออกพร้อมกับใบเสร็จรับเงินในการลงทะเบียนการคัดลอกตามอินสแตนซ์ที่สอดคล้องกันสำหรับผู้ใช้ของวิธีการเข้ารหัสลับที่รับผิดชอบความปลอดภัยของพวกเขาเป็นการส่วนตัว
การถ่ายโอนเครื่องมือป้องกันข้อมูลการเข้ารหัส เอกสารการปฏิบัติงานและทางเทคนิคให้กับพวกเขา เอกสารสำคัญจะได้รับอนุญาตระหว่างผู้ใช้เครื่องมือการเข้ารหัสลับและ (หรือ) ผู้ใช้เครื่องมือการเข้ารหัสที่รับผิดชอบโดยไม่ได้รับในบันทึกที่เกี่ยวข้องของบัญชีอินสแตนซ์ต่ออินสแตนซ์ การถ่ายโอนดังกล่าวระหว่างผู้ใช้เครื่องมือการเข้ารหัสต้องได้รับอนุญาต
การจัดเก็บสื่อการติดตั้ง CIPF, เอกสารการปฏิบัติงานและทางเทคนิค, เอกสารสำคัญดำเนินการในตู้ ( กล่องเก็บของ) การใช้งานส่วนบุคคลในเงื่อนไขที่ไม่รวมการเข้าถึงที่ไม่มีการควบคุมรวมถึงการทำลายโดยไม่ได้ตั้งใจ
ฮาร์ดแวร์ที่ใช้ทำงานปกติของ CIPF ตลอดจนฮาร์ดแวร์และซอฟต์แวร์ฮาร์ดแวร์ CIPF จะต้องติดตั้งวิธีการควบคุมการเปิด ( ปิดผนึกปิดผนึก). สถานที่ปิดผนึก ( การปิดผนึก) วิธีเข้ารหัสลับ ฮาร์ดแวร์ควรเป็นแบบที่ควบคุมด้วยสายตาได้ ต่อหน้า ความเป็นไปได้ทางเทคนิคในช่วงที่ไม่มีผู้ใช้เครื่องมือเข้ารหัส เงินเหล่านี้จะต้องถูกตัดการเชื่อมต่อจากสายสื่อสารและเก็บไว้ในห้องใต้ดินที่ปิดสนิท
การเปลี่ยนแปลงซอฟต์แวร์ CIPF และเอกสารทางเทคนิคสำหรับ CIPF นั้นดำเนินการตามที่ได้รับจากผู้ผลิต CIPF และการอัปเดตที่เป็นเอกสารพร้อมการแก้ไขเช็คซัม
การดำเนินงานของ CIPF เกี่ยวข้องกับการรักษาสำเนาสำรองของซอฟต์แวร์อย่างน้อยสองชุดและหนึ่งชุด การสำรองข้อมูลผู้ให้บริการที่สำคัญ การกู้คืนประสิทธิภาพ CIPF ในสถานการณ์ฉุกเฉินดำเนินการตามเอกสารการปฏิบัติงาน
2.3. การผลิตเอกสารสำคัญจากข้อมูลสำคัญดั้งเดิมนั้นดำเนินการโดยผู้ใช้ที่รับผิดชอบของ CIPF โดยใช้เครื่องมือเข้ารหัสลับทั่วไป หากเอกสารการปฏิบัติงานและเอกสารทางเทคนิคจัดเตรียมโอกาสดังกล่าวไว้โดยมีใบอนุญาตจาก Federal Security Service ของ รัสเซียสำหรับการผลิตเอกสารสำคัญสำหรับเครื่องมือเข้ารหัส
สามารถจัดส่งเอกสารสำคัญทางไปรษณีย์ ( รวมทั้งแผนก) การสื่อสารหรือกับผู้ใช้ที่รับผิดชอบเป็นพิเศษของเครื่องมือการเข้ารหัสและพนักงาน ภายใต้มาตรการที่ไม่รวมการเข้าถึงเอกสารสำคัญที่ไม่มีการควบคุมระหว่างการจัดส่ง
ในการส่งเอกสารสำคัญ จะต้องบรรจุในบรรจุภัณฑ์ที่แข็งแรง ซึ่งไม่รวมความเป็นไปได้ของความเสียหายทางกายภาพและผลกระทบจากภายนอก บนแพ็คเกจระบุผู้ใช้ที่รับผิดชอบซึ่งตั้งใจให้แพ็คเกจเหล่านี้ แพ็คเกจดังกล่าวมีเครื่องหมาย "ส่วนตัว" บรรจุภัณฑ์ถูกปิดผนึกในลักษณะที่เป็นไปไม่ได้ที่จะแยกเนื้อหาออกจากบรรจุภัณฑ์โดยไม่ละเมิดบรรจุภัณฑ์และประทับตรา
ก่อนการเนรเทศครั้งแรก ( หรือกลับ) ผู้รับจะได้รับแจ้งด้วยจดหมายแยกต่างหากเกี่ยวกับรายละเอียดของบรรจุภัณฑ์ที่ส่งถึงเขาและตราประทับที่สามารถปิดผนึกได้
ในการส่งเอกสารสำคัญจะมีการจัดเตรียมจดหมายปะหน้าซึ่งจำเป็นต้องระบุ: สิ่งที่ส่งมาและในปริมาณเท่าใด หมายเลขบัญชีของเอกสาร และถ้าจำเป็น วัตถุประสงค์และขั้นตอนในการใช้รายการที่ส่ง จดหมายปะหน้าจะแนบอยู่ในหนึ่งในบรรจุภัณฑ์
แพ็คเกจที่ได้รับจะเปิดโดยผู้ใช้ที่รับผิดชอบของเครื่องมือเข้ารหัสลับเท่านั้นที่ตั้งใจไว้ หากเนื้อหาของบรรจุภัณฑ์ที่ได้รับไม่ตรงกับที่ระบุไว้ในจดหมายปะหน้าหรือตัวบรรจุภัณฑ์และตราประทับ - คำอธิบาย ( ความประทับใจ) และหากบรรจุภัณฑ์ได้รับความเสียหาย ส่งผลให้เข้าถึงเนื้อหาได้ฟรี ผู้รับจะร่างการกระทำที่ส่งไปยังผู้ส่ง ไม่อนุญาตให้ใช้เอกสารสำคัญที่ได้รับพร้อมกับการจัดส่งดังกล่าวจนกว่าจะได้รับคำแนะนำจากผู้ส่ง
หากพบเอกสารสำคัญหรือคีย์เข้ารหัสที่ชำรุด ควรส่งคืนสำเนาหนึ่งชุดของผลิตภัณฑ์ที่มีข้อบกพร่องให้กับผู้ผลิตเพื่อระบุสาเหตุของเหตุการณ์และกำจัดทิ้งในอนาคต และควรเก็บสำเนาที่เหลือไว้จนกว่าคำแนะนำเพิ่มเติมจากผู้ผลิตจะเสร็จสิ้น ได้รับ.
การรับเอกสารสำคัญจะต้องยืนยันกับผู้ส่งตามขั้นตอนที่ระบุไว้ในจดหมายปะหน้า ผู้ส่งมีหน้าที่ควบคุมการส่งมอบสิ่งของของตนไปยังผู้รับ หากไม่ได้รับการยืนยันที่เหมาะสมจากผู้รับในเวลาที่เหมาะสม ผู้ส่งจะต้องส่งคำขอถึงเขาและใช้มาตรการเพื่อชี้แจงตำแหน่งของรายการ
คำสั่งสำหรับการผลิตเอกสารสำคัญถัดไปการผลิตและการแจกจ่ายไปยังสถานที่ใช้งานเพื่อทดแทนเอกสารสำคัญที่มีอยู่อย่างทันท่วงที การบ่งชี้การมีผลบังคับใช้ของเอกสารสำคัญถัดไปนั้นมอบให้โดยผู้ใช้ที่รับผิดชอบของเครื่องมือเข้ารหัสลับหลังจากได้รับการยืนยันจากพวกเขาว่าได้รับเอกสารสำคัญถัดไปแล้วเท่านั้น
เอกสารสำคัญที่ไม่ได้ใช้งานหรือใช้งานไม่ได้จะถูกส่งคืนให้กับผู้ใช้เครื่องมือเข้ารหัสที่รับผิดชอบ หรือตามคำสั่งของเขา จะต้องทำลายทันที
การทำลายคีย์การเข้ารหัสลับ ( คีย์ข้อมูลเบื้องต้น) สามารถทำได้โดยการทำลายตัวกลางสำคัญที่พวกมันอยู่ หรือโดยการลบ ( การทำลาย) การเข้ารหัสลับ ( คีย์ข้อมูลเบื้องต้น) โดยไม่ทำให้ส่วนรองรับกุญแจเสียหาย ( เพื่อให้สามารถนำกลับมาใช้ใหม่ได้).
คีย์เข้ารหัสลับ ( คีย์ข้อมูลเดิม) ถูกลบตามเทคโนโลยีที่ใช้กับสื่อที่ใช้ซ้ำได้ ( ฟล็อปปี้ดิสก์ คอมแพคดิสก์ (ซีดีรอม) คีย์ข้อมูล สมาร์ทการ์ด หน่วยความจำแบบสัมผัส เป็นต้น). ดำเนินการโดยตรงเพื่อลบคีย์การเข้ารหัสลับ ( คีย์ข้อมูลเบื้องต้น) รวมถึงข้อจำกัดที่เป็นไปได้เกี่ยวกับการใช้สื่อที่ใช้ซ้ำได้ที่สำคัญที่เกี่ยวข้องได้รับการควบคุมโดยเอกสารการปฏิบัติงานและทางเทคนิคสำหรับเครื่องมือป้องกันข้อมูลการเข้ารหัสที่เกี่ยวข้อง ตลอดจนคำแนะนำจากองค์กรที่บันทึกคีย์การเข้ารหัสลับ ( คีย์ข้อมูลเบื้องต้น).
ผู้ให้บริการหลักถูกทำลายโดยการสร้างความเสียหายทางกายภาพที่แก้ไขไม่ได้กับพวกเขา ยกเว้นความเป็นไปได้ในการใช้งานเช่นเดียวกับการกู้คืนข้อมูลสำคัญ การดำเนินการโดยตรงเพื่อทำลายผู้ให้บริการคีย์ประเภทใดประเภทหนึ่งนั้นได้รับการควบคุมโดยเอกสารการปฏิบัติงานและทางเทคนิคสำหรับเครื่องมือป้องกันข้อมูลการเข้ารหัสที่เกี่ยวข้อง รวมถึงคำแนะนำจากองค์กรที่บันทึกคีย์การเข้ารหัสลับ ( คีย์ข้อมูลเบื้องต้น).
กระดาษและตัวพากุญแจที่ติดไฟได้อื่นๆ จะถูกทำลายโดยการเผาหรือใช้เครื่องตัดกระดาษใดๆ
เอกสารสำคัญจะถูกทำลายภายในเวลาที่กำหนดในเอกสารการปฏิบัติงานและเอกสารทางเทคนิคสำหรับ CIPF ที่เกี่ยวข้อง ข้อเท็จจริงของการทำลายถูกบันทึกไว้ในการลงทะเบียนสำเนาโดยอินสแตนซ์ที่เกี่ยวข้อง
การทำลายตามการกระทำนั้นดำเนินการโดยคณะกรรมการซึ่งประกอบด้วยบุคคลอย่างน้อยสองคน พระราชบัญญัติระบุสิ่งที่ถูกทำลายและในปริมาณเท่าใด ในตอนท้ายของการกระทำ จะมีการสร้างรายการสุดท้าย (เป็นตัวเลขและคำพูด) เกี่ยวกับจำนวนรายการและสำเนาของเอกสารสำคัญที่จะถูกทำลาย การติดตั้งสื่อ CIPF เอกสารการปฏิบัติงานและทางเทคนิค การแก้ไขในข้อความของการกระทำจะต้องระบุและรับรองโดยลายเซ็นของสมาชิกทุกคนในคณะกรรมาธิการที่มีส่วนร่วมในการทำลาย เกี่ยวกับการทำลายล้างทำเครื่องหมายในสมุดรายวันที่เกี่ยวข้องของการบัญชีสำเนา
Cryptokeys ที่สงสัยว่าถูกบุกรุก รวมถึง Cryptokeys อื่น ๆ ที่ทำงานร่วมกับ Cryptokey จะต้องปิดการใช้งานทันที เว้นแต่จะระบุไว้เป็นอย่างอื่นในเอกสารการปฏิบัติงานและทางเทคนิคของ CIPF ในกรณีฉุกเฉิน เมื่อไม่มีคีย์การเข้ารหัสลับที่จะแทนที่คีย์ที่ถูกบุกรุก จะได้รับอนุญาตจากการตัดสินใจของผู้ใช้เครื่องมือการเข้ารหัสลับที่ตกลงกับผู้ดำเนินการเพื่อใช้คีย์การเข้ารหัสลับที่ถูกบุกรุก ในกรณีนี้ ระยะเวลาของการใช้คีย์การเข้ารหัสลับที่ถูกบุกรุกควรสั้นที่สุดเท่าที่จะเป็นไปได้ และข้อมูลที่ได้รับการป้องกันควรมีค่าน้อยที่สุด
เกี่ยวกับการละเมิดที่อาจนำไปสู่การประนีประนอมของคีย์ crypto ส่วนประกอบหรือการส่ง ( เก็บไว้) ด้วยการใช้ข้อมูล ผู้ใช้เครื่องมือเข้ารหัสจะต้องรายงานต่อผู้ใช้เครื่องมือเข้ารหัสที่รับผิดชอบ
การตรวจสอบสื่อที่ใช้ซ้ำได้ที่สำคัญโดยบุคคลที่ไม่ได้รับอนุญาตไม่ควรถูกพิจารณาว่าเป็นข้อสงสัยในการประนีประนอมกับการเข้ารหัสลับ หากสิ่งนี้ไม่รวมความเป็นไปได้ในการคัดลอก ( การอ่านการสืบพันธุ์).
ในกรณีที่เอกสารสำคัญขาดแคลน การไม่นำเสนอ ตลอดจนความไม่แน่นอนของตำแหน่งที่ตั้ง ผู้ใช้ที่รับผิดชอบจะใช้มาตรการเร่งด่วนในการค้นหาและระบุผลที่ตามมาจากการประนีประนอมกับเอกสารสำคัญ
ขั้นตอนการจัดการระบบกุญแจ
การลงทะเบียนบุคคลที่มีสิทธิ์ในการจัดการที่สำคัญนั้นดำเนินการตามเอกสารการปฏิบัติงานสำหรับ CIPF
การจัดการคีย์เป็นกระบวนการข้อมูลที่มีสามองค์ประกอบ:
- การสร้างคีย์
- การสะสมกุญแจ
- การกระจายของคีย์
ในระบบข้อมูลขององค์กรจะใช้วิธีการฮาร์ดแวร์และซอฟต์แวร์พิเศษสำหรับการสร้างคีย์สุ่ม ตามกฎแล้วจะใช้ตัวสร้างตัวเลขสุ่มหลอก ( ไกลออกไป - ปชช ) ด้วยระดับการสุ่มที่สูงพอสมควรในรุ่นของพวกเขา ที่ยอมรับได้ค่อนข้างมากคือตัวสร้างคีย์ซอฟต์แวร์ที่คำนวณ PRNG เป็น ฟังก์ชันที่ซับซ้อนจากเวลาปัจจุบัน และ ( หรือ) หมายเลขที่ป้อนโดยผู้ใช้
ภายใต้การสะสมของคีย์จะเข้าใจถึงการจัดระบบการจัดเก็บ การบัญชี และการลบ
ไม่ควรเขียนรหัสลับอย่างชัดเจนบนสื่อที่สามารถอ่านหรือคัดลอกได้
ข้อมูลทั้งหมดเกี่ยวกับคีย์ที่ใช้จะต้องจัดเก็บในรูปแบบเข้ารหัส คีย์ที่เข้ารหัสข้อมูลคีย์เรียกว่ามาสเตอร์คีย์ ผู้ใช้แต่ละคนจะต้องรู้คีย์หลักด้วยหัวใจ ห้ามมิให้เก็บไว้ในสื่อวัสดุใด ๆ
เพื่อความปลอดภัยของข้อมูล จำเป็นต้องมีการปรับปรุงข้อมูลสำคัญในระบบสารสนเทศเป็นระยะๆ ซึ่งจะกำหนดทั้งคีย์ปกติและคีย์หลักใหม่
เมื่อแจกจ่ายคีย์ ต้องปฏิบัติตามข้อกำหนดต่อไปนี้:
- ประสิทธิภาพและความถูกต้องของการกระจาย
— ความลับของคีย์แบบกระจาย
อีกทางเลือกหนึ่งคือให้ผู้ใช้สองคนรับคีย์ที่ใช้ร่วมกันจากหน่วยงานกลาง ซึ่งก็คือศูนย์กระจายคีย์ (KDC) ซึ่งผู้ใช้สามารถโต้ตอบกันได้อย่างปลอดภัย ในการจัดระเบียบการแลกเปลี่ยนข้อมูลระหว่าง CRC และผู้ใช้ รหัสหลังจะได้รับการจัดสรรคีย์พิเศษระหว่างการลงทะเบียน ซึ่งจะเข้ารหัสข้อความที่ส่งระหว่างกัน ผู้ใช้แต่ละคนจะได้รับการจัดสรรคีย์แยกต่างหาก
การจัดการคีย์ตามระบบคีย์สาธารณะ
ก่อนที่จะใช้ระบบเข้ารหัสลับคีย์สาธารณะเพื่อแลกเปลี่ยนคีย์ลับธรรมดา ผู้ใช้ต้องแลกเปลี่ยนคีย์สาธารณะของตน
การจัดการคีย์สาธารณะสามารถทำได้ผ่านบริการไดเร็กทอรีออนไลน์หรือออฟไลน์ และผู้ใช้ยังสามารถแลกเปลี่ยนคีย์ได้โดยตรง
การติดตามและควบคุมการใช้ CIPF
เพื่อเพิ่มระดับความปลอดภัยระหว่างการดำเนินการป้องกันข้อมูลเข้ารหัสในระบบ จำเป็นต้องใช้ขั้นตอนการตรวจสอบที่บันทึกเหตุการณ์สำคัญทั้งหมดที่เกิดขึ้นระหว่างการแลกเปลี่ยน ข้อความอิเล็กทรอนิกส์และเหตุการณ์ด้านความปลอดภัยข้อมูลทั้งหมด คำอธิบายและรายการขั้นตอนเหล่านี้ควรจัดทำขึ้นในเอกสารการปฏิบัติงานสำหรับ CIPF
การควบคุมการใช้ CIPF ให้:
- ควบคุมความสอดคล้องของการตั้งค่าและการกำหนดค่าเครื่องมือรักษาความปลอดภัยข้อมูล ตลอดจนเครื่องมือฮาร์ดแวร์และซอฟต์แวร์ที่อาจส่งผลต่อการปฏิบัติตามข้อกำหนดสำหรับเครื่องมือรักษาความปลอดภัยข้อมูล เอกสารด้านกฎระเบียบและทางเทคนิค
- ตรวจสอบการปฏิบัติตามกฎสำหรับการจัดเก็บข้อมูลการเข้าถึงแบบจำกัดที่ใช้ในการทำงานของเครื่องมือรักษาความปลอดภัยข้อมูล ( โดยเฉพาะคีย์ รหัสผ่าน และข้อมูลการยืนยันตัวตน);
- การควบคุมความเป็นไปได้ในการเข้าถึงเครื่องมือรักษาความปลอดภัยข้อมูลโดยบุคคลที่ไม่ได้รับอนุญาต ตลอดจนเครื่องมือฮาร์ดแวร์และซอฟต์แวร์ที่อาจส่งผลต่อการปฏิบัติตามข้อกำหนดสำหรับเครื่องมือรักษาความปลอดภัยข้อมูล
- ตรวจสอบการปฏิบัติตามกฎการตอบสนองเหตุการณ์ ข้อมูลข้อมูล (เกี่ยวกับข้อเท็จจริงของการสูญหาย การประนีประนอมของคีย์ รหัสผ่าน และข้อมูลการพิสูจน์ตัวตน ตลอดจนข้อมูลอื่น ๆ ที่ถูกจำกัดการเข้าถึง);
- การควบคุมการปฏิบัติตามวิธีการทางเทคนิคและซอฟต์แวร์ของ CIPF และเอกสารประกอบสำหรับวิธีการเหล่านี้พร้อมตัวอย่างอ้างอิง ( การรับประกันของผู้จัดหาหรือกลไกการควบคุมที่อนุญาตให้มีการปฏิบัติตามข้อกำหนดดังกล่าวโดยอิสระ);
- การควบคุมความสมบูรณ์ของฮาร์ดแวร์และซอฟต์แวร์ของ CIPF และเอกสารประกอบสำหรับเครื่องมือเหล่านี้ระหว่างการจัดเก็บและการว่าจ้างเครื่องมือเหล่านี้ ( ใช้ทั้งกลไกการควบคุมที่อธิบายไว้ในเอกสารสำหรับ CIPF และการใช้องค์กร).
ดาวน์โหลด ไฟล์ ZIP (43052)
เอกสารมีประโยชน์ - ใส่ "ชอบ":
ใครก็ตามที่คิดอย่างจริงจังเกี่ยวกับความปลอดภัยของข้อมูลลับของตน ต้องเผชิญกับงานที่ต้องเลือกซอฟต์แวร์สำหรับการปกป้องข้อมูลเข้ารหัส และไม่มีอะไรน่าแปลกใจในเรื่องนี้ - การเข้ารหัสเป็นหนึ่งในวิธีที่เชื่อถือได้มากที่สุดในการป้องกันการเข้าถึงเอกสารสำคัญ ฐานข้อมูล ภาพถ่าย และไฟล์อื่น ๆ โดยไม่ได้รับอนุญาต
ปัญหาคือสำหรับตัวเลือกที่มีความสามารถนั้นจำเป็นต้องเข้าใจทุกแง่มุมของการทำงานของผลิตภัณฑ์เข้ารหัส มิฉะนั้น คุณสามารถทำผิดพลาดได้ง่ายมากและหยุดที่ซอฟต์แวร์ที่ไม่อนุญาตให้คุณปกป้องข้อมูลที่จำเป็นทั้งหมด หรือไม่ได้ให้ระดับความปลอดภัยที่เหมาะสม สิ่งที่คุณควรใส่ใจ? ประการแรก นี่คืออัลกอริทึมการเข้ารหัสที่มีอยู่ในผลิตภัณฑ์ ประการที่สอง วิธีการรับรองความถูกต้องของเจ้าของข้อมูล ประการที่สาม วิธีการปกป้องข้อมูล ประการที่สี่ คุณสมบัติและความสามารถเพิ่มเติม ประการที่ห้า อำนาจและชื่อเสียงของผู้ผลิต ตลอดจนความพร้อมใช้งานของใบรับรองสำหรับการพัฒนาเครื่องมือเข้ารหัส และนั่นไม่ใช่ทั้งหมดที่อาจมีความสำคัญเมื่อเลือกระบบป้องกันการเข้ารหัส
เป็นที่ชัดเจนว่าเป็นเรื่องยากสำหรับผู้ที่ไม่เชี่ยวชาญในด้านการรักษาความปลอดภัยข้อมูลเพื่อหาคำตอบสำหรับคำถามเหล่านี้ทั้งหมด
ซีเคร็ตดิสก์ 4 ไลต์
Secret Disk 4 Lite ได้รับการพัฒนาโดย Aladdin ซึ่งเป็นหนึ่งในผู้นำระดับโลกที่ทำงานด้านการรักษาความปลอดภัยข้อมูล เธอมีใบรับรองมากมาย และแม้ว่าผลิตภัณฑ์ดังกล่าวจะไม่ใช่เครื่องมือที่ผ่านการรับรอง (Secret Disk 4 มีเวอร์ชันที่ผ่านการรับรองแยกต่างหาก) ข้อเท็จจริงนี้บ่งชี้ถึงการยอมรับของบริษัทในฐานะผู้พัฒนาเครื่องมือเข้ารหัสอย่างจริงจัง
สามารถใช้ Secret Disk 4 Lite สำหรับการเข้ารหัสได้ แยกส่วนฮาร์ดไดรฟ์ ไดรฟ์แบบถอดได้ ตลอดจนสร้างไดรฟ์เสมือนที่ปลอดภัย ดังนั้น ด้วยเครื่องมือนี้ คุณสามารถแก้ปัญหาส่วนใหญ่ที่เกี่ยวข้องกับการเข้ารหัสได้ แยกเป็นมูลค่า noting ความเป็นไปได้ของการเข้ารหัส พาร์ติชันระบบ. ในกรณีนี้ การบูตระบบปฏิบัติการโดยผู้ใช้ที่ไม่ได้รับอนุญาตจะเป็นไปไม่ได้ ยิ่งกว่านั้น การป้องกันนี้มีความน่าเชื่อถือมากกว่าเครื่องมือป้องกัน Windows ในตัวอย่างเทียบกันไม่ได้
Secret Disk 4 Lite ไม่มีอัลกอริทึมการเข้ารหัสในตัว โปรแกรมนี้ใช้ผู้ให้บริการการเข้ารหัสภายนอกสำหรับการทำงาน ตามค่าเริ่มต้น จะใช้โมดูลมาตรฐานที่รวมอยู่ใน Windows ใช้อัลกอริทึม DES และ 3DES อย่างไรก็ตามวันนี้พวกเขาถือว่าล้าสมัย ดังนั้นสำหรับ การป้องกันที่ดีขึ้นคุณสามารถดาวน์โหลด Secret Disk Crypto Pack พิเศษได้จากเว็บไซต์ Aladdin นี่คือผู้ให้บริการการเข้ารหัสที่ใช้เทคโนโลยีการเข้ารหัสที่ปลอดภัยที่สุดจนถึงปัจจุบัน รวมถึง AES และ Twofish ที่มีความยาวคีย์สูงสุด 256 บิต อย่างไรก็ตาม หากจำเป็น ร่วมกับ Secret Disk 4 Lite คุณสามารถใช้ผู้ให้บริการอัลกอริทึมที่ได้รับการรับรอง Signal-COM CSP และ CryptoPro CSP
คุณสมบัติที่โดดเด่นของ Secret Disk 4 Lite คือระบบตรวจสอบผู้ใช้ ประเด็นคือมันถูกสร้างขึ้นจากการใช้งาน ใบรับรองดิจิทัล. ในการทำเช่นนี้ ฮาร์ดแวร์ USB eToken จะรวมอยู่ในแพ็คเกจผลิตภัณฑ์ เป็นที่เก็บกุญแจลับที่มีความปลอดภัยสูง ในความเป็นจริงเรากำลังพูดถึงการตรวจสอบสิทธิ์แบบสองปัจจัยอย่างเต็มรูปแบบ (การมีโทเค็นและความรู้ของรหัส PIN) ด้วยเหตุนี้ ระบบการเข้ารหัสภายใต้การพิจารณาจึงไม่เกิด "คอขวด" เช่น การใช้การป้องกันด้วยรหัสผ่านทั่วไป
จากฟังก์ชั่นเพิ่มเติมของ Secret Disk 4 Lite เราสามารถสังเกตความเป็นไปได้ของการทำงานของผู้ใช้หลายคน (เจ้าของดิสก์ที่เข้ารหัสสามารถให้การเข้าถึงแก่บุคคลอื่นได้) และการทำงานเบื้องหลังของกระบวนการเข้ารหัส
อินเทอร์เฟซของ Secret Disk 4 Lite นั้นเรียบง่ายและตรงไปตรงมา สร้างขึ้นในรัสเซียเช่นเดียวกับระบบช่วยเหลือโดยละเอียดซึ่งอธิบายถึงความแตกต่างของการใช้ผลิตภัณฑ์
InfoWatch CryptoStorage
InfoWatch CryptoStorage เป็นผลิตภัณฑ์ของบริษัท InfoWatch ที่ค่อนข้างมีชื่อเสียง ซึ่งมีใบรับรองสำหรับการพัฒนา การแจกจ่าย และการบำรุงรักษาเครื่องมือการเข้ารหัส ตามที่ระบุไว้แล้ว สิ่งเหล่านี้ไม่ได้บังคับ แต่สามารถมีบทบาทเป็นตัวบ่งชี้ความจริงจังของบริษัทและคุณภาพของผลิตภัณฑ์ได้
รูปที่ 1 เมนูบริบท
InfoWatch CryptoStorage ใช้อัลกอริทึมการเข้ารหัสเพียงตัวเดียว - AES ที่มีความยาวคีย์ 128 บิต การรับรองความถูกต้องของผู้ใช้ดำเนินการโดยใช้การป้องกันด้วยรหัสผ่านทั่วไป เพื่อความเป็นธรรม ควรสังเกตว่าโปรแกรมมีการจำกัดความยาวขั้นต่ำ คำหลักเท่ากับหกอักขระ อย่างไรก็ตาม การป้องกันด้วยรหัสผ่านนั้นด้อยกว่ามากในด้านความน่าเชื่อถือเมื่อเทียบกับการรับรองความถูกต้องด้วยสองปัจจัยโดยใช้โทเค็น คุณลักษณะของโปรแกรม InfoWatch CryptoStorage คือความสามารถรอบด้าน ประเด็นคือสามารถใช้เข้ารหัสได้ แต่ละไฟล์และโฟลเดอร์ พาร์ติชันทั้งหมดของฮาร์ดไดรฟ์ ไดรฟ์แบบถอดได้ ตลอดจนไดรฟ์เสมือน
ผลิตภัณฑ์นี้ช่วยให้คุณปกป้องได้เช่นเดียวกับผลิตภัณฑ์ก่อนหน้านี้ ไดรฟ์ระบบนั่นคือสามารถใช้เพื่อป้องกันการบูทคอมพิวเตอร์โดยไม่ได้รับอนุญาต ในความเป็นจริง InfoWatch CryptoStorage ช่วยให้คุณสามารถแก้ไขงานทั้งหมดที่เกี่ยวข้องกับการใช้การเข้ารหัสแบบสมมาตร
คุณสมบัติเพิ่มเติมของผลิตภัณฑ์ที่อยู่ระหว่างการพิจารณาคือองค์กรของการเข้าถึงข้อมูลที่เข้ารหัสโดยผู้ใช้หลายคน นอกจากนี้ InfoWatch CryptoStorage ยังรับประกันการทำลายข้อมูลโดยไม่มีความเป็นไปได้ในการกู้คืน
InfoWatch CryptoStorage เป็นโปรแกรมภาษารัสเซีย อินเทอร์เฟซนั้นทำขึ้นในภาษารัสเซีย แต่ค่อนข้างผิดปกติ: ไม่มีหน้าต่างหลักเช่นนี้ (มีเพียงหน้าต่างตัวกำหนดค่าขนาดเล็ก) และงานเกือบทั้งหมดเสร็จสิ้นโดยใช้ เมนูบริบท. วิธีแก้ปัญหาดังกล่าวเป็นเรื่องผิดปกติ แต่ไม่มีใครรู้จักความเรียบง่ายและความสะดวกสบายของมัน โดยธรรมชาติแล้วยังมีเอกสารภาษารัสเซียในโปรแกรมด้วย
Rohos Disk เป็นผลิตภัณฑ์ของ Tesline-Service.S.R.L. เป็นส่วนหนึ่งของระบบสาธารณูปโภคขนาดเล็กที่ใช้เครื่องมือต่าง ๆ เพื่อปกป้องข้อมูลที่เป็นความลับ ซีรีส์นี้อยู่ระหว่างการพัฒนาตั้งแต่ปี 2546
รูปที่ 2 อินเทอร์เฟซของโปรแกรม
Rohos Disk ได้รับการออกแบบมาสำหรับการป้องกันการเข้ารหัสของข้อมูลคอมพิวเตอร์ ช่วยให้คุณสร้างไดรฟ์เสมือนที่เข้ารหัสซึ่งคุณสามารถบันทึกไฟล์และโฟลเดอร์ใด ๆ รวมถึงติดตั้งซอฟต์แวร์
เพื่อปกป้องข้อมูล ผลิตภัณฑ์นี้ใช้อัลกอริธึมการเข้ารหัส AES ที่มีความยาวคีย์ 256 บิต ซึ่งให้ ระดับสูงความปลอดภัย.
Rohos Disk มีสองวิธีในการตรวจสอบผู้ใช้ ประการแรกคือการป้องกันด้วยรหัสผ่านตามปกติพร้อมข้อบกพร่องทั้งหมด ตัวเลือกที่สองคือการใช้ดิสก์ USB ปกติซึ่งมีการเขียนรหัสที่จำเป็น
ตัวเลือกนี้ไม่น่าเชื่อถือเช่นกัน เมื่อใช้งาน การสูญหายของ "แฟลชไดรฟ์" อาจนำไปสู่ปัญหาร้ายแรงได้
Rohos Disk มีคุณสมบัติเพิ่มเติมมากมาย ประการแรก การป้องกันไดรฟ์ USB เป็นสิ่งที่ควรค่าแก่การสังเกต สาระสำคัญคือการสร้างพาร์ติชันเข้ารหัสพิเศษบน "แฟลชไดรฟ์" ซึ่งคุณสามารถถ่ายโอนข้อมูลที่เป็นความลับได้อย่างปลอดภัย
นอกจากนี้ ผลิตภัณฑ์ยังมียูทิลิตี้แยกต่างหากซึ่งคุณสามารถเปิดและดูไดรฟ์ USB เหล่านี้บนคอมพิวเตอร์ที่ไม่ได้ติดตั้ง Rohos Disk
คุณสมบัติเพิ่มเติมถัดไปคือการสนับสนุนซูรินาเม สาระสำคัญของเทคโนโลยีนี้คือการซ่อนข้อมูลที่เข้ารหัสภายในไฟล์มัลติมีเดีย (รองรับรูปแบบ AVI, MP3, MPG, WMV, WMA, OGG)
การใช้งานช่วยให้คุณสามารถซ่อนข้อเท็จจริงของการมีอยู่ของดิสก์ลับโดยวางไว้ในภาพยนตร์ ฟังก์ชันเพิ่มเติมสุดท้ายคือการทำลายข้อมูลโดยไม่สามารถกู้คืนได้
โปรแกรม Rohos Disk มีอินเทอร์เฟซภาษารัสเซียแบบดั้งเดิม นอกจากนี้เธอยังมาพร้อมกับ ระบบช่วยเหลืออาจไม่ละเอียดเท่าสองผลิตภัณฑ์ก่อนหน้า แต่เพียงพอที่จะเชี่ยวชาญหลักการใช้งาน
เมื่อพูดถึงโปรแกรมอรรถประโยชน์การเข้ารหัส เราไม่สามารถพูดถึงซอฟต์แวร์ฟรีได้ ทุกวันนี้ในเกือบทุกพื้นที่มีผลิตภัณฑ์ที่คุ้มค่าซึ่งแจกจ่ายอย่างเสรี และความปลอดภัยของข้อมูลก็ไม่มีข้อยกเว้นสำหรับกฎนี้
จริง มีทัศนคติสองเท่าต่อการใช้ซอฟต์แวร์ฟรีเพื่อการปกป้องข้อมูล ความจริงก็คือยูทิลิตี้จำนวนมากเขียนโดยโปรแกรมเมอร์คนเดียวหรือกลุ่มย่อย ในขณะเดียวกันก็ไม่มีใครสามารถรับรองคุณภาพของการใช้งานและการไม่มี "ช่องโหว่" โดยบังเอิญหรือโดยเจตนา แต่โซลูชันการเข้ารหัสนั้นค่อนข้างยากที่จะพัฒนา เมื่อสร้างคุณต้องคำนึงถึงความแตกต่างจำนวนมาก นั่นคือเหตุผลที่แนะนำให้ใช้เฉพาะผลิตภัณฑ์ที่มีชื่อเสียงและควรใช้เสมอ โอเพ่นซอร์ส. นี่เป็นวิธีเดียวที่จะมั่นใจได้ว่าไม่มี "บุ๊กมาร์ก" และผ่านการทดสอบโดยผู้เชี่ยวชาญจำนวนมาก ซึ่งหมายความว่ามีความน่าเชื่อถือมากหรือน้อย ตัวอย่างของผลิตภัณฑ์ดังกล่าวคือโปรแกรม TrueCrypt
รูปที่ 3 ส่วนต่อประสานโปรแกรม
TrueCrypt เป็นหนึ่งในโปรแกรมอรรถประโยชน์การเข้ารหัสฟรีที่มีคุณสมบัติครบถ้วนที่สุด เริ่มแรกใช้เพื่อสร้างดิสก์เสมือนที่ปลอดภัยเท่านั้น สำหรับผู้ใช้ส่วนใหญ่ วิธีนี้เป็นวิธีที่สะดวกที่สุดในการปกป้องข้อมูลต่างๆ อย่างไรก็ตามเมื่อเวลาผ่านไปฟังก์ชั่นการเข้ารหัสพาร์ติชันระบบก็ปรากฏขึ้น อย่างที่เราทราบกันดีอยู่แล้วว่ามีไว้เพื่อป้องกันคอมพิวเตอร์จากการเริ่มทำงานโดยไม่ได้รับอนุญาต อย่างไรก็ตาม TrueCrypt ยังไม่ทราบวิธีเข้ารหัสพาร์ติชันอื่นทั้งหมด ตลอดจนไฟล์และโฟลเดอร์แต่ละรายการ
ผลิตภัณฑ์ดังกล่าวใช้อัลกอริธึมการเข้ารหัสหลายตัว ได้แก่ AES, Serpent และ Twofish เจ้าของข้อมูลสามารถเลือกได้ว่าต้องการนำไปใช้ในข้อใด ช่วงเวลานี้. การตรวจสอบผู้ใช้ใน TrueCrypt สามารถทำได้โดยใช้รหัสผ่านปกติ อย่างไรก็ตาม มีตัวเลือกอื่น - การใช้ไฟล์คีย์ที่สามารถจัดเก็บไว้ในฮาร์ดไดรฟ์หรืออะไรก็ได้ ที่เก็บข้อมูลแบบถอดได้. เป็นที่น่าสังเกตว่าโปรแกรมนี้รองรับโทเค็นและสมาร์ทการ์ดซึ่งช่วยให้คุณจัดระเบียบการรับรองความถูกต้องด้วยสองปัจจัยที่เชื่อถือได้
จาก คุณลักษณะเพิ่มเติมของโปรแกรมภายใต้การพิจารณา เป็นไปได้ที่จะบันทึกความเป็นไปได้ของการสร้าง ปริมาณที่ซ่อนอยู่ภายในรายการหลัก ใช้เพื่อซ่อนข้อมูลที่ละเอียดอ่อนเมื่อเปิดไดรฟ์ภายใต้การบังคับขู่เข็ญ นอกจากนี้ TrueCrypt ยังใช้ระบบ สำเนาสำรองส่วนหัวของโวลุ่มสำหรับการกู้คืนข้อขัดข้องหรือเปลี่ยนกลับเป็นรหัสผ่านเก่า
อินเทอร์เฟซ TrueCrypt คุ้นเคยกับยูทิลิตี้ประเภทนี้ มีหลายภาษาและสามารถติดตั้งภาษารัสเซียได้ เอกสารแย่ลงมาก มันมีรายละเอียดมาก แต่เขียนใน ภาษาอังกฤษ. โดยธรรมชาติแล้ว การสนับสนุนทางเทคนิคจะไม่มีคำพูด
เพื่อความชัดเจน คุณลักษณะและฟังก์ชันการทำงานทั้งหมดจะสรุปไว้ในตารางที่ 2
ตารางที่ 2 - ฟังก์ชั่นโปรแกรมป้องกันข้อมูลเข้ารหัส
|
ซีเคร็ตดิสก์ 4 ไลต์ |
InfoWatch CryptoStorage |
|||
|
อัลกอริทึมการเข้ารหัส |
DES, 3DES, AES, ทูฟิช |
AES, งู, TwoFish |
||
|
ความยาวคีย์เข้ารหัสสูงสุด |
||||
|
เชื่อมต่อผู้ให้บริการ crypto ภายนอก |
||||
|
การรับรองความถูกต้องที่แข็งแกร่งโดยใช้โทเค็น |
+ (โทเค็นจะซื้อแยกต่างหาก) |
|||
|
การเข้ารหัสไฟล์และโฟลเดอร์ |
||||
|
การเข้ารหัสพาร์ติชัน |
||||
|
การเข้ารหัสระบบ |
||||
|
การเข้ารหัสดิสก์เสมือน |
||||
|
การเข้ารหัสหน่วยเก็บข้อมูลแบบถอดได้ |
||||
|
รองรับการทำงานแบบหลายผู้ใช้ |
||||
|
รับประกันการทำลายข้อมูล |
||||
|
การซ่อนวัตถุที่เข้ารหัส |
||||
|
ทำงานภายใต้การบังคับ |
||||
|
อินเทอร์เฟซภาษารัสเซีย |
||||
|
เอกสารภาษารัสเซีย |
||||
|
การสนับสนุนทางเทคนิค |
ฟังนะ ... เพื่อประโยชน์ส่วนรวมของเรา จดหมายทุกฉบับที่มาถึงที่ทำการไปรษณีย์ของคุณ ทั้งขาเข้าและขาออก คุณรู้ไหม พิมพ์ออกมาเล็กน้อยแล้วอ่าน: มีรายงานหรือจดหมายโต้ตอบ ... .
N.V. โกกอล "สารวัตร"
ตามหลักการแล้วควรมีคนเพียง 2 คนเท่านั้นที่สามารถอ่านจดหมายลับได้: ผู้ส่งและผู้ที่จ่าหน้าถึง การกำหนดรูปแบบดังกล่าวดูเหมือนง่ายมากๆ คือจุดเริ่มต้นของระบบป้องกันการเข้ารหัสลับ การพัฒนาคณิตศาสตร์ทำให้เกิดแรงผลักดันในการพัฒนาระบบดังกล่าว
ในศตวรรษที่ XVII-XVIII แล้ว ciphers ในรัสเซียค่อนข้างซับซ้อนและทนทานต่อการแตกหัก นักคณิตศาสตร์ชาวรัสเซียหลายคนทำงานเกี่ยวกับการสร้างหรือปรับปรุงระบบเข้ารหัสและในขณะเดียวกันก็พยายามรับกุญแจไปยังรหัสลับของระบบอื่น ปัจจุบันสามารถบันทึกระบบการเข้ารหัสของรัสเซียได้หลายระบบเช่น Lexicon Verba, Secret Net, DALLAS LOCK, Secret Disk, ตระกูลผลิตภัณฑ์ Accord เป็นต้น เราจะพูดถึงพวกเขา นอกจากนี้ คุณจะได้ทำความคุ้นเคยกับซอฟต์แวร์หลักและฮาร์ดแวร์และซอฟต์แวร์ cryptoprotection complexes เรียนรู้เกี่ยวกับความสามารถ จุดแข็ง และ จุดอ่อน. เราหวังว่าบทความนี้จะช่วยคุณเลือกระบบป้องกันการเข้ารหัส
การแนะนำ
คุณกังวลว่า ข้อมูลสำคัญจากคอมพิวเตอร์ของคุณสามารถตกอยู่ในมือคนผิด? ข้อมูลนี้สามารถนำไปใช้โดยคู่แข่ง หน่วยงานกำกับดูแล และผู้ไม่หวังดี เห็นได้ชัดว่าการกระทำดังกล่าวอาจทำให้คุณเสียหายอย่างมาก จะทำอย่างไร? เพื่อปกป้องข้อมูลของคุณจากคนแปลกหน้า คุณต้องติดตั้งหนึ่งในโปรแกรมเข้ารหัสข้อมูล การตรวจสอบของเรามุ่งเน้นไปที่การวิเคราะห์ระบบการเข้ารหัสสำหรับระบบเดสก์ท็อป ควรสังเกตว่าการใช้ระบบเข้ารหัสต่างประเทศในรัสเซียมีข้อ จำกัด มากด้วยเหตุผลหลายประการ องค์กรของรัฐและบริษัทในประเทศขนาดใหญ่ถูกบังคับให้ใช้การพัฒนาของรัสเซีย อย่างไรก็ตาม บริษัทขนาดกลางและขนาดเล็กรวมถึงบุคคลทั่วไปบางครั้งก็ชอบระบบต่างประเทศ
สำหรับผู้ที่ไม่ได้ฝึกหัด การเข้ารหัสข้อมูลดูเหมือนเป็นมนต์ดำอย่างหนึ่ง อันที่จริง การเข้ารหัสข้อความเพื่อซ่อนเนื้อหาจากบุคคลภายนอกเป็นปัญหาทางคณิตศาสตร์ที่ซับซ้อน นอกจากนี้ต้องเลือกรหัสในลักษณะที่จะเป็นไปไม่ได้เลยที่จะเปิดโดยไม่มีรหัสและอย่างรวดเร็วและง่ายดายด้วยรหัส บริษัทและองค์กรหลายแห่งพบว่ามันยากมากที่จะ ทางเลือกที่ดีที่สุดเมื่อติดตั้งโปรแกรมเข้ารหัส เรื่องนี้ซับซ้อนยิ่งขึ้นเนื่องจากไม่มีคอมพิวเตอร์ที่ปลอดภัยอย่างยิ่งและระบบเข้ารหัสที่เชื่อถือได้อย่างแน่นอน อย่างไรก็ตาม ก็ยังมีวิธีที่เพียงพอซึ่งคุณสามารถขับไล่ความพยายามเกือบทั้งหมดในการเปิดเผยข้อมูลที่เข้ารหัสได้
โปรแกรมเข้ารหัสมีอะไรอยู่ข้างใน
โปรแกรมเข้ารหัสแตกต่างกันในอัลกอริทึมการเข้ารหัส เมื่อไฟล์ถูกเข้ารหัสแล้ว คุณสามารถเขียนลงในฟล็อปปี้ดิสก์แล้วส่งผ่าน อีเมลหรือวางบนเซิร์ฟเวอร์บนเครือข่ายท้องถิ่นของคุณ ผู้รับการเข้ารหัสของคุณต้องมีโปรแกรมเข้ารหัสเดียวกันจึงจะอ่านเนื้อหาของไฟล์ได้
หากคุณต้องการส่งข้อความที่เข้ารหัสไปยังผู้ใช้หลายคนในเวลาเดียวกัน ข้อมูลของคุณสำหรับผู้รับแต่ละคนสามารถเข้ารหัสด้วยรหัสของตนเองหรือด้วยรหัสที่ใช้ร่วมกันสำหรับผู้ใช้ทั้งหมด (รวมถึงผู้เขียนข้อความ)
ระบบเข้ารหัสใช้รหัสลับเพื่อเปลี่ยนข้อมูลของคุณให้เป็นชุดอักขระแบบสุ่มหลอกที่ไม่มีความหมาย ที่ อัลกอริทึมที่ดีการเข้ารหัส แทบเป็นไปไม่ได้เลยที่จะถอดรหัสข้อความโดยไม่รู้ตัว รหัสลับใช้สำหรับการเข้ารหัส อัลกอริทึมดังกล่าวเรียกว่าอัลกอริทึมคีย์สมมาตรเนื่องจากใช้คีย์เดียวกันในการเข้ารหัสและถอดรหัสข้อมูล
เพื่อปกป้องข้อมูลของคุณ โปรแกรมเข้ารหัสจะสร้างคีย์ลับตามรหัสผ่านของคุณ คุณเพียงแค่ต้องตั้งรหัสผ่านยาว ๆ ที่ไม่มีใครคาดเดาได้ อย่างไรก็ตาม หากคุณต้องการให้คนอื่นอ่านไฟล์ คุณจะต้องบอกคีย์ลับ (หรือรหัสผ่านที่ใช้ตามคีย์นั้น) ให้กับบุคคลนั้น คุณสามารถมั่นใจได้ว่าแม้แต่อัลกอริธึมการเข้ารหัสที่เรียบง่ายก็สามารถปกป้องข้อมูลของคุณได้ ผู้ใช้ทั่วไปพูดจากเพื่อนร่วมงานที่ทำงาน อย่างไรก็ตาม ผู้เชี่ยวชาญมีหลายวิธีในการถอดรหัสข้อความโดยไม่ทราบรหัสลับ
หากไม่มีความรู้พิเศษ คุณจะไม่สามารถตรวจสอบความน่าเชื่อถือของอัลกอริทึมการเข้ารหัสของคุณได้อย่างอิสระ แต่คุณสามารถพึ่งพาความคิดเห็นของผู้เชี่ยวชาญได้ อัลกอริธึมการเข้ารหัสบางอย่าง เช่น Triple DES (มาตรฐานการเข้ารหัสข้อมูล) ได้รับการทดสอบเป็นเวลาหลายปี จากผลการทดสอบ อัลกอริทึมนี้ได้พิสูจน์ตัวเองเป็นอย่างดี และนักเข้ารหัสเชื่อว่าสามารถเชื่อถือได้ อัลกอริธึมใหม่ส่วนใหญ่ได้รับการศึกษาอย่างรอบคอบ และผลการวิจัยได้รับการตีพิมพ์ในเอกสารเฉพาะทาง
หากอัลกอริทึมของโปรแกรมไม่ได้รับการตรวจสอบและอภิปรายอย่างเปิดเผยโดยผู้เชี่ยวชาญ หากไม่มีใบรับรองและเอกสารอย่างเป็นทางการอื่น ๆ นี่เป็นเหตุผลที่ต้องสงสัยในความน่าเชื่อถือและปฏิเสธที่จะใช้โปรแกรมดังกล่าว
ระบบเข้ารหัสอีกประเภทหนึ่งคือระบบกุญแจสาธารณะ เพื่อให้ระบบดังกล่าวทำงานได้ไม่จำเป็นต้องบอกรหัสลับ (หรือรหัสผ่านตามรหัสที่สร้างขึ้น) ให้ผู้รับทราบ ระบบการเข้ารหัสเหล่านี้สร้างคีย์ดิจิทัลสองคีย์สำหรับผู้ใช้แต่ละคน: อันหนึ่งใช้เพื่อเข้ารหัสข้อมูล และอีกอันหนึ่ง - เพื่อถอดรหัส คีย์แรก (เรียกว่าคีย์สาธารณะ) สามารถเปิดเผยต่อสาธารณะได้ ในขณะที่คีย์ที่สองจะถูกเก็บเป็นความลับ หลังจากนั้น ทุกคนสามารถเข้ารหัสข้อมูลโดยใช้รหัสสาธารณะ และเฉพาะผู้ที่มีรหัสลับที่เกี่ยวข้องเท่านั้นที่สามารถถอดรหัสได้
โปรแกรมเข้ารหัสบางโปรแกรมมีวิธีการป้องกันที่สำคัญอีกวิธีหนึ่ง นั่นคือ ลายเซ็นดิจิทัล ลายเซ็นดิจิทัลรับรองว่าไฟล์ไม่ได้รับการแก้ไขตั้งแต่มีการเซ็นชื่อและให้ข้อมูลผู้รับว่าใครเป็นผู้ลงนามในไฟล์กันแน่ อัลกอริทึมการสร้าง ลายเซ็นดิจิทัลขึ้นอยู่กับการคำนวณของเช็คซัม - ผลรวมแฮชที่เรียกว่าหรือสรุปข้อความ อัลกอริทึมที่ใช้รับประกันว่าเป็นไปไม่ได้ที่จะเลือกไฟล์สองไฟล์ที่แตกต่างกันซึ่งผลรวมของแฮชจะตรงกัน
เมื่อผู้รับได้รับไฟล์ที่มีลายเซ็นดิจิทัล โปรแกรมเข้ารหัสจะคำนวณผลรวมของแฮชสำหรับไฟล์นั้นใหม่ จากนั้นผู้รับจะใช้รหัสสาธารณะที่เผยแพร่โดยผู้ส่งเพื่อกู้คืนลายเซ็นดิจิทัล หากผลลัพธ์ตรงกับค่าที่คำนวณสำหรับไฟล์ ผู้รับจะมั่นใจได้ว่าข้อความของข้อความไม่ได้ถูกเปลี่ยนแปลง (หากเกิดขึ้น ผลรวมของแฮชจะแตกต่างออกไป) และลายเซ็นเป็นของบุคคลที่มีสิทธิ์เข้าถึง ไปยังรหัสลับของผู้ส่ง
การปกป้องข้อมูลที่ละเอียดอ่อนหรือเป็นความลับต้องการมากกว่าแค่ โปรแกรมที่ดีการเข้ารหัส คุณต้องใช้มาตรการหลายอย่างเพื่อความปลอดภัยของข้อมูล หากรหัสผ่านของคุณอ่อนแอ (ผู้เชี่ยวชาญแนะนำให้ตั้งค่าเป็นอักขระแปดตัวขึ้นไป) หรือหากมีการเก็บสำเนาข้อมูลที่เป็นความลับที่ไม่ได้เข้ารหัสไว้บนคอมพิวเตอร์ของคุณ ในกรณีนี้แม้แต่ ระบบที่ดีที่สุดการเข้ารหัสจะไม่มีประสิทธิภาพ
ระบบศัพท์-เวอร์บา
ระบบ Lexicon-Verba เป็นวิธีการจัดระเบียบการป้องกัน การจัดการเอกสารอิเล็กทรอนิกส์ทั้งภายในเครือข่ายองค์กรและระหว่างองค์กรต่างๆ Lexicon-Verba ใช้ระบบการเข้ารหัสดัดแปลงสองแบบ: ระบบ Verba-W มีไว้สำหรับหน่วยงานของรัฐ (การป้องกันข้อมูลที่เป็นความลับ โดยเฉพาะชิปบอร์ด คีย์ลายเซ็นเปิดอยู่ คีย์เข้ารหัสถูกปิด) ระบบ Verba-OW ใช้สำหรับการค้า องค์กร (การป้องกันความลับทางการค้า คีย์ลายเซ็นและการเข้ารหัสเปิดอยู่)
มีมาตรฐานการเข้ารหัสทั่วโลกค่อนข้างน้อย แต่มีเพียงส่วนเล็ก ๆ เท่านั้นที่ได้รับการรับรองโดยหน่วยงานกลางเพื่อการสื่อสารและข้อมูลของรัฐบาล (FAPSI) ซึ่งทำให้ไม่สามารถใช้โซลูชันที่ไม่ได้รับการรับรองในรัสเซียได้ ระบบ Verba-W มีใบรับรอง FAPSI เลขที่ SF/114-0176 ระบบ Verba-OW - ใบรับรอง FAPSI หมายเลข SF / 114-0174
"Lexicon-Verba" ให้การเข้ารหัสและลายเซ็นดิจิทัลตามข้อกำหนดของ GOST 28147-89 "ระบบประมวลผลข้อมูล การป้องกันการเข้ารหัส" และ GOST R34.10-94 " เทคโนโลยีสารสนเทศ. การป้องกันข้อมูลด้วยการเข้ารหัส ขั้นตอนสำหรับการพัฒนาและการตรวจสอบลายเซ็นดิจิทัลอิเล็กทรอนิกส์โดยใช้อัลกอริทึมการเข้ารหัสแบบอสมมาตร
โปรแกรมนี้ได้รับการรับรองโดย State Technical Commission ภายใต้ประธานาธิบดีแห่งสหพันธรัฐรัสเซีย ในเดือนกรกฎาคมคาดว่าจะได้รับใบรับรองจากกระทรวงกลาโหมรัสเซีย
การป้องกันการเข้ารหัสของระบบขึ้นอยู่กับวิธีการเข้ารหัสด้วยรหัสสาธารณะ คีย์แต่ละรายการที่ระบุผู้ใช้ประกอบด้วยสองส่วน: คีย์สาธารณะและคีย์ส่วนตัว รหัสสาธารณะแจกจ่ายอย่างอิสระและใช้เพื่อเข้ารหัสข้อมูล ผู้ใช้รายนี้. ในการถอดรหัสเอกสาร บุคคลที่เข้ารหัสต้องมีรหัสสาธารณะของคุณและระบุว่าคุณมีสิทธิ์เข้าถึงเอกสารเมื่อทำการเข้ารหัส
ในการถอดรหัสเอกสาร คุณต้องใช้คีย์ส่วนตัว คีย์ส่วนตัวประกอบด้วยสองส่วน ส่วนหนึ่งเก็บไว้ในสมาร์ทการ์ดหรือหน่วยความจำแบบสัมผัส และอีกส่วนหนึ่งจัดเก็บไว้ในฮาร์ดไดรฟ์ของคอมพิวเตอร์ของคุณ ดังนั้นการสูญหายของสมาร์ทการ์ดหรือการเข้าถึงคอมพิวเตอร์โดยไม่ได้รับอนุญาตทำให้สามารถถอดรหัสเอกสารทีละรายการได้
ชุดกุญแจเริ่มต้นรวมถึง ข้อมูลเต็มเกี่ยวกับคีย์สาธารณะและคีย์ส่วนตัวของผู้ใช้นั้นถูกสร้างขึ้นในสถานที่ทำงานที่ปลอดภัยซึ่งมีอุปกรณ์ครบครันเป็นพิเศษ ฟล็อปปี้ดิสก์ที่มีข้อมูลสำคัญจะใช้ในขั้นตอนการเตรียมสถานที่ทำงานของผู้ใช้เท่านั้น
สามารถใช้ระบบ Lexicon-Verba ภายในกรอบของระบบหลักสองระบบสำหรับการจัดการเอกสารที่ปลอดภัย:
- เป็นโซลูชันแบบสแตนด์อโลน หากองค์กรมีเครือข่ายท้องถิ่น ระบบจะไม่สามารถติดตั้งบนคอมพิวเตอร์ทุกเครื่อง แต่เฉพาะในคอมพิวเตอร์ที่ต้องทำงานกับเอกสารลับเท่านั้น ซึ่งหมายความว่าภายในเครือข่ายองค์กรมีเครือข่ายย่อยสำหรับแลกเปลี่ยนข้อมูลที่เป็นความลับ ในเวลาเดียวกัน ผู้เข้าร่วมในส่วนปิดของระบบสามารถแลกเปลี่ยนเอกสารเปิดกับพนักงานคนอื่นๆ
- เป็นส่วนหนึ่งของเวิร์กโฟลว์ Lexicon-Verba มีอินเตอร์เฟสการเชื่อมต่อมาตรฐาน ฟังก์ชั่นภายนอกเพื่อดำเนินการเปิด บันทึก ปิด และส่งเอกสาร ซึ่งทำให้ง่ายต่อการรวมระบบนี้เข้ากับระบบเวิร์กโฟลว์ทั้งที่มีอยู่และที่พัฒนาขึ้นใหม่
ควรสังเกตว่าคุณสมบัติของระบบ Lexicon-Verba ไม่ได้เป็นเพียงวิธีการให้เท่านั้น การป้องกันข้อมูลจากการบุกรุกจากภายนอก แต่ยังเป็นวิธีการเพิ่มการรักษาความลับภายในองค์กรและการแบ่งปันการเข้าถึง
หนึ่งในทรัพยากรเพิ่มเติมที่สำคัญสำหรับการเพิ่มระดับการควบคุมความปลอดภัยของข้อมูลคือความสามารถในการรักษา "บันทึกเหตุการณ์" สำหรับเอกสารใดๆ คุณสมบัติการแก้ไขประวัติเอกสารสามารถเปิดใช้งานหรือปิดใช้งานได้เมื่อติดตั้งระบบเท่านั้น เมื่อเปิดเครื่อง นิตยสารเล่มนี้จะดำเนินการโดยไม่คำนึงถึงความต้องการของผู้ใช้
ข้อได้เปรียบหลักและ คุณสมบัติที่โดดเด่นระบบเป็นการใช้งานฟังก์ชั่นความปลอดภัยข้อมูลที่เรียบง่ายและใช้งานง่ายในขณะที่รักษาแบบดั้งเดิม โปรแกรมประมวลผลคำสภาพแวดล้อมการทำงานของผู้ใช้
หน่วยการเข้ารหัสจะทำการเข้ารหัส ตลอดจนติดตั้งและลบลายเซ็นดิจิทัลอิเล็กทรอนิกส์ (EDS) ของเอกสาร
ฟังก์ชั่นเสริมของบล็อก - ดาวน์โหลดรหัสลับ, ส่งออกและนำเข้ารหัสสาธารณะ, ตั้งค่าและบำรุงรักษาไดเร็กทอรีของรหัสสมาชิกระบบ
ดังนั้น ผู้ที่มีสิทธิ์เข้าถึงเอกสารแต่ละคนสามารถใส่เฉพาะลายเซ็นของตน แต่ลบชุดใดชุดหนึ่งก่อนหน้านี้ออก
สิ่งนี้สะท้อนถึงขั้นตอนการทำงานในสำนักงานที่ได้รับการยอมรับ เมื่อเอกสารได้รับการอนุมัติ อาจมีการแก้ไขในขั้นตอนต่างๆ แต่หลังจากนั้นเอกสารจะต้องได้รับการอนุมัติอีกครั้ง
หากคุณพยายามเปลี่ยนแปลงเอกสารด้วยวิธีอื่นที่ไม่ใช่ "Lexicon-Verba" EDS จะเสียหาย ดังนั้นคำจารึก "เสียหาย" จะปรากฏในช่อง "สถานะลายเซ็น"
สำนักงาน
เนื่องจากจำนวนผู้ใช้ระบบเพิ่มขึ้น การป้อนรหัสสาธารณะแต่ละรายการในคอมพิวเตอร์แต่ละเครื่องจึงทำได้ยาก ดังนั้นในการจัดระเบียบงานของสำนักงานจึงมีการจัดระเบียบการจัดการส่วนกลางของไดเร็กทอรีคีย์สาธารณะ ทำได้ด้วยวิธีต่อไปนี้:
1) ติดตั้ง "Lexicon-Verba" บนคอมพิวเตอร์ของผู้ดูแลระบบในโหมดท้องถิ่น ซึ่งจะสร้างไดเร็กทอรีของคีย์สาธารณะ ซึ่งผู้ดูแลระบบจะเพิ่มแต่ละคีย์ที่ใช้ในสำนักงาน
2) ระบบได้รับการติดตั้งในคอมพิวเตอร์เครื่องอื่นทั้งหมด โหมดเครือข่าย. โหมดนี้ใช้ไดเร็กทอรีคีย์สาธารณะที่อยู่ในคอมพิวเตอร์ของผู้ดูแลระบบ
3) แต่ละคน ผู้ใช้ใหม่เพิ่มโดยผู้ดูแลระบบในไดเร็กทอรี กลายเป็น "มองเห็นได้" สำหรับผู้ใช้ทั้งหมดที่เชื่อมต่อกับไดเร็กทอรี ตั้งแต่นั้นเป็นต้นมาพวกเขาได้รับโอกาสในการโอนเอกสารที่เข้ารหัสให้เขา
การดูแลระบบไดเร็กทอรีกลายเป็นแบบรวมศูนย์ แต่สิ่งนี้จะไม่ส่งผลกระทบต่อระดับความปลอดภัยของระบบ เนื่องจากการให้การเข้าถึงคีย์สาธารณะเป็น "ความคุ้นเคย" ของผู้ใช้ แต่ไม่ให้การเข้าถึงเอกสารใดๆ เพื่อให้ผู้ใช้สามารถถอดรหัสเอกสารได้ กุญแจสาธารณะของพวกเขาต้องไม่เพียงแค่อยู่ในไดเร็กทอรีเท่านั้น แต่ยังต้องระบุอย่างชัดเจนว่ามีสิทธิ์เข้าถึงเอกสารด้วย
ถึง หมายถึงการป้องกันข้อมูลเข้ารหัส(CIPF) รวมถึงฮาร์ดแวร์ เฟิร์มแวร์ และซอฟต์แวร์ที่ใช้งาน อัลกอริทึมการเข้ารหัสการแปลงข้อมูล
สันนิษฐานว่ามีการใช้เครื่องมือป้องกันข้อมูลที่เข้ารหัสลับในระบบคอมพิวเตอร์บางระบบ (ในแหล่งที่มาจำนวนหนึ่ง - ระบบข้อมูลและโทรคมนาคมหรือเครือข่ายการสื่อสาร) ร่วมกับกลไกสำหรับการดำเนินการและรับประกันนโยบายความปลอดภัยบางอย่าง
ควบคู่ไปกับคำว่า "วิธีป้องกันข้อมูลเข้ารหัส" คำนี้มักใช้ สแครมเบลอร์- อุปกรณ์หรือโปรแกรมที่ใช้อัลกอริทึมการเข้ารหัส แนวคิดที่แนะนำของ CIPF รวมถึงตัวเข้ารหัส แต่โดยทั่วไปแล้วจะกว้างกว่านั้น
ระบบปฏิบัติการ (OS) แรกสำหรับคอมพิวเตอร์ส่วนบุคคล (MS-DOS และ รุ่นของ Windowsมากถึง 3.1 รวม) ไม่มีวิธีการป้องกันของตัวเองเลยซึ่งก่อให้เกิดปัญหาในการสร้างวิธีการป้องกันเพิ่มเติม ความเร่งด่วนของปัญหานี้ไม่ได้ลดลงจริงกับการถือกำเนิดของระบบปฏิบัติการที่ทรงพลังยิ่งขึ้นพร้อมระบบย่อยการป้องกันขั้นสูง เนื่องจากระบบส่วนใหญ่ไม่สามารถปกป้องข้อมูลที่อยู่ภายนอกได้ เช่น เมื่อใช้การแลกเปลี่ยนข้อมูลเครือข่าย
เครื่องมือป้องกันข้อมูลเข้ารหัสที่ให้ระดับการป้องกันที่เพิ่มขึ้นสามารถแบ่งออกเป็นห้ากลุ่มหลัก (รูปที่ 2.1)
ข้าว. 2.1 กลุ่มหลักของ CIPF
กลุ่มแรกถูกสร้างขึ้น ระบบระบุตัวตนและ การตรวจสอบผู้ใช้. ระบบดังกล่าวใช้เพื่อจำกัดการเข้าถึงทรัพยากรของระบบคอมพิวเตอร์ของผู้ใช้ชั่วคราวและผิดกฎหมาย อัลกอริทึมทั่วไปการทำงานของระบบเหล่านี้คือการได้รับจากข้อมูลผู้ใช้เพื่อพิสูจน์ตัวตน ตรวจสอบความถูกต้อง จากนั้นให้ (หรือไม่ให้) ผู้ใช้รายนี้มีความสามารถในการทำงานกับระบบ
เครื่องมือกลุ่มที่สองที่ให้ระดับการป้องกันที่เพิ่มขึ้นคือ ระบบเข้ารหัสดิสก์. งานหลักที่แก้ไขโดยระบบดังกล่าวคือการป้องกันการใช้ข้อมูลที่อยู่ในดิสก์มีเดียโดยไม่ได้รับอนุญาต
การรักษาความลับของข้อมูลที่อยู่บนดิสก์มีเดียมักดำเนินการโดยการเข้ารหัสโดยใช้อัลกอริธึมการเข้ารหัสแบบสมมาตร คุณสมบัติการจำแนกประเภทหลักสำหรับคอมเพล็กซ์การเข้ารหัสคือระดับของการรวมเข้ากับระบบคอมพิวเตอร์
ระบบเข้ารหัสข้อมูลสามารถทำการแปลงข้อมูลเข้ารหัสได้:
9. ที่ระดับไฟล์ (แต่ละไฟล์ได้รับการป้องกัน)
10. ที่ระดับดิสก์ (ดิสก์ทั้งหมดได้รับการป้องกัน)
โปรแกรมประเภทแรกประกอบด้วยตัวเก็บถาวรเช่น WinRAR ซึ่งอนุญาตให้คุณใช้วิธีการเข้ารหัสเพื่อป้องกันไฟล์เก็บถาวร ตัวอย่างของระบบประเภทที่สองคือโปรแกรมเข้ารหัส Diskreet ซึ่งเป็นส่วนหนึ่งของชุดซอฟต์แวร์ Norton Utilities ที่เป็นที่นิยม
คุณสมบัติการจำแนกประเภทอื่นของระบบการเข้ารหัสข้อมูลดิสก์คือวิธีการใช้งาน
ตามวิธีการทำงานของระบบเข้ารหัสข้อมูลดิสก์แบ่งออกเป็นสองคลาส:
4) ระบบเข้ารหัส "โปร่งใส";
5) ระบบที่เรียกว่าพิเศษสำหรับการใช้งานการเข้ารหัส
ในระบบ การเข้ารหัสที่โปร่งใส(การเข้ารหัสแบบ on-the-fly) การแปลงรหัสลับจะดำเนินการแบบเรียลไทม์โดยที่ผู้ใช้มองไม่เห็น ตัวอย่างที่เด่นชัดคือการเข้ารหัสของโฟลเดอร์ Temp และ My Documents เมื่อใช้ EFS Win2000 - ระหว่างการดำเนินการ ไม่เพียงแต่เอกสารเท่านั้นที่ถูกเข้ารหัส แต่ยังรวมถึงไฟล์ชั่วคราวที่สร้างขึ้นด้วย และผู้ใช้ไม่สังเกตเห็นกระบวนการนี้
ระบบชั้นสองมักเป็นโปรแกรมอรรถประโยชน์ที่ต้องเรียกใช้งานโดยเฉพาะเพื่อทำการเข้ารหัส ซึ่งรวมถึงตัวเก็บถาวรที่มีการป้องกันด้วยรหัสผ่านในตัว
เครื่องมือกลุ่มที่สามที่ให้ระดับการป้องกันที่เพิ่มขึ้น ได้แก่ ระบบเข้ารหัสข้อมูลที่ส่งผ่านเครือข่ายคอมพิวเตอร์. มีสองวิธีการเข้ารหัสหลัก:
การเข้ารหัสช่อง;
การเข้ารหัสเทอร์มินัล (สมาชิก)
เมื่อไร การเข้ารหัสช่องข้อมูลทั้งหมดที่ส่งผ่านช่องทางการสื่อสาร รวมถึงข้อมูลการบริการ ได้รับการคุ้มครอง ขั้นตอนการเข้ารหัสที่เกี่ยวข้องถูกนำมาใช้โดยใช้โปรโตคอลเลเยอร์ลิงก์ของแบบจำลองการโต้ตอบอ้างอิงเจ็ดชั้น ระบบเปิด OSI (การเชื่อมต่อระบบเปิด)
วิธีการเข้ารหัสนี้มีข้อดีดังต่อไปนี้ - การฝังขั้นตอนการเข้ารหัสที่เลเยอร์ลิงก์ทำให้สามารถใช้ฮาร์ดแวร์ได้ ซึ่งช่วยปรับปรุงประสิทธิภาพของระบบ
อย่างไรก็ตาม วิธีการนี้มีข้อเสียที่สำคัญ โดยเฉพาะอย่างยิ่ง การเข้ารหัสข้อมูลบริการ ซึ่งเป็นสิ่งที่หลีกเลี่ยงไม่ได้ ระดับที่กำหนดสามารถนำไปสู่การปรากฏของรูปแบบทางสถิติในข้อมูลที่เข้ารหัส สิ่งนี้ส่งผลต่อความน่าเชื่อถือของการป้องกันและกำหนดข้อจำกัดในการใช้อัลกอริธึมการเข้ารหัส
การเข้ารหัสตั้งแต่ต้นทางถึงปลายทาง (สมาชิก)ช่วยให้คุณมั่นใจได้ถึงความลับของข้อมูลที่ส่งระหว่างสองวัตถุแอปพลิเคชัน (สมาชิก) การเข้ารหัสจากต้นทางถึงปลายทางถูกนำมาใช้โดยใช้แอปพลิเคชันหรือโปรโตคอลเลเยอร์การนำเสนอของโมเดลอ้างอิง OSI ในกรณีนี้ เฉพาะเนื้อหาของข้อความเท่านั้นที่ได้รับการป้องกัน ข้อมูลบริการทั้งหมดยังคงเปิดอยู่ วิธีนี้ช่วยให้คุณหลีกเลี่ยงปัญหาที่เกี่ยวข้องกับการเข้ารหัสข้อมูลบริการ แต่ปัญหาอื่น ๆ จะเกิดขึ้น โดยเฉพาะอย่างยิ่งผู้โจมตีที่สามารถเข้าถึงช่องทางการสื่อสาร เครือข่ายคอมพิวเตอร์ได้รับความสามารถในการวิเคราะห์ข้อมูลเกี่ยวกับโครงสร้างของการแลกเปลี่ยนข้อความ เช่น เกี่ยวกับผู้ส่งและผู้รับ เกี่ยวกับเวลาและเงื่อนไขของการส่งข้อมูล ตลอดจนเกี่ยวกับจำนวนข้อมูลที่ส่ง
กลุ่มที่สี่ของการป้องกันคือ ระบบตรวจสอบข้อมูลอิเล็กทรอนิกส์.
เมื่อแลกเปลี่ยนข้อมูลอิเล็กทรอนิกส์ผ่านเครือข่ายการสื่อสาร ปัญหาจะเกิดขึ้นจากการรับรองความถูกต้องของผู้เขียนเอกสารและตัวเอกสารเอง เช่น กำหนดตัวตนของผู้เขียนและตรวจสอบว่าไม่มีการเปลี่ยนแปลงในเอกสารที่ได้รับ
ในการรับรองความถูกต้องของข้อมูลอิเล็กทรอนิกส์ จะใช้รหัสการตรวจสอบข้อความ (การแทรกเลียนแบบ) หรือลายเซ็นดิจิทัลแบบอิเล็กทรอนิกส์ เมื่อสร้างรหัสยืนยันข้อความและลายเซ็นดิจิทัลแบบอิเล็กทรอนิกส์ ประเภทต่างๆระบบเข้ารหัส
กลุ่มที่ห้าของวิธีการให้ระดับการป้องกันที่เพิ่มขึ้นนั้นเกิดจาก เครื่องมือจัดการข้อมูลสำคัญ. ข้อมูลสำคัญเข้าใจว่าเป็นผลรวมของข้อมูลทั้งหมดที่ใช้ในระบบคอมพิวเตอร์หรือเครือข่าย คีย์เข้ารหัส.
อย่างที่คุณทราบ ความปลอดภัยของอัลกอริธึมการเข้ารหัสใดๆ นั้นถูกกำหนดโดยคีย์การเข้ารหัสที่ใช้ ในกรณีของการจัดการคีย์ที่ไม่รัดกุม ผู้โจมตีสามารถฉกฉวยข้อมูลสำคัญและรับได้ การเข้าถึงแบบเต็มต่อข้อมูลทั้งหมดในระบบคอมพิวเตอร์หรือเครือข่าย
คุณลักษณะการจัดหมวดหมู่หลักของเครื่องมือจัดการข้อมูลหลักคือประเภทของฟังก์ชันการจัดการคีย์ ฟังก์ชันการจัดการคีย์มีประเภทหลักดังต่อไปนี้: การสร้างคีย์ การจัดเก็บคีย์ และการกระจายคีย์
วิธี การสร้างคีย์ต่างกันสำหรับระบบเข้ารหัสแบบสมมาตรและอสมมาตร ในการสร้างคีย์ของระบบเข้ารหัสแบบสมมาตร จะใช้เครื่องมือฮาร์ดแวร์และซอฟต์แวร์สำหรับสร้างตัวเลขสุ่ม การสร้างคีย์สำหรับระบบเข้ารหัสแบบอสมมาตรเป็นงานที่ยากกว่ามาก เนื่องจากจำเป็นต้องได้รับคีย์ที่มีคุณสมบัติทางคณิตศาสตร์บางอย่าง
การทำงาน ที่เก็บกุญแจเกี่ยวข้องกับองค์กร การจัดเก็บที่ปลอดภัยบัญชีและการลบคีย์ เพื่อให้แน่ใจว่าจัดเก็บและส่งผ่านคีย์ได้อย่างปลอดภัย คีย์เหล่านั้นจะถูกเข้ารหัสโดยใช้คีย์อื่นๆ วิธีการนี้นำไปสู่ แนวคิดลำดับชั้นที่สำคัญ. ลำดับชั้นของคีย์โดยทั่วไปประกอบด้วยมาสเตอร์คีย์ (มาสเตอร์คีย์) คีย์เข้ารหัสคีย์ และคีย์เข้ารหัสข้อมูล ควรสังเกตว่าการสร้างและการจัดเก็บมาสเตอร์คีย์เป็นปัญหาที่สำคัญในการป้องกันการเข้ารหัส
การกระจายคีย์เป็นกระบวนการที่มีความรับผิดชอบสูงสุดในการจัดการคีย์ กระบวนการนี้ควรรับประกันความลับของคีย์ที่แจกจ่าย ตลอดจนความเร็วและความแม่นยำของการแจกจ่าย มีสองวิธีหลักในการแจกจ่ายคีย์ระหว่างผู้ใช้เครือข่ายคอมพิวเตอร์:
การใช้ศูนย์กระจายสินค้าที่สำคัญอย่างน้อยหนึ่งแห่ง
การแลกเปลี่ยนคีย์เซสชันโดยตรงระหว่างผู้ใช้
เรามากำหนดข้อกำหนดสำหรับการป้องกันข้อมูลการเข้ารหัส ซึ่งเป็นเรื่องปกติสำหรับคลาสทั้งหมดที่ได้รับการพิจารณา
วิธีการป้องกันข้อมูลแบบเข้ารหัสสามารถใช้ได้ทั้งในซอฟต์แวร์และในฮาร์ดแวร์ ตัวเข้ารหัสฮาร์ดแวร์หรืออุปกรณ์ป้องกันข้อมูลเข้ารหัส (UKZD) มักเป็นบอร์ดขยายที่เสียบเข้ากับขั้วต่อ 18A หรือ PC1 ของเมนบอร์ดคอมพิวเตอร์ส่วนบุคคล (PC) (รูปที่ 3.21) มีตัวเลือกการใช้งานอื่น ๆ เช่นในรูปแบบของคีย์ u8B พร้อมฟังก์ชันการเข้ารหัส (รูปที่ 3.22)
ผู้ผลิตตัวเข้ารหัสฮาร์ดแวร์มักจะติดตั้งคุณสมบัติเพิ่มเติมต่างๆ รวมถึง:
การสร้างตัวเลขสุ่มที่จำเป็นในการรับคีย์เข้ารหัส นอกจากนี้ อัลกอริธึมการเข้ารหัสจำนวนมากใช้เพื่อวัตถุประสงค์อื่น เช่น ในอัลกอริทึมลายเซ็นดิจิทัลอิเล็กทรอนิกส์ GOST R 34.10-2001 จำเป็นต้องมีหมายเลขสุ่มใหม่สำหรับการคำนวณลายเซ็นแต่ละครั้ง
ข้าว. 3.21. ตัวเข้ารหัสฮาร์ดแวร์ในรูปแบบของบอร์ด PC1:
1 - ตัวเชื่อมต่อทางเทคโนโลยี 2 - หน่วยความจำสำหรับการบันทึก; 3 - สวิตช์โหมด 4 - หน่วยความจำมัลติฟังก์ชั่น 5 - ชุดควบคุมและไมโครโปรเซสเซอร์ 6- อินเทอร์เฟซ PC1; 7- ตัวควบคุม PC1; 8- อ.ส.ค.; 9- อินเทอร์เฟซสำหรับเชื่อมต่อผู้ให้บริการหลัก
ข้าว. 3.22.
- การควบคุมการเข้าสู่ระบบคอมพิวเตอร์ เมื่อเปิดพีซี อุปกรณ์ต้องการให้ผู้ใช้ป้อนข้อมูลส่วนบุคคล (เช่น ใส่อุปกรณ์ด้วยรหัสส่วนตัว) กำลังโหลด ระบบปฏิบัติการจะได้รับอนุญาตก็ต่อเมื่ออุปกรณ์รู้จักคีย์ที่แสดงและพิจารณาว่าเป็น "ของมันเอง" มิฉะนั้นคุณจะต้องเปิด หน่วยระบบและนำตัวเข้ารหัสออกจากที่นั่นเพื่อโหลดระบบปฏิบัติการ (อย่างไรก็ตาม ข้อมูลในฮาร์ดไดรฟ์ของพีซีสามารถเข้ารหัสได้เช่นกัน)
- การควบคุมความสมบูรณ์ของไฟล์ระบบปฏิบัติการเพื่อป้องกันการดัดแปลงที่เป็นอันตราย ไฟล์คอนฟิกูเรชันและ โปรแกรมระบบ. ตัวเข้ารหัสจะเก็บรายการไฟล์สำคัญทั้งหมดที่มีค่าแฮชควบคุมที่คำนวณไว้ล่วงหน้าสำหรับแต่ละไฟล์ และหากค่าแฮชของไฟล์ควบคุมอย่างน้อยหนึ่งไฟล์ไม่ตรงกับมาตรฐานในการบู๊ตระบบปฏิบัติการครั้งถัดไป คอมพิวเตอร์จะ ถูกบล็อก
ตัวเข้ารหัสที่ทำการควบคุมการเข้าสู่ระบบบนพีซีและตรวจสอบความสมบูรณ์ของระบบปฏิบัติการเรียกอีกอย่างว่า " ล็อคอิเล็กทรอนิกส์» (ดูวรรค 1.3)
บนมะเดื่อ 3.23 แสดงโครงสร้างทั่วไปของตัวเข้ารหัสฮาร์ดแวร์ พิจารณาการทำงานของบล็อกหลัก:
- หน่วยควบคุม - โมดูลหลักของตัวเข้ารหัส โดยปกติจะใช้พื้นฐานของไมโครคอนโทรลเลอร์เมื่อเลือกสิ่งสำคัญคือความเร็วและทรัพยากรภายในที่เพียงพอรวมถึงพอร์ตภายนอกเพื่อเชื่อมต่อโมดูลที่จำเป็นทั้งหมด
- ตัวควบคุมบัสระบบ PC (เช่น PC1) ซึ่งดำเนินการแลกเปลี่ยนข้อมูลหลักระหว่าง UKZD และคอมพิวเตอร์
- อุปกรณ์จัดเก็บข้อมูลแบบไม่ลบเลือน (หน่วยความจำ) มักจะใช้งานบนพื้นฐานของชิปหน่วยความจำแฟลช ต้องมีความจุเพียงพอ (หลายเมกะไบต์) และอนุญาตรอบการเขียนจำนวนมาก นี่คือที่ตั้งของซอฟต์แวร์ไมโครคอนโทรลเลอร์ซึ่งคุณ
ข้าว. 3.23. โครงสร้าง UKZD จะถูกกรอกเมื่อเริ่มต้นอุปกรณ์ (เมื่อตัวเข้ารหัสเข้าควบคุมเมื่อคอมพิวเตอร์บูท);
- หน่วยความจำบันทึกการตรวจสอบซึ่งเป็นหน่วยความจำแบบไม่ลบเลือน (เพื่อหลีกเลี่ยงการชนกันที่อาจเกิดขึ้น หน่วยความจำโปรแกรมและหน่วยความจำบันทึกไม่ควรรวมกัน)
- โปรเซสเซอร์เข้ารหัส (หรือหน่วยที่คล้ายกันหลายหน่วย) - ไมโครเซอร์กิตพิเศษหรือไมโครเซอร์กิตของลอจิกที่ตั้งโปรแกรมได้ PLD (อุปกรณ์ลอจิกที่ตั้งโปรแกรมได้) ซึ่งช่วยให้มั่นใจถึงประสิทธิภาพของการเข้ารหัส (การเข้ารหัสและถอดรหัสการคำนวณและการตรวจสอบ EDS การแฮช)
- เครื่องกำเนิดตัวเลขสุ่ม ซึ่งเป็นอุปกรณ์ที่สร้างสัญญาณสุ่มทางสถิติและคาดเดาไม่ได้ (ที่เรียกว่าสัญญาณรบกวนสีขาว) ตัวอย่างเช่น ไดโอดลดเสียงรบกวน ก่อนที่จะใช้งานต่อไปในโปรเซสเซอร์เข้ารหัส ตามกฎพิเศษ เสียงสีขาวจะถูกแปลงเป็นรูปแบบดิจิทัล
- บล็อกสำหรับป้อนข้อมูลที่สำคัญ ให้การรับคีย์ส่วนตัวที่ปลอดภัยจากผู้ให้บริการคีย์และการป้อนข้อมูลระบุตัวตนเกี่ยวกับผู้ใช้ที่จำเป็นสำหรับการตรวจสอบสิทธิ์ของเขา
- บล็อกของสวิตช์ที่จำเป็นในการปิดใช้งานความสามารถในการทำงานกับอุปกรณ์ภายนอก (ไดรฟ์, ซีดีรอม, พอร์ตขนานและพอร์ตอนุกรม, บัส USB ฯลฯ ) หากผู้ใช้ทำงานกับข้อมูลที่ละเอียดอ่อนมาก UKZD จะบล็อกทั้งหมด อุปกรณ์ภายนอกรวมถึงแม้กระทั่งการ์ดเครือข่าย
การดำเนินการเข้ารหัสลับใน UKZD ควรดำเนินการในลักษณะที่จะแยกการเข้าถึงเซสชันและโดยไม่ได้รับอนุญาต คีย์ส่วนตัวและความเป็นไปได้ที่จะมีอิทธิพลต่อผลลัพธ์ของการดำเนินการ ดังนั้นตัวประมวลผลรหัสจึงประกอบด้วยหลายบล็อก (รูปที่ 3.24):
- เครื่องคิดเลข - ชุดของการลงทะเบียน บวก บล็อกแทน ฯลฯ เชื่อมต่อกันด้วยบัสข้อมูล ออกแบบมาเพื่อการดำเนินการเข้ารหัสที่รวดเร็วที่สุด เมื่อป้อนข้อมูล เครื่องคิดเลขจะได้รับข้อมูลเปิดที่ควรเข้ารหัส (ถอดรหัส) หรือเซ็นชื่อ และคีย์เข้ารหัส
- หน่วยควบคุม - โปรแกรมที่ใช้ฮาร์ดแวร์ซึ่งควบคุมเครื่องคิดเลข ถ้าด้วยเหตุผลใดก็ตาม
ข้าว. 3.24.
โปรแกรมจะเปลี่ยนไป การทำงานของมันจะเริ่มสะดุด นั่นเป็นเหตุผล โปรแกรมนี้ไม่ควรเก็บไว้อย่างปลอดภัยและทำงานได้อย่างเสถียรเท่านั้น แต่ควรตรวจสอบความสมบูรณ์อย่างสม่ำเสมอด้วย หน่วยควบคุมภายนอกที่อธิบายไว้ข้างต้นยังส่งงานควบคุมไปยังหน่วยควบคุมเป็นระยะๆ ในทางปฏิบัติ เพื่อความมั่นใจยิ่งขึ้นในตัวเข้ารหัส จึงมีการติดตั้งโปรเซสเซอร์เข้ารหัสสองตัวที่เปรียบเทียบผลลัพธ์ของการดำเนินการเข้ารหัสอย่างต่อเนื่อง (หากไม่ตรงกัน การดำเนินการจะถูกทำซ้ำ)
จำเป็นต้องใช้บัฟเฟอร์ I/O เพื่อปรับปรุงประสิทธิภาพของอุปกรณ์: ในขณะที่ข้อมูลบล็อกแรกถูกเข้ารหัส ข้อมูลถัดไป กำลังโหลด และอื่นๆ สิ่งเดียวกันนี้เกิดขึ้นกับเอาต์พุต การส่งไปป์ไลน์ข้อมูลดังกล่าวจะเพิ่มความเร็วของการดำเนินการเข้ารหัสในตัวเข้ารหัสอย่างจริงจัง
มีอีกหนึ่งภารกิจในการรับรองความปลอดภัยเมื่อดำเนินการเข้ารหัสโดยตัวเข้ารหัส: การโหลดคีย์ลงในตัวเข้ารหัส การข้าม แกะคอมพิวเตอร์ซึ่งในทางทฤษฎีสามารถถูกดักจับและแม้แต่ถูกแทนที่ ในการทำเช่นนี้ UKZD ยังมีพอร์ตอินพุตและเอาต์พุตเพิ่มเติม (เช่น COM หรือ USB) ซึ่งเชื่อมต่อตัวอ่านสื่อคีย์ต่างๆ โดยตรง สิ่งเหล่านี้อาจเป็นสมาร์ทการ์ด โทเค็น (คีย์ USB พิเศษ) หรือองค์ประกอบ Touch Memory (ดูวรรค 1.3) นอกเหนือจากการป้อนคีย์โดยตรงไปยัง UKZD แล้ว สื่อเหล่านี้จำนวนมากยังมีพื้นที่จัดเก็บที่เชื่อถือได้ แม้แต่ผู้ให้บริการคีย์ที่ไม่ทราบรหัสการเข้าถึงพิเศษ (เช่น รหัส PIN) ก็จะไม่สามารถอ่านเนื้อหาได้
เพื่อหลีกเลี่ยงการชนเมื่อเข้าถึงตัวเข้ารหัสพร้อมกัน โปรแกรมที่แตกต่างกันมีการติดตั้งซอฟต์แวร์พิเศษในระบบคอมพิวเตอร์
ข้าว. 3.25
- (ซอฟต์แวร์) เพื่อควบคุมตัวเข้ารหัส (รูปที่ 3.25) ซอฟต์แวร์ดังกล่าวออกคำสั่งผ่านไดรเวอร์ตัวเข้ารหัสและส่งข้อมูลไปยังตัวเข้ารหัส ตรวจสอบให้แน่ใจว่าข้อมูลที่ไหลมาจากแหล่งต่างๆ ไม่ทับซ้อนกัน และตัวเข้ารหัสยังมีอยู่เสมอ ปุ่มขวา. ดังนั้น UKZD จึงดำเนินการสองอย่างโดยพื้นฐาน ประเภทต่างๆคำสั่ง:
- ก่อนโหลดระบบปฏิบัติการ คำสั่งที่อยู่ในหน่วยความจำของตัวเข้ารหัสจะดำเนินการตรวจสอบที่จำเป็นทั้งหมด (เช่น การระบุผู้ใช้และการรับรองความถูกต้อง) และตั้งค่าระดับความปลอดภัยที่จำเป็น (เช่น ปิดอุปกรณ์ภายนอก)
- หลังจากโหลดระบบปฏิบัติการ (เช่น Windows) คำสั่งจะถูกดำเนินการซึ่งมาจากซอฟต์แวร์ควบคุมตัวเข้ารหัส (เข้ารหัสข้อมูล รีโหลดคีย์ คำนวณตัวเลขสุ่ม ฯลฯ)
การแยกดังกล่าวเป็นสิ่งจำเป็นสำหรับเหตุผลด้านความปลอดภัย - หลังจากดำเนินการคำสั่งของบล็อกแรกซึ่งไม่สามารถข้ามได้ ผู้บุกรุกจะไม่สามารถดำเนินการที่ไม่ได้รับอนุญาตได้อีกต่อไป
วัตถุประสงค์อีกประการหนึ่งของซอฟต์แวร์การจัดการตัวเข้ารหัสคือเพื่อให้ความสามารถในการแทนที่ตัวเข้ารหัสหนึ่งตัวกับตัวเข้ารหัสอื่น (เช่น ตัวเข้ารหัสที่มีประสิทธิภาพมากกว่าหรือใช้อัลกอริทึมการเข้ารหัสอื่นๆ) โดยไม่ต้องเปลี่ยนซอฟต์แวร์ สิ่งนี้เกิดขึ้นในลักษณะเดียวกัน เช่น การเปลี่ยนแปลง การ์ดเครือข่าย: ตัวเข้ารหัสมาพร้อมกับไดรเวอร์ที่อนุญาตให้โปรแกรมดำเนินการชุดมาตรฐานของฟังก์ชันการเข้ารหัสตามอินเทอร์เฟซการเขียนโปรแกรมแอปพลิเคชันบางตัว (เช่น CryptAP1)
ในทำนองเดียวกัน คุณสามารถแทนที่ตัวเข้ารหัสฮาร์ดแวร์ด้วยซอฟต์แวร์หนึ่งตัว (เช่น ตัวจำลองตัวเข้ารหัส) ในการดำเนินการนี้ ซอฟต์แวร์เข้ารหัสมักใช้เป็นไดรเวอร์ที่มีฟังก์ชันชุดเดียวกัน
อย่างไรก็ตาม ไม่ใช่ UKZD ทั้งหมดที่ต้องการซอฟต์แวร์การจัดการตัวเข้ารหัส (โดยเฉพาะ ตัวเข้ารหัสสำหรับการเข้ารหัส-ถอดรหัสแบบ "โปร่งใส" ของทั้งหมด ฮาร์ดไดรฟ์พีซีจะต้องตั้งค่าเพียงครั้งเดียว)
เพื่อเพิ่มความมั่นใจในความปลอดภัยของการดำเนินการเข้ารหัสใน UKZD สามารถใช้การป้องกันหลายระดับของคีย์การเข้ารหัสของการเข้ารหัสแบบสมมาตร ซึ่งคีย์เซสชันแบบสุ่มจะถูกเข้ารหัสด้วยรหัสผู้ใช้ระยะยาว และในทางกลับกันด้วย มาสเตอร์คีย์ (รูปที่ 3.26)
ในขั้นตอนการโหลดเริ่มต้น คีย์หลักจะถูกป้อนลงในเซลล์คีย์หมายเลข 3 ของหน่วยความจำตัวเข้ารหัส แต่สำหรับการเข้ารหัสสามระดับ คุณต้องได้รับอีกสองระดับ คีย์เซสชันถูกสร้างขึ้นจากการร้องขอไปยังตัวสร้าง (เซ็นเซอร์)
ข้าว. 3.26. การเข้ารหัสไฟล์โดยใช้ตัวเข้ารหัส UKZD ny ตัวเลข (DSN) เพื่อรับหมายเลขสุ่ม ซึ่งโหลดลงในเซลล์คีย์หมายเลข 1 ที่ตรงกับคีย์เซสชัน มันเข้ารหัสเนื้อหาของไฟล์และสร้าง ไฟล์ใหม่ที่เก็บข้อมูลที่เข้ารหัส
ถัดไป ระบบจะแจ้งผู้ใช้ให้ป้อนคีย์ระยะยาว ซึ่งโหลดลงในเซลล์คีย์ #2 พร้อมการถอดรหัสโดยใช้มาสเตอร์คีย์ที่อยู่ในเซลล์ #3 ในกรณีนี้ คีย์จะไม่ "ทิ้ง" ตัวเข้ารหัสเลย สุดท้าย คีย์เซสชันจะถูกเข้ารหัสโดยใช้คีย์ระยะยาวในเซลล์ 2 ดาวน์โหลดจากตัวเข้ารหัส และเขียนไปที่ส่วนหัวของไฟล์ที่เข้ารหัส
เมื่อทำการถอดรหัสไฟล์ เซสชันคีย์จะถูกถอดรหัสก่อนโดยใช้คีย์ระยะยาวของผู้ใช้ จากนั้นจึงกู้คืนข้อมูลโดยใช้คีย์นั้น
โดยหลักการแล้ว คีย์เดียวสามารถใช้สำหรับการเข้ารหัสได้ แต่รูปแบบหลายคีย์มีข้อดีที่ร้ายแรง ประการแรก ความเป็นไปได้ของการโจมตีคีย์ระยะยาวจะลดลง เนื่องจากจะใช้ในการเข้ารหัสคีย์เซสชันสั้นเท่านั้น และสิ่งนี้ทำให้การวิเคราะห์ข้อมูลที่เข้ารหัสของผู้โจมตีซับซ้อนขึ้น เพื่อให้ได้คีย์ระยะยาว ประการที่สอง เมื่อเปลี่ยนคีย์ระยะยาว คุณสามารถเข้ารหัสไฟล์ใหม่ได้อย่างรวดเร็ว: เข้ารหัสเซสชันคีย์ใหม่จากคีย์ระยะยาวเก่าเป็นคีย์ใหม่ก็เพียงพอแล้ว ประการที่สาม ผู้ให้บริการคีย์ถูกยกเลิกการโหลดเนื่องจากมีเพียงมาสเตอร์คีย์เท่านั้นที่เก็บไว้และคีย์ระยะยาวทั้งหมด (และผู้ใช้อาจมีหลายคีย์สำหรับวัตถุประสงค์ที่แตกต่างกัน) สามารถเข้ารหัสด้วยมาสเตอร์คีย์ได้แม้ในพีซี ฮาร์ดไดรฟ์ ขับ.
ตัวเข้ารหัสในรูปแบบของคีย์ SHV (ดูรูปที่ 3.22) ยังไม่สามารถแทนที่ตัวเข้ารหัสฮาร์ดแวร์สำหรับบัส PC1 ได้อย่างสมบูรณ์เนื่องจากความเร็วการเข้ารหัสต่ำ อย่างไรก็ตาม พวกเขามีคุณสมบัติที่น่าสนใจหลายประการ ประการแรก โทเค็น (คีย์ SW) ไม่ได้เป็นเพียงตัวเข้ารหัสฮาร์ดแวร์เท่านั้น แต่ยังเป็นพาหะของคีย์การเข้ารหัสอีกด้วย เช่น อุปกรณ์ทูอินวัน ประการที่สอง โทเค็นมักจะเป็นไปตามมาตรฐานการเข้ารหัสสากลทั่วไป (RKSB #11, 1BO 7816, RS / 8C เป็นต้น) และสามารถใช้งานได้โดยไม่ต้อง การตั้งค่าเพิ่มเติมที่มีอยู่ เครื่องมือซอฟต์แวร์การปกป้องข้อมูล (เช่น สามารถใช้ในการตรวจสอบสิทธิ์ผู้ใช้ในระบบปฏิบัติการของครอบครัว ไมโครซอฟท์ วินโดวส์). และในที่สุดราคาของตัวเข้ารหัสดังกล่าวต่ำกว่าตัวเข้ารหัสฮาร์ดแวร์แบบคลาสสิกสำหรับบัส PCI ถึงสิบเท่า
กำลังโหลด...