Arten des kryptografischen Informationsschutzes. Mittel zum Schutz kryptografischer Informationen. Grundlegende Datenverschlüsselungsalgorithmen

Schutz kryptografischer Informationen - Schutz von Informationen durch ihre kryptografische Transformation.

Kryptografische Methoden sind derzeit Basic Gewährleistung einer zuverlässigen Authentifizierung der am Informationsaustausch beteiligten Parteien, Schutz.

ZU bedeutet kryptografischer Schutz Information(CIPF) umfasst Hardware, Firmware und Software, die kryptografische Algorithmen zum Konvertieren von Informationen für folgende Zwecke implementieren:

Schutz der Informationen während ihrer Verarbeitung, Speicherung und Übertragung;

Gewährleistung der Zuverlässigkeit und Integrität von Informationen (einschließlich der Verwendung digitaler Signaturalgorithmen) während ihrer Verarbeitung, Speicherung und Übertragung;

Generieren von Informationen zur Identifizierung und Authentifizierung von Personen, Benutzern und Geräten;

Generierung von Informationen zum Schutz der authentifizierenden Elemente eines geschützten AS während ihrer Generierung, Speicherung, Verarbeitung und Übertragung.

Kryptografische Methoden bieten Verschlüsselung und Verschlüsselung von Informationen. Es gibt zwei Hauptverschlüsselungsmethoden: symmetrisch und asymmetrisch. Im ersten Fall wird derselbe (geheim gehaltene) Schlüssel sowohl zum Verschlüsseln als auch zum Entschlüsseln von Daten verwendet.

Es wurden sehr effektive (schnelle und zuverlässige) symmetrische Verschlüsselungsverfahren entwickelt. Es gibt auch einen nationalen Standard für solche Methoden – GOST 28147-89 „Informationsverarbeitungssysteme. Kryptografischer Schutz. Kryptografischer Konvertierungsalgorithmus.“

Asymmetrische Methoden verwenden zwei Schlüssel. Einer davon, nicht klassifiziert (kann zusammen mit anderen veröffentlicht werden). offene Informationenüber den Benutzer) wird zur Verschlüsselung verwendet, ein anderes (geheimes, nur dem Empfänger bekanntes) wird zur Entschlüsselung verwendet. Die beliebteste asymmetrische Methode ist die RSA-Methode, die auf Operationen mit großen (100-stelligen) Primzahlen und deren Produkten basiert.

Mit kryptografischen Methoden ist es möglich, die Integrität sowohl einzelner Daten als auch ihrer Mengen (z. B. eines Nachrichtenflusses) zuverlässig zu kontrollieren; Bestimmen Sie die Authentizität der Datenquelle. garantieren die Unmöglichkeit, ergriffene Maßnahmen abzulehnen („non-repudiation“).

Die kryptografische Integritätskontrolle basiert auf zwei Konzepten:

Elektronische Signatur (ES).

Eine Hash-Funktion ist eine schwer umkehrbare Datentransformation (Einwegfunktion), die in der Regel mittels symmetrischer Verschlüsselung mit Blockverknüpfung umgesetzt wird. Das Ergebnis der Verschlüsselung des letzten Blocks (abhängig von allen vorherigen) dient als Ergebnis der Hash-Funktion.

Kryptographie als Mittel zum Schutz (Schließung) von Informationen gewinnt im kommerziellen Bereich immer mehr an Bedeutung.

Zur Umwandlung von Informationen werden verschiedene Verschlüsselungswerkzeuge verwendet: Werkzeuge zur Dokumentenverschlüsselung, einschließlich tragbarer Werkzeuge, Werkzeuge zur Sprachverschlüsselung (Telefon- und Funkgespräche), Werkzeuge zur Verschlüsselung von Telegrafennachrichten und zur Datenübertragung.

Zum Schutz von Geschäftsgeheimnissen auf dem internationalen und inländischen Markt werden verschiedene Maßnahmen ergriffen technische Geräte und Sätze professioneller Ausrüstung zur Verschlüsselung und zum kryptografischen Schutz von Telefon- und Funkgesprächen, Geschäftskorrespondenz usw.

Verbreitet sind Scrambler und Masker, die das Sprachsignal durch digitale Datenübertragung ersetzen. Es werden Sicherheitsprodukte für Fernschreibmaschinen, Fernschreiber und Faxgeräte hergestellt. Für diese Zwecke werden Verschlüsselungsgeräte verwendet, die in Form von separaten Geräten, in Form von Anbaugeräten an Geräte oder in das Design von Telefonen, Faxmodems und anderen Kommunikationsgeräten (Radiosender und andere) eingebaut werden. Um die Zuverlässigkeit der übermittelten elektronischen Nachrichten sicherzustellen, werden elektronische Nachrichten übermittelt Digitale Unterschrift.

Um einen umfassenden Schutz der über Kommunikationsleitungen übertragenen Daten zu gewährleisten, werden Tools zum Schutz kryptografischer Informationen, kurz CIPF, eingesetzt. Hierzu ist es erforderlich, die Autorisierung und den Schutz der elektronischen Signatur, die Authentifizierung der Kommunikationsparteien mithilfe der Protokolle TLS und IPSec sowie ggf. den Schutz des Kommunikationskanals selbst sicherzustellen.

In Russland ist der Einsatz kryptografischer Mittel zur Informationssicherheit meist geheim, daher gibt es zu diesem Thema nur wenige öffentlich zugängliche Informationen.

In CIPF verwendete Methoden

• Autorisierung von Daten und Gewährleistung der Sicherheit ihrer rechtlichen Bedeutung bei der Übertragung oder Speicherung. Dazu nutzen sie Algorithmen zur Erstellung und Überprüfung einer elektronischen Signatur gemäß den etablierten Vorschriften RFC 4357 und nutzen Zertifikate nach dem X.509-Standard.
• Schutz der Vertraulichkeit der Daten und Überwachung ihrer Integrität. Dabei kommen asymmetrische Verschlüsselung und Nachahmungsschutz zum Einsatz, die einer Datensubstitution entgegenwirken. Entspricht GOST R 34.12-2015.
• Schutz von System- und Anwendungssoftware. Achten Sie auf unbefugte Änderungen oder Fehlfunktionen.
• Verwaltung der wichtigsten Elemente des Systems in strikter Übereinstimmung mit den verabschiedeten Vorschriften.
• Authentifizierung von Parteien, die Daten austauschen.
• Sichern der Verbindung mit TLS-Protokoll.
• Schutz von IP-Verbindungen mithilfe der Protokolle IKE, ESP, AH.

Die Methoden werden in den folgenden Dokumenten ausführlich beschrieben: RFC 4357, RFC 4490, RFC 4491.

CIPF-Mechanismen zum Informationsschutz

1. Die Vertraulichkeit gespeicherter oder übertragener Informationen wird durch den Einsatz von Verschlüsselungsalgorithmen geschützt.
2. Beim Verbindungsaufbau erfolgt die Identifikation mittels elektronischer Signatur bei der Authentifizierung (wie von X.509 empfohlen).
3. Auch der digitale Dokumentenfluss wird durch elektronische Signaturen sowie durch einen Auferlegungs- oder Wiederholungsschutz geschützt, während die Authentizität der zur Überprüfung elektronischer Signaturen verwendeten Schlüssel überwacht wird.
4. Die Integrität der Informationen wird durch eine digitale Signatur sichergestellt.
5. Der Einsatz asymmetrischer Verschlüsselungsfunktionen trägt zum Schutz Ihrer Daten bei. Darüber hinaus können Hashing-Funktionen oder Impersonation-Algorithmen zur Überprüfung der Datenintegrität eingesetzt werden. Diese Methoden unterstützen jedoch nicht die Bestimmung der Urheberschaft eines Dokuments.
6. Der Wiederholungsschutz erfolgt über kryptografische Funktionen einer elektronischen Signatur zur Verschlüsselung oder zum Nachahmungsschutz. In diesem Fall wird jeder Netzwerksitzung eine eindeutige Kennung hinzugefügt, die lang genug ist, um ein zufälliges Zusammentreffen auszuschließen, und die Überprüfung wird von der empfangenden Partei durchgeführt.
7. Der Schutz vor Auferlegung, also vor dem Eindringen in die Kommunikation von außen, wird durch die elektronische Signatur gewährleistet.
8. Anderer Schutz – vor Lesezeichen, Viren, Änderungen Betriebssystem usw. - wird durch verschiedene kryptografische Tools, Sicherheitsprotokolle, Antivirensoftware und organisatorische Maßnahmen sichergestellt.

Wie Sie sehen, sind elektronische Signaturalgorithmen ein wesentlicher Bestandteil des kryptografischen Informationsschutzes. Sie werden weiter unten besprochen.

Voraussetzungen für die Verwendung von CIPF

CIPF zielt darauf ab, offene Daten in verschiedenen Informationssystemen (durch Prüfung einer elektronischen Signatur) zu schützen allgemeiner Gebrauch und Sicherstellung ihrer Vertraulichkeit (elektronische Signaturprüfung, Nachahmungsschutz, Verschlüsselung, Hash-Verifizierung) in Unternehmensnetzwerken.

Zum Schutz der persönlichen Daten des Benutzers wird ein persönliches kryptografisches Informationsschutztool verwendet. Besonderes Augenmerk sollte jedoch auf Informationen im Zusammenhang mit Staatsgeheimnissen gelegt werden. Laut Gesetz darf CIPF nicht zum Arbeiten damit verwendet werden.

Wichtig: Bevor Sie CIPF installieren, sollten Sie zunächst das CIPF-Softwarepaket selbst überprüfen. Dies ist der erste Schritt. Typischerweise wird die Integrität des Installationspakets durch den Vergleich der vom Hersteller erhaltenen Prüfsummen überprüft.

Nach der Installation sollten Sie den Grad der Bedrohung ermitteln, anhand dessen Sie die für die Verwendung erforderlichen CIPF-Typen bestimmen können: Software, Hardware und Hardware-Software. Es sollte auch berücksichtigt werden, dass bei der Organisation einiger CIPF die Platzierung des Systems berücksichtigt werden muss.

Schutzklassen

Gemäß der Verordnung des FSB Russlands vom 10. Juli 2014 Nr. 378, die den Einsatz kryptografischer Mittel zum Schutz von Informationen und personenbezogenen Daten regelt, sind sechs Klassen definiert: KS1, KS2, KS3, KB1, KB2, KA1. Die Schutzklasse für ein bestimmtes System wird aus einer Analyse von Daten über das Modell des Eindringlings, also aus einer Bewertung, ermittelt mögliche Wege das System hacken. Der Schutz basiert in diesem Fall auf dem Schutz kryptografischer Informationen durch Software und Hardware.

AC (aktuelle Bedrohungen) gibt es, wie aus der Tabelle hervorgeht, in drei Arten:

1. Die erste Art von Bedrohungen steht im Zusammenhang mit undokumentierten Funktionen der verwendeten Systemsoftware Informationssystem.
2. Bedrohungen der zweiten Art stehen im Zusammenhang mit nicht dokumentierten Funktionen der im Informationssystem verwendeten Anwendungssoftware.
3. Die dritte Bedrohungsart bezieht sich auf alle anderen.

Undokumentierte Features sind Funktionen und Merkmale der Software, die in der offiziellen Dokumentation nicht beschrieben sind oder dieser nicht entsprechen. Das heißt, ihre Verwendung kann das Risiko einer Verletzung der Vertraulichkeit oder Integrität von Informationen erhöhen.

Schauen wir uns der Klarheit halber die Modelle von Eindringlingen an, deren Abfangen die eine oder andere Klasse kryptografischer Informationssicherheitsmittel erfordert:

• KS1 – der Eindringling agiert von außen, ohne Assistenten innerhalb des Systems.
• KS2 ist ein interner Eindringling, hat jedoch keinen Zugriff auf CIPF.
• KS3 ist ein interner Eindringling, der CIPF-Benutzer ist.
• KV1 ist ein Eindringling, der Ressourcen Dritter anzieht, beispielsweise CIPF-Spezialisten.
• KV2 ist ein Eindringling, hinter dessen Taten ein Institut oder Labor steht, das sich mit der Erforschung und Entwicklung von CIPF beschäftigt.
• KA1 - Sonderdienste der Staaten.

Somit kann KS1 als Grundschutzklasse bezeichnet werden. Je höher also die Schutzklasse, desto weniger Fachkräfte sind in der Lage, diese zu gewährleisten. Beispielsweise gab es in Russland nach Angaben aus dem Jahr 2013 nur sechs Organisationen, die über ein Zertifikat des FSB verfügten und in der Lage waren, Schutz der Klasse KA1 zu bieten.

Verwendete Algorithmen

Betrachten wir die wichtigsten Algorithmen, die in Tools zum Schutz kryptografischer Informationen verwendet werden:

• GOST R 34.10-2001 und aktualisiertes GOST R 34.10-2012 – Algorithmen zum Erstellen und Überprüfen einer elektronischen Signatur.
• GOST R 34.11-94 und das neueste GOST R 34.11-2012 – Algorithmen zum Erstellen von Hash-Funktionen.
• GOST 28147-89 und mehr neues GOST R 34.12-2015 – Implementierung von Verschlüsselungs- und Datenschutzalgorithmen.
• Weitere kryptografische Algorithmen finden sich in RFC 4357.

Elektronische Unterschrift

Der Einsatz kryptografischer Informationssicherheitstools ist ohne den Einsatz elektronischer Signaturalgorithmen, die immer beliebter werden, nicht vorstellbar.

Eine elektronische Signatur ist ein besonderer Teil eines Dokuments, der durch kryptografische Transformationen erstellt wird. Seine Hauptaufgabe besteht darin, unbefugte Änderungen zu identifizieren und die Urheberschaft festzustellen.

Ein elektronisches Signaturzertifikat ist ein separates Dokument, das seinem Besitzer mithilfe eines öffentlichen Schlüssels die Echtheit und den Besitz einer elektronischen Signatur nachweist. Zertifikate werden von Zertifizierungsstellen ausgestellt.

Der Inhaber eines elektronischen Signaturzertifikats ist die Person, auf deren Namen das Zertifikat registriert ist. Es ist mit zwei Schlüsseln verknüpft: öffentlich und privat. Mit dem privaten Schlüssel können Sie eine elektronische Signatur erstellen. Der Zweck eines öffentlichen Schlüssels besteht darin, die Authentizität einer Signatur durch eine kryptografische Verbindung zum privaten Schlüssel zu überprüfen.

Arten der elektronischen Signatur

Gemäß Bundesgesetz Nr. 63 werden elektronische Signaturen in drei Typen unterteilt:

• regelmäßige elektronische Signatur;
• unqualifizierte elektronische Signatur;
• qualifizierte elektronische Signatur.

Eine einfache elektronische Signatur wird durch Passwörter beim Öffnen und Anzeigen von Daten oder ähnliche Mittel erstellt, die indirekt den Eigentümer bestätigen.

Eine unqualifizierte elektronische Signatur wird durch kryptografische Datentransformationen unter Verwendung eines privaten Schlüssels erstellt. Dadurch können Sie die Person bestätigen, die das Dokument unterzeichnet hat, und feststellen, ob unbefugte Änderungen an den Daten vorgenommen wurden.

Qualifizierte und unqualifizierte Signaturen unterscheiden sich lediglich dadurch, dass im ersten Fall das Zertifikat für die elektronische Signatur von einer vom FSB zertifizierten Zertifizierungsstelle ausgestellt werden muss.

Anwendungsbereich der elektronischen Signatur

In der folgenden Tabelle wird der Anwendungsbereich elektronischer Signaturen erläutert.

Elektronische Signaturtechnologien werden am aktivsten im Dokumentenaustausch eingesetzt. Im internen Dokumentenfluss fungiert die elektronische Signatur als Genehmigung von Dokumenten, also als persönliche Unterschrift oder Siegel. Beim externen Dokumentenfluss ist das Vorhandensein einer elektronischen Signatur entscheidend, da es sich um eine rechtsgültige Bestätigung handelt. Es ist auch erwähnenswert, dass mit elektronischen Signaturen unterzeichnete Dokumente unbegrenzt gespeichert werden können und ihre rechtliche Bedeutung nicht aufgrund von Faktoren wie gelöschten Signaturen, beschädigtem Papier usw. verlieren.

Die Berichterstattung an Aufsichtsbehörden ist ein weiterer Bereich, in dem der elektronische Dokumentenfluss zunimmt. Viele Unternehmen und Organisationen haben den Komfort, in diesem Format zu arbeiten, bereits zu schätzen gelernt.

Vor dem Gesetz Russische Föderation Jeder Bürger hat das Recht, bei der Inanspruchnahme staatlicher Dienstleistungen (z. B. Unterzeichnung eines elektronischen Antrags bei einer Behörde) eine elektronische Signatur zu verwenden.

Ein weiterer interessanter Bereich, in dem elektronische Signaturen aktiv eingesetzt werden, ist der Online-Handel. Es bestätigt die Tatsache, dass eine echte Person an der Auktion teilnimmt und ihre Angebote als zuverlässig angesehen werden können. Wichtig ist auch, dass jeder mit Hilfe einer elektronischen Signatur geschlossene Vertrag Rechtskraft erlangt.

Algorithmen für elektronische Signaturen

• Full Domain Hash (FDH) und Public Key Cryptography Standards (PKCS). Letzteres stellt eine ganze Gruppe von Standardalgorithmen für verschiedene Situationen dar.
• DSA und ECDSA sind Standards zur Erstellung elektronischer Signaturen in den USA.
• GOST R 34.10-2012 – Standard zur Erstellung elektronischer Signaturen in der Russischen Föderation. Dieser Standard ersetzt GOST R 34.10-2001, das nach dem 31. Dezember 2017 offiziell abgelaufen ist.
• Die Eurasische Union verwendet Standards, die den russischen völlig ähnlich sind.
• STB 34.101.45-2013 – Weißrussischer Standard für digitale elektronische Signaturen.
• DSTU 4145-2002 – Standard zur Erstellung einer elektronischen Signatur in der Ukraine und vielen anderen.

Erwähnenswert ist auch, dass die Algorithmen zur Erstellung elektronischer Signaturen vorhanden sind Verschiedene zwecke und Ziele:

• Elektronische Gruppensignatur.
• Einmalige digitale Signatur.
• Vertrauenswürdige elektronische Signatur.
• Qualifizierte und uneingeschränkte Unterschrift usw.

Kryptografische Methoden zum Schutz von Informationen können sowohl in Software als auch in Hardware implementiert werden. Ein Hardware-Verschlüsselungsgerät oder kryptografisches Datenschutzgerät (CDPD) ist meist eine Erweiterungskarte, die in Anschluss 18A oder PC1 eingesteckt wird Hauptplatine persönlicher Computer(PC) (Abb. 3.21). Es gibt weitere Implementierungsmöglichkeiten, beispielsweise in Form eines i8B-Schlüssels mit kryptografischen Funktionen (Abb. 3.22).

Hersteller von Hardware-Verschlüsselungsgeräten statten diese in der Regel mit verschiedenen Zusatzfunktionen aus, darunter:

Generieren von Zufallszahlen, die zum Erhalten kryptografischer Schlüssel erforderlich sind. Darüber hinaus werden sie von vielen kryptografischen Algorithmen für andere Zwecke verwendet. Beispielsweise ist im elektronischen digitalen Signaturalgorithmus GOST R 34.10-2001 für jede Signaturberechnung eine neue Zufallszahl erforderlich.

Reis. 3.21. Hardware-Encoder in Form einer PC1-Karte:

1 - technologische Anschlüsse; 2 - Speicher zur Protokollierung; 3 - Modusschalter; 4 - multifunktionaler Speicher; 5 - Steuereinheit und Mikroprozessor; 6- PC1-Schnittstelle; 7- PC1-Controller; 8- DSC; 9- Schnittstellen zum Anschluss wichtiger Medien

Reis. 3.22.

• Computer-Login-Kontrolle. Beim Einschalten des PCs fordert das Gerät vom Benutzer die Eingabe persönlicher Daten auf (z. B. Einstecken eines Geräts mit privatem Schlüssel). Das Laden des Betriebssystems ist erst zulässig, wenn das Gerät die präsentierten Schlüssel erkennt und sie als „seine eigenen“ betrachtet. Andernfalls müssen Sie es öffnen Systemeinheit und entfernen Sie den Verschlüsseler von dort, um das Betriebssystem zu laden (Informationen auf der Festplatte des PCs können jedoch auch verschlüsselt werden);
• Überwachung der Integrität von Betriebssystemdateien, um böswillige Änderungen zu verhindern Konfigurationsdateien Und Systemprogramme. Der Verschlüsseler speichert eine Liste aller wichtigen Dateien mit vorberechneten Kontroll-Hash-Werten für jede von ihnen, und wenn beim nächsten Start des Betriebssystems der Hash-Wert mindestens einer der kontrollierten Dateien nicht dem Standard entspricht, wird der Der Computer wird gesperrt.

Ein Verschlüsselungsprogramm, das den Zugang zu einem PC kontrolliert und die Integrität des Betriebssystems überprüft, wird auch „ elektronisches Schloss"(siehe Absatz 1.3).

In Abb. Abbildung 3.23 zeigt den typischen Aufbau eines Hardware-Encoders. Betrachten wir die Funktionen seiner Hauptblöcke:

• Steuereinheit - das Haupt-Encodermodul. Die Implementierung erfolgt in der Regel auf Basis eines Mikrocontrollers, bei dessen Auswahl es vor allem auf Geschwindigkeit und eine ausreichende Anzahl interner Ressourcen sowie externe Ports zum Anschluss aller notwendigen Module ankommt;
• PC-Systembus-Controller (z. B. PC1), über den der Hauptdatenaustausch zwischen dem UKZD und dem Computer erfolgt;
• ein nichtflüchtiges Speichergerät (Speicher), meist auf Basis von Flash-Speicherchips implementiert. Es muss ausreichend groß sein (mehrere Megabyte) und eine große Anzahl von Schreibzyklen ermöglichen. Hier platziert Software Mikrocontroller, den Sie

Reis. 3.23. Die UKZD-Struktur ist abgeschlossen, wenn das Gerät initialisiert wird (wenn der Encoder beim Hochfahren des Computers die Steuerung übernimmt);

• Audit-Log-Speicher, der ebenfalls ein nichtflüchtiger Speicher ist (um mögliche Kollisionen zu vermeiden, sollten Speicher für Programme und Speicher für das Protokoll nicht kombiniert werden);
• Chiffrierprozessor (oder mehrere ähnliche Blöcke) – ein spezialisierter Mikroschaltkreis oder programmierbarer Logikchip PLD (Programmable Logic Device), der die Durchführung kryptografischer Operationen (Verschlüsselung und Entschlüsselung, Berechnung und Überprüfung digitaler Signaturen, Hashing) gewährleistet;
• ein Zufallszahlengenerator, ein Gerät, das ein statistisch zufälliges und unvorhersehbares Signal (sogenanntes weißes Rauschen) erzeugt. Dies könnte beispielsweise eine Rauschdiode sein. Vor der weiteren Verwendung im Verschlüsselungsprozessor wird weißes Rauschen nach besonderen Regeln in digitale Form umgewandelt;
• Eingabeblock für Schlüsselinformationen. Bietet den sicheren Empfang privater Schlüssel von einem Schlüsselträger und die Eingabe der für seine Authentifizierung erforderlichen Benutzeridentifikationsinformationen;
• ein Block von Schaltern, die erforderlich sind, um die Arbeit mit externen Geräten (Festplattenlaufwerke, CD-ROM, parallele und serielle Anschlüsse, USB-Bus usw.) zu deaktivieren. Wenn der Benutzer mit hochsensiblen Informationen arbeitet, blockiert das UKZD beim Betreten des Computers alle externen Geräte, einschließlich sogar der Netzwerkkarte.

Kryptografische Operationen in UKPD müssen so durchgeführt werden, dass sie ausgeschlossen sind unautorisierter Zugriff zur Sitzung und private Schlüssel und die Möglichkeit, die Ergebnisse ihrer Umsetzung zu beeinflussen. Daher besteht der Verschlüsselungsprozessor logischerweise aus mehreren Blöcken (Abb. 3.24):

• Rechner – eine Reihe von Registern, Addierern, Substitutionsblöcken usw. usw., miteinander verbunden durch Datenbusse. Entwickelt, um kryptografische Vorgänge so schnell wie möglich durchzuführen. Als Eingabe erhält der Computer offene Daten, die verschlüsselt (entschlüsselt) oder signiert werden müssen, sowie einen kryptografischen Schlüssel;
• Steuereinheit – ein hardwareimplementiertes Programm, das den Computer steuert. Wenn aus irgendeinem Grund

Reis. 3.24.

Das Programm wird sich ändern, seine Arbeit wird scheitern. Deshalb dieses Programm Sie müssen nicht nur zuverlässig gelagert werden und zuverlässig funktionieren, sondern auch regelmäßig auf ihre Unversehrtheit überprüft werden. Auch die oben beschriebene externe Steuereinheit sendet periodisch Steueraufgaben an die Steuereinheit. In der Praxis sind zur Erhöhung der Sicherheit zwei Verschlüsselungsprozessoren im Verschlüsselungsgerät installiert, die ständig die Ergebnisse ihrer kryptografischen Operationen vergleichen (wenn sie nicht übereinstimmen, wird die Operation wiederholt);

Der I/O-Puffer ist notwendig, um die Leistung des Geräts zu verbessern: Während der erste Datenblock verschlüsselt wird, wird der nächste geladen usw. Das Gleiche passiert am Ausgang. Diese Pipeline-Datenübertragung erhöht die Geschwindigkeit der Durchführung kryptografischer Vorgänge im Verschlüsselungsgerät erheblich.

Wenn der Verschlüsseler kryptografische Vorgänge ausführt, gibt es noch eine weitere Sicherheitsaufgabe: Laden von Schlüsseln in den Verschlüsseler, Umgehen RAM Computer, wo sie theoretisch abgefangen und sogar ersetzt werden können. Zu diesem Zweck verfügt das UKZD zusätzlich über Ein-/Ausgabeanschlüsse (z. B. COM oder USB), an die es direkt angeschlossen wird verschiedene Geräte Lektüre wichtiger Medien. Dies können beliebige Smartcards, Token (spezielle USB-Sticks) oder Touch-Memory-Elemente sein (siehe Abschnitt 1.3). Neben der direkten Eingabe von Schlüsseln in das UKPD bieten viele dieser Medien auch deren sichere Aufbewahrung – selbst ein Schlüsselmedium ohne Kenntnis eines speziellen Zugangscodes (z. B. eines PIN-Codes) kann ein Eindringling nicht lesen dessen Inhalt.

Um Kollisionen beim gleichzeitigen Zugriff auf den Encoder zu vermeiden verschiedene Programme, V Computersystem Es wird spezielle Software installiert

Reis. 3.25.

• (Software) zur Encodersteuerung (Abb. 3.25). Eine solche Software gibt Befehle über den Encoder-Treiber aus und überträgt Daten an den Encoder. Dadurch wird sichergestellt, dass sich Informationsflüsse aus verschiedenen Quellen nicht überschneiden und der Encoder immer über die erforderlichen Schlüssel verfügt. Somit erfüllt UKZD im Wesentlichen zwei Aufgaben verschiedene Typen Befehle:
• Vor dem Laden des Betriebssystems werden im Encoderspeicher befindliche Befehle ausgeführt, die alle ausführen notwendige Kontrollen(z. B. Benutzeridentifikation und -authentifizierung) und das erforderliche Sicherheitsniveau festlegen (z. B. externe Geräte deaktivieren);
• Nach dem Laden des Betriebssystems (z. B. Windows) werden über die Verschlüsselungsverwaltungssoftware empfangene Befehle ausgeführt (Daten verschlüsseln, Schlüssel neu laden, Zufallszahlen berechnen usw.).

Diese Trennung ist aus Sicherheitsgründen notwendig – nach der Ausführung der Befehle des ersten Blocks, der nicht umgangen werden kann, kann der Eindringling keine unbefugten Aktionen mehr ausführen.

Ein weiterer Zweck der Verschlüsselungsverwaltungssoftware besteht darin, die Möglichkeit zu bieten, einen Verschlüsselungsautomaten durch einen anderen zu ersetzen (z. B. einen, der produktiver ist oder andere kryptografische Algorithmen implementiert), ohne die Software zu ändern. Dies geschieht auf ähnliche Weise beispielsweise wie beim Wechseln einer Netzwerkkarte: Der Verschlüsselungsautomat wird mit einem Treiber geliefert, der es Programmen ermöglicht, einen Standardsatz kryptografischer Funktionen gemäß einer An(z. B. CryptoAP1) auszuführen.

Auf die gleiche Weise können Sie einen Hardwareverschlüsseler durch einen Softwareverschlüsseler ersetzen (z. B. durch einen Encoder-Emulator). Dazu wird der Software-Encoder üblicherweise in Form eines Treibers implementiert, der die gleichen Funktionen bereitstellt.

Allerdings benötigen nicht alle UKCDs eine Encoder-Verwaltungssoftware (insbesondere einen Encoder für die „transparente“ Ver- und Entschlüsselung von allem). Festplatte Sie müssen Ihren PC nur einmal einrichten.

Um die Sicherheit der Durchführung kryptografischer Operationen im UKZD zusätzlich zu gewährleisten, kann es verwendet werden mehrstufiger Schutz kryptografische Schlüssel der symmetrischen Verschlüsselung, bei der ein zufälliger Sitzungsschlüssel mit dem Langzeitschlüssel des Benutzers und dieser wiederum mit dem Hauptschlüssel verschlüsselt wird (Abb. 3.26).

Auf der Bühne Bootstrap Der Hauptschlüssel wird in die Schlüsselzelle Nr. 3 des Geberspeichers eingetragen. Für eine dreistufige Verschlüsselung benötigen Sie jedoch zwei weitere. Der Sitzungsschlüssel wird aufgrund einer Anfrage an den Generator (Sensor) generiert.

Reis. 3.26. Verschlüsseln einer Datei mit dem UKDN-Nummern-Encoder (DRN), um eine Zufallszahl zu erhalten, die in die Schlüsselzelle Nr. 1 geladen wird, die dem Sitzungsschlüssel entspricht. Mit seiner Hilfe wird der Inhalt der Datei verschlüsselt und eine neue Datei erstellt, die die verschlüsselten Informationen speichert.

Als nächstes wird der Benutzer nach einem Langzeitschlüssel gefragt, der in die Schlüsselzelle Nr. 2 geladen wird und mit dem Hauptschlüssel in Zelle Nr. 3 entschlüsselt wird. Ein zuverlässiger Verschlüsseler muss über einen Modus zum Entschlüsseln eines Schlüssels mit einem anderen im Inneren verfügen Verschlüsselungsprozessor; In diesem Fall ist der Schlüssel drin offenes Formular„verlässt“ den Encoder überhaupt nicht. Schließlich wird der Sitzungsschlüssel mit dem Langzeitschlüssel in Zelle Nr. 2 verschlüsselt, vom Verschlüsselungsgerät heruntergeladen und in den Header der verschlüsselten Datei geschrieben.

Beim Entschlüsseln einer Datei wird zunächst der Sitzungsschlüssel mit dem Langzeitschlüssel des Benutzers entschlüsselt und anschließend die Informationen damit wiederhergestellt.

Im Prinzip kann ein Schlüssel zur Verschlüsselung verwendet werden, ein Mehrschlüsselverfahren hat jedoch erhebliche Vorteile. Erstens wird die Möglichkeit eines Angriffs auf den Langzeitschlüssel verringert, da er nur zur Verschlüsselung kurzer Sitzungsschlüssel verwendet wird. Und das macht es für einen Angreifer schwierig, verschlüsselte Informationen kryptoanalytisch zu analysieren, um an einen langfristigen Schlüssel zu gelangen. Zweitens können Sie beim Ändern des Langzeitschlüssels die Datei sehr schnell neu verschlüsseln: Verschlüsseln Sie einfach den Sitzungsschlüssel vom alten Langzeitschlüssel auf den neuen. Drittens wird das Schlüsselmedium entladen, da nur der Hauptschlüssel darauf gespeichert ist und alle Langzeitschlüssel (und der Benutzer kann mehrere davon für unterschiedliche Zwecke haben) sogar in einer mit dem Hauptschlüssel verschlüsselten Form gespeichert werden können auf der Festplatte des PCs.

Verschlüsselungsgeräte in Form von SHV-Schlüsseln (siehe Abb. 3.22) können aufgrund der geringen Verschlüsselungsgeschwindigkeit noch kein vollständiger Ersatz für einen Hardware-Verschlüsselungsgerät für den PC1-Bus sein. Sie verfügen jedoch über mehrere interessante Funktionen. Erstens ist ein Token (SHV-Schlüssel) nicht nur ein Hardware-Verschlüsselungsgerät, sondern auch ein Träger von Verschlüsselungsschlüsseln, also ein Zwei-in-Eins-Gerät. Zweitens entsprechen Token in der Regel den gängigen internationalen kryptografischen Standards (RKSB #11, 1BO 7816, RS/8S usw.) und können auch ohne diese verwendet werden zusätzliche Einstellungen im Bestehenden Software Informationsschutz (z. B. können sie zur Authentifizierung von Benutzern in der Betriebssystemfamilie verwendet werden). Microsoft Windows). Und schließlich ist der Preis eines solchen Encoders um ein Vielfaches niedriger als der eines klassischen Hardware-Encoders für den PCI-Bus.

Wer ernsthaft über die Sicherheit seiner vertraulichen Informationen nachdenkt, steht vor der Aufgabe, Software für den kryptografischen Datenschutz auszuwählen. Und das ist absolut nicht verwunderlich – Verschlüsselung ist heute eine der zuverlässigsten Methoden, um unbefugten Zugriff auf wichtige Dokumente, Datenbanken, Fotos und andere Dateien zu verhindern.

Das Problem besteht darin, dass Sie alle Aspekte der Funktionsweise kryptografischer Produkte verstehen müssen, um eine fundierte Entscheidung treffen zu können. Andernfalls kann es sehr leicht passieren, dass Sie einen Fehler machen und eine Software wählen, die entweder nicht alle notwendigen Informationen schützt oder nicht das erforderliche Maß an Sicherheit bietet. Worauf sollten Sie achten? Dies sind zum einen die im Produkt verfügbaren Verschlüsselungsalgorithmen. Zweitens Methoden zur Authentifizierung von Informationseigentümern. Drittens Möglichkeiten zum Schutz von Informationen. Viertens zusätzliche Funktionen und Fähigkeiten. Fünftens die Autorität und der Ruhm des Herstellers sowie das Vorhandensein von Zertifikaten für die Entwicklung von Verschlüsselungstools. Und das ist möglicherweise nicht alles, was bei der Auswahl eines kryptografischen Schutzsystems wichtig sein kann.

Es ist klar, dass es für jemanden, der sich auf dem Gebiet der Informationssicherheit nicht auskennt, schwierig ist, Antworten auf all diese Fragen zu finden.

Secret Disk 4 Lite

Der Entwickler des Secret Disk 4 Lite-Produkts ist Aladdin, einer der weltweit führenden Anbieter auf diesem Gebiet Informationssicherheit. Sie verfügt über eine Vielzahl von Zertifikaten. Und obwohl es sich bei dem betreffenden Produkt selbst nicht um ein zertifiziertes Tool handelt (Secret Disk 4 verfügt über eine separate zertifizierte Version), weist diese Tatsache darauf hin, dass das Unternehmen als seriöser Entwickler kryptografischer Tools anerkannt ist.

Secret Disk 4 Lite kann zum Verschlüsseln einzelner Festplattenpartitionen und beliebiger Wechseldatenträger sowie zum Erstellen geschützter virtueller Festplatten verwendet werden. Somit können mit Hilfe dieses Tools die meisten Probleme im Zusammenhang mit der Kryptographie gelöst werden. Unabhängig davon ist die Möglichkeit der Verschlüsselung zu erwähnen Systempartition. In diesem Fall wird das Laden des Betriebssystems selbst durch einen nicht autorisierten Benutzer unmöglich. Darüber hinaus ist dieser Schutz unvergleichlich zuverlässiger als die integrierten Windows-Schutztools.

Secret Disk 4 Lite verfügt nicht über integrierte Verschlüsselungsalgorithmen. Dieses Programm nutzt für den Betrieb externe Kryptoanbieter. Standardmäßig wird das in Windows integrierte Standardmodul verwendet. Es implementiert die Algorithmen DES und 3DES. Heute gelten sie jedoch als veraltet. Für einen besseren Schutz können Sie daher ein spezielles Secret Disk Crypto Pack von der Aladdin-Website herunterladen. Hierbei handelt es sich um einen Krypto-Anbieter, der die sichersten heute verfügbaren kryptografischen Technologien implementiert, darunter AES und Twofish mit Schlüssellängen von bis zu 256 Bit. Übrigens können Sie bei Bedarf in Kombination mit Secret Disk 4 Lite die zertifizierten Algorithmenanbieter Signal-COM CSP und CryptoPro CSP verwenden.

Eine Besonderheit von Secret Disk 4 Lite ist das Benutzerauthentifizierungssystem. Tatsache ist, dass es auf der Verwendung digitaler Zertifikate basiert. Zu diesem Zweck ist im Produktpaket ein Hardware-USB-eToken enthalten. Es handelt sich um einen sicher geschützten Speicher für private Schlüssel. Tatsächlich handelt es sich um eine vollwertige Zwei-Faktor-Authentifizierung (das Vorhandensein eines Tokens plus Kenntnis seines PIN-Codes). Dadurch ist das betrachtete Verschlüsselungssystem frei von einem solchen Engpass wie der Verwendung eines herkömmlichen Passwortschutzes.

Zu den weiteren Funktionen von Secret Disk 4 Lite gehört die Möglichkeit der Mehrbenutzerarbeit (der Besitzer verschlüsselter Festplatten kann anderen Personen Zugriff darauf gewähren) und Hintergrundarbeit Verschlüsselungsprozess.

Die Benutzeroberfläche von Secret Disk 4 Lite ist einfach und übersichtlich. Es ist auf Russisch verfasst, ebenso wie ein ausführliches Hilfesystem, das alle Nuancen der Verwendung des Produkts beschreibt.

InfoWatch CryptoStorage

InfoWatch CryptoStorage ist ein Produkt des recht bekannten Unternehmens InfoWatch, das über Zertifikate für Entwicklung, Vertrieb und Wartung verfügt Verschlüsselungstools. Wie bereits erwähnt, sind sie nicht verpflichtend, können aber als eine Art Indikator für die Seriosität des Unternehmens und die Qualität seiner Produkte dienen.

Abbildung 1. Kontextmenü

InfoWatch CryptoStorage implementiert nur einen Verschlüsselungsalgorithmus – AES mit einer Schlüssellänge von 128 Bit. Die Benutzerauthentifizierung erfolgt über einen regulären Passwortschutz. Fairerweise muss man erwähnen, dass das Programm eine Mindestlängenbeschränkung hat. Schlüsselwörter, entspricht sechs Zeichen. Allerdings ist der Passwortschutz sicherlich deutlich unsicherer als die Zwei-Faktor-Authentifizierung mittels Token. Eine Besonderheit des InfoWatch CryptoStorage-Programms ist seine Vielseitigkeit. Tatsache ist, dass Sie mit seiner Hilfe einzelne Dateien und Ordner, ganze Festplattenpartitionen, alle Wechseldatenträger usw. verschlüsseln können virtuelle Festplatten.

Dieses Produkt ermöglicht Ihnen, wie das vorherige, Schutz Systemlaufwerke, das heißt, es kann verwendet werden, um ein unbefugtes Booten des Computers zu verhindern. Tatsächlich ermöglicht Ihnen InfoWatch CryptoStorage die Lösung aller Probleme, die mit der Verwendung der symmetrischen Verschlüsselung verbunden sind.

Ein weiteres Merkmal des betreffenden Produkts ist die Organisation des Mehrbenutzerzugriffs auf verschlüsselte Informationen. Darüber hinaus implementiert InfoWatch CryptoStorage eine garantierte Datenvernichtung ohne Wiederherstellungsmöglichkeit.

InfoWatch CryptoStorage ist ein russischsprachiges Programm. Die Benutzeroberfläche ist auf Russisch erstellt, aber recht ungewöhnlich: Es gibt kein Hauptfenster als solches (es gibt nur ein kleines Konfiguratorfenster) und fast die gesamte Arbeit wird mit implementiert Kontextmenü. Diese Lösung ist ungewöhnlich, aber man kann ihre Einfachheit und Bequemlichkeit nicht übersehen. Selbstverständlich steht im Programm auch eine russischsprachige Dokumentation zur Verfügung.

Rohos Disk ist ein Produkt von Tesline-Service.S.R.L. Es ist Teil einer Reihe kleiner Dienstprogramme, die verschiedene Tools zum Schutz vertraulicher Informationen implementieren. Die Entwicklung dieser Serie läuft seit 2003.

Abbildung 2. Programmoberfläche

Das Programm Rohos Disk dient dem kryptografischen Schutz von Computerdaten. Sie können damit verschlüsselte virtuelle Festplatten erstellen, auf denen Sie beliebige Dateien und Ordner speichern sowie Software installieren können.

Zum Schutz der Daten verwendet dieses Produkt kryptografischer Algorithmus AES mit einer Schlüssellänge von 256 Bit, was ein hohes Maß an Sicherheit bietet.

Rohos Disk implementiert zwei Methoden der Benutzerauthentifizierung. Der erste davon ist der gewöhnliche Passwortschutz mit all seinen Mängeln. Die zweite Möglichkeit besteht darin, eine normale USB-Festplatte zu verwenden, auf der der erforderliche Schlüssel gespeichert ist.

Auch diese Option ist nicht sehr zuverlässig. Bei der Verwendung kann der Verlust eines Flash-Laufwerks zu ernsthaften Problemen führen.

Rohos Disk verfügt über eine Vielzahl zusätzlicher Funktionen. Erwähnenswert ist zunächst der Schutz von USB-Laufwerken. Sein Kern besteht darin, einen speziellen verschlüsselten Abschnitt auf einem Flash-Laufwerk zu erstellen, in dem vertrauliche Daten ohne Angst übertragen werden können.

Darüber hinaus enthält das Produkt ein separates Dienstprogramm, mit dem Sie diese USB-Laufwerke auf Computern öffnen und anzeigen können, auf denen Rohos Disk nicht installiert ist.

Nächste zusätzliche Möglichkeit- Unterstützung für Steganographie. Der Kern dieser Technologie besteht darin, verschlüsselte Informationen in Multimediadateien zu verbergen (die Formate AVI, MP3, MPG, WMV, WMA, OGG werden unterstützt).

Seine Verwendung ermöglicht es Ihnen, die Tatsache des Vorhandenseins einer geheimen Festplatte zu verbergen, indem Sie sie beispielsweise in einen Film legen. Die letzte Zusatzfunktion ist die Zerstörung von Informationen ohne die Möglichkeit ihrer Wiederherstellung.

Das Programm Rohos Disk verfügt über eine traditionelle russischsprachige Benutzeroberfläche. Darüber hinaus wird es von einem Hilfesystem begleitet, das vielleicht nicht so detailliert ist wie das der beiden Vorgängerprodukte, aber ausreichend, um die Prinzipien seiner Verwendung zu erlernen.

Wenn man über kryptografische Dienstprogramme spricht, darf man nicht umhin, freie Software zu erwähnen. Schließlich gibt es heute in fast allen Bereichen wertvolle Produkte, die völlig frei verteilt werden. Und Informationssicherheit ist keine Ausnahme von dieser Regel.

Es stimmt, dass es eine zwiespältige Haltung gegenüber dem Einsatz freier Software zum Schutz von Informationen gibt. Tatsache ist, dass viele Dienstprogramme von einzelnen Programmierern oder kleinen Gruppen geschrieben werden. Gleichzeitig kann niemand für die Qualität ihrer Umsetzung und das Fehlen zufälliger oder absichtlicher „Lücken“ bürgen. Aber kryptografische Lösungen selbst sind sehr schwierig zu entwickeln. Bei der Erstellung müssen Sie eine Vielzahl unterschiedlicher Nuancen berücksichtigen. Aus diesem Grund empfiehlt es sich, immer nur bekannte Produkte zu verwenden Open Source. Nur so kann sichergestellt werden, dass sie frei von „Lesezeichen“ und von einer Vielzahl von Spezialisten getestet und somit mehr oder weniger zuverlässig sind. Ein Beispiel für ein solches Produkt ist das TrueCrypt-Programm.

Abbildung 3. Programmoberfläche

TrueCrypt ist vielleicht eines der funktionsreichsten kostenlosen kryptografischen Dienstprogramme. Ursprünglich wurde es nur zum Erstellen sicherer virtueller Festplatten verwendet. Für die meisten Benutzer ist dies jedoch das Meiste bequeme Weise Schutz verschiedene Informationen. Im Laufe der Zeit wurde jedoch die Funktion zur Verschlüsselung der Systempartition hinzugefügt. Wie wir bereits wissen, soll es den Computer vor unbefugtem Starten schützen. Zwar ist TrueCrypt noch nicht in der Lage, alle anderen Abschnitte sowie einzelne Dateien und Ordner zu verschlüsseln.

Das betreffende Produkt implementiert mehrere Verschlüsselungsalgorithmen: AES, Serpent und Twofish. Der Eigentümer der Informationen kann wählen, in welcher Form er sie verwenden möchte dieser Moment. Die Benutzerauthentifizierung in TrueCrypt kann mit regulären Passwörtern erfolgen. Es gibt jedoch noch eine andere Möglichkeit – die Verwendung von Schlüsseldateien, die auf einer Festplatte oder einem beliebigen Wechseldatenträger gespeichert werden können. Unabhängig davon ist zu beachten, dass dieses Programm Token und Smartcards unterstützt, wodurch Sie eine zuverlässige Zwei-Faktor-Authentifizierung organisieren können.

Aus zusätzliche Funktionen Das betreffende Programm weist darauf hin, dass es möglich ist, innerhalb der Hauptvolumes versteckte Volumes zu erstellen. Es wird verwendet, um vertrauliche Daten zu verbergen, wenn eine Festplatte unter Zwang geöffnet wird. TrueCrypt implementiert auch ein System Exemplar reservieren Volume-Header, um sie im Fehlerfall wiederherzustellen oder zu alten Passwörtern zurückzukehren.

Die TrueCrypt-Schnittstelle ist Dienstprogrammen dieser Art bekannt. Es ist mehrsprachig und es ist möglich, die russische Sprache zu installieren. Mit der Dokumentation sieht es noch viel schlimmer aus. Es existiert, und es ist sehr detailliert, aber es ist geschrieben Englische Sprache. Von technischem Support kann natürlich keine Rede sein.

Zur besseren Übersichtlichkeit sind alle ihre Merkmale und Funktionen in Tabelle 2 zusammengefasst.

Tabelle 2 - Funktionalität Programme zum Schutz kryptografischer Informationen.

In diesem Artikel erfahren Sie, was CIPF ist und warum es benötigt wird. Diese Definition bezieht sich auf Kryptographie – den Schutz und die Speicherung von Daten. Der Schutz von Informationen in elektronischer Form kann auf jede Art und Weise erfolgen – sogar durch die Trennung des Computers vom Netzwerk und die Installation bewaffneter Wachen mit Hunden in der Nähe. Mit kryptografischen Schutztools ist dies jedoch viel einfacher. Lassen Sie uns herausfinden, was es ist und wie es in der Praxis umgesetzt wird.

Hauptziele der Kryptographie

Die Entschlüsselung von CIPF klingt wie ein „kryptografisches Informationsschutzsystem“. In der Kryptografie kann der Informationsübertragungskanal für Angreifer vollständig zugänglich sein. Alle Daten sind jedoch vertraulich und sehr gut verschlüsselt. Daher können Angreifer trotz der Offenheit der Kanäle keine Informationen erhalten.

Moderne CIPF-Mittel bestehen aus einem Software- und Computerkomplex. Mit seiner Hilfe werden Informationen nach den wichtigsten Parametern geschützt, auf die wir weiter eingehen werden.

Vertraulichkeit

Es ist nicht möglich, die Informationen zu lesen, wenn Sie nicht über die entsprechenden Zugriffsrechte verfügen. Was ist CIPF und wie verschlüsselt es Daten? Die Hauptkomponente des Systems ist elektronischer Schlüssel. Es ist eine Kombination aus Buchstaben und Zahlen. Nur durch Eingabe dieses Schlüssels gelangen Sie zum gewünschten Abschnitt, auf dem der Schutz installiert ist.

Integrität und Authentifizierung

Dies ist ein wichtiger Parameter, der die Möglichkeit unbefugter Datenänderungen bestimmt. Wenn kein Schlüssel vorhanden ist, können Sie Informationen nicht bearbeiten oder löschen.

Bei der Authentifizierung handelt es sich um ein Verfahren zur Überprüfung der Authentizität der aufgezeichneten Informationen Schlüsselmedien. Der Schlüssel muss mit dem Computer übereinstimmen, auf dem die Informationen entschlüsselt werden.

Urheberschaft

Dies ist eine Bestätigung der Handlungen des Benutzers und der Unmöglichkeit, diese abzulehnen. Die gebräuchlichste Art der Bestätigung ist eine EDS (elektronische digitale Signatur). Es enthält zwei Algorithmen – einer erstellt eine Signatur, der zweite überprüft sie.

Bitte beachten Sie, dass alle mit ausgeführten Vorgänge elektronische Signaturen, werden von zertifizierten Zentren (unabhängig) bearbeitet. Aus diesem Grund ist es unmöglich, eine Urheberschaft vorzutäuschen.

Grundlegende Datenverschlüsselungsalgorithmen

Heutzutage sind viele CIPF-Zertifikate weit verbreitet; zur Verschlüsselung werden unterschiedliche Schlüssel verwendet – sowohl symmetrische als auch asymmetrische. Und die Schlüssel sind lang genug, um die erforderliche kryptografische Komplexität bereitzustellen.

Die beliebtesten Algorithmen für den kryptografischen Schutz:

1. Symmetrischer Schlüssel – DES, AES, RC4, Russisch R-28147.89.
2. Mit Hash-Funktionen – zum Beispiel SHA-1/2, MD4/5/6, R-34.11.94.
3. Asymmetrischer Schlüssel - RSA.

Viele Länder haben ihre eigenen Standards für Verschlüsselungsalgorithmen. In den USA wird beispielsweise die modifizierte AES-Verschlüsselung verwendet; der Schlüssel kann zwischen 128 und 256 Bit lang sein.

Die Russische Föderation verfügt über einen eigenen Algorithmus – R-34.10.2001 und R-28147.89, der einen 256-Bit-Schlüssel verwendet. Bitte beachten Sie, dass es Elemente in nationalen kryptografischen Systemen gibt, deren Export in andere Länder verboten ist. Alle Aktivitäten im Zusammenhang mit der Entwicklung von CIPF erfordern eine obligatorische Lizenzierung.

Hardware-Kryptoschutz

Bei der Installation von CIPF-Fahrtenschreibern können Sie einen maximalen Schutz der im Gerät gespeicherten Informationen gewährleisten. All dies wird sowohl auf Software- als auch auf Hardwareebene umgesetzt.

CIPF-Hardwaretypen sind Geräte, die enthalten spezielle Programme und bietet zuverlässige Datenverschlüsselung. Sie helfen auch dabei, Informationen zu speichern, aufzuzeichnen und zu übermitteln.

Das Verschlüsselungsgerät ist in Form eines angeschlossenen Encoders ausgeführt USB-Anschlüsse. Es gibt auch Geräte, auf denen installiert ist Motherboards PC. Sogar spezialisierte Schalter und Netzwerkkarten mit kryptografischem Schutz können zum Arbeiten mit Daten verwendet werden.

Hardware-Typen von CIPF werden recht schnell installiert und sind in der Lage, Informationen mit hoher Geschwindigkeit auszutauschen. Der Nachteil sind jedoch die relativ hohen Kosten sowie die begrenzten Modernisierungsmöglichkeiten.

Kryptografischer Softwareschutz

Hierbei handelt es sich um eine Reihe von Programmen, mit denen Sie auf verschiedenen Medien (Flash-Laufwerke, Festplatten usw.) gespeicherte Informationen verschlüsseln können. optische Datenträger, usw.). Wenn Sie über eine solche CIPF-Lizenz verfügen, können Sie außerdem Daten verschlüsseln, wenn Sie sie über das Internet übertragen (z. B. per). Email oder chatten).

Es gibt eine Vielzahl von Schutzprogrammen, und es gibt sogar kostenlose – DiskCryptor ist eines davon. Der Softwaretyp von CIPF ist ebenfalls virtuelle Netzwerke, was den Informationsaustausch „über das Internet“ ermöglicht. Dies sind VPN-Netzwerke, die vielen bekannt sind. Zu dieser Schutzart gehört auch das HTTP-Protokoll, das SSL- und HTTPS-Verschlüsselung unterstützt.

CIPF-Software wird hauptsächlich bei der Arbeit im Internet sowie auf Heim-PCs verwendet. Also ausschließlich in den Bereichen, in denen keine ernsthaften Anforderungen an die Haltbarkeit und Funktionalität des Systems gestellt werden.

Software- und Hardwaretyp des kryptografischen Schutzes

Jetzt wissen Sie, was CIPF ist, wie es funktioniert und wo es eingesetzt wird. Es ist auch notwendig, einen Typ hervorzuheben – Hardware und Software, der die besten Eigenschaften beider Systemtypen vereint. Diese Art der Informationsverarbeitung ist mit Abstand die zuverlässigste und sicherste. Darüber hinaus können Sie den Nutzer identifizieren verschiedene Wege- sowohl Hardware (durch Installation eines Flash-Laufwerks oder einer Diskette) als auch Standard (durch Eingabe eines Login/Passwort-Paares).

Hardware- und Softwaresysteme unterstützen alle heute existierenden Verschlüsselungsalgorithmen. Bitte beachten Sie, dass die Installation von CIPF nur durch qualifiziertes Personal des Komplexentwicklers durchgeführt werden sollte. Es ist klar, dass ein solches CIPF nicht auf Computern installiert werden sollte, die keine vertraulichen Informationen verarbeiten.