Vrste kriptografske zaštite informacija. Sredstva kriptografske zaštite informacija. Osnovni algoritmi šifriranja podataka

Kriptografska zaštita informacija - zaštita informacija pomoću njihove kriptografske transformacije.

Kriptografske metode trenutno su Osnovni, temeljni kako bi se osigurala pouzdana autentifikacija strana u razmjeni informacija, zaštita.

DO sredstva kriptografska zaštita informacija(CIPF) uključuje hardver, firmware i softver koji implementiraju kriptografske algoritme za pretvaranje informacija u svrhu:

Zaštita informacija tijekom njihove obrade, pohrane i prijenosa;

Osiguravanje pouzdanosti i cjelovitosti informacija (uključujući korištenje algoritama digitalnog potpisa) tijekom njihove obrade, pohrane i prijenosa;

Generiranje informacija koje se koriste za identifikaciju i autentifikaciju subjekata, korisnika i uređaja;

Generiranje informacija koje se koriste za zaštitu autentifikacijskih elemenata zaštićenog AS-a tijekom njihovog generiranja, pohrane, obrade i prijenosa.

Kriptografske metode pružaju šifriranje i kodiranje informacija. Postoje dvije glavne metode šifriranja: simetrična i asimetrična. U prvom od njih, isti ključ (koji se čuva u tajnosti) koristi se i za šifriranje i za dešifriranje podataka.

Razvijene su vrlo učinkovite (brze i pouzdane) simetrične metode šifriranja. Postoji i nacionalni standard za takve metode - GOST 28147-89 „Sustavi za obradu informacija. Kriptografska zaštita. Algoritam kriptografske pretvorbe".

Asimetrične metode koriste dva ključa. Jedna od njih, neklasificirana (može se objaviti zajedno s drugima otvorene informacije o korisniku) koristi se za šifriranje, drugi (tajna, poznata samo primatelju) koristi se za dešifriranje. Najpopularnija od asimetričnih je RSA metoda, koja se temelji na operacijama s velikim (100-znamenkastim) prostim brojevima i njihovim umnošcima.

Kriptografske metode omogućuju pouzdanu kontrolu integriteta pojedinačnih dijelova podataka i njihovih skupova (kao što je tok poruka); utvrditi autentičnost izvora podataka; jamčiti nemogućnost odbijanja poduzetih radnji („neporicanje“).

Kontrola kriptografskog integriteta temelji se na dva koncepta:

Elektronički potpis (ES).

Hash funkcija je teško reverzibilna transformacija podataka (jednosmjerna funkcija), implementirana, u pravilu, pomoću simetrične enkripcije s blokovskim povezivanjem. Rezultat enkripcije posljednjeg bloka (ovisno o svim prethodnim) služi kao rezultat hash funkcije.

Kriptografija kao sredstvo zaštite (zatvaranje) informacija postaje sve važnija u komercijalnim aktivnostima.

Za transformaciju informacija koriste se različiti alati za šifriranje: alati za šifriranje dokumenata, uključujući prijenosne, alati za šifriranje govora (telefonski i radio razgovori), alati za šifriranje telegrafskih poruka i prijenos podataka.

Za zaštitu poslovne tajne na međunarodnom i domaćem tržištu, razno tehnički uređaji i setovi profesionalne opreme za šifriranje i kriptografsku zaštitu telefonskih i radio razgovora, poslovne korespondencije i sl.

Scrambleri i maskeri, koji zamjenjuju govorni signal digitalnim prijenosom podataka, postali su široko rasprostranjeni. Proizvode se sigurnosni proizvodi za teletipove, telekse i faksove. U te svrhe koriste se kriptori izrađeni u obliku zasebnih uređaja, u obliku dodataka na uređaje ili ugrađeni u konstrukciju telefona, faks modema i drugih komunikacijskih uređaja (radio postaja i dr.). Kako bi se osigurala pouzdanost odaslanih elektroničkih poruka, elektronički digitalni potpis.

Alati za kriptografsku zaštitu informacija ili skraćeno CIPF koriste se kako bi se osigurala sveobuhvatna zaštita podataka koji se prenose komunikacijskim linijama. Za to je potrebno osigurati autorizaciju i zaštitu elektroničkog potpisa, autentifikaciju sugovornika korištenjem TLS i IPSec protokola, kao i zaštitu samog komunikacijskog kanala, ako je potrebno.

U Rusiji je korištenje kriptografskih sredstava informacijske sigurnosti uglavnom tajno, pa je malo javno dostupnih informacija o ovoj temi.

Metode koje se koriste u CIPF-u

• Autorizacija podataka i osiguranje sigurnosti njihove pravne važnosti tijekom prijenosa ili pohrane. Za to koriste algoritme za izradu elektroničkog potpisa i njegovu provjeru u skladu s utvrđenom regulativom RFC 4357 te koriste certifikate prema standardu X.509.
• Zaštita povjerljivosti podataka i nadzor njihovog integriteta. Koriste se asimetrična enkripcija i zaštita od imitacije, odnosno sprječavanje zamjene podataka. U skladu s GOST R 34.12-2015.
• Zaštita sistemskog i aplikativnog softvera. Pratite neovlaštene promjene ili neispravan rad.
• Upravljanje najvažnijim elementima sustava u strogom skladu s donesenim propisima.
• Autentifikacija strana koje razmjenjuju podatke.
• Osiguravanje veze pomoću TLS protokol.
• Zaštita IP veza pomoću IKE, ESP, AH protokola.

Metode su detaljno opisane u sljedećim dokumentima: RFC 4357, RFC 4490, RFC 4491.

CIPF mehanizmi za zaštitu informacija

1. Povjerljivost pohranjenih ili prenesenih informacija zaštićena je upotrebom algoritama za šifriranje.
2. Prilikom uspostavljanja veze, identifikacija se osigurava pomoću elektroničkog potpisa kada se koristi tijekom autentifikacije (kao što preporučuje X.509).
3. Digitalni dokumentotok također je zaštićen elektroničkim potpisom uz zaštitu od nametanja ili ponavljanja, a nadzire se i autentičnost ključeva koji se koriste za provjeru elektroničkog potpisa.
4. Cjelovitost podataka osigurava se digitalnim potpisom.
5. Korištenje funkcija asimetrične enkripcije pomaže u zaštiti vaših podataka. Osim toga, funkcije raspršivanja ili algoritmi oponašanja mogu se koristiti za provjeru integriteta podataka. Međutim, te metode ne podržavaju određivanje autorstva dokumenta.
6. Zaštita od ponavljanja događa se korištenjem kriptografskih funkcija elektroničkog potpisa za šifriranje ili zaštitu od imitacije. U ovom slučaju, jedinstveni identifikator dodaje se svakoj mrežnoj sesiji, dovoljno dugo da se isključi slučajna slučajnost, a provjeru provodi primatelj.
7. Zaštita od nametanja, odnosno od prodora u komunikaciju izvana, ostvaruje se elektroničkim potpisom.
8. Ostala zaštita - protiv knjižnih oznaka, virusa, izmjena operacijski sustav itd. - osigurava se različitim kriptografskim alatima, sigurnosnim protokolima, antivirusnim softverom i organizacijskim mjerama.

Kao što vidite, algoritmi elektroničkog potpisa temeljni su dio sredstava za kriptografsku zaštitu informacija. O njima će biti riječi u nastavku.

Zahtjevi za korištenje CIPF-a

CIPF je usmjeren na zaštitu (provjerom elektroničkog potpisa) otvorenih podataka u različitim informacijskim sustavima opće uporabe te osiguravanje njihove povjerljivosti (provjera elektroničkog potpisa, zaštita od imitacije, enkripcija, hash provjera) u korporativnim mrežama.

Za zaštitu osobnih podataka korisnika koristi se alat za zaštitu osobnih kriptografskih informacija. No, posebno treba istaknuti podatke koji se odnose na državnu tajnu. Prema zakonu, CIPF se ne može koristiti za rad s njim.

Važno: prije instalacije CIPF-a, prvo što trebate provjeriti je sam CIPF programski paket. Ovo je prvi korak. Obično se integritet instalacijskog paketa provjerava usporedbom kontrolnih zbrojeva primljenih od proizvođača.

Nakon instalacije trebate odrediti razinu prijetnje na temelju koje možete odrediti vrste CIPF-a potrebne za korištenje: softverski, hardverski i hardversko-softverski. Također treba uzeti u obzir da je prilikom organiziranja nekog CIPF-a potrebno voditi računa o postavljanju sustava.

Klase zaštite

Prema nalogu FSB-a Rusije od 10. srpnja 2014., broj 378, kojim se regulira korištenje kriptografskih sredstava za zaštitu informacija i osobnih podataka, definirano je šest klasa: KS1, KS2, KS3, KB1, KB2, KA1. Klasa zaštite za pojedini sustav utvrđuje se analizom podataka o modelu uljeza, odnosno procjenom moguće načine hakiranje sustava. Zaštita se u ovom slučaju sastoji od softverske i hardverske kriptografske zaštite informacija.

AC (trenutne prijetnje), kao što se može vidjeti iz tablice, postoje 3 vrste:

1. Prva vrsta prijetnji povezana je s nedokumentiranim mogućnostima u softveru sustava koji se koristi u informacijski sistem.
2. Prijetnje druge vrste povezane su s nedokumentiranim mogućnostima u aplikacijskom softveru koji se koristi u informacijskom sustavu.
3. Treća vrsta prijetnje odnosi se na sve ostale.

Nedokumentirane značajke su funkcije i značajke softvera koje nisu opisane u službenoj dokumentaciji ili joj ne odgovaraju. Odnosno, njihova uporaba može povećati rizik od povrede povjerljivosti ili cjelovitosti informacija.

Radi jasnoće, pogledajmo modele uljeza čije presretanje zahtijeva jednu ili drugu klasu sredstava za kriptografsku informacijsku sigurnost:

• KS1 - uljez djeluje izvana, bez pomoćnika unutar sustava.
• KS2 je interni uljez, ali nema pristup CIPF-u.
• KS3 je interni uljez koji je korisnik CIPF-a.
• KV1 je uljez koji privlači resurse trećih strana, na primjer, stručnjake CIPF-a.
• KV2 je uljez iza čijeg djelovanja stoji institut ili laboratorij koji radi na proučavanju i razvoju CIPF-a.
• KA1 - posebne službe država.

Dakle, KS1 se može nazvati osnovnom zaštitnom klasom. Prema tome, što je klasa zaštite viša, to je manje stručnjaka koji su je sposobni pružiti. Na primjer, u Rusiji je prema podacima za 2013. bilo samo 6 organizacija koje su imale certifikat FSB-a i bile su sposobne pružiti zaštitu klase KA1.

Korišteni algoritmi

Razmotrimo glavne algoritme koji se koriste u alatima za kriptografsku zaštitu informacija:

• GOST R 34.10-2001 i ažurirani GOST R 34.10-2012 - algoritmi za stvaranje i provjeru elektroničkog potpisa.
• GOST R 34.11-94 i najnoviji GOST R 34.11-2012 - algoritmi za stvaranje hash funkcija.
• GOST 28147-89 i više novi GOST R 34.12-2015 - implementacija algoritama za šifriranje i zaštitu podataka.
• Dodatni kriptografski algoritmi nalaze se u RFC 4357.

Elektronički potpis

Korištenje kriptografskih alata za informacijsku sigurnost ne može se zamisliti bez korištenja algoritama elektroničkog potpisa koji stječu sve veću popularnost.

Elektronički potpis je poseban dio dokumenta nastao kriptografskim transformacijama. Njegova glavna zadaća je identificirati neovlaštene izmjene i utvrditi autorstvo.

Certifikat elektroničkog potpisa je zaseban dokument kojim se javnim ključem dokazuje vjerodostojnost i vlasništvo elektroničkog potpisa njegovom vlasniku. Certifikate izdaju certifikacijska tijela.

Vlasnik certifikata za elektronički potpis je osoba na čije ime je certifikat registriran. Povezan je s dva ključa: javnim i privatnim. Privatni ključ omogućuje izradu elektroničkog potpisa. Svrha javnog ključa je provjeriti autentičnost potpisa putem kriptografske veze s privatnim ključem.

Vrste elektroničkog potpisa

Po Savezni zakon Elektronički potpis br. 63 dijeli se na 3 vrste:

• obični elektronički potpis;
• nekvalificirani elektronički potpis;
• kvalificirani elektronički potpis.

Jednostavan elektronički potpis stvara se pomoću lozinki nametnutih prilikom otvaranja i pregledavanja podataka ili sličnih sredstava kojima se neizravno potvrđuje vlasnik.

Nekvalificirani elektronički potpis stvara se pomoću kriptografskih transformacija podataka korištenjem privatnog ključa. Zahvaljujući tome možete potvrditi osobu koja je potpisala dokument i utvrditi jesu li učinjene neovlaštene izmjene podataka.

Kvalificirani i nekvalificirani potpisi razlikuju se samo po tome što u prvom slučaju certifikat za elektronički potpis mora izdati certifikacijski centar certificiran od strane FSB-a.

Opseg uporabe elektroničkog potpisa

Tablica u nastavku govori o opsegu primjene elektroničkog potpisa.

Tehnologije elektroničkog potpisa najaktivnije se koriste u razmjeni dokumenata. U internom dokumentarnom prometu elektronički potpis djeluje kao odobrenje dokumenata, odnosno kao osobni potpis ili pečat. U slučaju vanjskog protoka dokumenata, prisutnost elektroničkog potpisa je kritična, jer je to pravna potvrda. Također je vrijedno napomenuti da se dokumenti potpisani elektroničkim potpisom mogu čuvati neograničeno vrijeme i ne gube svoju pravnu važnost zbog čimbenika kao što su izbrisani potpisi, oštećeni papir itd.

Izvješćivanje regulatornim tijelima još je jedno područje u kojem se elektronički protok dokumenata povećava. Mnoge tvrtke i organizacije već su cijenile pogodnost rada u ovom formatu.

U zakonu Ruska Federacija Svaki građanin ima pravo koristiti elektronički potpis prilikom korištenja državnih usluga (primjerice, potpisivanje elektroničke prijave za tijela).

Online trgovanje još je jedno zanimljivo područje u kojem se aktivno koriste elektronički potpisi. Potvrđuje činjenicu da u dražbi sudjeluje stvarna osoba i da se njezine ponude mogu smatrati pouzdanima. Također je važno da svaki ugovor sklopljen uz pomoć elektroničkog potpisa dobije pravnu snagu.

Algoritmi elektroničkog potpisa

• Hash pune domene (FDH) i Standardi kriptografije javnog ključa (PKCS). Potonji predstavlja čitavu skupinu standardnih algoritama za različite situacije.
• DSA i ECDSA su standardi za izradu elektroničkih potpisa u SAD-u.
• GOST R 34.10-2012 - standard za izradu elektroničkih potpisa u Ruskoj Federaciji. Ovaj standard zamijenio je GOST R 34.10-2001, koji je službeno istekao nakon 31. prosinca 2017.
• Euroazijska unija koristi standarde potpuno slične ruskim.
• STB 34.101.45-2013 - Bjeloruski standard za digitalni elektronički potpis.
• DSTU 4145-2002 - standard za izradu elektroničkog potpisa u Ukrajini i mnogi drugi.

Također je vrijedno napomenuti da algoritmi za izradu elektroničkih potpisa imaju razne namjene i ciljevi:

• Grupni elektronički potpis.
• Jednokratni digitalni potpis.
• Pouzdani elektronički potpis.
• Kvalificirani i nekvalificirani potpis itd.

Kriptografske metode za zaštitu informacija mogu se implementirati u softver i hardver. Hardverski kriptor ili kriptografski uređaj za zaštitu podataka (CDPD) najčešće je kartica za proširenje umetnuta u konektor 18A ili PC1 matična ploča osobno računalo(PC) (slika 3.21). Postoje i druge mogućnosti implementacije, na primjer, u obliku i8B ključa s kriptografskim funkcijama (Sl. 3.22).

Proizvođači hardverskih kriptora obično ih opremaju raznim dodatnim značajkama, uključujući:

Generiranje nasumičnih brojeva potrebnih za dobivanje kriptografskih ključeva. Osim toga, mnogi kriptografski algoritmi ih koriste u druge svrhe, na primjer, u algoritmu elektroničkog digitalnog potpisa, GOST R 34.10-2001, potreban je novi slučajni broj za svaki izračun potpisa;

Riža. 3.21. Hardverski enkoder u obliku PC1 ploče:

1 - tehnološke spojnice; 2 - memorija za bilježenje; 3 - prekidači načina rada; 4 - višenamjenska memorija; 5 - upravljačka jedinica i mikroprocesor; 6- PC1 sučelje; 7- PC1 kontroler; 8- DSC; 9- sučelja za povezivanje ključnih medija

Riža. 3.22.

• kontrola prijave na računalo. Prilikom uključivanja računala, uređaj od korisnika traži unos osobnih podataka (primjerice, umetanje uređaja s privatnim ključem). Učitavanje operativnog sustava bit će dopušteno tek nakon što uređaj prepozna prikazane ključeve i smatra ih "svojima". Inače ćete ga morati otvoriti jedinica sustava i uklonite kriptor odatle da biste učitali operativni sustav (međutim, informacije na tvrdom disku računala također se mogu kriptirati);
• nadziranje integriteta datoteka operacijskog sustava kako bi se spriječile zlonamjerne izmjene konfiguracijske datoteke I sistemski programi. Enkriptor pohranjuje popis svih važnih datoteka s kontrolnim hash vrijednostima koje su prethodno izračunate za svaku od njih, a ako sljedeći put kada se OS pokrene, hash vrijednost barem jedne od kontroliranih datoteka ne odgovara standardu, računalo će biti blokirano.

Enkriptor koji kontrolira ulazak u računalo i provjerava integritet operativnog sustava također se naziva “ elektronska brava"(vidi odlomak 1.3).

Na sl. Slika 3.23 prikazuje tipičnu strukturu hardverskog kodera. Razmotrimo funkcije njegovih glavnih blokova:

• upravljačka jedinica - glavni modul kodera. Obično se provodi na temelju mikrokontrolera, pri odabiru kojih je glavna stvar brzina i dovoljan broj unutarnjih resursa, kao i vanjski portovi za povezivanje svih potrebnih modula;
• kontroler sabirnice PC sustava (npr. PC1), preko kojeg se odvija glavna razmjena podataka između UKZD i računala;
• trajni memorijski uređaj (memorija), obično implementiran na temelju flash memorijskih čipova. Mora biti dovoljno velik (nekoliko megabajta) i omogućiti veliki broj ciklusa pisanja. Postavljeno ovdje softver mikrokontroler koji vam

Riža. 3.23. UKZD struktura je dovršena kada se uređaj inicijalizira (kada enkoder presretne kontrolu kada se računalo pokrene);

• memorija dnevnika revizije, koja je također trajna memorija (kako bi se izbjegle moguće kolizije, memorija za programe i memorija za dnevnik ne bi se trebale kombinirati);
• procesor šifre (ili nekoliko sličnih blokova) - specijalizirani mikro krug ili programabilni logički čip PLD (Programmable Logic Device), koji osigurava izvođenje kriptografskih operacija (šifriranje i dešifriranje, izračun i provjera digitalnog potpisa, raspršivanje);
• generator slučajnih brojeva, koji je uređaj koji proizvodi statistički slučajan i nepredvidiv signal (tzv. bijeli šum). To može biti, na primjer, dioda za buku. Prije daljnje uporabe u procesoru šifriranja, prema posebnim pravilima, bijeli šum se pretvara u digitalni oblik;
• blok za unos ključnih informacija. Omogućuje sigurno primanje privatnih ključeva od nositelja ključa i unos identifikacijskih podataka korisnika potrebnih za njegovu autentifikaciju;
• blok prekidača potrebnih za onemogućavanje mogućnosti rada s vanjskim uređajima (diskovni pogoni, CD-ROM, paralelni i serijski priključci, USB sabirnica itd.). Ako korisnik radi s vrlo osjetljivim informacijama, UKZD će blokirati sve vanjske uređaje, uključujući čak i mrežnu karticu, nakon ulaska u računalo.

Kriptografske operacije u UKPD-u moraju se izvoditi na takav način da isključuju neovlašten pristup na sjednicu i privatni ključevi te mogućnosti utjecaja na rezultate njihove provedbe. Stoga se procesor šifriranja logično sastoji od nekoliko blokova (Sl. 3.24):

• kalkulator - skup registara, zbrajala, supstitucijskih blokova itd. itd., međusobno povezani sabirnicama podataka. Dizajniran za izvođenje kriptografskih operacija što je brže moguće. Kao ulaz računalo prima otvorene podatke koji moraju biti kriptirani (dekriptirani) ili potpisani te kriptografski ključ;
• upravljačka jedinica - hardverski implementiran program koji upravlja računalom. Ako iz bilo kojeg razloga

Riža. 3.24.

program će se promijeniti, njegov rad će početi propadati. Zato ovaj program mora biti ne samo pouzdano pohranjen i pouzdano funkcionirati, već i redovito provjeravati njegovu cjelovitost. Gore opisana vanjska upravljačka jedinica također povremeno šalje upravljačke zadatke upravljačkoj jedinici. U praksi se radi većeg povjerenja u kriptor ugrađuju dva procesora šifre koji stalno uspoređuju rezultate svojih kriptografskih operacija (ako se ne poklapaju, operacija se ponavlja);

I/O međuspremnik je neophodan za poboljšanje performansi uređaja: dok se prvi blok podataka šifrira, sljedeći se učitava, itd. Ista stvar se događa na izlazu. Ovaj cjevovodni prijenos podataka ozbiljno povećava brzinu izvođenja kriptografskih operacija u kriptoru.

Postoji još jedan sigurnosni zadatak kada kriptor izvodi kriptografske operacije: učitavanje ključeva u kriptor, zaobilaženje radna memorija računalo, gdje se teoretski mogu presresti, pa čak i zamijeniti. U tu svrhu UKZD dodatno sadrži ulazno/izlazne priključke (npr. COM ili USB) na koje se izravno spajaju različite uređaječitanje ključnih medija. To mogu biti bilo koje pametne kartice, tokeni (posebni USB ključevi) ili Touch Memory elementi (vidi paragraf 1.3). Osim izravnog unosa ključeva u UKPD, mnogi od ovih medija također omogućuju njihovu sigurnu pohranu - čak i ključni medij bez znanja o posebnom pristupnom kodu (primjerice, PIN kodu), uljez neće moći pročitati njegov sadržaj.

Kako bi se izbjegle kolizije prilikom istovremenog pristupa koderu različite programe, V računalni sustav instaliran je poseban softver

Riža. 3.25.

• (softver) za kontrolu enkodera (Sl. 3.25). Takav softver izdaje naredbe kroz upravljački program enkodera i prenosi podatke enkoderu, osiguravajući da se tokovi informacija iz različitih izvora ne križaju, kao i da enkoder uvijek sadrži potrebne ključeve. Dakle, UKZD obavlja dva temeljna različiti tipovi naredbe:
• Prije učitavanja operativnog sustava izvršavaju se naredbe koje se nalaze u memoriji enkodera, a koje izvršavaju sve potrebne provjere(na primjer, identifikacija i autentifikacija korisnika) i uspostaviti potrebnu razinu sigurnosti (na primjer, onemogućiti vanjske uređaje);
• nakon učitavanja OS-a (na primjer, Windows), izvršavaju se naredbe primljene putem softvera za upravljanje kriptorom (šifriranje podataka, ponovno učitavanje ključeva, izračunavanje slučajnih brojeva itd.).

Ovo odvajanje je neophodno iz sigurnosnih razloga - nakon izvršenja naredbi prvog bloka, koji se ne može zaobići, uljez više neće moći izvoditi neovlaštene radnje.

Druga svrha softvera za upravljanje kriptorom je pružiti mogućnost zamjene jednog kriptora drugim (recimo, onim koji je produktivniji ili implementira različite kriptografske algoritme) bez mijenjanja softvera. To se događa na sličan način kao, na primjer, mijenjanje mrežne kartice: kriptor dolazi s upravljačkim programom koji programima omogućuje izvođenje standardnog skupa kriptografskih funkcija u skladu s nekim sučeljem za programiranje aplikacije (na primjer, CryptoAP1).

Na isti način možete zamijeniti hardverski enkriptor softverskim (na primjer, emulatorom kodera). Kako bi se to postiglo, softverski koder obično se implementira u obliku upravljačkog programa koji pruža isti skup funkcija.

Međutim, ne trebaju svi UKCD-ovi softver za upravljanje koderom (osobito koder za "transparentnu" enkripciju i dešifriranje svega tvrdi disk Vaše računalo trebate postaviti samo jednom).

Kako bi se dodatno osigurala sigurnost izvođenja kriptografskih operacija u UKZD, može se koristiti zaštita na više razina kriptografske ključeve simetrične enkripcije, kod kojih se nasumični ključ sesije šifrira korisničkim dugoročnim ključem, a ovaj, pak, glavnim ključem (slika 3.26).

Na pozornici bootstrap Glavni ključ se unosi u ključnu ćeliju br. 3 memorije kodera. Ali za enkripciju od tri razine trebate nabaviti još dvije. Ključ sesije generira se kao rezultat zahtjeva generatoru (senzoru)

Riža. 3.26. Šifriranje datoteke pomoću kodera UKDN brojeva (DRN) za dobivanje slučajnog broja, koji se učitava u ključnu ćeliju br. 1, koja odgovara ključu sesije. Uz njegovu pomoć, sadržaj datoteke se šifrira i stvara se nova datoteka koja pohranjuje šifrirane podatke.

Zatim se od korisnika traži dugoročni ključ koji se učitava u ključnu ćeliju br. 2 s dešifriranjem pomoću glavnog ključa koji se nalazi u ćeliji br. 3. Pouzdan kriptor mora imati način za dešifriranje jednog ključa pomoću drugog unutar procesor šifriranja; u ovom slučaju ključ je unutra otvorena forma uopće ne "napušta" koder. Naposljetku, ključ sesije šifrira se korištenjem dugotrajnog ključa koji se nalazi u ćeliji br. 2, preuzima se iz šifratora i zapisuje u zaglavlje šifrirane datoteke.

Prilikom dešifriranja datoteke ključ sesije najprije se dešifrira korištenjem dugoročnog ključa korisnika, a zatim se pomoću njega vraćaju informacije.

U načelu, jedan ključ se može koristiti za šifriranje, ali shema s više ključeva ima ozbiljne prednosti. Prvo, smanjena je mogućnost napada na dugoročni ključ, jer se on koristi samo za šifriranje kratkih ključeva sesije. A to napadaču otežava kriptografsku analizu kriptiranih informacija kako bi dobio dugoročni ključ. Drugo, kada mijenjate dugoročni ključ, možete vrlo brzo ponovno šifrirati datoteku: samo ponovno šifrirajte ključ sesije sa starog dugoročnog ključa na novi. Treće, medij ključa je istovaren, budući da je na njemu pohranjen samo glavni ključ, a svi dugoročni ključevi (a korisnik ih može imati nekoliko za različite svrhe) mogu se pohraniti u obliku šifriranom pomoću glavnog ključa, čak i na tvrdom disku osobnog računala.

Enkriptori u obliku SHV ključeva (vidi sliku 3.22) još uvijek ne mogu postati puna zamjena za hardverski kriptor za PC1 sabirnicu zbog niske brzine šifriranja. Međutim, oni imaju nekoliko zanimljivih značajki. Prvo, token (SHV ključ) nije samo hardverski kriptor, već i nositelj ključeva za šifriranje, odnosno uređaj dva u jednom. Drugo, tokeni su obično u skladu s uobičajenim međunarodnim kriptografskim standardima (RKSB #11, 1BO 7816, RS/8S, itd.) i mogu se koristiti bez dodatne postavke u postojećem softver zaštita informacija (na primjer, mogu se koristiti za provjeru autentičnosti korisnika u OS obitelji Microsoft Windows). I na kraju, cijena takvog enkodera je desetke puta niža od klasičnog hardverskog kriptora za PCI sabirnicu.

Svatko tko ozbiljno razmišlja o sigurnosti svojih povjerljivih podataka suočava se sa zadatkom odabira softvera za kriptografsku zaštitu podataka. I u tome nema apsolutno ništa iznenađujuće - šifriranje je danas jedan od najpouzdanijih načina za sprječavanje neovlaštenog pristupa važnim dokumentima, bazama podataka, fotografijama i bilo kojim drugim datotekama.

Problem je u tome što da biste napravili informirani izbor, morate razumjeti sve aspekte rada kriptografskih proizvoda. U protivnom vrlo lako možete pogriješiti i odabrati softver koji ili neće zaštititi sve potrebne informacije ili neće pružiti potreban stupanj sigurnosti. Na što treba obratiti pozornost? Prvo, ovo su algoritmi šifriranja dostupni u proizvodu. Drugo, metode za provjeru autentičnosti vlasnika informacija. Treće, načini zaštite informacija. Četvrto, dodatne funkcije i mogućnosti. Peto, autoritet i slava proizvođača, kao i prisutnost certifikata za razvoj alata za šifriranje. I to nije sve što može biti važno pri odabiru sustava kriptografske zaštite.

Jasno je da je osobi koja se ne razumije u područje informacijske sigurnosti teško pronaći odgovore na sva ova pitanja.

Secret Disk 4 Lite

Programer proizvoda Secret Disk 4 Lite je Aladdin, jedan od svjetskih lidera koji rade na polju sigurnost informacija. Ima veliki broj certifikata. I iako dotični proizvod sam po sebi nije certificirani alat (Secret Disk 4 ima zasebnu certificiranu verziju), ova činjenica govori da je tvrtka prepoznata kao ozbiljan razvijač kriptografskih alata.

Secret Disk 4 Lite može se koristiti za šifriranje pojedinačnih particija tvrdog diska, bilo kojeg prijenosnog pogona, kao i za stvaranje zaštićenih virtualnih diskova. Dakle, uz pomoć ovog alata može se riješiti većina problema vezanih uz kriptografiju. Zasebno je vrijedno spomenuti mogućnost šifriranja sistemska particija. U tom slučaju, učitavanje samog OS-a od strane neovlaštenog korisnika postaje nemoguće. Štoviše, ova zaštita je neusporedivo pouzdanija od ugrađenih Windows alata za zaštitu.

Secret Disk 4 Lite nema ugrađene algoritme za šifriranje. Ovaj program za rad koristi vanjske pružatelje kripto usluga. Prema zadanim postavkama koristi se standardni modul integriran u Windows. Implementira DES i 3DES algoritme. Međutim, danas se smatraju zastarjelima. Stoga, za bolju zaštitu, možete preuzeti poseban Secret Disk Crypto Pack s web stranice Aladdin. Ovo je kripto pružatelj koji implementira najsigurnije kriptografske tehnologije dostupne danas, uključujući AES i Twofish s duljinom ključa do 256 bita. Usput, ako je potrebno, u kombinaciji sa Secret Disk 4 Lite, možete koristiti certificirane pružatelje algoritama Signal-COM CSP i CryptoPro CSP.

Posebnost Secret Disk 4 Lite je njegov sustav autentifikacije korisnika. Činjenica je da je izgrađen na korištenju digitalnih certifikata. U tu je svrhu hardverski USB eToken uključen u paket proizvoda. To je sigurno zaštićena pohrana za privatne ključeve. Zapravo, govorimo o potpunoj autentifikaciji u dva faktora (prisutnost tokena plus poznavanje njegovog PIN koda). Kao rezultat toga, sustav šifriranja koji se razmatra nema uskog grla kao što je upotreba konvencionalne zaštite lozinkom.

Dodatne značajke Secret Disk 4 Lite uključuju mogućnost višekorisničkog rada (vlasnik šifriranih diskova može omogućiti pristup njima drugim osobama) i pozadinski rad proces šifriranja.

Sučelje Secret Disk 4 Lite je jednostavno i pregledno. Napisan je na ruskom, baš kao i detaljan sustav pomoći, koji opisuje sve nijanse korištenja proizvoda.

InfoWatch CryptoStorage

InfoWatch CryptoStorage proizvod je prilično poznate tvrtke InfoWatch koja posjeduje certifikate za razvoj, distribuciju i održavanje alata za šifriranje. Kao što je već navedeno, oni nisu obvezni, ali mogu igrati ulogu svojevrsnog pokazatelja ozbiljnosti tvrtke i kvalitete njezinih proizvoda.

Slika 1. Kontekstni izbornik

InfoWatch CryptoStorage implementira samo jedan algoritam enkripcije - AES s duljinom ključa od 128 bita. Provjera autentičnosti korisnika provodi se korištenjem standardne zaštite lozinkom. Da budemo pošteni, vrijedi napomenuti da program ima ograničenje minimalne duljine. ključne riječi, jednako šest znakova. Međutim, zaštita lozinkom sigurno je puno manje sigurna od dvofaktorske provjere autentičnosti pomoću tokena. Posebnost programa InfoWatch CryptoStorage je njegova svestranost. Činjenica je da uz njegovu pomoć možete šifrirati pojedinačne datoteke i mape, cijele particije tvrdog diska, sve prijenosne pogone, kao i virtualni diskovi.

Ovaj proizvod, kao i prethodni, omogućuje vam zaštitu pogoni sustava, odnosno može se koristiti za sprječavanje neovlaštenog pokretanja računala. Zapravo, InfoWatch CryptoStorage vam omogućuje da riješite cijeli niz problema povezanih s korištenjem simetrične enkripcije.

Dodatna značajka dotičnog proizvoda je organizacija višekorisničkog pristupa šifriranim informacijama. Osim toga, InfoWatch CryptoStorage implementira zajamčeno uništavanje podataka bez mogućnosti oporavka.

InfoWatch CryptoStorage je program na ruskom jeziku. Njegovo sučelje je napravljeno na ruskom, ali je prilično neobično: nema glavnog prozora kao takvog (postoji samo mali prozor konfiguratora), a gotovo sav rad se provodi pomoću kontekstni izbornik. Ovo je rješenje neobično, ali se ne može ne prepoznati njegova jednostavnost i praktičnost. Naravno, u programu je dostupna i dokumentacija na ruskom jeziku.

Rohos Disk je proizvod Tesline-Service.S.R.L. Dio je niza malih uslužnih programa koji implementiraju različite alate za zaštitu povjerljivih informacija. Razvoj ove serije traje od 2003. godine.

Slika 2. Sučelje programa

Program Rohos Disk namijenjen je kriptografskoj zaštiti računalnih podataka. Omogućuje vam stvaranje šifriranih virtualnih diskova na koje možete spremati bilo koje datoteke i mape, kao i instalirati softver.

Za zaštitu podataka ovaj proizvod koristi kriptografski algoritam AES s ključem duljine 256 bita, koji pruža visok stupanj sigurnosti.

Rohos Disk implementira dvije metode autentifikacije korisnika. Prva od njih je obična zaštita lozinkom sa svim svojim nedostacima. Druga opcija je korištenje običnog USB diska na kojem je snimljen traženi ključ.

Ova opcija također nije vrlo pouzdana. Kada ga koristite, gubitak flash pogona može dovesti do ozbiljnih problema.

Rohos Disk ima širok raspon dodatnih značajki. Prije svega, vrijedi napomenuti zaštitu USB pogona. Njegova je bit stvoriti poseban šifrirani odjeljak na flash pogonu u koji se mogu bez straha prenositi povjerljivi podaci.

Štoviše, proizvod uključuje zasebni uslužni program s kojim možete otvoriti i pregledati ove USB pogone na računalima koja nemaju instaliran Rohos Disk.

Sljedeći dodatna prilika- podrška za steganografiju. Bit ove tehnologije je sakriti šifrirane informacije unutar multimedijskih datoteka (podržani su AVI, MP3, MPG, WMV, WMA, OGG formati).

Njegova uporaba omogućuje vam sakrivanje same činjenice prisutnosti tajnog diska stavljanjem, na primjer, unutar filma. Posljednja dodatna funkcija je uništavanje informacija bez mogućnosti njihovog oporavka.

Program Rohos Disk ima tradicionalno sučelje na ruskom jeziku. Uz to, prati ga i sustav pomoći, možda ne tako detaljan kao kod prethodna dva proizvoda, ali dovoljan da se svladaju principi njegove upotrebe.

Kada govorimo o kriptografskim alatima, ne možemo ne spomenuti besplatni softver. Uostalom, danas u gotovo svim područjima postoje vrijedni proizvodi koji se distribuiraju potpuno besplatno. A informacijska sigurnost nije iznimka od ovog pravila.

Istina, postoji dvojak stav prema korištenju slobodnog softvera za zaštitu informacija. Činjenica je da mnoge pomoćne programe pišu pojedinačni programeri ili male skupine. U isto vrijeme, nitko ne može jamčiti za kvalitetu njihove provedbe i odsutnost "rupa", slučajnih ili namjernih. Ali sama kriptografska rješenja vrlo je teško razviti. Kada ih stvarate, morate uzeti u obzir veliki broj različitih nijansi. Zato se preporuča koristiti samo dobro poznate proizvode i uvijek uz otvoreni izvor. Samo tako možete biti sigurni da su bez “bookmarka” i testirani od velikog broja stručnjaka, što znači da su više ili manje pouzdani. Primjer takvog proizvoda je TrueCrypt program.

Slika 3. Sučelje programa

TrueCrypt je možda jedan od najbogatijih besplatnih kriptografskih uslužnih programa. U početku se koristio samo za stvaranje sigurnih virtualnih diskova. Ipak, za većinu korisnika ovo je najviše prikladan način zaštita razne informacije. Međutim, s vremenom je dodao funkciju šifriranja particije sustava. Kao što već znamo, namijenjen je zaštiti računala od neovlaštenog pokretanja. Istina, TrueCrypt još nije u stanju šifrirati sve ostale odjeljke, kao ni pojedinačne datoteke i mape.

Predmetni proizvod implementira nekoliko algoritama šifriranja: AES, Serpent i Twofish. Vlasnik informacija može odabrati u kojoj želi koristiti ovaj trenutak. Provjera autentičnosti korisnika u TrueCryptu može se izvršiti pomoću uobičajenih lozinki. Međutim, postoji još jedna mogućnost - korištenje ključnih datoteka, koje se mogu pohraniti na tvrdi disk ili bilo koji prijenosni uređaj za pohranu. Zasebno, vrijedi napomenuti da ovaj program podržava tokene i pametne kartice, što vam omogućuje organiziranje pouzdane dvofaktorske autentifikacije.

Iz dodatne funkcije Dotični program može primijetiti da je moguće stvoriti skrivene volumene unutar glavnih. Koristi se za skrivanje osjetljivih podataka prilikom otvaranja diska pod prisilom. TrueCrypt također implementira sustav Rezervni primjerak zaglavlja volumena kako biste ih obnovili u slučaju kvara ili povratka na stare lozinke.

Sučelje TrueCrypt poznato je uslužnim programima ove vrste. Višejezičan je, a moguće je instalirati i ruski jezik. S dokumentacijom stvari stoje puno gore. Postoji, i vrlo je detaljan, ali je zapisan Engleski jezik. Naravno, o tehničkoj podršci ne može biti govora.

Radi veće jasnoće, sve njihove značajke i funkcionalnosti sažeti su u tablici 2.

Tablica 2 - Funkcionalnost programi za kriptografsku zaštitu informacija.

U ovom ćete članku saznati što je CIPF i zašto je potreban. Ova se definicija odnosi na kriptografiju - zaštitu i pohranu podataka. Zaštitu informacija u elektroničkom obliku moguće je učiniti na bilo koji način – čak i isključivanjem računala s mreže i postavljanjem naoružanih čuvara sa psima u blizini. Ali puno je lakše to učiniti pomoću alata za kriptografsku zaštitu. Hajde da shvatimo što je to i kako se provodi u praksi.

Glavni ciljevi kriptografije

Dekodiranje CIPF-a zvuči kao "kriptografski sustav zaštite informacija". U kriptografiji kanal za prijenos informacija može biti potpuno dostupan napadačima. Ali svi podaci su povjerljivi i vrlo dobro šifrirani. Stoga, unatoč otvorenosti kanala, napadači ne mogu doći do informacija.

Suvremena sredstva CIPF-a sastoje se od softverskog i računalnog kompleksa. Uz njegovu pomoć, informacije su zaštićene prema najvažnijim parametrima, koje ćemo dalje razmotriti.

Povjerljivost

Nemoguće je pročitati informacije ako nemate prava pristupa za to. Što je CIPF i kako šifrira podatke? Glavna komponenta sustava je elektronički ključ. To je kombinacija slova i brojeva. Samo unosom ovog ključa možete doći do željenog odjeljka na kojem je instalirana zaštita.

Integritet i autentifikacija

Ovo je važan parametar koji određuje mogućnost neovlaštene promjene podataka. Ako nema ključa, ne možete uređivati ​​niti brisati podatke.

Autentikacija je postupak za provjeru vjerodostojnosti informacija koje su zabilježene na ključni mediji. Ključ mora odgovarati stroju na kojem se podaci dekriptiraju.

Autorstvo

Ovo je potvrda radnji korisnika i nemogućnosti njihovog odbijanja. Najčešća vrsta potvrde je EDS (elektronički digitalni potpis). Sadrži dva algoritma - jedan stvara potpis, drugi ga provjerava.

Napominjemo da su sve operacije koje se izvode s elektronički potpisi, obrađuju certificirani centri (neovisni). Iz tog razloga nemoguće je lažirati autorstvo.

Osnovni algoritmi šifriranja podataka

Danas su mnogi CIPF certifikati široko rasprostranjeni; za šifriranje se koriste različiti ključevi - i simetrični i asimetrični. A ključevi su dovoljno dugi da pruže potrebnu kriptografsku složenost.

Najpopularniji algoritmi koji se koriste u kriptografskoj zaštiti:

1. Simetrični ključ - DES, AES, RC4, ruski R-28147.89.
2. S hash funkcijama - na primjer, SHA-1/2, MD4/5/6, R-34.11.94.
3. Asimetrični ključ - RSA.

Mnoge zemlje imaju vlastite standarde za algoritme šifriranja. Na primjer, u Sjedinjenim Državama koriste modificiranu AES enkripciju; ključ može biti dug od 128 do 256 bita.

Ruska Federacija ima svoj vlastiti algoritam - R-34.10.2001 i R-28147.89, koji koristi 256-bitni ključ. Imajte na umu da postoje elementi u nacionalnim kriptografskim sustavima koje je zabranjeno izvoziti u druge zemlje. Sve aktivnosti vezane uz razvoj CIPF-a zahtijevaju obvezno licenciranje.

Hardverska kriptozaštita

Ugradnjom CIPF tahografa možete osigurati maksimalnu zaštitu podataka pohranjenih u uređaju. Sve je to implementirano i na softverskoj i na hardverskoj razini.

Vrsta hardvera CIPF su uređaji koji sadrže posebni programi, pružajući pouzdanu enkripciju podataka. Oni također pomažu u pohranjivanju informacija, njihovom snimanju i prijenosu.

Uređaj za šifriranje izrađen je u obliku enkodera spojenog na USB priključci. Postoje i uređaji koji se instaliraju na matične ploče PC. Čak i specijalizirani prekidači i mrežne kartice uz kriptografsku zaštitu mogu se koristiti za rad s podacima.

Hardverski tipovi CIPF-a instaliraju se vrlo brzo i sposobni su razmjenjivati ​​informacije velikom brzinom. Ali nedostatak je prilično visoka cijena, kao i ograničena mogućnost modernizacije.

Programska kriptografska zaštita

Ovo je skup programa koji vam omogućuje šifriranje informacija pohranjenih na različitim medijima (flash diskovi, tvrdi diskovi i optički diskovi, itd.). Također, ako imate licencu za CIPF ove vrste, možete šifrirati podatke kada ih prenosite preko interneta (npr. putem E-mail ili chat).

Postoji veliki broj zaštitnih programa, a ima čak i besplatnih - DiskCryptor je jedan od njih. Tip softvera CIPF je također virtualne mreže, omogućujući razmjenu informacija “preko interneta”. To su mnogima poznate VPN mreže. Ova vrsta zaštite uključuje i HTTP protokol koji podržava SSL i HTTPS enkripciju.

CIPF softver se najviše koristi pri radu na internetu, kao i na kućnim računalima. Drugim riječima, isključivo u onim područjima gdje nema ozbiljnih zahtjeva za trajnost i funkcionalnost sustava.

Programska i hardverska vrsta kriptografske zaštite

Sada znate što je CIPF, kako funkcionira i gdje se koristi. Također je potrebno istaknuti jednu vrstu - hardver i softver, koji kombinira sva najbolja svojstva obje vrste sustava. Ova metoda obrade informacija daleko je najpouzdanija i najsigurnija. Štoviše, možete identificirati korisnika različiti putevi- i hardver (instalacijom flash pogona ili diskete) i standardni (unosom para login/password).

Hardverski i softverski sustavi podržavaju sve algoritme šifriranja koji danas postoje. Imajte na umu da instalaciju CIPF-a treba provoditi samo kvalificirano osoblje razvojnog programera kompleksa. Jasno je da se takav CIPF ne smije instalirati na računala koja ne obrađuju povjerljive informacije.