Mijloace criptografice. Skzy - ce este? mijloace de protecție a informațiilor criptografice

Din perspectiva securității informațiilor, cheile criptografice sunt date critice. Dacă anterior, pentru a jefui o companie, atacatorii trebuiau să intre pe teritoriul acesteia, să deschidă spații și seifuri, acum este suficient să furi un token cu o cheie criptografică și să faci un transfer prin sistemul Internet Client-Bank. Fundamentul asigurării securității utilizând sistemele de protecție a informațiilor criptografice (CIPS) este menținerea confidențialității cheilor criptografice.

Cum vă puteți asigura confidențialitatea a ceva despre care habar n-ați că există? Pentru a pune un jeton cu o cheie într-un seif, trebuie să știți despre existența jetonului și a seifului. Oricât de paradoxal ar părea, foarte puține companii au o idee despre numărul exact de documente cheie pe care le folosesc. Acest lucru se poate întâmpla din mai multe motive, de exemplu, subestimarea amenințărilor la securitatea informațiilor, lipsa proceselor de afaceri stabilite, calificarea insuficientă a personalului în probleme de securitate etc. De obicei, își amintesc această sarcină după incidente, cum ar fi acesta.

Acest articol va descrie primul pas către îmbunătățirea securității informațiilor folosind instrumente cripto, sau mai precis, vom lua în considerare una dintre abordările pentru efectuarea unui audit al CIPF și cheilor cripto. Narațiunea va fi condusă în numele unui specialist în securitatea informațiilor și vom presupune că lucrarea se desfășoară de la zero.

Termeni și definiții

La începutul articolului, pentru a nu speria cititorul nepregătit cu definiții complexe, am folosit pe scară largă termenii cheie criptografică sau cheie criptografică acum este timpul să ne îmbunătățim aparatul conceptual și să-l aducem în conformitate cu legislația actuală; Acesta este un pas foarte important, deoarece vă va permite să structurați eficient informațiile obținute din rezultatele auditului.

1. Cheie criptografică (cryptokey)- un set de date care oferă alegerea unei transformări criptografice specifice dintre toate posibilele într-un sistem criptografic dat (definiție din „instrucțiunea roz - Ordinul FAPSI nr. 152 din 13 iunie 2001, denumit în continuare FAPSI 152).
2. Informații cheie- un set special organizat de chei criptografice concepute pentru a oferi protecție criptografică a informațiilor pentru o anumită perioadă de timp [FAPSI 152].
   Puteți înțelege diferența fundamentală dintre o criptocheie și informațiile cheie folosind următorul exemplu. La organizarea HTTPS, se generează o pereche de chei publice și private și se obține un certificat din cheia publică și informații suplimentare. Deci, în această schemă, combinația dintre certificat și cheia privată formează informațiile cheie și fiecare dintre ele individual este o criptocheie. Aici vă puteți ghida după următoarea regulă simplă - utilizatorii finali folosesc informații cheie atunci când lucrează cu CIPF, iar criptokey-urile folosesc de obicei CIPF intern. În același timp, este important să înțelegeți că informațiile cheie pot consta dintr-o cheie cripto.
3. Documente cheie- documente electronice pe orice suport, precum și documente pe hârtie care conțin informații cheie cu acces limitat pentru transformarea criptografică a informațiilor folosind algoritmi de transformare criptografică a informațiilor (cheie criptografică) în mijloace de criptare (criptografice). (definiție din HG nr. 313 din 16 aprilie 2012, denumită în continuare PP-313)
   În termeni simpli, un document cheie este o informație cheie înregistrată pe un suport. La analizarea informațiilor cheie și a documentelor cheie, trebuie evidențiat că informațiile cheie sunt exploatate (adică utilizate pentru transformări criptografice - criptare, semnătură electronică etc.), iar documentele cheie care le conțin sunt transferate angajaților.
4. Mijloace de protecție a informațiilor criptografice (CIPF)– mijloace de criptare, mijloace de protecție împotriva imitațiilor, mijloace de semnătură electronică, mijloace de codare, mijloace de producere a documentelor cheie, documente cheie, mijloace de criptare hardware (criptografice), mijloace software și hardware de criptare (criptografice). [PP-313]
   Atunci când analizezi această definiție, poți găsi în ea prezența termenului documente cheie. Termenul este dat în Hotărârea Guvernului și nu avem dreptul să-l schimbăm. În același timp, o descriere ulterioară va fi efectuată pe baza faptului că CIPF va include doar mijloace pentru implementarea transformărilor criptografice). Această abordare va simplifica auditul, dar în același timp nu va afecta calitatea acestuia, deoarece vom lua în continuare în considerare documentele cheie, dar în propria noastră secțiune și folosind propriile metode.

Metodologia de audit și rezultatele așteptate

Principalele caracteristici ale metodologiei de audit propuse în acest articol sunt postulatele că:

• niciun angajat al companiei nu poate răspunde cu acuratețe la întrebările puse în timpul auditului;
• sursele de date existente (liste, registre etc.) sunt inexacte sau prost structurate.

Prin urmare, metodologia propusă în articol este un fel de data mining, în timpul căruia aceleași date vor fi extrase din surse diferite, iar apoi comparate, structurate și rafinate.

Iată principalele dependențe care ne vor ajuta în acest sens:

1. Dacă există CIPF, atunci există informații cheie.
2. Dacă există un flux de documente electronice (inclusiv cu contrapărțile și autoritățile de reglementare), atunci cel mai probabil utilizează o semnătură electronică și, ca urmare, CIPF și informații cheie.
3. Managementul documentelor electronice în acest context ar trebui înțeles în sens larg, adică va include atât schimbul direct de documente electronice semnificative din punct de vedere juridic, cât și transmiterea de rapoarte și lucrul în sistemele de plată sau de tranzacționare și așa mai departe. Lista și formele de gestionare electronică a documentelor sunt determinate de procesele de afaceri ale companiei, precum și de legislația în vigoare.
4. Dacă un angajat este implicat în gestionarea documentelor electronice, atunci cel mai probabil are documente cheie.
5. La organizarea gestiunii electronice a documentelor cu contrapartidele, documentele organizatorice si administrative (ordinele) sunt de obicei emise la numirea persoanelor responsabile.
6. Dacă informațiile sunt transmise prin Internet (sau alte rețele publice), cel mai probabil sunt criptate. Acest lucru se aplică în primul rând VPN-urilor și diferitelor sisteme de acces la distanță.
7. Dacă în traficul de rețea sunt detectate protocoale care transmit trafic în formă criptată, atunci sunt utilizate informațiile CIPF și cheie.
8. Dacă s-ar face decontări cu contrapărți angajate în: furnizarea de echipamente de securitate a informațiilor, dispozitive de telecomunicații, furnizarea de servicii de transfer de informații, serviciile centrelor de certificare, atunci în timpul acestei interacțiuni ar putea fi achiziționate protecția informațiilor criptografice sau documente cheie.
9. Documentele cheie pot fi fie pe medii transferabile (dischete, unități flash, jetoane, ...) fie înregistrate în interiorul computerelor și sistemelor hardware de protecție a informațiilor criptografice.
10. Când utilizați instrumente de virtualizare, documentele cheie pot fi stocate atât în ​​interiorul mașinilor virtuale, cât și montate pe mașinile virtuale folosind un hypervisor.
11. Hardware-ul CIPF poate fi instalat în sălile de server și nu poate fi disponibil pentru analiză prin rețea.
12. Unele sisteme electronice de gestionare a documentelor pot fi într-o formă inactivă sau inactivă, dar în același timp conțin informații cheie active și CIPF.
13. Documentația internă de reglementare și organizație poate conține informații despre sistemele electronice de gestionare a documentelor, CIPF și documentele cheie.

Pentru a obține informații primare vom:

• intervievați angajații;
• analizează documentația companiei, inclusiv documentele interne de reglementare și administrative, precum și ordinele de plată de ieșire;
• efectuează analize vizuale a camerelor serverelor și a cabinetelor de comunicații;
• efectuează analize tehnice ale conținutului stațiilor de lucru automate (AWS), serverelor și instrumentelor de virtualizare.

Vom formula activități specifice mai târziu, dar deocamdată să ne uităm la datele finale pe care ar trebui să le primim în urma auditului:

Lista CIPF:

1. modelul CIPF. De exemplu, CIPF Crypto CSP 3.9 sau OpenSSL 1.0.1
2. identificatorul de instanță CIPF. De exemplu, numărul de serie, licență (sau înregistrare conform PKZ-2005) al CIPF
3. Informații despre certificatul FSB al Rusiei pentru protecția informațiilor criptografice, inclusiv numărul și datele de început și de sfârșit de valabilitate.
4. Informații despre locul de funcționare al CIPF. De exemplu, numele computerului pe care este instalat software-ul CIPF sau numele mijloacelor tehnice sau sediului în care este instalat hardware-ul CIPF.

Aceste informații vă vor permite să:

1. Gestionați vulnerabilitățile în CIPF, adică detectați și corectați rapid.
2. Monitorizați perioadele de valabilitate ale certificatelor pentru CIPF și, de asemenea, verificați dacă CIPF certificat este utilizat în conformitate cu regulile stabilite de documentație sau nu.
3. Planificați costurile pentru CIPF, știind cât de mult este deja în funcțiune și câte fonduri consolidate sunt încă disponibile.
4. Generați rapoarte de reglementare.

Lista informațiilor cheie:

Pentru fiecare element al listei înregistrăm următoarele date:

1. Numele sau identificatorul informațiilor cheie. De exemplu, „Cheia unei semnături electronice calificate. Numărul de serie al certificatului 31:2D:AF”, iar identificatorul trebuie selectat astfel încât cheia să poată fi găsită de acesta. De exemplu, atunci când trimit notificări, autoritățile de certificare identifică de obicei cheile după numerele de certificat.
2. Centrul de control al sistemului cheie (KSUC), care a lansat această informație cheie. Aceasta poate fi organizația care a emis cheia, de exemplu, o autoritate de certificare.
3. Individual, în numele căruia au fost dezvăluite informațiile cheie. Aceste informații pot fi extrase din câmpurile CN ale certificatelor X.509
4. Formatul informațiilor cheie. De exemplu, CIPF CryptoPRO, CIPF Verba-OW, X.509 etc. (sau cu alte cuvinte pentru utilizarea cu care CIPF este destinată această informație cheie).
5. Atribuirea informațiilor cheie. De exemplu, „Participarea la tranzacționare pe site-ul Sberbank AST”, „Semnătură electronică calificată pentru raportare”, etc. Din punct de vedere tehnic, în acest câmp puteți înregistra restricții înregistrate în câmpurile extinse de utilizare a cheilor și alte certificate X.509.
6. Începutul și sfârșitul perioadelor de valabilitate a informațiilor cheie.
7. Procedura de republicare a informațiilor cheie. Adică, cunoașterea a ceea ce trebuie făcut și cum atunci când se relansează informațiile cheie. Cel puțin, este indicat să se înregistreze contactele oficialilor centrului central de control care au eliberat informațiile cheie.
8. Lista sistemelor informaționale, serviciilor sau proceselor de afaceri în cadrul cărora sunt utilizate informațiile cheie. De exemplu, „Sistem de servicii bancare la distanță Internet Client-Bank”.

Aceste informații vă vor permite să:

1. Urmăriți datele de expirare ale informațiilor cheie.
2. Reeliberați rapid informațiile cheie atunci când este necesar. Acest lucru poate fi necesar atât pentru lansarea planificată, cât și pentru relansarea neprogramată.
3. Blocați utilizarea informațiilor cheie la concedierea angajatului pentru care au fost emise.
4. Investigați incidentele de securitate a informațiilor răspunzând la întrebările: „Cine a avut cheile pentru a efectua plăți?” etc.

Lista documentelor cheie:

Pentru fiecare element al listei înregistrăm următoarele date:

1. Informații cheie cuprinse în documentul cheie.
2. Purtătorul de informații cheie, pe care sunt înregistrate informațiile cheie.
3. Faţă, responsabil de siguranța documentului cheie și de confidențialitatea informațiilor cheie conținute în acesta.

Aceste informații vă vor permite să:

1. Reeliberați informațiile cheie în cazuri de: concediere a angajaților care dețin documente cheie, precum și în caz de compromitere a mass-media.
2. Asigurați confidențialitatea informațiilor cheie prin inventarierea suporturilor care le conțin.

Planul de audit

A sosit momentul să luăm în considerare caracteristicile practice ale efectuării unui audit. Să facem asta folosind exemplul unei instituții financiare sau, cu alte cuvinte, folosind exemplul unei bănci. Acest exemplu nu a fost ales întâmplător. Băncile folosesc un număr destul de mare de sisteme de protecție criptografică diferite, care sunt implicate într-un număr mare de procese de afaceri și, în plus, aproape toate băncile sunt licențiate ale FSB al Rusiei pentru criptare. În continuare în articol, va fi prezentat un plan de audit pentru CIPF și cryptokeys în relație cu Banca. În același timp, acest plan poate fi luat ca bază atunci când se efectuează un audit al aproape oricărei companii. Pentru ușurința percepției, planul este împărțit în etape, care la rândul lor sunt prăbușite în spoilere.

Etapa 1. Colectarea datelor de la departamentele de infrastructură ale companiei

№	Acţiune
Sursă – toți angajații companiei
1	Trimitem un e-mail corporativ tuturor angajaților companiei prin care le solicităm să informeze serviciul de securitate a informațiilor despre toate cheile criptografice pe care le folosesc.	Primim e-mailuri, pe baza cărora creăm o listă de informații cheie și o listă de documente cheie
Sursa – Șef Serviciu Tehnologia Informației
1	Solicităm o listă de informații cheie și documente cheie	Cu o oarecare probabilitate, Serviciul IT păstrează documente similare, le vom folosi pentru a genera și clarifica liste de informații cheie, documente cheie și CIPF
2	Solicităm o listă a CIPF
3	Solicităm un registru al software-ului instalat pe servere și stații de lucru	În acest registru căutăm CIPF-uri software și componentele acestora. De exemplu, CryptoPRO CSP, Verba-OW, Signal-COM CSP, Signature, PGP, ruToken, eToken, KritoARM etc. Pe baza acestor date, formăm o listă de CIPF.
4	Solicităm o listă de angajați (probabil suport tehnic) care îi ajută pe utilizatori să utilizeze CIPF și să reediteze informații cheie.	Solicităm de la aceste persoane aceleași informații ca și de la administratorii de sistem
Sursă – administratorii de sistem ai Serviciului de Tehnologia Informației
1	Solicităm o listă de cripto-gateway-uri interne (VIPNET, Continent, S-terra etc.)	În cazurile în care compania nu implementează procese obișnuite de afaceri pentru gestionarea securității IT și a informațiilor, astfel de întrebări pot ajuta să le reamintească administratorilor de sistem existența unui anumit dispozitiv sau software. Folosim aceste informații pentru a obține o listă a CIPF.
2	Solicităm o listă de programe interne CIPF (CIPF MagPro CryptoPacket, VIPNET CSP, CryptonDisk, SecretDisk, ...)
3	Solicităm o listă de routere care implementează VPN pentru: a) comunicatii intre sediile societatii; b) interacțiunile cu contractanții și partenerii.
4	Solicităm o listă a serviciilor de informare publicate pe Internet (accesibile de pe Internet). Acestea pot include: a) e-mail corporativ; b) sisteme de mesagerie instantanee; c) site-uri web corporative; d) servicii de schimb de informații cu parteneri și contractori (extranet); e) sisteme bancare la distanță (dacă societatea este o bancă); f) sisteme de acces la distanță la rețeaua companiei. Pentru a verifica caracterul complet al informațiilor furnizate, le comparăm cu lista de reguli de portforwarding ale firewall-urilor edge.	Analizând informațiile primite, este foarte probabil să întâlniți utilizarea CIPF și a criptokey-urilor. Folosim datele obținute pentru a genera o listă de CIPF și informații cheie.
5	Solicitam o lista cu sistemele informatice utilizate pentru raportare (Taxcom, Kontur, etc.)	Aceste sisteme folosesc chei de semnătură electronică calificate și CIPF. Folosind această listă, creăm o listă de CIPF, o listă de informații cheie și, de asemenea, aflăm angajații care folosesc aceste sisteme pentru a crea o listă de documente cheie.
6	Solicităm o listă cu sistemele electronice interne de gestionare a documentelor (Lotus, DIRECTUM, 1C: Document Management etc.), precum și o listă a utilizatorilor acestora.	Cheile de semnătură electronică pot fi găsite în sistemele electronice interne de gestionare a documentelor. Pe baza informațiilor primite, creăm o listă de informații cheie și o listă de documente cheie.
7	Solicităm o listă a centrelor de certificare interne.	Mijloacele utilizate pentru organizarea centrelor de certificare sunt consemnate în lista CIPF. În viitor, vom analiza conținutul bazelor de date ale autorităților de certificare pentru a identifica informațiile cheie.
8	Solicităm informații despre utilizarea tehnologiilor: IEEE 802.1x, WiFiWPA2 Enterprise și sisteme de supraveghere video IP	Dacă se folosesc aceste tehnologii, este posibil să găsim documente cheie pe dispozitivele implicate.
Sursa – Șef Resurse Umane
1	Vă rugăm să descrieți procesul de angajare și concediere a angajaților. Ne concentrăm pe întrebarea cine preia documentele cheie de la angajații care demisionează	Analizăm documente (fișe de bypass) pentru prezența sistemelor informaționale în ele care pot folosi CIPF.

Etapa 2. Colectarea datelor de la unitățile de afaceri ale companiei (folosind exemplul Băncii)

№	Acţiune	Rezultatul așteptat și utilizarea acestuia
Sursa – Șef serviciu decontare (relații cu corespondenți)
1	Vă rugăm să furnizați o schemă pentru organizarea interacțiunii cu sistemul de plată al Băncii Rusiei. În special, acest lucru va fi relevant pentru băncile care au o rețea de sucursale dezvoltată, în care sucursalele se pot conecta direct la sistemul de plată al Băncii Centrale.	Pe baza datelor primite, determinăm locația gateway-urilor de plată (AWC KBR, UTA) și lista utilizatorilor implicați. Folosim informațiile primite pentru a crea o listă de CIPF, informații cheie și documente cheie.
2	Solicităm o listă a Băncilor cu care s-au stabilit relații de corespondență directă și, de asemenea, solicităm să ne spuneți cine este implicat în efectuarea transferurilor și ce mijloace tehnice sunt utilizate.
3	Solicităm o listă a sistemelor de plată la care Banca participă (SWIFT, VISA, MasterCard, NSPK etc.), precum și locația terminalelor de comunicații	La fel ca și pentru sistemul de plată al Băncii Rusiei
Sursa – Șeful departamentului responsabil cu furnizarea de servicii bancare la distanță
1	Solicităm o listă de sisteme bancare la distanță.	În aceste sisteme, analizăm utilizarea CIPF și a informațiilor cheie. Pe baza datelor primite, creăm o listă de CIPF și informații cheie și documente cheie.
Sursa – Șef departament responsabil cu funcționarea procesării cardurilor de plată
1	Solicitarea registrului HSM	Pe baza informațiilor primite, creăm o listă de CIPF, informații cheie și documente cheie.
2	Solicităm un registru al ofițerilor de securitate
4	Solicităm informații despre componentele LMK HSM
5	Solicităm informații despre organizarea unor sisteme precum 3D-Secure și organizarea personalizării cardurilor de plată
Sursa – Șefii de departamente care îndeplinesc funcții de trezorerie și de depozit
1	Lista băncilor cu care s-au stabilit relații de corespondență și care participă la împrumuturi interbancare.	Folosim informațiile primite pentru a clarifica datele primite anterior de la serviciul de decontare și, de asemenea, înregistrăm informații despre interacțiunea cu bursele și depozitarii. Pe baza informațiilor primite, creăm o listă de CIPF și informații cheie.
2	Lista burselor si depozitarilor specializati cu care colaboreaza Banca
Sursa – Șefii serviciilor de monitorizare financiară și departamentelor responsabile cu transmiterea rapoartelor către Banca Rusiei
1	Solicităm informații despre cum trimit informații și cum primesc informații de la Banca Centrală. Lista persoanelor și echipamentelor tehnice implicate.	Interacțiunea informațiilor cu Banca Rusiei este strict reglementată de documente relevante, de exemplu, 2332-U, 321-I și multe altele, verificăm conformitatea cu aceste documente și creăm liste cu CIPF, informații cheie și documente cheie.
Sursa – Contabil-șef și angajați contabili implicați în plata facturilor pentru nevoi intrabancare
1	Solicităm informații despre modul în care are loc întocmirea și transmiterea rapoartelor către inspectoratele fiscale și Banca Rusiei	Clarificăm informațiile primite anterior
2	Solicităm un registru al documentelor de plată pentru a plăti nevoile intrabancare	În acest registru vom căuta documente în care: 1) centrele de certificare, operatorii de telecomunicații specializati, producătorii CIPF și furnizorii de echipamente de telecomunicații sunt indicați ca destinatari ai plăților. Numele acestor companii pot fi obținute din Registrul CIPF certificat al FSB al Rusiei, lista centrelor de certificare acreditate a Ministerului Telecomunicațiilor și Comunicațiilor de Masă și din alte surse. 2) ca decriptare a plății există cuvintele: „CIPF”, „semnătură”, „token”, „cheie”, „BKI”, etc.
Sursa – Șefii debitelor restante și servicii de gestionare a riscurilor
1	Solicităm o listă a birourilor de istorie de credit și a agențiilor de colectare cu care colaborează Banca.	Împreună cu serviciul IT analizăm datele primite pentru a clarifica organizarea gestiunii electronice a documentelor, pe baza cărora clarificăm listele de CIPF, informații cheie și documente cheie.
Sursa – Șefii serviciilor management document, control intern și audit intern
1	Solicitam un registru al documentelor interne organizatorice si administrative (comenzi).	În aceste documente căutăm documente legate de CIPF. Pentru a face acest lucru, analizăm prezența cuvintelor cheie „securitate”, „persoană responsabilă”, „administrator”, „semnătură electronică”, „semnătură digitală”, „semnătură digitală”, „EDS”, „ASP”, „CIPF” și derivatele acestora. Apoi identificăm lista angajaților Băncii consemnate în aceste documente. Efectuăm interviuri cu angajații despre utilizarea criptomonedelor. Informațiile primite sunt reflectate în listele de CIPF, informații cheie și documente cheie.
2	Solicităm liste de acorduri cu contrapărțile	Încercăm să identificăm acorduri privind managementul documentelor electronice, precum și acorduri cu companii care furnizează instrumente de securitate a informațiilor sau oferă servicii în acest domeniu, precum și companii care oferă servicii de centre de certificare și servicii de raportare prin internet.
3	Analizăm tehnologia de stocare zilnică a documentelor în formă electronică	La implementarea stocării documentelor zilei în formă electronică, trebuie utilizată protecția informațiilor criptografice

Etapa 3. Audit tehnic

№	Acţiune	Rezultatul așteptat și utilizarea acestuia
1	Efectuăm un inventar tehnic al software-ului instalat pe computere. Pentru a face acest lucru folosim: · capabilități analitice ale sistemelor de protecție antivirus corporative (de exemplu, Kaspersky Anti-Virus poate construi un registru similar). · Scripturi WMI pentru computere de sondare care rulează sistemul de operare Windows; · capabilitățile managerilor de pachete pentru sondarea sistemelor *nix; · software specializat pentru inventariere.	Printre software-ul instalat, căutăm software CIPF, drivere pentru hardware CIPF și media cheie. Pe baza informațiilor primite, actualizăm lista CIPF.
2	Căutăm documente cheie pe servere și stații de lucru. Pentru aceasta · Folosind scripturi Logon, interogăm stația de lucru din domeniu pentru prezența certificatelor cu chei private în profilurile de utilizator și profilurile computerului. · Pe toate computerele, serverele de fișiere, hipervizoarele, căutăm fișiere cu extensiile: crt, cer, key, pfx, p12, pem, pse, jks etc. · Pe hypervizoarele sistemelor de virtualizare, căutăm unități de disc montate și imagini de dischetă.	Foarte des, documentele cheie sunt prezentate sub formă de containere de cheie de fișiere, precum și containere stocate în registrele computerelor care rulează sistemul de operare Windows. Documentele cheie găsite sunt înregistrate în lista de documente cheie, iar informațiile cheie conținute în acestea sunt înregistrate în lista de informații cheie.
3	Analizăm conținutul bazelor de date ale autorităților de certificare	Bazele de date ale autorităților de certificare conțin de obicei date despre certificatele emise de aceste autorități. Introducem informațiile primite în lista de informații cheie și în lista de documente cheie.
4	Efectuăm o inspecție vizuală a camerelor serverelor și a dulapurilor de cablare, căutând medii de cheie CIPF și hardware (jetoane, unități de disc)	În unele cazuri, este imposibil să se efectueze un inventar al CIPF și al documentelor cheie prin rețea. Sistemele pot fi amplasate în segmente izolate de rețea sau nu au deloc conexiuni la rețea. Pentru a face acest lucru, efectuăm o inspecție vizuală, ale cărei rezultate ar trebui să stabilească numele și scopurile tuturor echipamentelor prezentate în camerele serverelor. Introducem informațiile primite în lista de CIPF și documente cheie.
5	Analizăm traficul de rețea pentru a identifica fluxurile de informații folosind schimbul criptat	Protocoalele criptate – HTTPS, SSH etc. ne vor permite să identificăm nodurile de rețea pe care se efectuează transformări criptografice, și ca urmare să conțină CIPF și documente cheie.

Concluzie

În acest articol, am examinat teoria și practica auditării CIPF și criptokey-urilor. După cum ați văzut, această procedură este destul de complexă și necesită timp, dar dacă o abordați corect, este destul de fezabilă. Sperăm că acest articol vă va ajuta în viața reală. Vă mulțumim pentru atenție, așteptăm cu nerăbdare comentariile dumneavoastră

Etichete: Adăugați etichete

Instrumentele de protecție a informațiilor criptografice, sau pe scurt CIPF, sunt utilizate pentru a asigura o protecție completă a datelor transmise prin liniile de comunicație. Pentru a face acest lucru, este necesar să se asigure autorizarea și protecția semnăturii electronice, autentificarea părților care comunică folosind protocoalele TLS și IPSec, precum și protecția canalului de comunicație în sine, dacă este necesar.

În Rusia, utilizarea mijloacelor criptografice de securitate a informațiilor este în mare parte clasificată, așa că există puține informații disponibile public pe această temă.

Metode utilizate în CIPF

• Autorizarea datelor și asigurarea securității semnificației lor juridice în timpul transmiterii sau stocării. Pentru a face acest lucru, folosesc algoritmi pentru crearea unei semnături electronice și verificarea acesteia în conformitate cu reglementările stabilite RFC 4357 și folosesc certificate conform standardului X.509.
• Protejarea confidențialității datelor și monitorizarea integrității acestora. Se utilizează criptarea asimetrică și protecția împotriva imitației, adică contracarând substituția de date. Respectat GOST R 34.12-2015.
• Protecția software-ului de sistem și aplicație. Monitorizați modificările neautorizate sau funcționarea incorectă.
• Gestionarea celor mai importante elemente ale sistemului în strictă conformitate cu reglementările adoptate.
• Autentificarea părților care fac schimb de date.
• Securizarea conexiunii folosind protocolul TLS.
• Protejarea conexiunilor IP folosind protocoalele IKE, ESP, AH.

Metodele sunt descrise în detaliu în următoarele documente: RFC 4357, RFC 4490, RFC 4491.

Mecanismele CIPF pentru protecția informațiilor

1. Confidențialitatea informațiilor stocate sau transmise este protejată prin utilizarea algoritmilor de criptare.
2. La stabilirea unei conexiuni, identificarea este furnizată prin intermediul unei semnături electronice atunci când este utilizată în timpul autentificării (așa cum este recomandat de X.509).
3. Fluxul documentelor digitale este, de asemenea, protejat de semnături electronice, împreună cu protecție împotriva impunerii sau repetarii, în timp ce autenticitatea cheilor utilizate pentru verificarea semnăturilor electronice este monitorizată.
4. Integritatea informațiilor este asigurată prin intermediul unei semnături digitale.
5. Utilizarea funcțiilor de criptare asimetrică vă ajută să vă protejați datele. În plus, funcțiile hashing sau algoritmii de uzurpare a identității pot fi utilizați pentru a verifica integritatea datelor. Cu toate acestea, aceste metode nu acceptă determinarea dreptului de autor a unui document.
6. Protecția împotriva repetării are loc utilizând funcțiile criptografice ale unei semnături electronice pentru protecția la criptare sau la imitație. În acest caz, la fiecare sesiune de rețea este adăugat un identificator unic, suficient de lung pentru a exclude coincidența aleatorie a acesteia, iar verificarea este implementată de partea care primește.
7. Protecția împotriva impunerii, adică împotriva pătrunderii în comunicare din exterior, este asigurată prin intermediul semnăturii electronice.
8. O altă protecție - împotriva marcajelor, virușilor, modificărilor sistemului de operare etc. - este asigurată folosind diverse mijloace criptografice, protocoale de securitate, software antivirus și măsuri organizatorice.

După cum puteți vedea, algoritmii de semnătură electronică sunt o parte fundamentală a unui mijloc de protecție a informațiilor criptografice. Ele vor fi discutate mai jos.

Cerințe pentru utilizarea CIPF

CIPF are ca scop protejarea (prin verificarea unei semnături electronice) a datelor deschise din diverse sisteme informaționale de uz general și asigurarea confidențialității acestora (prin verificarea unei semnături electronice, imitarea protecției, criptare, verificare hash) în rețelele corporative.

Un instrument de protecție a informațiilor criptografice personale este utilizat pentru a proteja datele personale ale utilizatorului. Cu toate acestea, un accent deosebit trebuie pus pe informațiile legate de secretele de stat. Conform legii, CIPF nu poate fi folosit pentru a lucra cu el.

Important: înainte de a instala CIPF, ar trebui să verificați mai întâi pachetul software CIPF însuși. Acesta este primul pas. De obicei, integritatea pachetului de instalare este verificată prin compararea sumelor de control primite de la producător.

După instalare, ar trebui să determinați nivelul de amenințare, pe baza căruia puteți determina tipurile de CIPF necesare pentru utilizare: software, hardware și hardware-software. De asemenea, trebuie avut în vedere faptul că la organizarea unor CIPF este necesar să se țină cont de amplasarea sistemului.

Clase de protectie

Conform ordinului FSB al Rusiei din 10 iulie 2014, numărul 378, care reglementează utilizarea mijloacelor criptografice de protecție a informațiilor și a datelor cu caracter personal, sunt definite șase clase: KS1, KS2, KS3, KB1, KB2, KA1. Clasa de protecție pentru un anumit sistem este determinată dintr-o analiză a datelor despre modelul intrusului, adică dintr-o evaluare a posibilelor modalități de a pirata sistemul. Protecția în acest caz este construită din protecția informațiilor criptografice software și hardware.

AC (amenințările curente), după cum se poate observa din tabel, sunt de 3 tipuri:

1. Amenințările de primul tip sunt asociate cu capabilități nedocumentate în software-ul de sistem utilizat în sistemul informațional.
2. Amenințările de al doilea tip sunt asociate cu capabilități nedocumentate în aplicația software utilizată în sistemul informațional.
3. Al treilea tip de amenințare se referă la toate celelalte.

Caracteristicile nedocumentate sunt funcții și caracteristici ale software-ului care nu sunt descrise în documentația oficială sau nu corespund acesteia. Adică, utilizarea lor poate crește riscul încălcării confidențialității sau integrității informațiilor.

Pentru claritate, să ne uităm la modelele de intruși a căror interceptare necesită una sau alta clasă de mijloace de securitate a informațiilor criptografice:

• KS1 - intrusul acționează din exterior, fără asistenți în interiorul sistemului.
• KS2 este un intrus intern, dar nu are acces la CIPF.
• KS3 este un intrus intern care este utilizator al CIPF.
• KV1 este un intrus care atrage resurse terțe, de exemplu, specialiști CIPF.
• KV2 este un intrus, în spatele căruia se află un institut sau un laborator care lucrează în domeniul studierii și dezvoltării CIPF.
• KA1 - servicii speciale ale statelor.

Astfel, KS1 poate fi numit clasa de protecție de bază. În consecință, cu cât clasa de protecție este mai mare, cu atât sunt mai puțini specialiști capabili să o asigure. De exemplu, în Rusia, conform datelor pentru 2013, existau doar 6 organizații care aveau un certificat de la FSB și erau capabile să ofere protecție de clasă KA1.

Algoritmi utilizați

Să luăm în considerare principalii algoritmi utilizați în instrumentele de protecție a informațiilor criptografice:

• GOST R 34.10-2001 și GOST R 34.10-2012 actualizat - algoritmi pentru crearea și verificarea unei semnături electronice.
• GOST R 34.11-94 și cel mai recent GOST R 34.11-2012 - algoritmi pentru crearea de funcții hash.
• GOST 28147-89 și mai nou GOST R 34.12-2015 - implementarea algoritmilor de criptare și protecție a datelor.
• Algoritmi criptografici suplimentari se găsesc în RFC 4357.

Semnătura electronică

Utilizarea instrumentelor de securitate a informațiilor criptografice nu poate fi imaginată fără utilizarea algoritmilor de semnătură electronică, care câștigă o popularitate din ce în ce mai mare.

O semnătură electronică este o parte specială a unui document creată prin transformări criptografice. Sarcina sa principală este identificarea modificărilor neautorizate și determinarea autorului.

Un certificat de semnătură electronică este un document separat care dovedește autenticitatea și proprietatea unei semnături electronice proprietarului acesteia, folosind o cheie publică. Certificatele sunt emise de autoritățile de certificare.

Deținătorul unui certificat de semnătură electronică este persoana în numele căreia este înregistrat certificatul. Este asociat cu două chei: publică și privată. Cheia privată vă permite să creați o semnătură electronică. Scopul unei chei publice este de a verifica autenticitatea unei semnături printr-o legătură criptografică la cheia privată.

Tipuri de semnătură electronică

Conform Legii federale nr. 63, semnăturile electronice sunt împărțite în 3 tipuri:

• semnătură electronică obișnuită;
• semnătură electronică necalificată;
• semnătură electronică calificată.

O semnătură electronică simplă este creată prin parole impuse la deschiderea și vizualizarea datelor, sau prin mijloace similare care confirmă indirect proprietarul.

O semnătură electronică necalificată este creată folosind transformări de date criptografice folosind o cheie privată. Datorită acestui fapt, puteți confirma persoana care a semnat documentul și puteți determina dacă au fost efectuate modificări neautorizate asupra datelor.

Semnăturile calificate și necalificate diferă doar prin aceea că, în primul caz, certificatul pentru semnătură electronică trebuie eliberat de un centru de certificare certificat de FSB.

Domeniul de utilizare a semnăturii electronice

Tabelul de mai jos discută domeniul de aplicare al semnăturilor electronice.

Tehnologiile de semnătură electronică sunt utilizate cel mai activ în schimbul de documente. În fluxul documentelor interne, semnătura electronică acționează ca o aprobare a documentelor, adică ca semnătură sau sigiliu personal. În cazul fluxului de documente externe, prezența unei semnături electronice este critică, deoarece este o confirmare legală. De asemenea, este de remarcat faptul că documentele semnate cu semnături electronice pot fi stocate pe termen nelimitat și nu își pierd semnificația legală din cauza unor factori precum semnături șterse, hârtie deteriorată etc.

Raportarea către autoritățile de reglementare este un alt domeniu în care fluxul de documente electronice este în creștere. Multe companii și organizații au apreciat deja confortul de a lucra în acest format.

Conform legii Federației Ruse, fiecare cetățean are dreptul de a utiliza o semnătură electronică atunci când folosește serviciile guvernamentale (de exemplu, semnarea unei cereri electronice pentru autorități).

Comerțul online este un alt domeniu interesant în care semnăturile electronice sunt utilizate în mod activ. Acesta confirmă faptul că o persoană reală participă la licitație și ofertele sale pot fi considerate de încredere. De asemenea, este important ca orice contract încheiat cu ajutorul unei semnături electronice să dobândească forță juridică.

Algoritmi de semnătură electronică

• Full Domain Hash (FDH) și standarde de criptare cu chei publice (PKCS). Acesta din urmă reprezintă un întreg grup de algoritmi standard pentru diverse situații.
• DSA și ECDSA sunt standarde pentru crearea semnăturilor electronice în SUA.
• GOST R 34.10-2012 - standard pentru crearea semnăturilor electronice în Federația Rusă. Acest standard a înlocuit GOST R 34.10-2001, care a expirat oficial după 31 decembrie 2017.
• Uniunea Eurasiatică folosește standarde complet similare cu cele rusești.
• STB 34.101.45-2013 - standard belarus pentru semnătură electronică digitală.
• DSTU 4145-2002 - standard pentru crearea unei semnături electronice în Ucraina și multe altele.

De asemenea, merită remarcat faptul că algoritmii pentru crearea semnăturilor electronice au scopuri și obiective diferite:

• Semnătura electronică de grup.
• Semnătură digitală unică.
• Semnătură electronică de încredere.
• Semnătura calificată și necalificată etc.

Termenul „criptografie” provine din cuvintele grecești antice „ascuns” și „scrie”. Expresia exprimă scopul principal al criptografiei - protecția și păstrarea secretului informațiilor transmise. Protecția informațiilor poate avea loc în diferite moduri. De exemplu, prin limitarea accesului fizic la date, ascunderea canalului de transmisie, crearea dificultăților fizice în conectarea la liniile de comunicație etc.

Scopul criptografiei Spre deosebire de metodele tradiționale de scriere secretă, criptografia presupune disponibilitatea deplină a canalului de transmisie pentru atacatori și asigură confidențialitatea și autenticitatea informațiilor folosind algoritmi de criptare care fac informațiile inaccesibile persoanelor din exterior. Un sistem modern de protecție a informațiilor criptografice (CIPS) este un complex de computere software și hardware care asigură protecția informațiilor conform următorilor parametri de bază.

+ Confidențialitate– imposibilitatea citirii informațiilor de către persoanele care nu au drepturi de acces corespunzătoare. Componenta principală a asigurării confidențialității în CIPF este cheia, care este o combinație alfanumerică unică pentru accesul utilizatorului la un anumit bloc CIPF.

+ Integritate– imposibilitatea modificărilor neautorizate, cum ar fi editarea și ștergerea informațiilor. Pentru a face acest lucru, la informațiile originale se adaugă redundanță sub forma unei combinații de verificare, calculată folosind un algoritm criptografic și în funcție de cheie. Astfel, fără a cunoaște cheia, adăugarea sau modificarea informațiilor devine imposibilă.

+ Autentificare– confirmarea autenticității informațiilor și a părților care le transmit și le primesc. Informațiile transmise prin canalele de comunicare trebuie să fie autentificate în mod unic prin conținut, momentul creării și transmiterii, sursă și destinatar. Trebuie amintit că sursa amenințărilor poate fi nu numai atacatorul, ci și părțile implicate în schimbul de informații cu o încredere reciprocă insuficientă. Pentru a preveni astfel de situații, CIPF folosește un sistem de marcaje temporale pentru a preveni trimiterea repetată sau inversă a informațiilor și modificarea ordinii acestora.

+ Paternitatea– confirmarea și imposibilitatea de a refuza acțiunile efectuate de utilizatorul informațiilor. Cea mai comună metodă de autentificare este semnătura digitală electronică (EDS). Sistemul de semnătură digitală constă din doi algoritmi: pentru crearea unei semnături și pentru verificarea acesteia. Când lucrați intens cu ECC, se recomandă utilizarea centrelor de certificare software pentru a crea și gestiona semnăturile. Astfel de centre pot fi implementate ca instrument CIPF care este complet independent de structura internă. Ce înseamnă asta pentru organizație? Aceasta înseamnă că toate tranzacțiile cu semnături electronice sunt procesate de organizații independente certificate și falsificarea dreptului de autor este aproape imposibilă.

În prezent, printre CIPF predomină algoritmii de criptare deschise care utilizează chei simetrice și asimetrice cu o lungime suficientă pentru a oferi complexitatea criptografică necesară. Cei mai des întâlniți algoritmi:

chei simetrice – rusă R-28147.89, AES, DES, RC4;
chei asimetrice – RSA;
folosind funcții hash - R-34.11.94, MD4/5/6, SHA-1/2. 80

Multe țări au propriile lor standarde naționale pentru algoritmii de criptare. În SUA, se utilizează un algoritm AES modificat cu o lungime a cheii de 128-256 de biți, iar în Federația Rusă, algoritmul de semnătură electronică R-34.10.2001 și algoritmul criptografic bloc R-28147.89 cu o cheie de 256 de biți. Unele elemente ale sistemelor criptografice naționale sunt interzise pentru export în afara țării, activitățile de dezvoltare a CIPF necesită licențiere.

Sisteme hardware de protecție criptografică

Hardware CIPF sunt dispozitive fizice care conțin software pentru criptarea, înregistrarea și transmiterea informațiilor. Dispozitivele de criptare pot fi realizate sub formă de dispozitive personale, cum ar fi criptoare ruToken USB și unități flash IronKey, carduri de expansiune pentru computere personale, switch-uri și routere de rețea specializate, pe baza cărora este posibilă construirea de rețele de computere complet securizate.

Hardware CIPF-urile sunt instalate rapid și funcționează la viteză mare. Dezavantaje: ridicat, în comparație cu software și hardware-software CIPF, cost și capacități limitate de upgrade. De asemenea, în categoria hardware sunt incluse unitățile CIPF încorporate în diferite dispozitive de înregistrare și transmitere a datelor care necesită criptare și restricție de acces la informații. Astfel de dispozitive includ tahometre de automobile care înregistrează parametrii vehiculului, unele tipuri de echipamente medicale etc. Pentru funcționarea completă a unor astfel de sisteme, este necesară activarea separată a modulului CIPF de către specialiștii furnizorului.

Sisteme software de protecție criptografică

Software CIPF este un pachet software special pentru criptarea datelor pe medii de stocare (hard și flash drive, carduri de memorie, CD/DVD) și atunci când sunt transmise prin Internet (e-mailuri, fișiere în atașamente, chat-uri securizate etc.). Există destul de multe programe, inclusiv gratuite, de exemplu, DiskCryptor. Software-ul CIPF include, de asemenea, rețele virtuale securizate de schimb de informații care operează „pe deasupra Internetului” (VPN), o extensie a protocolului de Internet HTTP cu suport pentru criptarea HTTPS și SSL – un protocol de transfer de informații criptografice utilizat pe scară largă în sistemele de telefonie IP și aplicațiile Internet. .
Sistemele software de protecție a informațiilor criptografice sunt utilizate în principal pe Internet, pe computerele de acasă și în alte domenii în care cerințele pentru funcționalitatea și stabilitatea sistemului nu sunt foarte mari. Sau cum este cazul Internetului, când trebuie să creați mai multe conexiuni sigure diferite în același timp.

Protecție criptografică software și hardware

Combină cele mai bune calități ale sistemelor CIPF hardware și software. Acesta este cel mai fiabil și funcțional mod de a crea sisteme și rețele de date sigure. Sunt acceptate toate opțiunile de identificare a utilizatorului, atât hardware (unitate USB sau smart card), cât și „tradiționale” - login și parolă. CIPF-urile software și hardware acceptă toți algoritmii moderni de criptare, au o gamă largă de funcții pentru crearea unui flux de documente securizat bazat pe semnături digitale și toate certificatele guvernamentale necesare. Instalarea CIPF este realizată de personal calificat pentru dezvoltatori.

Vizualizări postare: 295

Mijloace criptografice - Acestea sunt mijloace matematice și algoritmice speciale de protejare a informațiilor transmise prin sisteme și rețele de comunicații, stocate și procesate pe un computer folosind o varietate de metode de criptare.
Protecția informațiilor tehnice transformându-l, excluzând citirea lui de către străini, a îngrijorat oamenii din cele mai vechi timpuri. Criptografia trebuie să ofere un astfel de nivel de secret, încât informațiile critice să poată fi protejate în mod fiabil de decriptare de către organizații mari - cum ar fi mafia, corporațiile multinaționale și statele mari. Criptografia în trecut era folosită numai în scopuri militare. Cu toate acestea, acum, odată cu apariția societății informaționale, aceasta devine un instrument de asigurare a confidențialității, încrederii, autorizației, plăților electronice, securității corporative și nenumărate alte lucruri importante. De ce problema utilizării metodelor criptografice a devenit deosebit de relevantă în acest moment?
Pe de o parte, s-a extins utilizarea rețelelor de calculatoare, în special a internetului global, prin care sunt transmise volume mari de informații cu caracter de stat, militar, comercial și privat, împiedicând accesul persoanelor neautorizate la ele.
Pe de altă parte, apariția unor noi computere puternice, tehnologii de rețea și de calcul neuronal a făcut posibilă discreditarea sistemelor criptografice, care până de curând erau considerate practic nedetectabile.
Criptologia (kryptos - secret, logos - știință) se ocupă de problema protejării informațiilor prin transformarea acesteia. Criptologia este împărțită în două domenii - criptografie și criptoanaliza. Scopurile acestor direcții sunt direct opuse.
Criptografia se ocupă cu căutarea și studiul metodelor matematice de transformare a informațiilor.
Domeniul de interes al criptoanalizei este studiul posibilității de decriptare a informațiilor fără a cunoaște cheile.
Criptografia modernă include 4 secțiuni majore.

· Criptosisteme simetrice.

· Criptosisteme cu cheie publică.

· Sisteme de semnătură electronică.

· Managementul cheilor.

Principalele domenii de utilizare a metodelor criptografice sunt transferul de informații confidențiale prin canale de comunicare (de exemplu, e-mail), stabilirea autenticității mesajelor transmise, stocarea informațiilor (documente, baze de date) pe medii în formă criptată.

Terminologie.
Criptografia face posibilă transformarea informațiilor în așa fel încât citirea (recuperarea) acesteia să fie posibilă numai dacă cheia este cunoscută.
Textele bazate pe un anumit alfabet vor fi considerate informații care trebuie criptate și decriptate. Acești termeni înseamnă următoarele.
Alfabet- un set finit de caractere utilizate pentru a codifica informațiile.
Text- un set ordonat de elemente ale alfabetului.
Criptare- procesul de conversie: textul original, numit și text simplu, este înlocuit cu text cifrat.
Decriptare- procesul invers de criptare. Pe baza cheii, textul cifrat este convertit în cel original.
Cheie- informații necesare pentru criptarea și decriptarea fără probleme a textelor.
Sistemul criptografic este o familie de transformări T [T1, T2, ..., Tk] în text clar. Membrii acestei familii sunt indexați sau desemnați prin simbolul „k”; parametrul k este cheia. Spațiul cheie K este setul de valori cheie posibile. De obicei, cheia este o serie secvențială de litere ale alfabetului.
Criptosistemele sunt împărțite în cheie simetrică și cheie publică.
În sistemele cripto simetrice, aceeași cheie este utilizată atât pentru criptare, cât și pentru decriptare.
Sistemele cu chei publice folosesc două chei, o cheie publică și o cheie privată, care sunt legate matematic una de cealaltă. Informațiile sunt criptate folosind o cheie publică, care este disponibilă pentru toată lumea, și decriptate folosind o cheie privată, cunoscută doar de destinatarul mesajului.
Termenii de distribuție a cheilor și management al cheilor se referă la procesele unui sistem de procesare a informațiilor, al cărui conținut este compilarea și distribuirea cheilor între utilizatori.
O semnătură electronică (digitală) este o transformare criptografică atașată textului, care permite, atunci când textul este primit de un alt utilizator, să se verifice paternitatea și autenticitatea mesajului.
Puterea criptografică este o caracteristică a unui cifr care determină rezistența acestuia la decriptare fără a cunoaște cheia (adică, criptoanaliza).
Eficacitatea criptării pentru a proteja informațiile depinde de păstrarea secretului cheii și de puterea criptografică a cifrului.
Cel mai simplu criteriu pentru o astfel de eficiență este probabilitatea dezvăluirii cheii sau a puterii setului de chei (M). În esență, aceasta este aceeași cu puterea criptografică. Pentru a o estima numeric, puteți folosi și complexitatea rezolvării cifrului încercând toate cheile.
Cu toate acestea, acest criteriu nu ia în considerare alte cerințe importante pentru criptosisteme:

· imposibilitatea dezvăluirii sau modificării semnificative a informațiilor pe baza analizei structurii acesteia;

· perfecționarea protocoalelor de securitate utilizate;

· cantitatea minimă de informații cheie utilizate;

· complexitatea minimă a implementării (în numărul de operațiuni ale mașinii), costul acesteia;

· randament ridicat.

Este adesea mai eficient să folosiți judecata și simularea experților atunci când selectați și evaluați un sistem criptografic.
În orice caz, setul selectat de metode criptografice trebuie să combine atât comoditatea, flexibilitatea și eficiența utilizării, cât și protecția fiabilă a informațiilor care circulă în sistemul informațional împotriva atacatorilor.

Această diviziune a securității informațiilor înseamnă ( protecția informațiilor tehnice), destul de condiționat, întrucât în ​​practică de foarte multe ori interacționează și sunt implementate într-un complex sub formă de module software și hardware cu utilizarea pe scară largă a algoritmilor de închidere a informațiilor.

Concluzie

În cadrul acestui curs, am examinat rețeaua de calculatoare locală a Administrației și am ajuns la concluzia că, pentru a proteja pe deplin informațiile, este necesar să folosim toate măsurile de securitate pentru a minimiza pierderea anumitor informații.

Ca urmare a organizării muncii efectuate: informatizarea locurilor de muncă cu integrarea acestora într-o rețea locală de calculatoare, cu prezența unui server și acces la internet. Finalizarea acestei lucrări va asigura cea mai rapidă și mai productivă muncă a personalului de lucru.

Scopurile care au fost stabilite la primirea sarcinii, după părerea mea, au fost atinse. Diagrama rețelei locale a Administrației este dată în Anexa B.

Referințe.

1. GOST R 54101-2010 „Unelte de automatizare și sisteme de control. Mijloace și sisteme de securitate. Întreținere și reparații curente"

2. Protecția informațiilor organizaționale: un manual pentru universități Averchenkov V.I., Rytov M.Yu. 2011

3. Khalyapin D.B., Yarochkin V.I. Fundamentele securității informației.-M.: IPKIR, 1994

4. Khoroshko V.A., Cekatkov A.A. Metode și mijloace de securitate a informațiilor (editat de Kovtanyuk) K.: Editura Junior, 2003 - 504 p.

5. Hardware și rețele de calculatoare Ilyukhin B.V. 2005

6. Yarochkin V.I. Securitatea informației: un manual pentru studenți.-M.: Proiect academic!?! Fundația „Pacea”, 2003.-640 p.

7. http://habrahabr.ru

8. http://www.intel.com/ru/update/contents/st08031.htm

9. http://securitypolicy.ru

10. http://network.xsp.ru/5_6.php

Nota A.

Nota B.

Confidențialitatea informațiilor este caracterizată de indicatori aparent opuși precum accesibilitatea și secretul. Metodele pentru a se asigura că informațiile sunt accesibile utilizatorilor sunt discutate în Secțiunea 9.4.1. În această secțiune, vom lua în considerare modalități de a asigura secretul informațiilor. Această proprietate a informației se caracterizează prin gradul de mascare a informațiilor și reflectă capacitatea acesteia de a rezista la dezvăluirea semnificației matricei de informații, determinând structura matricei de informații stocate sau purtătorul (semnal purtător) al matricei de informații transmise și stabilirea faptului. de transmitere a matricei de informații prin canale de comunicație. Criteriile de optimitate în acest caz, de regulă, sunt:

reducerea la minimum a probabilității de depășire („ruperea”) protecției;

maximizarea timpului de siguranță așteptat înainte ca subsistemul de securitate să fie „pirat”;

minimizarea pierderilor totale din „piratarea” protecției și a costurilor de dezvoltare și operare a elementelor corespunzătoare ale subsistemului de control și protecție a informațiilor etc.

În general, puteți asigura confidențialitatea informațiilor între abonați într-unul din trei moduri:

creați un canal de comunicare absolut fiabil între abonați, inaccesibil celorlalți;

utilizați un canal public de comunicare, dar ascundeți însuși faptul de a transmite informații;

folosește un canal de comunicare public, dar transmite informații prin acesta într-o formă transformată, iar acesta trebuie transformat în așa fel încât doar destinatarul să îl poată restaura.

Prima opțiune este practic imposibil de implementat din cauza costurilor materiale ridicate ale creării unui astfel de canal între abonații la distanță.

Una dintre modalitățile de a asigura confidențialitatea transferului de informații este steganografie. În prezent, reprezintă unul dintre domeniile promițătoare pentru asigurarea confidențialității informațiilor stocate sau transmise în sisteme informatice prin mascarea informațiilor clasificate în fișiere deschise, în special în cele multimedia.

Angajat în dezvoltarea metodelor de conversie (criptare) a informațiilor pentru a le proteja de utilizatorii ilegali criptografie.

Criptografia (uneori se folosește termenul de criptologie) este un domeniu de cunoaștere care studiază scrierea secretă (criptografia) și metodele de dezvăluire a acesteia (criptanaliză). Criptografia este considerată o ramură a matematicii.

Până de curând, toate cercetările în acest domeniu au fost doar închise, dar în ultimii ani au început să apară tot mai multe publicații în presa deschisă. O parte din motivul atenuării secretului este că a devenit imposibil să ascunzi cantitatea acumulată de informații. Pe de altă parte, criptografia este din ce în ce mai utilizată în industriile civile, ceea ce necesită dezvăluire.

9.6.1. Principiile criptografiei. Scopul unui sistem criptografic este de a cripta un text simplu semnificativ (numit și text simplu) într-un text cifrat aparent lipsit de sens (text cifrat). Destinatarul căruia îi este destinat trebuie să fie capabil să descifreze (numit și „descifrare”) acest text cifrat, recuperând astfel textul simplu corespunzător. În acest caz, adversarul (numit și criptoanalist) trebuie să nu poată dezvălui textul original. Există o diferență importantă între descifrarea (descifrarea) și dezvăluirea unui text cifrat.

Sunt numite metode criptografice și metode de conversie a informațiilor cifruri. Dezvăluirea unui criptosistem (cifr) este rezultatul muncii unui criptoanalist, ceea ce duce la posibilitatea dezvăluirii efective a oricărui text simplu criptat folosind un criptosistem dat. Gradul în care un criptosistem este incapabil de detectat se numește puterea sa.

Problema fiabilității sistemelor de securitate a informațiilor este foarte complexă. Faptul este că nu există teste de încredere pentru a se asigura că informațiile sunt protejate suficient de fiabil. În primul rând, criptografia are particularitatea că „spărgerea” unui cifru necesită adesea cheltuirea cu mai multe ordine de mărime mai mulți bani decât crearea lui. În consecință, testarea sistemului de protecție criptografică nu este întotdeauna posibilă. În al doilea rând, încercările repetate nereușite de a depăși apărarea nu înseamnă că următoarea încercare nu va avea succes. Este posibil ca profesioniștii să se lupte cu cifrul pentru o lungă perioadă de timp, dar fără succes, iar un anumit nou venit a adoptat o abordare non-standard - și cifrul a venit ușor la el.

Ca urmare a demonstrabilității atât de slabe a fiabilității instrumentelor de securitate a informațiilor, există multe produse pe piață a căror fiabilitate nu poate fi judecată în mod fiabil. Desigur, dezvoltatorii lor își laudă munca în toate modurile posibile, dar nu pot dovedi calitatea acesteia și adesea acest lucru este imposibil în principiu. De regulă, nedemonstrabilitatea fiabilității este însoțită și de faptul că algoritmul de criptare este ținut secret.

La prima vedere, secretul algoritmului servește ca o garanție suplimentară a fiabilității cifrului. Acesta este un argument destinat amatorilor. De fapt, dacă algoritmul este cunoscut dezvoltatorilor, acesta nu mai poate fi considerat secret, decât dacă utilizatorul și dezvoltatorul nu sunt aceeași persoană. În plus, dacă, din cauza incompetenței sau erorilor dezvoltatorului, algoritmul se dovedește a fi instabil, secretul său nu va permite experților independenți să-l verifice. Instabilitatea algoritmului va fi dezvăluită doar atunci când acesta a fost deja piratat, sau chiar deloc, pentru că inamicul nu se grăbește să se laude cu succesele sale.

Prin urmare, criptograful trebuie să se ghideze după regula formulată mai întâi de olandezul O. Kerkhoffs: puterea cifrului ar trebui determinată doar de secretul cheii. Cu alte cuvinte, regula lui O. Kerkhoffs este că întregul mecanism de criptare, cu excepția valorii cheii secrete, este considerat a priori cunoscut inamicului.

Un alt lucru este că este posibilă o metodă de protejare a informațiilor (strict vorbind, fără legătură cu criptografia), atunci când nu algoritmul de criptare este ascuns, ci chiar faptul că mesajul conține informații criptate (ascunse în el). Ar fi mai corect să numim această tehnică de mascare a informațiilor. Se va lua în considerare separat.

Istoria criptografiei datează de câteva mii de ani. Nevoia de a ascunde ceea ce era scris a apărut la o persoană aproape de îndată ce a învățat să scrie. Un exemplu istoric binecunoscut de criptosistem este așa-numitul cifru Caesar, care înlocuiește pur și simplu fiecare literă a textului simplu cu a treia literă a alfabetului care o urmează (cu împachetare atunci când este necesar). De exemplu, O a fost înlocuit cu D,B pe E,Z pe C.

În ciuda progreselor semnificative în matematică de-a lungul secolelor de pe vremea lui Cezar, scrisul secret nu a făcut pași semnificativi înainte până la mijlocul secolului al XX-lea. Avea o abordare amatorească, speculativă, neștiințifică.

De exemplu, în secolul al XX-lea, cifrurile „cărților” au fost utilizate pe scară largă de profesioniști, în care unele publicații tipărite în masă erau folosite ca cheie. Inutil să spun, cât de ușor au fost dezvăluite astfel de cifruri! Desigur, din punct de vedere teoretic, cifrul „cartei” pare destul de fiabil, deoarece este imposibil să sortați manual setul său. Cu toate acestea, cea mai mică informație a priori restrânge drastic această alegere.

Apropo, despre informații a priori. În timpul Marelui Război Patriotic, după cum se știe, Uniunea Sovietică a acordat o atenție deosebită organizării mișcării partizane. Aproape fiecare detașament din spatele liniilor inamice avea un post de radio, precum și o formă de comunicare cu „continentul”. Cifrurile pe care le aveau partizanii erau extrem de instabile - descifratorii germani le-au descifrat destul de repede. Și asta, după cum știm, a dus la înfrângeri și pierderi militare. Partizanii s-au dovedit a fi vicleni și inventivi și în acest domeniu. Recepția a fost extrem de simplă. Textul original al mesajului conținea un număr mare de erori gramaticale, de exemplu, ei scriau: „trei eșaloane au trecut cu tancuri”. Dacă era descifrat corect, totul era clar pentru o persoană rusă. Dar criptoanalistii inamicului au fost neputincioși împotriva unei astfel de tehnici: în timp ce treceau prin posibile opțiuni, au întâlnit combinația „tnk”, care era imposibilă pentru limba rusă și au renunțat la această opțiune ca fiind în mod evident incorectă.

Această tehnică aparent cultivată acasă este, de fapt, foarte eficientă și este adesea folosită chiar și acum. Secvențe aleatorii de simboluri sunt inserate în textul original al mesajului pentru a încurca programele criptoanalitice care funcționează prin forță brută sau pentru a schimba tiparele statistice ale cifrgramei, care pot oferi și informații utile inamicului. Dar, în general, putem spune totuși că criptografia antebelică era extrem de slabă și nu putea pretinde titlul de știință serioasă.

Cu toate acestea, necesitatea militară strictă i-a forțat curând pe oamenii de știință să se confrunte cu problemele criptografiei și criptoanalizei. Una dintre primele realizări semnificative în acest domeniu a fost mașina de scris germană Enigma, care era de fapt un encoder și decodor mecanic cu rezistență destul de mare.

Totodată, în timpul celui de-al Doilea Război Mondial, au apărut primele servicii profesionale de decriptare. Cel mai faimos dintre ele este Bletchley Park, o unitate a serviciului britanic de informații MI5.

9.6.2. Tipuri de cifruri Toate metodele de criptare pot fi împărțite în două grupuri: cifruri cu cheie secretă și cifruri cu cheie publică. Primele se caracterizează prin prezența unor informații (cheie secretă), a căror deținere face posibilă atât criptarea, cât și decriptarea mesajelor. Prin urmare, ele sunt numite și cu o singură cheie. Cifrurile cu chei publice necesită două chei pentru a decripta mesajele. Aceste cifre sunt numite și cifruri cu două chei.

Regula de criptare nu poate fi arbitrară. Trebuie să fie astfel încât din textul cifrat folosind regula de decriptare să fie posibilă reconstruirea fără ambiguitate a mesajului deschis. Regulile de criptare de același tip pot fi combinate în clase. În cadrul unei clase, regulile diferă unele de altele prin valorile unui parametru, care poate fi un număr, un tabel etc. În criptografie, valoarea specifică a unui astfel de parametru este de obicei numită cheie.

În esență, cheia selectează o anumită regulă de criptare dintr-o anumită clasă de reguli. Acest lucru permite, în primul rând, atunci când se utilizează dispozitive speciale pentru criptare, modificarea valorii parametrilor dispozitivului, astfel încât mesajul criptat să nu poată fi decriptat nici măcar de către persoane care au exact același dispozitiv, dar nu cunosc valoarea parametrului selectat și, în al doilea rând, vă permite să modificați regula de criptare în timp util, deoarece utilizarea repetată a aceleiași reguli de criptare pentru textele clare creează condițiile preliminare pentru obținerea mesajelor cu text simplu de la cele criptate.

Folosind conceptul de cheie, procesul de criptare poate fi descris ca o relație:

Unde O– mesaj deschis; B– mesaj criptat; f– regula de criptare; α – cheia selectată, cunoscută de expeditor și destinatar.

Pentru fiecare cheie α conversie cifră trebuie să fie inversabilă, adică trebuie să existe o transformare inversă , care cu tasta selectată α identifică în mod unic un mesaj deschis O prin mesaj criptat B:

(9.0)

Set de transformări iar setul de chei căruia îi corespund este numit cod. Dintre toate cifrurile, se pot distinge două clase mari: cifrurile de substituție și cifrurile de permutare. În prezent, dispozitivele electronice de criptare sunt utilizate pe scară largă pentru a proteja informațiile din sistemele automate. O caracteristică importantă a unor astfel de dispozitive este nu numai puterea cifrului implementat, ci și viteza mare a procesului de criptare și decriptare.

Uneori se confundă două concepte: criptareŞi codificare. Spre deosebire de criptare, pentru care trebuie să cunoașteți cifrul și cheia secretă, cu codificarea nu există nimic secret, există doar o anumită înlocuire a literelor sau cuvintelor cu simboluri prestabilite. Metodele de codificare nu au ca scop ascunderea unui mesaj deschis, ci prezentarea lui într-o formă mai convenabilă pentru transmiterea prin mijloace tehnice de comunicare, reducerea lungimii mesajului, protejarea distorsiunilor etc.

Cifrele cheie secrete. Acest tip de cifră presupune prezența unor informații (cheie), a căror deținere vă permite atât să criptați, cât și să decriptați mesajul.

Pe de o parte, o astfel de schemă are dezavantajele că, pe lângă un canal deschis pentru transmiterea cifrogramei, trebuie să existe și un canal secret pentru transmiterea cheii, în cazul în care informațiile despre cheie sunt scurse, este imposibil; pentru a demonstra de la care dintre cei doi corespondenți s-a produs scurgerea.

Pe de altă parte, printre cifrurile acestui grup particular există singura schemă de criptare din lume care are putere teoretică absolută. Toate celelalte pot fi descifrate cel puțin în principiu. O astfel de schemă este criptarea obișnuită (de exemplu, o operație XOR) cu o cheie a cărei lungime este egală cu lungimea mesajului. În acest caz, cheia trebuie folosită o singură dată. Orice încercare de a descifra un astfel de mesaj sunt inutile, chiar dacă există informații a priori despre textul mesajului. Prin selectarea unei taste, puteți primi orice mesaj ca rezultat.

Cifre cu cheie publică. Acest tip de cifră presupune prezența a două chei - publică și privată; unul este folosit pentru criptare, celălalt pentru decriptarea mesajelor. Cheia publică este publicată - adusă în atenția tuturor, în timp ce cheia secretă este păstrată de proprietarul acesteia și este cheia secretului mesajelor. Esența metodei este că ceea ce este criptat folosind cheia secretă poate fi decriptat doar folosind cheia publică și invers. Aceste chei sunt generate în perechi și au o corespondență unu-la-unu între ele. Mai mult, este imposibil să calculezi un altul dintr-o cheie.

O trăsătură caracteristică a cifrurilor de acest tip, care le deosebește favorabil de cifrurile cu o cheie secretă, este că aici cheia secretă este cunoscută doar de o persoană, în timp ce în prima schemă trebuie cunoscută cel puțin două. Acest lucru oferă următoarele avantaje:

nu este necesar un canal securizat pentru a trimite cheia secretă;

toată comunicarea se realizează pe un canal deschis;

A avea o singură copie a cheii reduce posibilitatea pierderii acesteia și vă permite să stabiliți responsabilitatea personală clară pentru păstrarea secretului;

prezența a două chei permite utilizarea acestui sistem de criptare în două moduri - comunicare secretă și semnătură digitală.

Cel mai simplu exemplu de algoritmi de criptare luați în considerare este algoritmul RSA. Toți ceilalți algoritmi din această clasă nu sunt fundamental diferiți de ea. Se poate spune că, în general, RSA este singurul algoritm cu cheie publică.

9.6.3. Algoritm RSA. RSA (numit după autorii săi, Rivest, Shamir și Alderman) este un algoritm cu cheie publică conceput atât pentru criptare, cât și pentru autentificare (semnătură digitală). Acest algoritm a fost dezvoltat în 1977 și se bazează pe descompunerea numerelor întregi mari în factori simpli (factorizare).

RSA este un algoritm foarte lent. Prin comparație, la nivel de software, DES este de cel puțin 100 de ori mai rapid decât RSA; pe hardware – de 1.000-10.000 de ori, în funcție de execuție.

Algoritmul RSA este următorul. Luați două numere prime foarte mari pŞi q. Determinat n ca urmare a înmulţirii p pe q(n=p q). Este selectat un întreg mare aleatoriu d, coprime cu m, Unde
. Acest număr este determinat e, Ce
. Să-i spunem cheie publică eŞi n, iar cheia secretă sunt numerele dŞi n.

Acum, pentru a cripta datele folosind o cheie cunoscută ( e,n), trebuie să faceți următoarele:

împărțiți textul cifrat în blocuri, fiecare dintre acestea putând fi reprezentat ca număr M(i)=0,1,…,n-1;

criptați textul tratat ca o secvență de numere M(i) conform formulei C(i)=(M(i)) mod n;

pentru a decripta aceste date folosind cheia secretă ( d,n), trebuie să efectuați următoarele calcule M(i)=(C(i))mod n.

Rezultatul va fi o mulțime de numere M(i), care reprezintă textul sursă.

Exemplu. Să luăm în considerare utilizarea metodei RSA pentru a cripta mesajul: „Computer”. Pentru simplitate, vom folosi numere foarte mici (în practică, se folosesc numere mult mai mari - de la 200 și mai sus).

Să alegem p=3 și q=11. Să definim n=3×11=33.

Să găsim ( p-1)×( q-1)=20. Prin urmare, ca d alegeți orice număr care este coprim la 20, de exemplu d=3.

Să alegem un număr e. Un astfel de număr poate fi orice număr pentru care relația ( e×3) mod 20=1, de exemplu, 7.

Să ne imaginăm mesajul criptat ca o secvență de numere întregi în intervalul 1...32. Fie ca litera „E” să fie reprezentată cu cifra 30, litera „B” cu cifra 3 și litera „M” cu cifra 13. Apoi mesajul original poate fi reprezentat ca o succesiune de numere (30 03 13 ).

Să criptăm mesajul folosind cheia (7.33).

C1=(307) mod 33=21870000000 mod 33=24,

С2=(37) mod 33=2187 mod 33=9,

C3=(137) mod 33=62748517 mod 33=7.

Astfel, mesajul criptat arată ca (24 09 07).

Să rezolvăm problema inversă. Să decriptăm mesajul (24 09 07), obținut ca urmare a criptării folosind o cheie cunoscută, pe baza cheii secrete (3.33):

M1=(24 3) mod 33=13824 mod 33=30,

M2=(9 3) mod 33=739 mod 33=9,

M3=(7 3)mod33=343mod33=13 .

Astfel, ca urmare a decriptării mesajului, a fost primit mesajul original „computer”.

Puterea criptografică a algoritmului RSA se bazează pe presupunerea că este extrem de dificil să se determine cheia secretă dintr-o cheie cunoscută, deoarece aceasta necesită rezolvarea problemei existenței divizorilor întregi. Această problemă este NP-completă și, ca o consecință a acestui fapt, nu permite în prezent o soluție eficientă (polinomială). Mai mult, însăși întrebarea existenței unor algoritmi eficienți pentru rezolvarea problemelor NP-complete este încă deschisă. În acest sens, pentru numerele formate din 200 de cifre (și acestea sunt numerele care se recomandă a fi folosite), metodele tradiționale necesită efectuarea unui număr mare de operații (aproximativ 1023).

Algoritmul RSA (Fig. 9.2) este brevetat în SUA. Utilizarea acestuia de către alții nu este permisă (cu o lungime a cheii care depășește 56 de biți). Adevărat, corectitudinea unei astfel de instituții poate fi pusă la îndoială: cum poate fi brevetată o exponențiere obișnuită? Cu toate acestea, RSA este protejată de legile drepturilor de autor.

Orez. 9.2. Schema de criptare

Un mesaj criptat folosind cheia publică a unui abonat poate fi decriptat doar de acesta, deoarece numai el deține cheia secretă. Deci, pentru a trimite un mesaj privat, trebuie să luați cheia publică a destinatarului și să criptați mesajul cu ea. După aceasta, nici măcar tu însuți nu o vei putea descifra.

9.6.4. Semnătura electronică. Când facem invers, adică criptăm un mesaj folosind o cheie secretă, atunci oricine îl poate decripta (luând cheia publică). Dar chiar faptul că mesajul a fost criptat cu cheia ta secretă servește drept confirmare că a venit de la tine, singurul deținător al cheii secrete din lume. Acest mod de utilizare a algoritmului se numește semnătură digitală.

Din punct de vedere al tehnologiei, o semnătură digitală electronică este un instrument software-criptografic (adică criptat corespunzător) care vă permite să confirmați că semnătura de pe un anumit document electronic a fost pusă de autorul său și nu de către orice altă persoană. O semnătură digitală electronică este un set de caractere generate conform algoritmului definit de GOST R 34.0-94 și GOST R 34.-94. Totodată, o semnătură digitală electronică vă permite să verificați că informațiile semnate prin metoda semnăturii digitale electronice nu au fost modificate în timpul procesului de transfer și au fost semnate de expeditor exact în forma în care le-ați primit.

Procesul de semnare electronică a unui document (Fig. 9.3) este destul de simplu: șirul de informații care trebuie semnat este procesat de un software special folosind așa-numita cheie privată. Apoi, matricea criptată este trimisă prin e-mail și, la primire, este verificată cu cheia publică corespunzătoare. Cheia publică vă permite să verificați integritatea matricei și să verificați autenticitatea semnăturii digitale electronice a expeditorului. Se crede că această tehnologie are protecție 100% împotriva hackingului.

Orez. 9.3. Schema procesului de semnare electronică a documentelor

Fiecare subiect care are dreptul de a semna are o cheie secretă (cod) și poate fi stocat pe o dischetă sau pe un smart card. Cheia publică este utilizată de destinatarii documentului pentru a verifica autenticitatea semnăturii digitale electronice. Folosind o semnătură digitală electronică, puteți semna fișiere individuale sau fragmente de baze de date.

În acest din urmă caz, software-ul care implementează o semnătură digitală electronică trebuie integrat în sistemele automatizate aplicate.

Potrivit noii legi, procedura de certificare a instrumentelor de semnătură digitală electronică și certificarea semnăturii în sine este reglementată în mod clar.

Aceasta înseamnă că organismul guvernamental corespunzător trebuie să confirme că un anumit software pentru generarea unei semnături digitale electronice generează de fapt (sau verifică) doar o semnătură digitală electronică și nimic altceva; că programele corespunzătoare nu conțin viruși, nu descarcă informații de la contractori, nu conțin „bug-uri” și sunt garantate împotriva hackingului. Certificarea semnăturii în sine înseamnă că organizația relevantă - autoritatea de certificare - confirmă că această cheie îi aparține acestei persoane.

Poți semna documente fără certificatul specificat, dar în caz de litigiu, va fi dificil să dovedești ceva. În acest caz, certificatul este de neînlocuit, deoarece semnătura în sine nu conține date despre proprietarul său.

De exemplu, un cetățean O si cetatean ÎN au încheiat un acord în valoare de 10.000 de ruble și au certificat acordul cu semnătura digitală. Cetăţean O nu și-a îndeplinit obligația. Cetățean jignit ÎN, obisnuit sa actioneze in cadrul legal, se adreseaza instantei, unde se confirma autenticitatea semnaturii (corespondenta cheii publice cu cea privata). Totuși, cetățeanul O afirmă că cheia privată nu este deloc a lui. Când apare un astfel de precedent, se efectuează o examinare grafologică cu o semnătură obișnuită, dar în cazul unei semnături digitale electronice este nevoie de un terț sau de un document pentru a confirma că semnătura aparține cu adevărat acestei persoane. Pentru asta este un certificat cu cheie publică.

Astăzi, unul dintre cele mai populare instrumente software care implementează funcțiile de bază ale unei semnături digitale electronice sunt sistemele Verba și CryptoPRO CSP.

9.6.5. Funcția HASH. După cum se arată mai sus, un cifr cu cheie publică poate fi utilizat în două moduri: criptare și semnătură digitală. În al doilea caz, nu are sens să criptezi întregul text (date) folosind o cheie secretă. Textul este lăsat clar și o anumită „sumă de control” a acestui text este criptată, rezultând un bloc de date care este o semnătură digitală care este adăugată la sfârșitul textului sau atașată la acesta într-un fișier separat.

„Suma de control” menționată a datelor, care este „semnată” în loc de întregul text, trebuie calculată din întregul text, astfel încât o modificare a oricărei litere să se reflecte pe acesta. În al doilea rând, funcția specificată trebuie să fie unidirecțională, adică calculabilă doar „într-o singură direcție”. Acest lucru este necesar pentru ca inamicul să nu poată schimba textul în mod intenționat pentru a se potrivi cu semnătura digitală existentă.

Această funcție este numită Funcția hash, care, ca și algoritmii criptografici, este supus standardizării și certificării. În țara noastră este reglementat de GOST R-3411. Funcția hash– o funcție care realizează hashingul unei matrice de date prin maparea valorilor dintr-un set (foarte) mare de valori într-un set (semnificativ) mai mic de valori. Pe lângă semnăturile digitale, funcțiile hash sunt folosite și în alte aplicații. De exemplu, la schimbul de mesaje între computere la distanță în care este necesară autentificarea utilizatorului, poate fi utilizată o metodă bazată pe o funcție hash.

Lasă Cod hash creat de funcție N:

,

Unde M este un mesaj de lungime arbitrară și h este un cod hash cu lungime fixă.

Să ne uităm la cerințele pe care trebuie să le îndeplinească o funcție hash pentru a fi utilizată ca autentificator de mesaje. Să ne uităm la un exemplu foarte simplu de funcție hash. Apoi vom analiza mai multe abordări pentru construirea unei funcții hash.

Funcția hash N, care este utilizat pentru autentificarea mesajelor, trebuie să aibă următoarele proprietăți:

N(M) se aplică unui bloc de date de orice lungime;

N(M) creează o ieșire de lungime fixă;

N(M) este relativ ușor (în timp polinomial) de calculat pentru orice valoare M;

pentru orice valoare dată de cod hash h imposibil de găsit M astfel încât N(M) =h;

pentru orice dat X imposibil de găsit din punct de vedere computațional y≠x, Ce H(y) =H(x);

Este imposibil din punct de vedere computațional să găsiți o pereche arbitrară ( X,y) astfel încât H(y) =H(x).

Primele trei proprietăți necesită funcția hash pentru a produce un cod hash pentru orice mesaj.

A patra proprietate definește cerința ca funcția hash să fie unilaterală: este ușor să creați un cod hash dintr-un mesaj dat, dar este imposibil să reconstruiți mesajul dintr-un anumit cod hash. Această proprietate este importantă dacă autentificarea hash implică o valoare secretă. Este posibil ca valoarea secretă în sine să nu fie trimisă, totuși, dacă funcția hash nu este unidirecțională, un adversar poate dezvălui cu ușurință valoarea secretă, după cum urmează.

A cincea proprietate asigură că este imposibil să găsiți un alt mesaj a cărui valoare hash se potrivește cu valoarea hash a acestui mesaj. Acest lucru previne falsificarea autentificatorului atunci când utilizați un cod hash criptat. În acest caz, adversarul poate citi mesajul și, prin urmare, își poate crea codul hash. Dar, din moment ce adversarul nu are cheia secretă, el nu are cum să schimbe mesajul fără ca destinatarul să-l detecteze. Dacă această proprietate nu este satisfăcută, atacatorul are posibilitatea de a efectua următoarea secvență de acțiuni: interceptarea mesajului și codul hash criptat al acestuia, calcularea codului hash al mesajului, crearea unui mesaj alternativ cu același cod hash, înlocuirea originalului mesaj cu unul fals. Deoarece hashurile acestor mesaje sunt aceleași, destinatarul nu va detecta falsificarea.

Se numește o funcție hash care satisface primele cinci proprietăți simplu sau slab funcția hash. Dacă, în plus, a șasea proprietate este îndeplinită, atunci o astfel de funcție este numită puternic funcția hash. A șasea proprietate protejează împotriva unei clase de atacuri cunoscute sub numele de atacul zilei de naștere.

Toate funcțiile hash sunt efectuate după cum urmează. Valoarea de intrare (mesaj, fișier etc.) este considerată ca o secvență n-blocuri de biți. Valoarea de intrare este procesată secvenţial bloc cu bloc şi a m- valoarea de biți a codului hash.

Unul dintre cele mai simple exemple de funcție hash este să XOR pe biți fiecare bloc:

CU i = b i 1 XOR b i2 XOR. . . XOR b ik ,

Unde CU i – i Al doilea bit din codul hash, i = 1, …, n;

k- număr n-blocuri de intrare de biți;

b ij –i al-lea înăuntru j blocul.

Rezultatul este un cod hash de lungime n, cunoscut sub numele de control longitudinal în exces. Acest lucru este eficient pentru eșecurile ocazionale de verificare a integrității datelor.

9.6.6. DES AND GOST-28147. DES (Data Encryption Standard) este un algoritm cu chei simetrice, de ex. o cheie este utilizată atât pentru criptarea, cât și pentru decriptarea mesajelor. Dezvoltat de IBM și aprobat de guvernul SUA în 1977 ca standard oficial pentru protejarea informațiilor care nu sunt secrete de stat.

DES are blocuri de 64 de biți, se bazează pe o permutare de 16 ori a datelor și folosește o cheie de 56 de biți pentru criptare. Există mai multe moduri DES, cum ar fi Electronic Code Book (ECB) și Cipher Block Chaining (CBC). 56 de biți sunt 8 caractere ASCII de șapte biți, adică Parola nu poate avea mai mult de 8 litere. Dacă, în plus, utilizați doar litere și cifre, atunci numărul de opțiuni posibile va fi semnificativ mai mic decât maximul posibil de 256.

Unul dintre pașii algoritmului DES. Blocul de date de intrare este împărțit la jumătate la stânga ( L") și dreapta ( R") piese. După aceasta, matricea de ieșire este formată astfel încât partea stângă L"" reprezentată de partea dreaptă R" intrare și dreapta R"" format ca o sumă L"Şi R" Operații XOR. Apoi, matricea de ieșire este criptată prin permutare cu înlocuire. Vă puteți asigura că toate operațiunile efectuate pot fi inversate și decriptarea este efectuată într-un număr de operațiuni care depinde liniar de dimensiunea blocului. Algoritmul este prezentat schematic în Fig. 9.4.

Orez. 9.4. Diagrama algoritmului DES

După mai multe astfel de transformări, putem considera că fiecare bit al blocului de criptare de ieșire poate depinde de fiecare bit al mesajului.

În Rusia există un analog al algoritmului DES, care funcționează pe același principiu al unei chei secrete. GOST 28147 a fost dezvoltat cu 12 ani mai târziu decât DES și are un grad mai mare de protecție. Caracteristicile lor comparative sunt prezentate în tabel. 9.3.

Tabelul 9.3

9.6.7. Steganografie. Steganografie- aceasta este o metodă de organizare a comunicării care ascunde de fapt însăși prezența comunicării. Spre deosebire de criptografie, unde un adversar poate determina cu precizie dacă un mesaj transmis este text criptat, tehnicile de steganografie permit ca mesajele secrete să fie încorporate în mesaje inofensive, astfel încât este imposibil să bănuiești existența unui mesaj secret încorporat.

Cuvântul „steganografie” tradus din greacă înseamnă literal „scriere secretă” (steganos - secret, secret; grafică - înregistrare). Aceasta include o mare varietate de mijloace secrete de comunicare, cum ar fi cerneală invizibilă, microfotografii, aranjarea convențională a semnelor, canale secrete și mijloace de comunicare pe frecvențe flotante etc.

Steganografia își ocupă nișa în securitate: nu înlocuiește, ci completează criptografia. Ascunderea unui mesaj folosind metode de steganografie reduce semnificativ probabilitatea detectării faptului însuși al transmiterii mesajului. Și dacă acest mesaj este și criptat, atunci are încă un nivel suplimentar de protecție.

În prezent, datorită dezvoltării rapide a tehnologiei informatice și a noilor canale de transmitere a informațiilor, au apărut noi metode steganografice, care se bazează pe particularitățile prezentării informațiilor în fișiere de computer, rețele de calculatoare etc. Acest lucru ne oferă posibilitatea de a vorbi despre formarea unei noi direcţii - steganografia computerizată .

În ciuda faptului că steganografia ca metodă de a ascunde datele secrete este cunoscută de mii de ani, steganografia computerizată este un domeniu tânăr și în curs de dezvoltare.

Sistem steganografic sau stegosistem– un set de mijloace și metode care sunt folosite pentru a forma un canal secret pentru transmiterea informațiilor.

La construirea unui stegosistem, trebuie luate în considerare următoarele prevederi:

Adversarul are o înțelegere completă a sistemului steganografic și a detaliilor implementării acestuia. Singura informație care rămâne necunoscută unui potențial adversar este cheia, cu ajutorul căreia doar deținătorul acesteia poate stabili prezența și conținutul unui mesaj ascuns.

Dacă un adversar devine cumva conștient de existența unui mesaj ascuns, acest lucru nu ar trebui să-i permită să extragă mesaje similare în alte date atâta timp cât cheia este ținută secretă.

Un potențial adversar trebuie să fie privat de orice avantaje tehnice sau de altă natură în recunoașterea sau dezvăluirea conținutului mesajelor secrete.

Un model generalizat al stegosistemului este prezentat în Fig. 9.5.

Orez. 9.5. Model stegosistem generalizat

Ca date Se poate folosi orice informație: text, mesaj, imagine etc.

În cazul general, este recomandabil să folosiți cuvântul „mesaj”, deoarece un mesaj poate fi fie text, fie o imagine, fie, de exemplu, date audio. În cele ce urmează, vom folosi termenul mesaj pentru a desemna informații ascunse.

Container– orice informație menită să ascundă mesaje secrete.

Stegokey sau pur și simplu o cheie - o cheie secretă necesară pentru a ascunde informații. În funcție de numărul de niveluri de securitate (de exemplu, încorporarea unui mesaj pre-criptat), pot exista una sau mai multe stegokeys într-un stegosistem.

Prin analogie cu criptografie, pe baza tipului de stegokey, stegosistemele pot fi împărțite în două tipuri:

cu o cheie secretă;

cu o cheie publică.

Un stegosistem cu chei secrete utilizează o singură cheie, care trebuie determinată fie înainte ca mesajele secrete să fie schimbate, fie transmise printr-un canal securizat.

Într-un stegosistem cu chei publice, diferite chei sunt folosite pentru a încorpora și extrage un mesaj, care diferă în așa fel încât nu este posibil să se deducă computațional o cheie de la cealaltă. Prin urmare, o cheie (publică) poate fi transmisă liber printr-un canal de comunicare nesigur. În plus, această schemă funcționează bine și atunci când există neîncredere reciprocă între expeditor și destinatar.

În prezent se poate distinge trei Direcții de aplicare a steganografiei care sunt strâns legate între ele și au aceleași rădăcini: ascunderea datelor(mesaje), filigrane digitaleŞi antete.

Ascunderea datelor injectate, care în cele mai multe cazuri sunt mari, impune cerințe serioase containerului: dimensiunea containerului trebuie să fie de câteva ori mai mare decât dimensiunea datelor încorporate.

Filigrane digitale sunt folosite pentru a proteja drepturile de autor sau de proprietate asupra imaginilor digitale, fotografiilor sau a altor opere de artă digitalizate. Principalele cerințe pentru astfel de date încorporate sunt fiabilitatea și rezistența la distorsiuni. Filigranele digitale au dimensiuni mici, dar având în vedere cerințele de mai sus, încorporarea lor necesită metode mai complexe decât simpla încorporare a mesajelor sau a antetelor.

Titluri utilizat în principal pentru etichetarea imaginilor din depozite electronice mari (biblioteci) de imagini digitale, fișiere audio și video. În acest caz, metodele steganografice sunt utilizate nu numai pentru a introduce un antet de identificare, ci și alte caracteristici individuale ale fișierului. Anteturile încorporate sunt de dimensiuni mici, iar cerințele pentru ele sunt minime: anteturile trebuie să introducă distorsiuni minore și să fie rezistente la transformările geometrice de bază.

Criptografia computerizată se bazează pe mai multe principii:

Mesajul poate fi trimis folosind codificarea zgomotului. Va fi dificil de detectat pe fundalul zgomotului hardware din linia telefonică sau cablurile de rețea.

Mesajele pot fi plasate în fișiere sau spații pe disc fără a pierde funcționalitatea.

Simțurile umane nu sunt capabile să distingă micile schimbări de culoare, imagine sau sunet. Acest lucru se aplică datelor care poartă informații redundante. De exemplu, audio pe 16 biți sau imagine pe 24 de biți.

Modificarea valorilor biților responsabili pentru culoarea unui pixel nu va duce la o schimbare vizibilă a culorii. Aceasta include și metoda fonturilor ascunse. Se fac distorsiuni subtile în contururile literelor care vor purta o încărcătură semantică. Puteți insera simboluri similare într-un document Microsoft Word care conține un mesaj ascuns.

Cel mai comun și unul dintre cele mai bune produse software pentru steganografie este S-Tools (statutul freeware). Vă permite să ascundeți orice fișiere în formatele GIF, BMP și WAV. Efectuează comprimarea (arhivarea) controlată a datelor. În plus, efectuează criptarea utilizând algoritmi MCD, DES, triple-DES, IDEA (opțional). Fișierul grafic rămâne fără modificări vizibile, se schimbă doar nuanțele. De asemenea, sunetul rămâne fără modificări vizibile. Chiar dacă apar suspiciuni, este imposibil să se stabilească faptul că S-Tools este folosit fără a cunoaște parola. 9.6.8. Certificarea și standardizarea criptosistemelor.

Toate statele acordă o atenție deosebită problemelor de criptare. Există încercări constante de a impune anumite limite, interdicții și alte restricții privind producerea, utilizarea și exportul instrumentelor criptografice. De exemplu, în Rusia, importul și exportul de mijloace de securitate a informațiilor, în special mijloace criptografice, este autorizat în conformitate cu Decretul președintelui Federației Ruse din 3 aprilie 1995 nr. 334 și cu Decretul Guvernului Federației Ruse din data de 3 aprilie 1995. 15 aprilie 1994 nr. 331.

Pentru un nespecialist, dovada de fiabilitate poate fi opinia experților independenți competenți. Aici a apărut sistemul de certificare. Toate sistemele de securitate a informațiilor sunt supuse acesteia, astfel încât întreprinderile și instituțiile să le poată utiliza oficial. Nu este interzisă utilizarea sistemelor necertificate, dar în acest caz vă asumați întregul risc ca acesta să nu fie suficient de fiabil sau să aibă „uși din spate”. Dar pentru a vinde produse de securitate a informațiilor, certificarea este necesară. Astfel de prevederi se aplică în Rusia și în majoritatea țărilor.

Singurul nostru organism autorizat să efectueze certificarea este Agenția Federală pentru Comunicații și Informații Guvernamentale sub președintele Federației Ruse (FAPSI). Acest organism abordează problemele de certificare cu foarte mare atenție. Foarte puține dezvoltări de la companii terțe au reușit să obțină un certificat FAPSI.

În plus, FAPSI licențiază activitățile întreprinderilor legate de dezvoltarea, producerea, vânzarea și operarea instrumentelor de criptare, precum și a mijloacelor tehnice securizate de stocare, prelucrare și transmitere a informațiilor, furnizând servicii în domeniul criptării informațiilor (Decretul Președintelui al Federației Ruse din 3 aprilie 1995 nr. 334 „Cu privire la măsurile de respectare a legii în dezvoltarea producției, vânzării și exploatării instrumentelor de criptare, precum și furnizarea de servicii în domeniul criptării informațiilor” și Legea al Federației Ruse „Cu privire la organismele de comunicare și informare ale guvernului federal”).

Pentru certificare, o condiție prealabilă este respectarea standardelor la dezvoltarea sistemelor de securitate a informațiilor. Standardele îndeplinesc o funcție similară. Ele permit, fără a efectua cercetări complexe, costisitoare și nu întotdeauna posibile, să câștige încredere că un anumit algoritm oferă protecție cu un grad suficient de fiabilitate.

9.6.9. Arhive criptate. Multe programe de aplicație includ o funcție de criptare. Iată exemple de unele instrumente software care au capabilități de criptare.

Programele de arhivare (de exemplu, WinZip) au opțiunea de a cripta informațiile arhivate. Poate fi folosit pentru informații care nu sunt prea importante. În primul rând, metodele de criptare folosite acolo nu sunt foarte fiabile (supuse restricțiilor oficiale de export), iar în al doilea rând, nu sunt descrise în detaliu. Toate acestea nu ne permit să mizăm serios pe o astfel de protecție. Arhivele cu o parolă pot fi folosite numai pentru utilizatori „obișnuiți” sau pentru informații necritice.

Pe unele site-uri de Internet puteți găsi programe pentru deschiderea arhivelor criptate. De exemplu, o arhivă ZIP poate fi deschisă pe un computer bun în câteva minute și nu sunt necesare calificări speciale de la utilizator.

Nota. Programe pentru ghicirea parolelor: Ultra Zip Password Cracker 1.00 – Un program rapid pentru ghicirea parolelor pentru arhivele criptate. Interfață rusă/engleză. Win"95/98/NT. (Developer - "m53group") Advanced ZIP Password Recovery 2.2 - Un program puternic pentru selectarea parolelor pentru arhivele ZIP. Viteză mare, interfață grafică, funcții suplimentare. OS: Windows95/98/NT. Companie de dezvoltare – „Elcom Ltd.”, shareware.

Criptare în MS Word și MS Excel. Microsoft a inclus o oarecare aparență de protecție criptografică în produsele sale. Dar această protecție este foarte instabilă. În plus, algoritmul de criptare nu este descris, ceea ce este un indicator al nefiabilității. În plus, există dovezi că Microsoft lasă o „uşă din spate” în algoritmii cripto pe care îi foloseşte. Dacă trebuie să decriptați un fișier pentru care ați pierdut parola, puteți contacta compania. La cererea oficială, cu motive rezonabile, aceștia decriptează fișierele MS Word și MS Excel. Apropo, alți producători de software fac același lucru.

Unități criptate (directoare). Criptarea este o metodă destul de fiabilă de a proteja informațiile de pe un hard disk. Cu toate acestea, dacă cantitatea de informații care trebuie închisă nu este limitată la două sau trei fișiere, atunci este destul de dificil să lucrați cu ea: de fiecare dată va trebui să decriptați fișierele și, după editare, să le criptați înapoi. În acest caz, copiile de siguranță ale fișierelor pe care le creează mulți editori pot rămâne pe disc. Prin urmare, este convenabil să folosiți programe speciale (drivere) care criptează și decriptează automat toate informațiile atunci când le scriu pe disc și le citesc de pe disc.

În concluzie, observăm că politica de securitate este definită ca un set de decizii de management documentate care vizează protejarea informațiilor și a resurselor asociate. La dezvoltarea și implementarea acestuia, este recomandabil să vă ghidați după următoarele principii de bază:

Incapacitatea de a ocoli echipamentul de protecție. Toate fluxurile de informații către și dinspre rețeaua protejată trebuie să treacă prin măsuri de securitate. Nu ar trebui să existe intrări secrete de modem sau linii de test care să ocolească securitatea.

Consolidarea verigii celei mai slabe. Fiabilitatea oricărei protecții este determinată de cea mai slabă verigă, deoarece atacatorii o sparg. Adesea, cea mai slabă verigă nu este un computer sau un program, ci o persoană, iar atunci problema asigurării securității informațiilor devine de natură non-tehnică.

Incapacitatea de a intra într-o stare nesigură.

Principiul imposibilității trecerii la o stare nesigură înseamnă că în orice circumstanțe, inclusiv în cele anormale, dispozitivul de protecție fie își îndeplinește pe deplin funcțiile, fie blochează complet accesul. Minimizarea privilegiilor

. Principiul celui mai mic privilegiu impune ca utilizatorilor și administratorilor să li se acorde doar acele drepturi de acces de care au nevoie pentru a-și îndeplini responsabilitățile profesionale. Separarea sarcinilor

. Principiul separării sarcinilor presupune o repartizare a rolurilor și responsabilităților în care o singură persoană nu poate perturba un proces critic pentru organizație. Nivel de apărare

. Principiul apărării eșalonate prescrie să nu se bazeze pe o singură linie defensivă. Apărarea în profunzime poate întârzia cel puțin un atacator și poate face mult mai dificilă efectuarea de acțiuni rău intenționate neobservate. O varietate de echipamente de protecție

. Principiul diversității mijloacelor de protecție recomandă organizarea unor linii defensive de natură diferită, astfel încât unui potențial atacator i se cere să stăpânească o varietate de abilități, dacă este posibil, incompatibile. Simplitatea și controlabilitatea sistemului informațional

. Principiul simplității și gestionabilității prevede că doar într-un sistem simplu și gestionabil se poate verifica consistența configurației diferitelor componente și se poate realiza o administrare centralizată.