Термин "криптография" происходит от древнегреческих слов «скрытый» и «пишу». Словосочетание выражает основное назначение криптографии - это защита и сохранение тайны переданной информации. Защита информации может происходить различными способами. Например, путем ограничения физического доступа к данным, скрытия канала передачи, создания физических трудностей подключения к линиям связи и т. д.
Цель криптографии
В отличие от традиционных способов тайнописи, криптография предполагает полную доступность канала передачи для злоумышленников и обеспечивает конфиденциальность и подлинность информации с помощью алгоритмов шифрования, делающих информацию недоступной для постороннего прочтения. Современная система криптографической защиты информации (СКЗИ) - это программно-аппаратный компьютерный комплекс, обеспечивающий защиту информации по следующим основным параметрам.
- Конфиденциальность - невозможность прочтения информации лицами, не имеющими соответствующих прав доступа. Главным компонентом обеспечения конфиденциальности в СКЗИ является ключ (key), представляющий собой уникальную буквенно-числовую комбинацию для доступа пользователя в определенный блок СКЗИ.
- Целостность - невозможность несанкционированных изменений, таких как редактирование и удаление информации. Для этого к исходной информации добавляется избыточность в виде проверочной комбинации, вычисляемой по криптографическому алгоритму и зависящая от ключа. Таким образом, без знания ключа добавление или изменение информации становится невозможным.
- Аутентификация - подтверждение подлинности информации и сторон, ее отправляющих и получающих. Передаваемая по каналам связи информация должна быть однозначно аутентифицирована по содержанию, времени создания и передачи, источнику и получателю. Следует помнить, что источником угроз может быть не только злоумышленник, но и стороны, участвующие в обмене информацией при недостаточном взаимном доверии. Для предотвращения подобных ситуации СКЗИ использует систему меток времени для невозможности повторной или обратной отсылки информации и изменения порядка ее следования.
- Авторство - подтверждение и невозможность отказа от действий, совершенных пользователем информации. Самым распространенным способом подтверждения подлинности является Система ЭЦП состоит из двух алгоритмов: для создания подписи и для ее проверки. При интенсивной работе с ЭКЦ рекомендуется использование программных удостоверяющих центров для создания и управления подписями. Такие центры могут быть реализованы как полностью независимое от внутренней структуры средство СКЗИ. Что это означает для организации? Это означает, что все операции с обрабатываются независимыми сертифицированными организациями и подделка авторства практически невозможна.
Алгоритмы шифрования
На текущий момент среди СКЗИ преобладают открытые алгоритмы шифрования с использованием симметричных и асимметричных ключей с длиной, достаточной для обеспечения нужной криптографической сложности. Наиболее распространенные алгоритмы:
- симметричные ключи - российский Р-28147.89, AES, DES, RC4;
- асимметричные ключи - RSA;
- с использованием хеш-функций - Р-34.11.94, MD4/5/6, SHA-1/2.
Многие страны имеют свои национальные стандарты В США используется модифицированный алгоритм AES с ключом длиной 128-256 бит, а в РФ алгоритм электронных подписей Р-34.10.2001 и блочный криптографический алгоритм Р-28147.89 с 256-битным ключом. Некоторые элементы национальных криптографических систем запрещены для экспорта за пределы страны, деятельность по разработке СКЗИ требует лицензирования.
Системы аппаратной криптозащиты
Аппаратные СКЗИ - это физические устройства, содержащие в себе программное обеспечение для шифрования, записи и передачи информации. Аппараты шифрации могут быть выполнены в виде персональных устройств, таких как USB-шифраторы ruToken и флеш-диски IronKey, плат расширения для персональных компьютеров, специализированных сетевых коммутаторов и маршрутизаторов, на основе которых возможно построение полностью защищенных компьютерных сетей.
Аппаратные СКЗИ быстро устанавливаются и работают с высокой скоростью. Недостатки - высокая, по сравнению с программными и программно-аппаратными СКЗИ, стоимость и ограниченные возможности модернизации.
Также к аппаратным можно отнести блоки СКЗИ, встроенные в различные устройства регистрации и передачи данных, где требуется шифрование и ограничение доступа к информации. К таким устройствам относятся автомобильные тахометры, фиксирующие параметры автотранспорта, некоторые типы медицинского оборудования и т.д. Для полноценной работы таким систем требуется отдельная активация СКЗИ модуля специалистами поставщика.
Системы программной криптозащиты
Программные СКЗИ - это специальный программный комплекс для шифрования данных на носителях информации (жесткие и флеш-диски, карты памяти, CD/DVD) и при передаче через Интернет (электронные письма, файлы во вложениях, защищенные чаты и т.д.). Программ существует достаточно много, в т. ч. бесплатных, например, DiskCryptor. К программным СКЗИ можно также отнести защищенные виртуальные сети обмена информацией, работающие «поверх Интернет»(VPN), расширение Интернет протокола HTTP с поддержкой шифрования HTTPS и SSL - криптографический протокол передачи информации, широко использующийся в системах IP-телефонии и интернет-приложениях.
Программные СКЗИ в основном используются в сети Интернет, на домашних компьютерах и в других сферах, где требования к функциональности и стойкости системы не очень высоки. Или как в случае с Интернетом, когда приходится одновременно создавать множество разнообразных защищенных соединений.
Программно-аппаратная криптозащита
Сочетает в себе лучшие качества аппаратных и программных систем СКЗИ. Это самый надежный и функциональный способ создания защищенных систем и сетей передачи данных. Поддерживаются все варианты идентификации пользователей, как аппаратные (USB-накопитель или смарт-карта), так и «традиционные» - логин и пароль. Программно-аппаратные СКЗИ поддерживают все современные алгоритмы шифрования, обладают большим набором функций по созданию защищенного документооборота на основе ЭЦП, всеми требуемыми государственными сертификатами. Установка СКЗИ производится квалифицированным персоналом разработчика.
Компания «КРИПТО-ПРО»
Один из лидеров российского криптографического рынка. Компания разрабатывает весь спектр программ по защите информации с использованием ЭЦП на основе международных и российских криптографических алгоритмов.
Программы компании используются в электронном документообороте коммерческих и государственных организаций, для сдачи бухгалтерской и налоговой отчетности, в различных городских и бюджетных программах и т. д. Компанией выдано более 3 млн. лицензий для программы КриптоПРО CSP и 700 лицензий для удостоверяющих центров. «Крипто-ПРО» предоставляет разработчикам интерфейсы для встраивания элементов криптографической защиты в свои и оказывает весь спектр консалтинговых услуг по созданию СКЗИ.
Криптопровайдер КриптоПро
При разработке СКЗИ КриптоПро CSP использовалась встроенная в операционную систему Windows криптографическая архитектура Cryptographic Service Providers. Архитектура позволяет подключать дополнительные независимые модули, реализующие требуемые алгоритмы шифрования. С помощью модулей, работающих через функции CryptoAPI, криптографическую защиту могут осуществлять как программные, так и аппаратные СКЗИ.
Носители ключей
В качестве личных ключей могут использоваться различные такие как:
- смарт-карты и считыватели;
- электронные замки и считыватели, работающие с устройствами Touch Memory;
- различные USB-ключи и сменные USB-накопители;
- файлы системного реестра Windows, Solaris, Linux.
Функции криптопровайдера
СКЗИ КриптоПро CSP полностью сертифицирована ФАПСИ и может использоваться для:
2. Полной конфиденциальности, аутентичности и целостности данных с помощью шифрования и имитационной защиты согласно российским стандартам шифрования и протокола TLS.
3. Проверки и контроля целостности программного кода для предотвращения несанкционированного изменения и доступа.
4. Создания регламента защиты системы.
К средствам криптографической защиты информации (СКЗИ) относятся аппаратные, программно-аппаратные и программные средства, реализующие криптографические алгоритмы преобразования информации с целью:
Защиты информации при ее обработке, хранении и передаче по транспортной среде АС;
Обеспечения достоверности и целостности информации (в том числе с использованием алгоритмов цифровой подписи) при ее обработке, хранении и передаче по транспортной среде АС;
Выработки информации, используемой для идентификации и аутентификации субъектов, пользователей и устройств;
Выработки информации, используемой для защиты аутентифицирующих элементов защищенной АС при их выработке, хранении, обработке и передаче.
Предполагается, что СКЗИ используются в некоторой АС (в ряде источников - информационно-телекоммуникационной системе или сети связи), совместно с механизмами реализации и гарантирования политики безопасности.
Криптографическое преобразование обладает рядом существенных особенностей:
В СКЗИ реализован некоторый алгоритм преобразования информации (шифрование, электронная цифровая подпись, контроль целостности)
Входные и выходные аргументы криптографического преобразования присутствуют в АС в некоторой материальной форме (объекты АС)
СКЗИ для работы использует некоторую конфиденциальную информацию (ключи)
Алгоритм криптографического преобразования реализован в виде некоторого материального объекта, взаимодействующего с окружающей средой (в том числе с субъектами и объектами защищенной АС).
Таким образом, роль СКЗИ в защищённой АС - преобразование объектов. В каждом конкретном случае указанное преобразование имеет особенности. Так, процедура зашифрования использует как входные параметры объект - открытый текст и объект - ключ, результатом преобразования является объект - шифрованный текст; наоборот, процедура расшифрования использует как входные параметры шифрованный текст и ключ; процедура простановки цифровой подписи использует как входные параметры объект - сообщение и объект - секретный ключ подписи, результатом работы цифровой подписи является объект - подпись, как правило, интегрированный в объект - сообщение. Можно говорить о том, что СКЗИ производит защиту объектов на семантическом уровне. В то же время объекты - параметры криптографического преобразования являются полноценными объектами АС и могут быть объектами некоторой политики безопасности (например, ключи шифрования могут и должны быть защищены от НСД, открытые ключи для проверки цифровой подписиот изменений). Итак, СКЗИ в составе защищенных АС имеют конкретную реализацию - это может быть отдельное специализированное устройство, встраиваемое в компьютер, либо специализированная программа. Существенно важными являются следующие моменты:
СКЗИ обменивается информацией с внешней средой, а именно: в него вводятся ключи, открытый текст при шифровании
СКЗИ в случае аппаратной реализации использует элементную базу ограниченной надежности (т.е. в деталях, составляющих СКЗИ, возможны неисправности или отказы)
СКЗИ в случае программной реализации выполняется на процессоре ограниченной надежности и в программной среде, содержащей посторонние программы, которые могут повлиять на различные этапы его работы
СКЗИ хранится на материальном носителе (в случае программной реализации) и может быть при хранении преднамеренно или случайно искажено
СКЗИ взаимодействует с внешней средой косвенным образом (питается от электросети, излучает электромагнитные поля)
СКЗИ изготавливает или/и использует человек, могущий допустить ошибки (преднамеренные или случайные) при разработке и эксплуатации
Существующие средства защиты данных в телекоммуникационных сетях можно разделить на две группы по принципу построения ключевой системы и системы аутентификации. К первой группе отнесем средства, использующие для построения ключевой системы и системы аутентификации симметричные криптоалгоритмы, ко второй - асимметричные.
Проведем сравнительный анализ этих систем. Готовое к передаче информационное сообщение, первоначально открытое и незащищенное, зашифровывается и тем самым преобразуется в шифрограмму, т. е. в закрытые текст или графическое изображение документа. В таком виде сообщение передается по каналу связи, даже и не защищенному. Санкционированный пользователь после получения сообщения дешифрует его (т. е. раскрывает) посредством обратного преобразования криптограммы, вследствие чего получается исходный, открытый вид сообщения, доступный для восприятия санкционированным пользователям. Методу преобразования в криптографической системе соответствует использование специального алгоритма. Действие такого алгоритма запускается уникальным числом (последовательностью бит), обычно называемым шифрующим ключом.
Для большинства систем схема генератора ключа может представлять собой набор инструкций и команд либо узел аппаратуры, либо компьютерную программу, либо все это вместе, но в любом случае процесс шифрования (дешифрования) реализуется только этим специальным ключом. Чтобы обмен зашифрованными данными проходил успешно, как отправителю, так и получателю, необходимо знать правильную ключевую установку и хранить ее в тайне. Стойкость любой системы закрытой связи определяется степенью секретности используемого в ней ключа. Тем не менее, этот ключ должен быть известен другим пользователям сети, чтобы они могли свободно обмениваться зашифрованными сообщениями. В этом смысле криптографические системы также помогают решить проблему аутентификации (установления подлинности) принятой информации. Взломщик в случае перехвата сообщения будет иметь дело только с зашифрованным текстом, а истинный получатель, принимая сообщения, закрытые известным ему и отправителю ключом, будет надежно защищен от возможной дезинформации. Кроме того, существует возможность шифрования информации и более простым способом - с использованием генератора псевдослучайных чисел. Использование генератора псевдослучайных чисел заключается в генерации гаммы шифра с помощью генератора псевдослучайных чисел при определенном ключе и наложении полученной гаммы на открытые данные обратимым способом. Этот метод криптографической защиты реализуется достаточно легко и обеспечивает довольно высокую скорость шифрования, однако недостаточно стоек к дешифрованию.
Для классической криптографии характерно использование одной секретной единицы - ключа, который позволяет отправителю зашифровать сообщение, а получателю расшифровать его. В случае шифрования данных, хранимых на магнитных или иных носителях информации, ключ позволяет зашифровать информацию при записи на носитель и расшифровать при чтении с него.
«Организационно-правовые методы информационной безопасности»
Основные нормативные руководящие документы, касающиеся государственной тайны, нормативно-справочные документы
На сегодняшний день в нашей стране создана стабильная законодательная основа в области защиты информации. Основополагающим законом можно назвать Федеральный закон РФ «О информации, информационных технологиях и о защите информации». «Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации».Так же Закон устанавливает обязанности обладателей информации и операторов информационных систем.
Что касается «кодифицированного» регулирования обеспечения информационной безопасности, то нормы Кодекса об административных правонарушениях РФ и Уголовного кодекса РФ, так же содержат необходимые статьи. В ст. 13.12 КоАП РФ говориться о нарушении правил защиты информации. Так же ст. 13.13, предусматривающая наказание за незаконную деятельность в области защиты информации. И ст. 13.14. в которой предусматривается наказание за разглашение информации с ограниченным доступом. Статья 183. УК РФ предусматривает наказание за незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну.
Федеральным законом «Об информации, информатизации и защите информации» определено, что государственные информационные ресурсы Российской Федерации являются открытыми и общедоступными. Исключение составляет документированная информация, отнесенная законом к категории ограниченного доступа.
Понятие государственной тайны определено в Законе «О государственной тайне» как «защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации». Таким образом, исходя из баланса интересов государства, общества и граждан, область применения Закона ограничена определенными видами деятельности: военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной.
Закон определил, что основным критерием является принадлежность засекречиваемых сведений государству.
Закон также закрепил создание ряда органов в области защиты государственной тайны, в частности, межведомственной комиссии по защите государственной тайны, ввел институт должностных лиц, наделенных полномочиями по отнесению сведений к государственной тайне, с одновременным возложением на них персональной ответственности за деятельность по защите государственной тайны в сфере их ведения.
Общая организация и координация работ в стране по защите информации, обрабатываемой техническими средствами, осуществляется коллегиальным органом – Федеральной службой по техническому и экспортному контролю (ФСТЭК) России при Президенте Российской Федерации, которая осуществляет контроль за обеспечением в органах государственного управления и на предприятиях, ведущих работы по оборонной и другой секретной тематики.
Назначение и задачи в сфере обеспечения информационной безопасности на уровне государства
Государственная политика обеспечения информационной безопасности Российской Федерации определяет основные направления деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации в этой области, порядок закрепления их обязанностей по защите интересов Российской Федерации в информационной сфере в рамках направлений их деятельности и базируется на соблюдении баланса интересов личности, общества и государства в информационной сфере. Государственная политика обеспечения информационной безопасности Российской Федерации основывается на следующих основных принципах: соблюдение Конституции Российской Федерации, законодательства Российской Федерации, общепризнанных принципов и норм международного права при осуществлении деятельности по обеспечению информационной безопасности Российской Федерации; открытость в реализации функций федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и общественных объединений, предусматривающая информирование общества об их деятельности с учетом ограничений, установленных законодательством Российской Федерации; правовое равенство всех участников процесса информационного взаимодействия вне зависимости от их политического, социального и экономического статуса, основывающееся на конституционном праве граждан на свободный поиск, получение, передачу, производство и распространение информации любым законным способом; приоритетное развитие отечественных современных информационных и телекоммуникационных технологий, производство технических и программных средств, способных обеспечить совершенствование национальных телекоммуникационных сетей, их подключение к глобальным информационным сетям в целях соблюдения жизненно важных интересов Российской Федерации.
Государство в процессе реализации своих функций по обеспечению информационной безопасности Российской Федерации: проводит объективный и всесторонний анализ и прогнозирование угроз информационной безопасности Российской Федерации, разрабатывает меры по ее обеспечению; организует работу законодательных (представительных) и исполнительных органов государственной власти Российской Федерации по реализации комплекса мер, направленных на предотвращение, отражение и нейтрализацию угроз информационной безопасности Российской Федерации; поддерживает деятельность общественных объединений, направленную на объективное информирование населения о социально значимых явлениях общественной жизни, защиту общества от искаженной и недостоверной информации; осуществляет контроль за разработкой, созданием, развитием, использованием, экспортом и импортом средств защиты информации посредством их сертификации и лицензирования деятельности в области защиты информации; проводит необходимую протекционистскую политику в отношении производителей средств информатизации и защиты информации на территории Российской Федерации и принимает меры по защите внутреннего рынка от проникновения на него некачественных средств информатизации и информационных продуктов; способствует предоставлению физическим и юридическим лицам доступа к мировым информационным ресурсам, глобальным информационным сетям; формулирует и реализует государственную информационную политику России; организует разработку федеральной программы обеспечения информационной безопасности Российской Федерации, объединяющей усилия государственных и негосударственных организаций в данной области; способствует интернационализации глобальных информационных сетей и систем, а также вхождению России в мировое информационное сообщество на условиях равноправного партнерства.
Совершенствование правовых механизмов регулирования общественных отношений, возникающих в информационной сфере, является приоритетным направлением государственной политики в области обеспечения информационной безопасности Российской Федерации.
Это предполагает: оценку эффективности применения действующих законодательных и иных нормативных правовых актов в информационной сфере и выработку программы их совершенствования; создание организационно-правовых механизмов обеспечения информационной безопасности; определение правового статуса всех субъектов отношений в информационной сфере, включая пользователей информационных и телекоммуникационных систем, и установление их ответственности за соблюдение законодательства Российской Федерации в данной сфере; создание системы сбора и анализа данных об источниках угроз информационной безопасности Российской Федерации, а также о последствиях их осуществления; разработку нормативных правовых актов, определяющих организацию следствия и процедуру судебного разбирательства по фактам противоправных действий в информационной сфере, а также порядок ликвидации последствий этих противоправных действий; разработку составов правонарушений с учетом специфики уголовной, гражданской, административной, дисциплинарной ответственности и включение соответствующих правовых норм в уголовный, гражданский, административный и трудовой кодексы, в законодательство Российской Федерации о государственной службе; совершенствование системы подготовки кадров, используемых в области обеспечения информационной безопасности Российской Федерации.
Правовое обеспечение информационной безопасности Российской Федерации должно базироваться, прежде всего, на соблюдении принципов законности, баланса интересов граждан, общества и государства в информационной сфере. Соблюдение принципа законности требует от федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации при решении возникающих в информационной сфере конфликтов неукоснительно руководствоваться законодательными и иными нормативными правовыми актами, регулирующими отношения в этой сфере. Соблюдение принципа баланса интересов граждан, общества и государства в информационной сфере предполагает законодательное закрепление приоритета этих интересов в различных областях жизнедеятельности общества, а также использование форм общественного контроля деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации. Реализация гарантий конституционных прав и свобод человека и гражданина, касающихся деятельности в информационной сфере, является важнейшей задачей государства в области информационной безопасности. Разработка механизмов правового обеспечения информационной безопасности Российской Федерации включает в себя мероприятия по информатизации правовой сферы в целом. В целях выявления и согласования интересов федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и других субъектов отношений в информационной сфере, выработки необходимых решений государство поддерживает формирование общественных советов, комитетов и комиссий с широким представительством общественных объединений и содействует организации их эффективной работы.
Особенности сертификации и стандартизации криптографических услуг
Практически во всех странах, обладающих развитыми криптографическими технологиями, разработка СКЗИ относится к сфере государственного регулирования. Государственное регулирование включает, как правило, лицензирование деятельности, связанной с разработкой и эксплуатацией криптографических средств, сертификацию СКЗИ и стандартизацию алгоритмов криптографических преобразований.
Лицензированию подлежат следующие виды деятельности: разработка, производство, проведение сертификационных испытаний, реализация, эксплуатация шифровальных средств, предназначенных для криптографической защиты информации, содержащей сведения, составляющие государственную или иную охраняемую законом тайну, при ее обработке, хранении и передаче по каналам связи, а также предоставление услуг в области шифрования этой информации; разработка, производство, проведение сертификационных испытаний, эксплуатация систем и комплексов телекоммуникаций высших органов государственной власти Российской Федерации; разработка, производство, проведение сертификационных испытаний, реализация, эксплуатация закрытых систем и комплексов телекоммуникаций органов власти субъектов Российской Федерации, центральных органов федеральной исполнительной власти, организаций, предприятий, банков и иных учреждений, расположенных на территории Российской Федерации, независимо от их ведомственной принадлежности и форм собственности (далее - закрытых систем и комплексов телекоммуникаций), предназначенных для передачи информации, составляющей государственную или иную охраняемую законом тайну; проведение сертификационных испытаний, реализация и эксплуатация шифровальных средств, закрытых систем и комплексов телекоммуникаций, предназначенных для обработки информации, не содержащей сведений, составляющих государственную или иную охраняемую законом тайну, при ее обработке, хранении и передаче по каналам связи, а также предоставление услуг в области шифрования этой информации
К шифровальным средствам относятся: реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, обеспечивающие безопасность информации при ее обработке, хранении и передаче по каналам связи, включая шифровальную технику; реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства защиты от несанкционированного доступа к информации при ее обработке и хранении; реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства защиты от навязывания ложной информации, включая средства имитозащиты и "цифровой подписи"; аппаратные, аппаратно-программные и программные средства для изготовления ключевых документов к шифровальным средствам независимо от вида носителя ключевой информации.
К закрытым системам и комплексам телекоммуникаций относятся системы и комплексы телекоммуникаций, в которых обеспечивается защита информации с использованием шифровальных средств, защищенного оборудования и организационных мер.
Дополнительно лицензированию подлежат следующие виды деятельности: эксплуатация шифровальных средств и/или средств цифровой подписи, а также шифровальных средств для защиты электронных платежей с использованием пластиковых кредитных карточек и смарт – карт; оказание услуг по защите (шифрованию) информации; монтаж, установка, наладка шифровальных средств и/или средств цифровой подписи, шифровальных средств для защиты электронных платежей с использованием пластиковых кредитных карточек и смарт – карт; разработка шифровальных средств и/или средств цифровой подписи, шифровальных средств для защиты электронных платежей с использованием пластиковых кредитных карточек и смарт-карт
Порядок сертификации СКЗИ установлен "Системой сертификации средств криптографической защиты информации РОСС.Р11.0001.030001 Госстандарта России.
Стандартизация алгоритмов криптографических преобразований включает всесторонние исследования и публикацию в виде стандартов элементов криптографических процедур с целью использования разработчиками СКЗИ апробированных криптографически стойких преобразований, обеспечения возможности совместной работы различных СКЗИ, а также возможности тестирования и проверки соответствия реализации СКЗИ заданному стандартом алгоритму. В России приняты следующие стандарты - алгоритм криптографического преобразования 28147-89, алгоритмы хеширования, простановки и проверки цифровой подписи Р34.10.94 и Р34.11.94. Из зарубежных стандартов широко известны и применяются алгоритмы шифрования DES, RC2, RC4, алгоритмы хеширования МD2, МD4 и МD5, алгоритмы простановки и проверки цифровой подписи DSS и RSA.
Законодательная база информационной безопасности
Основные понятия, требования, методы и средства проектирования и оценки системы информационной безопасности для информационных систем (ИС) отражены в следующих основополагающих документах:
"Оранжевая книга" Национального центра защиты компьютеров
"Гармонизированные критерии Европейских стран (ITSEC)";
Концепция защиты от НСД Госкомиссии при Президенте РФ.
Концепция информационной безопасности
Концепция безопасности разрабатываемой системы – "это набор законов, правил и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию. В частности, правила определяют, в каких случаях пользователь имеет право оперировать с определенными наборами данных. Чем надежнее система, тем строже и многообразнее должна быть концепция безопасности. В зависимости от сформулированной концепции можно выбирать конкретные механизмы, обеспечивающие безопасность системы. Концепция безопасности – это активный компонент защиты, включающий в себя анализ возможных угроз и выбор мер противодействия".
Концепция безопасности разрабатываемой системы согласно "Оранжевой книге" должна включать в себя следующие элементы:
Произвольное управление доступом;
Безопасность повторного использования объектов;
Метки безопасности;
Принудительное управление доступом.
Рассмотрим содержание перечисленных элементов.
Произвольное управление доступом – это метод ограничения доступа к объектам, основанный на учете личности субъекта или группы, в которую субъект входит. Произвольность управления состоит в том, что некоторое лицо (обычно владелец объекта) может по своему усмотрению давать другим субъектам или отбирать у них права доступа к объекту.
Главное достоинство произвольного управления доступом – гибкость, главные недостатки – рассредоточенность управления и сложность централизованного контроля, а также оторванность прав доступа от данных, что позволяет копировать секретную информацию в общедоступные файлы.
Безопасность повторного использования объектов – важное на практике дополнение средств управления доступом, предохраняющее от случайного или преднамеренного извлечения секретной информации из "мусора". Безопасность повторного использования должна гарантироваться для областей оперативной памяти (в частности, для буферов с образами экрана, расшифрованными паролями и т.п.), для дисковых блоков и магнитных носителей в целом.
Метки безопасности ассоциируются с субъектами и объектами для реализации принудительного управления доступом. Метка субъекта описывает его благонадежность, метка объекта – степень закрытости содержащейся в нем информации. Согласно "Оранжевой книге" метки безопасности состоят из двух частей – уровня секретности и списка категорий. Главная проблема, которую необходимо решать в связи с метками, – это обеспечение их целостности. Во-первых, не должно быть непомеченных субъектов и объектов, иначе в меточной безопасности появятся легко используемые бреши. Во-вторых, при любых операциях с данными метки должны оставаться правильными. Одним из средств обеспечения целостности меток безопасности является разделение устройств на многоуровневые и одноуровневые. На многоуровневых устройствах может храниться информация разного уровня секретности (точнее, лежащая в определенном диапазоне уровней). Одноуровневое устройство можно рассматривать как вырожденный случай многоуровневого, когда допустимый диапазон состоит из одного уровня. Зная уровень устройства, система может решить, допустимо ли записывать на него информацию с определенной меткой.
Принудительное управление доступом основано на сопоставлении меток безопасности субъекта и объекта. Этот способ управления доступом называется принудительным, поскольку он не зависит от воли субъектов (даже системных администраторов). Принудительное управление доступом реализовано во многих вариантах операционных систем и СУБД, отличающихся повышенными мерами безопасности.
Криптография (от древне-греч. κρυπτος – скрытый и γραϕω – пишу) – наука о методах обеспечения конфиденциальности и аутентичности информации.Криптография представляет собой совокупность методов преобразования данных, направленных на то, чтобы сделать эти данные бесполезными для злоумышленника. Такие преобразования позволяют решить два главных вопроса, касающихся безопасности информации:
- защиту конфиденциальности;
- защиту целостности.
Проблемы защиты конфиденциальности и целостности информации тесно связаны между собой, поэтому методы решения одной из них часто применимы для решения другой.
Известны различные подходы к классификации методов криптографического преобразования информации. По виду воздействия на исходную информацию методы криптографического преобразования информации могут быть разделены на четыре группы:
Отправитель генерирует открытый текст исходного сообщения М , которое должно быть передано законному получателю по незащищённому каналу. За каналом следит перехватчик с целью перехватить и раскрыть передаваемое сообщение. Для того чтобы перехватчик не смог узнать содержание сообщения М , отправитель шифрует его с помощью обратимого преобразования Ек и получает шифртекст (или криптограмму) С=Ек(М) , который отправляет получателю.
Законный получатель, приняв шифртекст С , расшифровывает его с помощью обратного преобразования Dк(С) и получает исходное сообщение в виде открытого текста М .
Преобразование Ек выбирается из семейства криптографических преобразований, называемых криптоалгоритмами. Параметр, с помощью которого выбирается отдельное преобразование, называется криптографическим ключом К .
Криптосистема имеет разные варианты реализации: набор инструкций, аппаратные средства, комплекс программ, которые позволяют зашифровать открытый текст и расшифровать шифртекст различными способами, один из которых выбирается с помощью конкретного ключа К .
Преобразование шифрования может быть симметричным и асимметричным относительно преобразования расшифрования. Это важное свойство определяет два класса криптосистем:
- симметричные (одноключевые) криптосистемы;
- асимметричные (двухключевые) криптосистемы (с открытым ключом).
Симметричное шифрование
Симметричное шифрование, которое часто называют шифрованием с помощью секретных ключей, в основном используется для обеспечения конфиденциальности данных. Для того чтобы обеспечить конфиденциальность данных, пользователи должны совместно выбрать единый математический алгоритм, который будет использоваться для шифрования и расшифровки данных. Кроме того, им нужно выбрать общий (секретный) ключ, который будет использоваться с принятым ими алгоритмом шифрования/дешифрования, т.е. один и тот же ключ используется и для зашифрования, и для расшифрования (слово "симметричный" означает одинаковый для обеих сторон).
Пример симметричного шифрования показан на рис. 2.2 .
Сегодня широко используются такие алгоритмы шифрования, как Data Encryption Standard (DES), 3DES (или "тройной DES") и International Data Encryption Algorithm (IDEA). Эти алгоритмы шифруют сообщения блоками по 64 бита. Если объем сообщения превышает 64 бита (как это обычно и бывает), необходимо разбить его на блоки по 64 бита в каждом, а затем каким-то образом свести их воедино. Такое объединение, как правило, происходит одним из следующих четырех методов:
- электронной кодовой книги (Electronic Code Book, ECB);
- цепочки зашифрованных блоков (Cipher Block Changing, CBC);
- x-битовой зашифрованной обратной связи (Cipher FeedBack, CFB-x);
- выходной обратной связи (Output FeedBack, OFB).
Triple DES (3DES) – симметричный блочный шифр, созданный на основе алгоритма DES, с целью устранения главного недостатка последнего – малой длины ключа (56 бит), который может быть взломан методом полного перебора ключа. Скорость работы 3DES в 3 раза ниже, чем у DES, но криптостойкость намного выше. Время, требуемое для криптоанализа 3DES, может быть намного больше, чем время, нужное для вскрытия DES.
Алгоритм AES (Advanced Encryption Standard), также известный как Rijndael – симметричный алгоритм блочного шифрования – шифрует сообщения блоками по 128 бит, использует ключ 128/192/256 бит.
Шифрование с помощью секретного ключа часто используется для поддержки конфиденциальности данных и очень эффективно реализуется с помощью неизменяемых "вшитых" программ (firmware). Этот метод можно использовать для аутентификации и поддержания целостности данных.
С методом симметричного шифрования связаны следующие проблемы:
- необходимо часто менять секретные ключи, поскольку всегда существует риск их случайного раскрытия (компрометации);
- достаточно сложно обеспечить безопасность секретных ключей при их генерировании, распространении и хранении.
С задачей подбора программного обеспечения для криптографической защиты данных сталкивается каждый, кто всерьез задумывается о безопасности своей конфиденциальной информации. И в этом нет абсолютно ничего удивительного - шифрование на сегодняшний день является одним из самых надежных способов предотвратить несанкционированный доступ к важным документам, базам данных, фотографиям и любым другим файлам.
Проблема заключается в том, что для грамотного выбора необходимо понимать все аспекты работы криптографических продуктов. В противном случае можно очень легко ошибиться и остановиться на ПО, которое либо не позволит защитить всю необходимую информацию, либо не обеспечит должной степени безопасности. На что же нужно обращать внимание? Во-первых, это доступные в продукте алгоритмы шифрования. Во-вторых, способы аутентификации владельцев информации. В-третьих, способы защиты информации. В-четвертых, дополнительные функции и возможности. В-пятых, авторитет и известность производителя, а также наличие у него сертификатов на разработку средств шифрования. И это еще далеко не все, что может оказаться важным при выборе системы криптографической защиты .
Понятно, что человеку, не разбирающемуся в области защиты информации, сложно найти ответы на все эти вопросы.
Secret Disk 4 Lite
Разработчиком продукта Secret Disk 4 Lite является компания Aladdin - один из мировых лидеров, работающих в области информационной безопасности. Она обладает большим количеством сертификатов. И хотя сам рассматриваемый продукт не является сертифицированным средством (у Secret Disk 4 есть отдельная сертифицированная версия), данный факт говорит о признании компании серьезным разработчиком криптографических средств.
Secret Disk 4 Lite может использоваться для шифрования отдельных разделов винчестера, любых съемных накопителей, а также для создания защищенных виртуальных дисков. Таким образом, с помощью этого инструмента можно решить большую часть задач, связанных с криптографией. Отдельно стоит отметить возможность шифрования системного раздела. При этом сама загрузка ОС неавторизированным пользователем становится невозможной. Причем эта защита несоизмеримо надежнее, нежели встроенные средства защиты Windows.
В продукте Secret Disk 4 Lite нет встроенных алгоритмов шифрования. Эта программа для своей работы использует внешние криптопровайдеры. По умолчанию применяется стандартный модуль, интегрированный в Windows. В нем реализованы алгоритмы DES и 3DES. Однако сегодня они считаются уже морально устаревшими. Поэтому для лучшей защиты можно загрузить с сайта Aladdin специальный Secret Disk Crypto Pack. Это криптопровайдер, в котором реализованы наиболее надежные на сегодняшний день криптографические технологии, включая AES и Twofish с длиной ключа до 256 бит. Кстати, в случае необходимости в сочетание с Secret Disk 4 Lite можно использовать сертифицированных поставщиков алгоритмов Signal-COM CSP и "КриптоПро CSP".
Отличительной особенностью Secret Disk 4 Lite является система аутентификации пользователей. Дело в том, что она построена на использовании цифровых сертификатов. Для этого в комплект поставки продукта включен аппаратный USB-токен eToken. Он представляет собой надежно защищенное хранилище для секретных ключей. Фактически, речь идет о полноценной двухфакторной аутентификации (наличие токена плюс знание его PIN-кода). В результате рассматриваемая система шифрования избавлена от такого "узкого" места, как использование обычной парольной защиты.
Из дополнительных функция Secret Disk 4 Lite можно отметить возможность многопользовательской работы (владелец зашифрованных дисков может предоставить доступ к ним другим людям) и фоновую работу процесса шифрования.
Интерфейс Secret Disk 4 Lite прост и понятен. Он выполнен на русском языке, точно так же, как и подробная справочная система, в которой расписаны все нюансы использования продукта .
InfoWatch CryptoStorage
InfoWatch CryptoStorage - продукт достаточно известной компании InfoWatch, обладающей сертификатами на разработку, распространение и обслуживание шифровальных средств. Как уже отмечалось, они не обязательны, но могут играть роль своеобразного индикатора серьезности компании и качества выпускаемой ею продукции.
Рисунок 1. Контекстное меню
В InfoWatch CryptoStorage реализован только один алгоритм шифрования - AES с длиной ключа 128 бит. Аутентификация пользователей реализована с помощью обычной парольной защиты. Ради справедливости стоит отметить, что в программе есть ограничение минимальной длины ключевых слов, равное шести символам. Тем не менее, парольная защита, безусловно, сильно уступает по своей надежности двухфакторной аутентификации с использованием токенов. Особенностью программы InfoWatch CryptoStorage является ее универсальность. Дело в том, что с ее помощью можно зашифровывать отдельные файлы и папки, целые разделы винчестера, любые съемные накопители, а также виртуальные диски.
Данный продукт, как и предыдущий, позволяет защищать системные диски, то есть он может использоваться для предотвращения несанкционированной загрузки компьютера. Фактически, InfoWatch CryptoStorage позволяет решить весь спектр задач, связанных с использованием симметричного шифрования.
Дополнительной возможностью рассматриваемого продукта является организация многопользовательского доступа к зашифрованной информации. Кроме того, в InfoWatch CryptoStorage реализовано гарантированное уничтожение данных без возможности их восстановления.
InfoWatch CryptoStorage - русскоязычная программа. Ее интерфейс, выполнен на русском языке, однако достаточно необычен: главное окно как таковое отсутствует (есть только небольшое окошко конфигуратора), а практически вся работа реализована с помощью контекстного меню. Такое решение непривычно, однако нельзя не признать его простоту и удобство. Естественно, русскоязычная документация в программе также имеется.
Rohos Disk - продукт компании Tesline-Service.S.R.L. Он входит в линейку небольших утилит, реализующих различные инструменты по защите конфиденциальной информации. Разработка этой серии продолжается с 2003 года.
Рисунок 2. Интерфейс программы
Программа Rohos Disk предназначена для криптографической защиты компьютерных данных. Она позволяет создавать зашифрованные виртуальные диски, на которые можно сохранять любые файлы и папки, а также устанавливать программное обеспечение.
Для защиты данных в данном продукте используется криптографический алгоритм AES с длиной ключа 256 бит, который обеспечивает высокую степень безопасности.
В Rohos Disk реализовано два способа аутентификации пользователей. Первый из них - обычная парольная защита со всеми ее недостатками. Второй вариант - использование обычного USB-диска, на который записывается необходимый ключ.
Данный вариант также не является очень надежным. При его использовании утеря "флешки" может грозить серьезными проблемами.
Rohos Disk отличается широким набором дополнительных возможностей. В первую очередь стоит отметить защиту USB-дисков. Суть ее заключается в создании на "флешке" специального зашифрованного раздела, в котором можно без опасений переносить конфиденциальные данные.
Причем в состав продукта входит отдельная утилита, с помощью которой можно открывать и просматривать эти USB-диски на компьютерах, на которых не инсталлирован Rohos Disk .
Следующая дополнительная возможность - поддержка стеганографии. Суть этой технологии заключается в сокрытии зашифрованной информации внутри мультимедиа-файлов (поддерживаются форматы AVI, MP3, MPG, WMV, WMA, OGG).
Ее использование позволяет скрыть сам факт наличия секретного диска путем его размещения, например, внутри фильма. Последней дополнительной функцией является уничтожение информации без возможности ее восстановления.
Программа Rohos Disk обладает традиционным русскоязычным интерфейсом. Кроме того, она сопровождена справочной системой, может быть, не столь подробной, как у двух предыдущих продуктов, однако достаточной для освоения принципов ее использования.
Говоря о криптографических утилитах, нельзя не упомянуть и про бесплатное программное обеспечение. Ведь сегодня практически во всех областях есть достойные продукты, распространяющиеся совершенно свободно. И защита информации не является исключением из этого правила.
Правда, к использованию свободного ПО для защиты информации существует двоякое отношение. Дело в том, что многие утилиты пишутся программистами-одиночками или небольшими группами. При этом никто не может поручиться за качество их реализации и отсутствии "дыр", случайных или намеренных. Но криптографические решения сами по себе весьма сложны для разработки. При их создании нужно учитывать огромное множество различных нюансов. Именно поэтому рекомендуется применять только широко известные продукты, причем обязательно с открытым кодом. Только так можно быть уверенным, что они избавлены от "закладок" и протестированы большим количеством специалистов, а значит, более-менее надежны. Примером такого продукта является программа TrueCrypt .
Рисунок 3.Интерфейс программы
TrueCrypt является, пожалуй, одной из самых функционально богатых бесплатных криптографических утилит. Изначально она использовалась только для создания защищенных виртуальных дисков. Все-таки для большинства пользователей это наиболее удобный способ защиты различной информации. Однако со временем в ней появилась функция шифрования системного раздела. Как мы уже знаем, она предназначается для защиты компьютера от несанкционированного запуска. Правда, шифровать все остальные разделы, а также отдельные файлы и папки TrueCrypt пока не умеет.
В рассматриваемом продукте реализовано несколько алгоритмов шифрования: AES, Serpent и Twofish. Владелец информации может сам выбрать, какой из них он хочет использовать в данный момент. Аутентификации пользователей в TrueCrypt может производиться с помощью обычных паролей. Однако есть и другой вариант - с использованием ключевых файлов, которые могут сохраняться на жестком диске или любом съемном накопителе. Отдельно стоит отметить поддержку данной программой токенов и смарт-карт, что позволяет организовать надежную двухфакторную аутентификацию.
Из дополнительных функций рассматриваемой программы можно отметить возможность создания скрытых томов внутри основных. Она используется для сокрытия конфиденциальных данных при открытии диска под принуждением. Также в TrueCrypt реализована система резервного копирования заголовков томов для их восстановлении при сбое или возврата к старым паролям.
Интерфейс TrueCrypt привычен для утилит подобного рода. Он многоязычен, причем есть возможность установить и русский язык. С документацией дела обстоят гораздо хуже. Она есть, причем весьма подробная, однако написана на английском языке. Естественно, ни о какой технической поддержки речи идти не может.
Для большей наглядности все их особенности и функциональные возможности сведены в таблицу 2 .
Таблица 2 - Функциональные возможности программ криптографической защиты информации.
|
Secret Disk 4 lite |
InfoWatch CryptoStorage |
|||
|
Алгоритмы шифрования |
DES, 3DES, AES, TwoFish |
AES, Serpent, TwoFish |
||
|
Максимальная длина ключа шифрования |
||||
|
Подключение внешних криптопровайдеров |
||||
|
Строгая аутентификация с использованием токенов |
+ (токены приобретаются отдельно) |
|||
|
Шифрование файлов и папок |
||||
|
Шифрование разделов |
||||
|
Шифрование системы |
||||
|
Шифрование виртуальных дисков |
||||
|
Шифрование съемных накопителей |
||||
|
Поддержка многопользовательской работы |
||||
|
Гарантированное уничтожение данных |
||||
|
Сокрытие зашифрованных объектов |
||||
|
Работа «под принуждением» |
||||
|
Русскоязычный интерфейс |
||||
|
Русскоязычная документация |
||||
|
Техническая поддержка |
Средства криптографической защиты информации (СКЗИ)
"...Средство криптографической защиты информации (СКЗИ) - сертифицированные в порядке, установленном законодательством Российской Федерации, аппаратные и (или) программные средства, обеспечивающие шифрование, контроль целостности и применение ЭЦП при обмене электронными документами;..."
Источник:
"Методические рекомендации по предоставлению организациям, осуществляющим производство и (или) оборот (за исключением импорта и розничной продажи) этилового спирта, алкогольной и спиртосодержащей продукции на территории Российской Федерации, программных средств единой государственной автоматизированной информационной системы учета объема производства и оборота этилового спирта, алкогольной и спиртосодержащей продукции и их установки в технические средства фиксации и передачи информации об объеме производства и оборота этилового спирта, алкогольной и спиртосодержащей продукции в единую государственную автоматизированную информационную систему учета объема производства и оборота этилового спирта, алкогольной и спиртосодержащей продукции" (утв. Росалкогольрегулированием)
"...Средства криптографической защиты информации (СКЗИ) - совокупность программных и технических средств, реализующих криптографические преобразования с исходной информацией и функцию выработки и проверки электронной цифровой подписи..."
Источник:
Правления ПФ РФ от 26.01.2001 N 15 "О введении в системе Пенсионного фонда Российской Федерации криптографической защиты информации и электронной цифровой подписи" (вместе с "Регламентом регистрации и подключения юридических и физических лиц к системе электронного документооборота Пенсионного фонда Российской Федерации")
Официальная терминология . Академик.ру . 2012 .
Смотреть что такое "Средства криптографической защиты информации (СКЗИ)" в других словарях:
СКЗИ - средства криптографической защиты информации СКЗИ средство контроля защищенности информации Источник: http://pcweek.ru/?ID=476136 … Словарь сокращений и аббревиатур
Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения - Терминология Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения: 29. Администратор защиты Субъект доступа, ответственный за защиту автоматизированной системы от несанкционированного доступа к… … Словарь-справочник терминов нормативно-технической документации
EToken - смарт карта и USB ключ eToken PRO, eToken NG FLASH, eToken NG OTP, eToken PRO (Java) и eToken PASS eToken (от англ. electronic электронный и англ. token признак, жетон) торговая марка для линейки персональных средств… … Википедия
OPTIMA-WorkFlow - В данной статье или разделе имеется список источников или внешних ссылок, но источники отдельных утверждений остаются неясными из за отсутствия сносок. Вы можете улучшить статью, внеся более точные указания на источники … Википедия - Аппаратное шифрование процесс шифрования, производимый при помощи специализированных вычислительных устройств. Содержание 1 Введение 2 Достоинства и недостатки аппаратного шифрования … Википедия
