Phương tiện mật mã. Bảo vệ thông tin mật mã

Thuật ngữ "mật mã" xuất phát từ tiếng Hy Lạp cổ "ẩn" và "viết". Cụm từ thể hiện mục đích chính của mật mã - bảo vệ và lưu giữ bí mật của thông tin được truyền đi. Bảo vệ thông tin có thể xảy ra theo nhiều cách khác nhau. Ví dụ: bằng cách hạn chế quyền truy cập vật lý vào dữ liệu, ẩn kênh truyền, tạo khó khăn vật lý trong việc kết nối với đường truyền thông, v.v.

Mục đích của mật mã

Không giống như các phương pháp viết bí mật truyền thống, mật mã đảm bảo khả năng truy cập đầy đủ của kênh truyền cho kẻ tấn công và đảm bảo tính bảo mật và tính xác thực của thông tin bằng cách sử dụng thuật toán mã hóa khiến thông tin không thể truy cập được đối với người ngoài. Hệ thống bảo vệ thông tin mật mã hiện đại (CIPS) là một tổ hợp máy tính phần mềm và phần cứng cung cấp khả năng bảo vệ thông tin theo các thông số chính sau.

Bảo mật- những người không có quyền truy cập thích hợp không thể đọc được thông tin. Thành phần chính để đảm bảo tính bảo mật trong CIPF là khóa, là sự kết hợp chữ và số duy nhất để người dùng truy cập vào một khối CIPF cụ thể.
Chính trực- không thể thay đổi trái phép, chẳng hạn như chỉnh sửa và xóa thông tin. Để thực hiện điều này, thông tin dự phòng được thêm vào thông tin gốc dưới dạng kết hợp xác minh, được tính toán bằng thuật toán mã hóa và tùy thuộc vào khóa. Như vậy, nếu không biết khóa thì việc thêm hoặc thay đổi thông tin sẽ không thể thực hiện được.
Xác thực- xác nhận tính xác thực của thông tin và các bên gửi và nhận thông tin đó. Thông tin truyền qua các kênh liên lạc phải được xác thực duy nhất về nội dung, thời gian tạo và truyền, nguồn và người nhận. Cần nhớ rằng nguồn gốc của các mối đe dọa không chỉ có thể đến từ kẻ tấn công mà còn từ các bên liên quan đến việc trao đổi thông tin không đủ tin cậy lẫn nhau. Để ngăn chặn những tình huống như vậy, CIPF sử dụng hệ thống tem thời gian để ngăn chặn việc gửi thông tin lặp lại hoặc đảo ngược và thay đổi thứ tự của nó.

Quyền tác giả- xác nhận và không thể từ chối các hành động được thực hiện bởi người sử dụng thông tin. Phương pháp xác thực phổ biến nhất là hệ thống EDS bao gồm hai thuật toán: để tạo chữ ký và để xác minh nó. Khi làm việc chuyên sâu với ECC nên sử dụng các trung tâm chứng nhận phần mềm để tạo và quản lý chữ ký. Các trung tâm như vậy có thể được triển khai như một công cụ CIPF hoàn toàn độc lập với cấu trúc bên trong. Điều này có ý nghĩa gì đối với tổ chức? Điều này có nghĩa là tất cả các giao dịch đều được xử lý bởi các tổ chức được chứng nhận độc lập và việc làm giả mạo quyền tác giả gần như không thể xảy ra.

Thuật toán mã hóa

Hiện tại, các thuật toán mã hóa mở sử dụng khóa đối xứng và bất đối xứng với độ dài đủ để cung cấp độ phức tạp mật mã cần thiết chiếm ưu thế trong CIPF. Các thuật toán phổ biến nhất:

khóa đối xứng - R-28147.89 của Nga, AES, DES, RC4;
khóa bất đối xứng - RSA;
sử dụng hàm băm - R-34.11.94, MD4/5/6, SHA-1/2.

Nhiều quốc gia có tiêu chuẩn quốc gia riêng, ở Hoa Kỳ sử dụng thuật toán AES sửa đổi với độ dài khóa 128-256 bit, còn ở Liên bang Nga, thuật toán chữ ký điện tử R-34.10.2001 và thuật toán mã hóa khối R- 28147.89 với khóa 256 bit. Một số thành phần của hệ thống mật mã quốc gia bị cấm xuất khẩu ra nước ngoài; các hoạt động phát triển CIPF cần phải có giấy phép.

Hệ thống bảo vệ mật mã phần cứng

CIPF phần cứng là các thiết bị vật lý chứa phần mềm mã hóa, ghi và truyền thông tin. Các thiết bị mã hóa có thể được chế tạo dưới dạng thiết bị cá nhân, chẳng hạn như bộ mã hóa USB ruToken và ổ flash IronKey, thẻ mở rộng cho máy tính cá nhân, bộ chuyển mạch và bộ định tuyến mạng chuyên dụng, trên cơ sở đó có thể xây dựng mạng máy tính hoàn toàn an toàn.

CIPF phần cứng được cài đặt nhanh chóng và hoạt động ở tốc độ cao. Nhược điểm - cao, so với phần mềm và phần cứng-phần mềm CIPF, chi phí và khả năng nâng cấp hạn chế.

Cũng bao gồm trong danh mục phần cứng là các đơn vị CIPF được tích hợp trong các thiết bị ghi và truyền dữ liệu khác nhau yêu cầu mã hóa và hạn chế quyền truy cập thông tin. Những thiết bị như vậy bao gồm máy đo tốc độ ô tô ghi lại các thông số của xe, một số loại thiết bị y tế, v.v. Để vận hành đầy đủ các hệ thống như vậy, cần phải kích hoạt riêng mô-đun CIPF bởi các chuyên gia của nhà cung cấp.

Hệ thống bảo vệ mật mã phần mềm

Phần mềm hệ thống bảo vệ thông tin mật mã chủ yếu được sử dụng trên Internet, trên máy tính gia đình và các khu vực khác, nơi yêu cầu về chức năng và tính ổn định của hệ thống không cao lắm. Hay như trường hợp của Internet, khi bạn phải tạo nhiều kết nối an toàn khác nhau cùng một lúc.

Bảo vệ mật mã phần mềm và phần cứng

Kết hợp những phẩm chất tốt nhất của hệ thống CIPF phần cứng và phần mềm. Đây là cách đáng tin cậy và hữu dụng nhất để tạo ra các hệ thống và mạng dữ liệu an toàn. Tất cả các tùy chọn để nhận dạng người dùng đều được hỗ trợ, cả phần cứng (ổ USB hoặc thẻ thông minh) và “truyền thống” - đăng nhập và mật khẩu. CIPF phần mềm và phần cứng hỗ trợ tất cả các thuật toán mã hóa hiện đại, có nhiều chức năng để tạo luồng tài liệu an toàn dựa trên chữ ký số và tất cả các chứng chỉ bắt buộc của chính phủ. Việc cài đặt CIPF được thực hiện bởi nhân viên phát triển có trình độ.

Công ty "CRYPTO-PRO"

Một trong những người dẫn đầu thị trường mật mã Nga. Công ty phát triển đầy đủ các chương trình bảo vệ thông tin bằng chữ ký số dựa trên thuật toán mật mã quốc tế và Nga.

Các chương trình của công ty được sử dụng trong quản lý tài liệu điện tử của các tổ chức thương mại và chính phủ, để nộp báo cáo kế toán và thuế, trong các chương trình ngân sách và thành phố khác nhau, v.v. Công ty đã cấp hơn 3 triệu giấy phép cho chương trình CryptoPRO CSP và 700 giấy phép để chứng nhận các trung tâm. Crypto-PRO cung cấp cho các nhà phát triển các giao diện để nhúng các phần tử bảo vệ mật mã vào giao diện của riêng họ và cung cấp đầy đủ các dịch vụ tư vấn để tạo CIPF.

Nhà cung cấp tiền điện tử CryptoPro

Khi phát triển kiến trúc mật mã của Nhà cung cấp dịch vụ mật mã được tích hợp trong hệ điều hành Windows, Nhà cung cấp dịch vụ mật mã đã được sử dụng. Kiến trúc cho phép bạn kết nối các mô-đun độc lập bổ sung để triển khai các thuật toán mã hóa cần thiết. Với sự trợ giúp của các mô-đun hoạt động thông qua các chức năng CryptoAPI, việc bảo vệ bằng mật mã có thể được triển khai bằng cả phần mềm và phần cứng CIPF.

Các nhà cung cấp dịch vụ chính

Có thể sử dụng nhiều loại khóa riêng khác nhau:

thẻ thông minh và đầu đọc;
ổ khóa điện tử và đầu đọc hoạt động với thiết bị Touch Memory;
nhiều loại USB và ổ USB di động;
Các tệp đăng ký hệ thống Windows, Solaris, Linux.

Chức năng của nhà cung cấp tiền điện tử

CIPF CryptoPro CSP được FAPSI chứng nhận đầy đủ và có thể được sử dụng cho:

2. Hoàn toàn bảo mật, xác thực và toàn vẹn dữ liệu bằng cách sử dụng bảo vệ mã hóa và mô phỏng theo tiêu chuẩn mã hóa của Nga và giao thức TLS.

3. Kiểm tra, giám sát tính toàn vẹn của mã chương trình để ngăn chặn những thay đổi và truy cập trái phép.

4. Xây dựng quy định bảo vệ hệ thống.

Các nhiệm vụ chính của việc bảo vệ thông tin trong quá trình lưu trữ, xử lý và truyền tải qua các kênh liên lạc và trên các phương tiện khác nhau, được giải quyết với sự trợ giúp của CIPF, là: 1.

Đảm bảo tính bí mật (bí mật) của thông tin. 2.

Đảm bảo tính toàn vẹn thông tin. 3.

Xác nhận tính xác thực của thông tin (tài liệu). Để giải quyết những vấn đề này cần thực hiện các biện pháp sau

các quá trình: 1.

Thực hiện các chức năng bảo vệ thông tin thực tế, bao gồm:

mã hóa/giải mã; tạo/xác thực chữ ký số; tạo/kiểm tra các phần chèn mô phỏng. 2.

Theo dõi tình trạng và quản lý hoạt động của các công cụ KZI (trong hệ thống):

giám sát trạng thái: phát hiện và đăng ký các trường hợp trục trặc của các công cụ bảo mật kỹ thuật số, các nỗ lực truy cập trái phép, các trường hợp xâm phạm khóa;

quản lý vận hành: thực hiện các biện pháp trong trường hợp có những sai lệch được liệt kê so với hoạt động bình thường của các cơ sở CIS. 3.

Thực hiện bảo trì cơ sở vật chất KZI: thực hiện quản lý trọng điểm;

thực hiện các thủ tục liên quan đến kết nối thuê bao mạng mới và/hoặc loại trừ thuê bao rời đi; loại bỏ những tồn tại đã được xác định của CIPF; giới thiệu các phiên bản mới của phần mềm CIPF;

hiện đại hóa và thay thế các phương tiện kỹ thuật của CIPF bằng các phương tiện kỹ thuật tiên tiến hơn và/hoặc thay thế các phương tiện đã hết tuổi thọ sử dụng.

Quản lý khóa là một trong những chức năng quan trọng nhất của bảo vệ thông tin mật mã và bao gồm việc thực hiện các chức năng chính sau:

tạo khóa: xác định cơ chế tạo khóa hoặc cặp khóa với sự đảm bảo về chất lượng mật mã của chúng;

phân phối khóa: xác định cơ chế theo đó các khóa được phân phối một cách đáng tin cậy và an toàn cho người đăng ký;

lưu trữ khóa: xác định cơ chế theo đó các khóa được lưu trữ an toàn và đáng tin cậy để sử dụng trong tương lai;

khôi phục khóa: xác định cơ chế khôi phục một trong các khóa (thay thế nó bằng khóa mới);

hủy khóa: xác định cơ chế phá hủy các khóa lỗi thời một cách an toàn;

kho lưu trữ khóa: một cơ chế trong đó các khóa có thể được lưu trữ an toàn để phục hồi sau khi được công chứng trong các tình huống xung đột.

Nói chung, để thực hiện các chức năng bảo vệ thông tin mật mã được liệt kê, cần tạo ra một hệ thống bảo vệ thông tin mật mã kết hợp chính các công cụ bảo mật kỹ thuật số, nhân viên phục vụ, cơ sở, thiết bị văn phòng, nhiều tài liệu khác nhau (kỹ thuật, quy định và hành chính) , vân vân.

Như đã lưu ý, để có được sự đảm bảo về bảo mật thông tin, cần phải sử dụng các công cụ bảo mật kỹ thuật số được chứng nhận.

Hiện nay, vấn đề phổ biến nhất là bảo vệ thông tin bí mật. Để giải quyết vấn đề này, dưới sự bảo trợ của FAPSI, một bộ công cụ hoàn chỉnh về mặt chức năng để bảo vệ thông tin bí mật bằng mật mã đã được phát triển, cho phép giải quyết các vấn đề được liệt kê về bảo vệ thông tin cho nhiều ứng dụng và điều kiện sử dụng khác nhau.

Tổ hợp này dựa trên lõi mật mã “Verba” (hệ thống khóa bất đối xứng) và “Verba-O” (hệ thống khóa đối xứng). Các lõi mật mã này cung cấp các quy trình mã hóa dữ liệu theo yêu cầu của GOST 28147-89 "Hệ thống xử lý thông tin. Bảo vệ bằng mật mã" và chữ ký số theo yêu cầu của GOST R34.10-94 "Công nghệ thông tin. Bảo vệ thông tin mật mã. Quy trình cho tạo và xác minh chữ ký số điện tử dựa trên thuật toán mật mã bất đối xứng.”

Các công cụ có trong tổ hợp CIPF cho phép bạn bảo vệ các tài liệu và luồng thông tin điện tử bằng cách sử dụng các cơ chế mã hóa và chữ ký điện tử được chứng nhận trong hầu hết các công nghệ thông tin hiện đại, bao gồm cả việc cho phép bạn: sử dụng CIPF ở chế độ ngoại tuyến;

trao đổi thông tin an toàn ở chế độ ngoại tuyến; trao đổi thông tin an toàn trực tuyến; được bảo vệ không đồng nhất, tức là trao đổi thông tin hỗn hợp.

Để giải quyết các vấn đề mang tính hệ thống khi sử dụng CIPF, dưới sự lãnh đạo của D. A. Starovoitov, công nghệ Vityaz bảo vệ thông tin mật mã phức tạp đã được phát triển, cung cấp khả năng bảo vệ dữ liệu mật mã trong tất cả các bộ phận của hệ thống cùng một lúc: không chỉ trong các kênh liên lạc và các nút hệ thống, mà còn cũng trực tiếp tại nơi làm việc của người dùng trong quá trình tạo tài liệu, khi bản thân tài liệu đó được bảo vệ.

Ngoài ra, trong khuôn khổ công nghệ Vityaz chung, một công nghệ đơn giản hóa mà người dùng có thể dễ dàng tiếp cận để nhúng CIPF được cấp phép vào các hệ thống ứng dụng khác nhau đã được cung cấp, giúp phạm vi sử dụng của các CIPF này rất rộng.

Dưới đây là mô tả về các phương tiện và phương pháp bảo vệ cho từng chế độ được liệt kê.

Sử dụng CIPF ở chế độ ngoại tuyến.

Khi làm việc độc lập với CIPF, các loại bảo vệ thông tin mật mã sau đây có thể được triển khai: tạo tài liệu được bảo vệ; bảo vệ tập tin;

tạo một hệ thống tập tin an toàn; tạo một ổ đĩa logic được bảo vệ. Theo yêu cầu của người dùng, các loại bảo vệ mật mã tài liệu (tệp) sau đây có thể được triển khai:

mã hóa tài liệu (tệp), khiến nội dung của nó không thể truy cập được cả khi lưu trữ tài liệu (tệp) và khi truyền nó qua các kênh liên lạc hoặc bằng tay;

phát triển phần chèn mô phỏng, đảm bảo kiểm soát tính toàn vẹn của tài liệu (tệp);

tạo chữ ký số điện tử, đảm bảo kiểm soát tính toàn vẹn của tài liệu (tệp) và xác thực của người ký tài liệu (tệp).

Do đó, tài liệu (tệp) được bảo vệ sẽ biến thành một tệp được mã hóa có chứa chữ ký số điện tử, nếu cần. Chữ ký số, tùy thuộc vào cách tổ chức quá trình xử lý thông tin, có thể được trình bày dưới dạng một tệp riêng biệt với tài liệu được ký. Sau đó, tệp này có thể được xuất ra đĩa mềm hoặc phương tiện khác để gửi bằng chuyển phát nhanh hoặc gửi qua bất kỳ e-mail có sẵn nào, chẳng hạn như qua Internet.

Theo đó, khi nhận được tệp được mã hóa qua e-mail hoặc trên phương tiện này hoặc phương tiện khác, các bước bảo vệ mật mã được thực hiện sẽ được thực hiện theo thứ tự ngược lại (giải mã, xác minh hàng nhái, xác minh chữ ký số).

Để thực hiện công việc tự chủ với CIPF, có thể sử dụng các công cụ được chứng nhận sau:

trình soạn thảo văn bản "Lexicon-Verba", được triển khai trên cơ sở CIPF "Verba-O" và CIPF "Verba";

Gói phần mềm CIPF “Autonomous Workplace”, được triển khai trên nền tảng CIPF “Verba” và “Verba-O” cho Windows 95/98/NT;

trình điều khiển đĩa mật mã PTS "DiskGuard".

Trình xử lý văn bản an toàn "Lexicon-Verba".

Hệ thống Lexikon-Verba là một trình soạn thảo văn bản đầy đủ tính năng hỗ trợ mã hóa tài liệu và chữ ký số điện tử. Để bảo vệ tài liệu, nó sử dụng hệ thống mật mã Verba và Verba-O. Điều làm cho sản phẩm này trở nên độc đáo là chức năng ký và mã hóa văn bản chỉ được đưa vào như một phần chức năng của trình soạn thảo văn bản hiện đại. Mã hóa và ký tài liệu trong trường hợp này biến từ các quy trình đặc biệt thành các hành động tiêu chuẩn đơn giản khi làm việc với tài liệu.

Đồng thời, hệ thống Lexicon-Verba trông giống như một trình soạn thảo văn bản thông thường. Các tùy chọn định dạng văn bản bao gồm tùy chỉnh đầy đủ phông chữ và đoạn văn của tài liệu; bảng và danh sách; tiêu đề, chú thích cuối trang, thanh bên; sử dụng các kiểu và nhiều chức năng khác của trình soạn thảo văn bản đáp ứng các yêu cầu hiện đại. "Lexicon-Verba" cho phép bạn tạo và chỉnh sửa tài liệu ở các định dạng Lexicon, RTF, MS Word 6/95/97, MS Write.

Nơi làm việc tự chủ.

CIPF "Nơi làm việc tự động" được triển khai trên cơ sở CIPF "Verba" và "Verba-O" cho Windows 95/98/NT và cho phép người dùng thực hiện các chức năng sau một cách tương tác:

mã hóa/giải mã tập tin bằng khóa; mã hóa/giải mã tập tin bằng mật khẩu; gắn/bớt/xác thực chữ ký số điện tử (EDS) trong hồ sơ;

kiểm tra các tập tin được mã hóa;

gắn chữ ký số + mã hóa (trong một thao tác) của tập tin; giải mã + xóa chữ ký số (trong một hành động) trong tệp;

tính toán tập tin băm.

CIPF "Nơi làm việc tự trị" được khuyến khích sử dụng cho công việc hàng ngày của những nhân viên cần cung cấp:

chuyển thông tin bí mật bằng điện tử bằng chuyển phát nhanh hoặc chuyển phát nhanh;

gửi thông tin bí mật qua mạng công cộng, bao gồm cả Internet;

bảo vệ chống truy cập trái phép vào thông tin bí mật trên máy tính cá nhân của nhân viên.

Mật mã học (từ tiếng Hy Lạp cổ κρυπτος - ẩn và γραϕω - tôi viết) là khoa học về các phương pháp đảm bảo tính bảo mật và tính xác thực của thông tin.

Mật mã học là một tập hợp các phương pháp chuyển đổi dữ liệu nhằm mục đích làm cho dữ liệu trở nên vô dụng đối với kẻ tấn công. Những chuyển đổi như vậy cho phép chúng tôi giải quyết hai vấn đề chính liên quan đến bảo mật thông tin:

bảo vệ quyền riêng tư;
bảo vệ tính toàn vẹn.

Các vấn đề về bảo vệ bí mật và toàn vẹn thông tin có liên quan chặt chẽ với nhau nên các phương pháp giải quyết một trong hai vấn đề này thường được áp dụng để giải quyết vấn đề kia.

Có nhiều cách tiếp cận khác nhau để phân loại các phương pháp chuyển đổi mật mã thông tin. Dựa trên loại tác động lên thông tin gốc, các phương pháp chuyển đổi mật mã thông tin có thể được chia thành bốn nhóm:

Người gửi tạo bản rõ của tin nhắn gốc M, phải được truyền đến người nhận hợp pháp qua kênh không an toàn. Kẻ nghe trộm giám sát kênh với mục tiêu chặn và tiết lộ thông điệp được truyền đi. Để ngăn chặn người chặn tìm hiểu nội dung của tin nhắn M, người gửi mã hóa nó bằng cách sử dụng một phép biến đổi thuận nghịch ek và nhận được bản mã (hoặc mật mã) C=Ek(M), được gửi đến người nhận.

Người nhận hợp pháp bằng cách chấp nhận bản mã VỚI, giải mã nó bằng cách sử dụng phép biến đổi nghịch đảo Đk(C) và nhận được tin nhắn gốc ở dạng bản rõ M.

chuyển đổi ekđược chọn từ một họ các phép biến đổi mật mã được gọi là thuật toán mật mã. Tham số mà một phép biến đổi cụ thể được chọn được gọi là khóa mật mã ĐẾN.

Hệ thống mật mã có các tùy chọn triển khai khác nhau: một bộ hướng dẫn, phần cứng, một bộ chương trình cho phép bạn mã hóa bản rõ và giải mã bản mã theo nhiều cách khác nhau, một trong số đó được chọn bằng một khóa cụ thể ĐẾN.

Việc chuyển đổi mã hóa có thể đối xứng Và không đối xứng liên quan đến việc chuyển đổi giải mã. Thuộc tính quan trọng này xác định hai lớp hệ thống mật mã:

hệ thống mật mã đối xứng (khóa đơn);
hệ thống mật mã bất đối xứng (hai khóa) (có khóa chung).

Mã hóa đối xứng

Mã hóa đối xứng, thường được gọi là mã hóa khóa bí mật, chủ yếu được sử dụng để đảm bảo tính bảo mật dữ liệu. Để đảm bảo tính bảo mật của dữ liệu, người dùng phải cùng nhau chọn một thuật toán toán học duy nhất sẽ được sử dụng để mã hóa và giải mã dữ liệu. Ngoài ra, họ cần chọn một khóa chung (bí mật) để sử dụng với thuật toán mã hóa/giải mã được áp dụng của họ, tức là. cùng một khóa được sử dụng cho cả mã hóa và giải mã (từ "đối xứng" có nghĩa giống nhau cho cả hai bên).

Một ví dụ về mã hóa đối xứng được hiển thị trong Hình. 2.2.

Ngày nay, các thuật toán mã hóa được sử dụng rộng rãi bao gồm Tiêu chuẩn mã hóa dữ liệu (DES), 3DES (hoặc “ba DES”) và Thuật toán mã hóa dữ liệu quốc tế (IDEA). Các thuật toán này mã hóa tin nhắn theo khối 64 bit. Nếu thông báo lớn hơn 64 bit (như thường lệ), bạn cần chia nó thành các khối, mỗi khối 64 bit rồi bằng cách nào đó kết hợp chúng lại với nhau. Việc sáp nhập như vậy thường xảy ra bằng một trong bốn phương pháp sau:

sổ mã điện tử (Electronic Code Book, ECB);
chuỗi khối được mã hóa (Thay đổi khối mật mã, CBC);
phản hồi được mã hóa x-bit (Cipher FeedBack, CFB-x);
phản hồi đầu ra (Output FeedBack, OFB).

Ba DES (3DES)– một mật mã khối đối xứng được tạo ra trên cơ sở thuật toán DES nhằm loại bỏ nhược điểm chính của thuật toán sau - độ dài khóa nhỏ (56 bit), có thể bị bẻ khóa bằng vũ lực. Tốc độ của 3DES thấp hơn 3 lần so với DES, nhưng độ mạnh mật mã cao hơn nhiều. Thời gian cần thiết để phân tích 3DES có thể dài hơn nhiều so với thời gian cần thiết để phá DES.

Thuật toán AES(Tiêu chuẩn mã hóa nâng cao), còn được gọi là Rijndael - thuật toán mã hóa khối đối xứng - mã hóa tin nhắn theo khối 128 bit, sử dụng khóa 128/192/256 bit.

Mã hóa khóa bí mật thường được sử dụng để duy trì tính bảo mật của dữ liệu và được triển khai rất hiệu quả bằng cách sử dụng phần sụn bất biến. Phương pháp này có thể được sử dụng để xác thực và duy trì tính toàn vẹn dữ liệu.

Các vấn đề sau liên quan đến phương pháp mã hóa đối xứng:

cần phải thay đổi khóa bí mật thường xuyên vì luôn có nguy cơ bị tiết lộ ngẫu nhiên (thỏa hiệp);
Rất khó để đảm bảo tính bảo mật của các khóa bí mật trong quá trình tạo, phân phối và lưu trữ chúng.

Thuật ngữ "mật mã" xuất phát từ tiếng Hy Lạp cổ "ẩn" và "viết". Cụm từ thể hiện mục đích chính của mật mã - bảo vệ và giữ bí mật thông tin được truyền đi. Bảo vệ thông tin có thể xảy ra theo nhiều cách khác nhau. Ví dụ: bằng cách hạn chế quyền truy cập vật lý vào dữ liệu, ẩn kênh truyền, tạo khó khăn vật lý trong việc kết nối với đường truyền thông, v.v.

Mục đích của mật mã Không giống như các phương pháp viết bí mật truyền thống, mật mã giả định có đầy đủ kênh truyền cho kẻ tấn công và đảm bảo tính bảo mật và tính xác thực của thông tin bằng cách sử dụng thuật toán mã hóa khiến thông tin không thể truy cập được đối với người ngoài. Hệ thống bảo vệ thông tin mật mã hiện đại (CIPS) là một tổ hợp máy tính phần mềm và phần cứng cung cấp khả năng bảo vệ thông tin theo các tham số cơ bản sau.

+ Bảo mật– những người không có quyền truy cập thích hợp không thể đọc được thông tin. Thành phần chính để đảm bảo tính bảo mật trong CIPF là khóa, là sự kết hợp chữ và số duy nhất để người dùng truy cập vào một khối CIPF cụ thể.

+ Chính trực– không thể thay đổi trái phép, chẳng hạn như chỉnh sửa và xóa thông tin. Để thực hiện điều này, thông tin dự phòng được thêm vào thông tin gốc dưới dạng kết hợp xác minh, được tính toán bằng thuật toán mã hóa và tùy thuộc vào khóa. Như vậy, nếu không biết khóa thì việc thêm hoặc thay đổi thông tin sẽ không thể thực hiện được.

+ Xác thực– xác nhận tính xác thực của thông tin và các bên gửi và nhận thông tin đó. Thông tin truyền qua các kênh liên lạc phải được xác thực duy nhất về nội dung, thời gian tạo và truyền, nguồn và người nhận. Cần nhớ rằng nguồn gốc của các mối đe dọa không chỉ có thể đến từ kẻ tấn công mà còn từ các bên liên quan đến việc trao đổi thông tin không đủ tin cậy lẫn nhau. Để ngăn chặn những tình huống như vậy, CIPF sử dụng hệ thống tem thời gian để ngăn chặn việc gửi thông tin lặp lại hoặc đảo ngược và thay đổi thứ tự của nó.

+ Quyền tác giả– xác nhận và không thể từ chối các hành động được thực hiện bởi người sử dụng thông tin. Phương pháp xác thực phổ biến nhất là chữ ký số điện tử (EDS). Hệ thống chữ ký số bao gồm hai thuật toán: tạo chữ ký và xác minh nó. Khi làm việc chuyên sâu với ECC nên sử dụng các trung tâm chứng nhận phần mềm để tạo và quản lý chữ ký. Các trung tâm như vậy có thể được triển khai như một công cụ CIPF hoàn toàn độc lập với cấu trúc bên trong. Điều này có ý nghĩa gì đối với tổ chức? Điều này có nghĩa là mọi giao dịch bằng chữ ký điện tử đều được xử lý bởi các tổ chức được chứng nhận độc lập và việc giả mạo quyền tác giả gần như không thể xảy ra.

khóa đối xứng – R-28147.89 của Nga, AES, DES, RC4;
khóa bất đối xứng – RSA;
sử dụng hàm băm - R-34.11.94, MD4/5/6, SHA-1/2. 80

Nhiều quốc gia có tiêu chuẩn quốc gia riêng về thuật toán mã hóa. Ở Hoa Kỳ, thuật toán AES đã sửa đổi với độ dài khóa 128-256 bit được sử dụng và ở Liên bang Nga, thuật toán chữ ký điện tử R-34.10.2001 và thuật toán mã hóa khối R-28147.89 với khóa 256 bit. Một số thành phần của hệ thống mật mã quốc gia bị cấm xuất khẩu ra nước ngoài; các hoạt động phát triển CIPF cần phải có giấy phép.

Hệ thống bảo vệ mật mã phần cứng

CIPF phần cứng được cài đặt nhanh chóng và hoạt động ở tốc độ cao. Nhược điểm: cao, so với phần mềm và phần cứng-phần mềm CIPF, chi phí cao và khả năng nâng cấp hạn chế. Cũng bao gồm trong danh mục phần cứng là các đơn vị CIPF được tích hợp trong các thiết bị ghi và truyền dữ liệu khác nhau yêu cầu mã hóa và hạn chế quyền truy cập thông tin. Những thiết bị như vậy bao gồm máy đo tốc độ ô tô ghi lại các thông số của xe, một số loại thiết bị y tế, v.v. Để vận hành đầy đủ các hệ thống như vậy, cần phải kích hoạt riêng mô-đun CIPF bởi các chuyên gia của nhà cung cấp.

Hệ thống bảo vệ mật mã phần mềm

Phần mềm CIPF là gói phần mềm đặc biệt để mã hóa dữ liệu trên phương tiện lưu trữ (ổ cứng và flash, thẻ nhớ, CD/DVD) và khi truyền qua Internet (e-mail, tệp đính kèm, trò chuyện an toàn, v.v.). Có khá nhiều chương trình, bao gồm cả những chương trình miễn phí, chẳng hạn như DiskCryptor. Phần mềm CIPF cũng bao gồm các mạng trao đổi thông tin ảo an toàn hoạt động “trên Internet” (VPN), một phần mở rộng của giao thức Internet HTTP có hỗ trợ mã hóa HTTPS và SSL – giao thức truyền thông tin mật mã được sử dụng rộng rãi trong các hệ thống điện thoại IP và ứng dụng Internet .
Phần mềm hệ thống bảo vệ thông tin mật mã chủ yếu được sử dụng trên Internet, trên máy tính gia đình và các khu vực khác, nơi yêu cầu về chức năng và tính ổn định của hệ thống không cao lắm. Hay như trường hợp của Internet, khi bạn phải tạo nhiều kết nối an toàn khác nhau cùng một lúc.

Bảo vệ mật mã phần mềm và phần cứng

Lượt xem bài viết: 294

Các phương pháp mã hóa bảo vệ thông tin

Chuyển đổi mật mã là chuyển đổi thông tin dựa trên một thuật toán nhất định phụ thuộc vào một tham số biến (thường được gọi là khóa bí mật) và có đặc tính là không thể khôi phục thông tin gốc từ thông tin đã chuyển đổi nếu không biết khóa hợp lệ, với độ phức tạp nhỏ hơn mức được xác định trước.

Ưu điểm chính của phương pháp mật mã là chúng cung cấp độ bảo mật được đảm bảo cao, có thể được tính toán và biểu thị dưới dạng số (số thao tác trung bình hoặc thời gian cần thiết để tiết lộ thông tin được mã hóa hoặc tính toán khóa).

Những nhược điểm chính của phương pháp mật mã bao gồm:

Chi tiêu đáng kể nguồn lực (thời gian, hiệu suất của bộ xử lý) để thực hiện chuyển đổi thông tin mật mã;
. khó khăn trong việc chia sẻ thông tin được mã hóa (đã ký) liên quan đến quản lý khóa (tạo, phân phối, v.v.);
. yêu cầu cao về độ an toàn của khóa riêng và bảo vệ khóa chung khỏi bị thay thế.

Mật mã được chia thành hai loại: mật mã khóa đối xứng và mật mã khóa công khai.

Mật mã khóa đối xứng
Trong mật mã khóa đối xứng (mật mã cổ điển), người đăng ký sử dụng cùng một khóa (dùng chung) (phần tử bí mật) để mã hóa và giải mã dữ liệu.

Cần nêu bật những ưu điểm sau của mật mã khóa đối xứng:
. hiệu suất thuật toán tương đối cao;
. cường độ mã hóa cao của thuật toán trên mỗi đơn vị độ dài khóa.

Những nhược điểm của mật mã khóa đối xứng bao gồm:
. nhu cầu sử dụng cơ chế phân phối khóa phức tạp;
. những khó khăn về công nghệ trong việc đảm bảo tính không chối bỏ.

Mật mã khóa công khai

Để giải quyết các vấn đề về phân phối khóa và chữ ký số, các ý tưởng về sự bất đối xứng của các phép biến đổi và phân phối mở của khóa Diffie và Hellman đã được sử dụng. Kết quả là, mật mã khóa công khai đã được tạo ra, không sử dụng một bí mật mà sử dụng một cặp khóa: khóa mở (công khai) và khóa bí mật (riêng tư, cá nhân), chỉ một bên tương tác biết. Không giống như khóa riêng phải được giữ bí mật, khóa chung có thể được phân phối công khai. Hình 1 cho thấy hai thuộc tính của hệ thống khóa công khai cho phép tạo ra các thông điệp được mã hóa và xác thực.

Hai thuộc tính quan trọng của mật mã khóa công khai

Hình 1 Hai thuộc tính của mật mã khóa công khai

Sơ đồ mã hóa dữ liệu bằng khóa chung được hiển thị trong Hình 6 và bao gồm hai giai đoạn. Đầu tiên, khóa công khai được trao đổi qua một kênh chưa được phân loại. Đồng thời, cần đảm bảo tính xác thực của việc chuyển giao thông tin quan trọng. Ở giai đoạn thứ hai, mã hóa tin nhắn thực sự được thực hiện, trong đó người gửi mã hóa tin nhắn bằng khóa chung của người nhận.

Chỉ chủ sở hữu khóa bí mật mới có thể đọc được tệp được mã hóa, tức là. người nhận. Sơ đồ giải mã do người nhận tin nhắn thực hiện sử dụng khóa bí mật của người nhận để thực hiện việc này.

Mã hóa

Hình 2 Sơ đồ mã hóa trong mật mã khóa công khai.

Việc triển khai sơ đồ chữ ký số gắn liền với việc tính toán hàm băm (thông báo) của dữ liệu, là một số duy nhất thu được từ dữ liệu gốc bằng cách nén nó (tích chập) bằng thuật toán phức tạp nhưng nổi tiếng. Hàm băm là hàm một chiều, tức là Không thể xây dựng lại dữ liệu gốc bằng giá trị băm. Hàm băm rất nhạy cảm với tất cả các loại lỗi dữ liệu. Ngoài ra, rất khó tìm được hai bộ dữ liệu có cùng giá trị băm.

Hình thành chữ ký số bằng hàm băm
Sơ đồ tạo chữ ký ED bởi người gửi bao gồm tính toán hàm băm ED và mã hóa giá trị này bằng khóa bí mật của người gửi. Kết quả của quá trình mã hóa là giá trị chữ ký số của ED (điều kiện cần thiết của ED), được gửi cùng với chính ED đến người nhận. Trong trường hợp này, người nhận tin nhắn trước tiên phải được cung cấp khóa chung của người gửi tin nhắn.

Hình 3 Sơ đồ chữ ký số trong mật mã khóa công khai.

Sơ đồ xác minh (xác minh) chữ ký số điện tử do người nhận tin nhắn thực hiện bao gồm các giai đoạn sau. Đầu tiên, khối chữ ký số được giải mã bằng khóa chung của người gửi. Sau đó, hàm băm ED được tính toán. Kết quả tính toán được so sánh với kết quả giải mã khối chữ ký số. Nếu có sự trùng khớp, quyết định sẽ được đưa ra về việc tuân thủ EDS với ED. Sự khác biệt giữa kết quả giải mã và kết quả tính toán hàm băm ED có thể được giải thích bởi các lý do sau:

Trong quá trình truyền qua kênh liên lạc, tính toàn vẹn của tài liệu điện tử bị mất;
. khi tạo chữ ký số, khóa bí mật (giả) sai đã được sử dụng;
. Khi kiểm tra chữ ký số, khóa chung đã được sử dụng sai (trong quá trình truyền qua kênh liên lạc hoặc trong quá trình lưu trữ thêm, khóa chung đã được sửa đổi hoặc thay thế).

Việc triển khai các thuật toán mã hóa khóa công khai (so với thuật toán đối xứng) đòi hỏi nhiều thời gian CPU hơn. Do đó, mật mã khóa công khai thường được sử dụng để giải quyết các vấn đề về phân phối khóa và chữ ký số, còn mật mã đối xứng được sử dụng để mã hóa. Một sơ đồ mã hóa kết hợp được biết đến rộng rãi kết hợp tính bảo mật cao của hệ thống mật mã khóa công khai với ưu điểm về tốc độ cao của hệ thống mật mã đối xứng. Trong sơ đồ này, khóa đối xứng (phiên) được tạo ngẫu nhiên được sử dụng để mã hóa, do đó, khóa này được mã hóa bằng hệ thống mật mã mở để truyền bí mật qua kênh khi bắt đầu phiên giao tiếp.

Phương pháp kết hợp

Hình 4 Sơ đồ mã hóa kết hợp.

Niềm tin khóa công khai và chứng chỉ kỹ thuật số
Vấn đề trọng tâm của sơ đồ phân phối khóa công khai là vấn đề về độ tin cậy đối với khóa công khai nhận được của đối tác, khóa này có thể được sửa đổi hoặc thay thế trong quá trình truyền hoặc lưu trữ.

Đối với một loạt các hệ thống thực tế (hệ thống quản lý tài liệu điện tử, hệ thống Khách hàng-Ngân hàng, hệ thống thanh toán điện tử liên ngân hàng), trong đó có thể gặp gỡ cá nhân các đối tác trước khi trao đổi tài liệu điện tử, vấn đề này có một giải pháp tương đối đơn giản - chứng nhận lẫn nhau của các khóa công khai.

Thủ tục này bao gồm việc mỗi bên, trong cuộc họp cá nhân, xác nhận bằng chữ ký của người được ủy quyền và đóng dấu vào một tài liệu giấy - bản in nội dung khóa chung của bên kia. Chứng chỉ giấy này trước hết là nghĩa vụ của các bên trong việc sử dụng khóa này để xác minh chữ ký trên các tin nhắn đến và thứ hai là nó đảm bảo ý nghĩa pháp lý của việc tương tác. Thật vậy, các chứng chỉ giấy được thảo luận giúp có thể xác định rõ ràng kẻ lừa đảo giữa hai đối tác nếu một trong số họ muốn thay đổi khóa.

Vì vậy, để thực hiện tương tác điện tử có ý nghĩa pháp lý giữa hai bên, cần phải ký kết thỏa thuận quy định về trao đổi chứng chỉ. Chứng chỉ là tài liệu liên kết dữ liệu cá nhân của chủ sở hữu và khóa chung của anh ta. Ở dạng giấy phải có chữ ký viết tay của người có thẩm quyền và con dấu.

Trong các hệ thống không có khả năng liên hệ cá nhân sơ bộ giữa các đối tác, cần sử dụng chứng chỉ số được cấp và chứng nhận bằng chữ ký số của một trung gian đáng tin cậy - trung tâm chứng nhận hoặc chứng nhận.

Tương tác của khách hàng với Trung tâm Chứng nhận
Ở giai đoạn sơ bộ, mỗi đối tác sẽ đích thân đến Trung tâm Chứng nhận (CA) và nhận chứng chỉ cá nhân - một loại tương tự điện tử của hộ chiếu dân sự.

Hình 5 chứng chỉ x.509.

Sau khi truy cập CA, mỗi đối tác sẽ trở thành chủ sở hữu khóa chung của CA. Khóa công khai CA cho phép chủ sở hữu nó xác minh tính xác thực của khóa chung của đối tác bằng cách xác minh tính xác thực của chữ ký số của cơ quan chứng nhận theo chứng chỉ khóa chung của đối tác.

Theo quy định của Luật “Chữ ký số”, chứng thư số có các thông tin sau:

Tên và thông tin chi tiết về trung tâm chứng nhận trọng điểm (cơ quan chứng nhận trung ương, trung tâm chứng nhận);
. Bằng chứng cho thấy giấy chứng nhận đã được cấp ở Ukraine;
. Số đăng ký duy nhất của chứng chỉ chìa khóa;
. Dữ liệu cơ bản (chi tiết) của thuê bao - chủ sở hữu khóa riêng (công khai);
. Ngày và giờ bắt đầu và kết thúc của chứng chỉ;
. Khóa công khai;
. Tên của thuật toán mật mã được chủ sở hữu khóa chung sử dụng;
. Thông tin về hạn chế sử dụng chữ ký;
. Chứng chỉ khóa được tăng cường, ngoài dữ liệu bắt buộc có trong chứng chỉ khóa, phải có thuộc tính của chứng chỉ được tăng cường;
. Dữ liệu khác có thể được nhập vào chứng chỉ khóa nâng cao theo yêu cầu của chủ sở hữu.

Chứng chỉ kỹ thuật số này được ký bằng khóa riêng của CA nên bất kỳ ai có khóa chung của CA đều có thể xác minh tính xác thực của nó. Do đó, việc sử dụng chứng chỉ kỹ thuật số giả định sơ đồ tương tác điện tử giữa các đối tác sau đây. Một trong các đối tác gửi cho đối tác kia chứng chỉ riêng nhận được từ CA và một tin nhắn được ký bằng chữ ký số. Người nhận tin nhắn thực hiện xác thực chứng chỉ ngang hàng, bao gồm:

Kiểm tra độ tin cậy của tổ chức phát hành chứng chỉ và thời hạn hiệu lực của nó;
. xác thực chữ ký số của tổ chức phát hành theo chứng chỉ;
. kiểm tra thu hồi chứng chỉ.

Nếu chứng chỉ của đối tác không bị mất hiệu lực và chữ ký số được sử dụng trong các mối quan hệ mà nó có ý nghĩa pháp lý thì khóa chung của đối tác sẽ được trích xuất từ chứng chỉ. Dựa trên khóa công khai này, chữ ký số của đối tác trong tài liệu điện tử (ED) có thể được xác minh.
Điều quan trọng cần lưu ý là theo Luật “Về EDS”, việc xác nhận tính xác thực của EDS trong ED là kết quả tích cực của việc xác minh bằng công cụ EDS được chứng nhận phù hợp bằng cách sử dụng chứng chỉ khóa chữ ký.

CA, đảm bảo an ninh tương tác giữa các đối tác, thực hiện các chức năng sau:

Đăng ký khóa chữ ký số;
. tạo, theo yêu cầu của người dùng, các khóa chữ ký số riêng tư và công khai;
. đình chỉ và gia hạn chứng chỉ khóa chữ ký cũng như thu hồi chúng;
. duy trì một sổ đăng ký các chứng chỉ khóa chữ ký, đảm bảo rằng sổ đăng ký được cập nhật và người dùng có quyền truy cập miễn phí vào sổ đăng ký;
. cấp chứng chỉ khóa chữ ký trên giấy và dưới dạng văn bản điện tử kèm theo thông tin về giá trị pháp lý của chứng chỉ đó;
. thực hiện, theo yêu cầu của người dùng, xác nhận tính xác thực (hợp lệ) của chữ ký trong chữ ký số liên quan đến chữ ký số do người dùng đăng ký.

CA tạo điều kiện để lưu trữ an toàn các khóa bí mật trên các thiết bị đắt tiền và được bảo vệ tốt, cũng như các điều kiện để quản lý quyền truy cập vào các khóa bí mật.

Việc đăng ký từng chữ ký số được thực hiện trên cơ sở đơn đăng ký có chứa thông tin cần thiết cho việc cấp chứng chỉ, cũng như thông tin cần thiết để nhận dạng người giữ chữ ký số và truyền tin nhắn cho người đó. Đơn được ký bằng chữ ký viết tay của chủ sở hữu chữ ký số, thông tin trong đó được xác nhận bằng việc xuất trình các tài liệu liên quan. Trong quá trình đăng ký, tính duy nhất của khóa chữ ký số công cộng được kiểm tra trong sổ đăng ký và kho lưu trữ của CA.

Khi đăng ký với CA, hai bản sao chứng chỉ khóa chữ ký được cấp trên giấy, được chứng thực bằng chữ ký viết tay của người giữ chữ ký số và người được ủy quyền của trung tâm chứng nhận (CA) và con dấu của trung tâm chứng nhận . Một bản sao được cấp cho chủ sở hữu chữ ký số, bản thứ hai vẫn ở CA.

Trong các hệ thống thực, mỗi máy ngang hàng có thể sử dụng nhiều chứng chỉ do các CA khác nhau cấp. Các CA khác nhau có thể được hợp nhất bởi cơ sở hạ tầng khóa công khai hoặc PKI (Cơ sở hạ tầng khóa công khai). CA trong PKI không chỉ cung cấp việc lưu trữ các chứng chỉ mà còn quản lý chúng (cấp phát, thu hồi, xác minh độ tin cậy). Mô hình PKI phổ biến nhất là phân cấp. Ưu điểm cơ bản của mô hình này là việc xác minh chứng chỉ chỉ yêu cầu tin cậy một số lượng CA gốc tương đối nhỏ. Đồng thời, mô hình này cho phép bạn có số lượng CA cấp chứng chỉ khác nhau.