Kryptografiset turvatoimenpiteet. Kryptografiset suojausjärjestelmät

Kryptografinen tarkoittaa - Nämä ovat erityisiä matemaattisia ja algoritmisia keinoja suojata tietoliikennejärjestelmien ja -verkkojen kautta siirrettyä tietoa, joka on tallennettu ja prosessoitu tietokoneelle useilla eri salausmenetelmillä.
Teknisten tietojen suojaus sen muuntaminen, ulkopuolisten lukemisen ulkopuolelle jättäminen, on huolestuttanut ihmisiä muinaisista ajoista lähtien. Kryptografian on tarjottava sellainen salassapitotaso, että tärkeät tiedot voidaan luotettavasti suojata suurten organisaatioiden - kuten mafian, monikansallisten yritysten ja suurten valtioiden - salauksen purkamiselta. Kryptografiaa käytettiin aiemmin vain sotilaallisiin tarkoituksiin. Nyt tietoyhteiskunnan ilmaantumisen myötä siitä on kuitenkin tulossa työkalu luottamuksellisuuden, luottamuksen, valtuutuksen, sähköisten maksujen, yritysturvallisuuden ja lukemattomien muiden tärkeiden asioiden varmistamiseen. Miksi kryptografisten menetelmien käytön ongelma on tullut erityisen tärkeäksi tällä hetkellä?
Toisaalta tietokoneverkkojen käyttö on laajentunut, erityisesti maailmanlaajuinen Internet, jonka kautta siirretään suuria määriä valtiollista, sotilaallista, kaupallista ja yksityistä tietoa, mikä estää luvattoman pääsyn siihen.
Toisaalta uusien tehokkaiden tietokoneiden, verkko- ja hermolaskentateknologioiden ilmaantuminen on mahdollistanut salausjärjestelmien, joita ei viime aikoihin asti pidetty käytännössä havaittavissa, hylkäämisen.
Kryptologia (kryptos - salaisuus, logos - tiede) käsittelee tiedon suojaamisen ongelmaa sitä muuntamalla. Kryptologia on jaettu kahteen osa-alueeseen - kryptografiaan ja kryptoanalyysiin. Näiden suuntien tavoitteet ovat suoraan päinvastaiset.
Kryptografia käsittelee matemaattisten menetelmien etsimistä ja tutkimista tiedon muuntamiseksi.
Kryptusanalyysin mielenkiinnon kohteena on tutkia mahdollisuutta purkaa tiedon salaus avaimia tuntematta.
Nykyaikainen kryptografia sisältää 4 pääosaa.



· Symmetriset salausjärjestelmät.

· Julkisen avaimen salausjärjestelmät.

· Sähköiset allekirjoitusjärjestelmät.

· Avaintenhallinta.

Salausmenetelmien pääasialliset käyttöalueet ovat luottamuksellisen tiedon siirto viestintäkanavien (esim. sähköposti) kautta, lähetettyjen viestien aitouden varmistaminen, tiedon (asiakirjojen, tietokantojen) tallentaminen tietovälineille salatussa muodossa.


Terminologia.
Kryptografia mahdollistaa tiedon muuntamisen siten, että sen lukeminen (palautus) on mahdollista vain, jos avain tunnetaan.
Tiettyyn aakkostoon perustuvat tekstit katsotaan salattavaksi ja salattavaksi purettaviksi tiedoiksi. Nämä termit tarkoittavat seuraavaa.
Aakkoset- rajallinen joukko merkkejä, joita käytetään tiedon koodaamiseen.
Teksti- järjestetty joukko aakkosten elementtejä.
Salaus- muunnosprosessi: alkuperäinen teksti, jota kutsutaan myös tavalliseksi tekstiksi, korvataan salatekstillä.
Salauksen purku- käänteinen salausprosessi. Avaimen perusteella salateksti muunnetaan alkuperäiseksi.
Avain- tekstien sujuvaan salaukseen ja salauksen purkamiseen tarvittavat tiedot.
Salausjärjestelmä on T [T1, T2, ..., Tk] selvätekstimuunnosten perhe. Tämän perheen jäsenet on indeksoitu tai merkitty symbolilla "k"; parametri k on avain. Avainavaruus K on joukko mahdollisia avainarvoja. Yleensä avain on aakkosten peräkkäinen sarja.
Salausjärjestelmät jaetaan symmetrisiin ja julkisiin avaimiin.
Symmetrisissä salausjärjestelmissä samaa avainta käytetään sekä salaukseen että salauksen purkamiseen.
Julkisen avaimen järjestelmät käyttävät kahta avainta, julkista avainta ja yksityistä avainta, jotka liittyvät matemaattisesti toisiinsa. Tiedot salataan julkisella avaimella, joka on kaikkien saatavilla, ja salaus puretaan yksityisellä avaimella, jonka tietää vain viestin vastaanottaja.
Käsitteet avainten jakelu ja avaintenhallinta viittaavat tietojenkäsittelyjärjestelmän prosesseihin, joiden sisältönä on avainten kokoaminen ja jakaminen käyttäjien kesken.
Sähköinen (digitaalinen) allekirjoitus on tekstiin liitetty kryptografinen muunnos, jonka avulla toisen käyttäjän vastaanottaessa tekstin voidaan varmistaa viestin kirjoittaja ja aitous.
Kryptografinen vahvuus on salauksen ominaisuus, joka määrittää sen vastustuskyvyn salauksen purkamista vastaan ​​ilman avainta (eli kryptausanalyysiä).
Salauksen tehokkuus tietojen suojaamisessa riippuu avaimen salassapidosta ja salauksen kryptografisesta vahvuudesta.
Yksinkertaisin kriteeri tällaiselle tehokkuudelle on avaimen paljastamisen todennäköisyys tai näppäinjoukon teho (M). Pohjimmiltaan tämä on sama kuin kryptografinen vahvuus. Arvioidaksesi sen numeerisesti, voit myös käyttää salauksen ratkaisemisen monimutkaisuutta kokeilemalla kaikkia avaimia.
Tämä kriteeri ei kuitenkaan ota huomioon muita tärkeitä kryptojärjestelmiä koskevia vaatimuksia:

· tietojen paljastamisen tai tarkoituksenmukaisen muuttamisen mahdottomuus sen rakenteen analyysin perusteella;

· käytettävien suojausprotokollien täydellisyys;

· käytetyn keskeisen tiedon vähimmäismäärä;

· toteutuksen minimaalinen monimutkaisuus (konetoimintojen lukumäärässä), sen kustannukset;

· korkea hyötysuhde.

Usein on tehokkaampaa käyttää asiantuntija-arviota ja simulaatiota salausjärjestelmää valittaessa ja arvioitaessa.
Joka tapauksessa valitussa salausmenetelmissä tulee yhdistää sekä käyttömukavuus, joustavuus ja tehokkuus että tietojärjestelmässä kiertävän tiedon luotettava suojaus hyökkääjiltä.

Tämä tietoturvan jako tarkoittaa ( teknisten tietojen suojaus), melko ehdollisesti, koska käytännössä ne ovat hyvin usein vuorovaikutuksessa ja toteutetaan kompleksina ohjelmisto- ja laitteistomoduulien muodossa tiedonsulkualgoritmien laajalla käytöllä.


Johtopäätös

Tässä kurssityössä tarkastelin hallinnon paikallista tietokoneverkkoa ja tulin siihen tulokseen, että tietojen täysimääräinen suojaaminen on välttämätöntä käyttää kaikkia turvatoimia tiettyjen tietojen häviämisen minimoimiseksi.

Tehdyn työn organisoinnin tuloksena: työpaikkojen tietokoneistaminen integroimalla ne paikalliseen tietokoneverkkoon, palvelimen läsnäololla ja pääsyllä Internetiin. Tämän työn suorittaminen varmistaa työskentelevän henkilöstön nopeimman ja tuottavimman työn.

Tehtävän vastaanottamisen yhteydessä asetetut tavoitteet ovat mielestäni saavutettu. Hallinnon lähiverkkokaavio on liitteessä B.


Bibliografia.

1. GOST R 54101-2010 “Automaatiotyökalut ja ohjausjärjestelmät. Turvavälineet ja -järjestelmät. Huolto ja nykyiset korjaukset"

2. Organisaation tietojen suojaus: oppikirja yliopistoille Averchenkov V.I., Rytov M.Yu. 2011

3. Khalyapin D.B., Yarochkin V.I. Tietoturvan perusteet.-M.: IPKIR, 1994

4. Khoroshko V.A., Chekatkov A.A. Tietoturvan menetelmät ja keinot (toimittanut Kovtanyuk) K.: Junior Publishing House, 2003 - 504 s.

5. Laitteisto- ja tietokoneverkot Ilyukhin B.V. 2005

6. Yarochkin V.I. Tietoturva: Oppikirja yliopisto-opiskelijoille.-M.: Akateeminen projekti!?! Säätiö "Mir", 2003.-640 s.

7. http://habrahabr.ru

8. http://www.intel.com/ru/update/contents/st08031.htm

9. http://securitypolicy.ru

10. http://network.xsp.ru/5_6.php


Huomautus A.

Huomautus B.


Kryptografisten tietojen suojaus - tietojen suojaamiseen sen kryptografisen muunnoksen avulla.

Kryptografiset menetelmät ovat tällä hetkellä käytössä perus varmistaa tietojenvaihdon osapuolten luotettava autentikointi, suojaus.

TO salaustietojen suojauskeinoja(CIPF) sisältää laitteiston, laiteohjelmiston ja ohjelmiston, jotka toteuttavat salausalgoritmeja tietojen muuntamiseksi seuraaviin tarkoituksiin:

Tietojen suojaaminen niiden käsittelyn, tallennuksen ja siirron aikana;

Tietojen luotettavuuden ja eheyden varmistaminen (mukaan lukien digitaalisten allekirjoitusalgoritmien käyttö) sen käsittelyn, tallennuksen ja siirron aikana;

Kohteiden, käyttäjien ja laitteiden tunnistamiseen ja todentamiseen käytettyjen tietojen luominen;

Tietojen luominen, joita käytetään suojatun AS:n autentikointielementtien suojaamiseen niiden luomisen, tallennuksen, käsittelyn ja siirron aikana.

Kryptografiset menetelmät tarjoavat tiedon salaus ja koodaus. On olemassa kaksi pääsalausmenetelmää: symmetrinen ja epäsymmetrinen. Ensimmäisessä niistä käytetään samaa avainta (pidetty salassa) sekä salaamaan että purkamaan tietoja.

Erittäin tehokkaita (nopeita ja luotettavia) symmetrisiä salausmenetelmiä on kehitetty. Tällaisille menetelmille on olemassa myös kansallinen standardi - GOST 28147-89 "Tiedonkäsittelyjärjestelmät. Kryptografinen suojaus. kryptografinen muunnosalgoritmi."

Epäsymmetriset menetelmät käyttävät kahta näppäintä. Yksi niistä, luokittelematon (se voidaan julkaista yhdessä muiden käyttäjää koskevien julkisten tietojen kanssa), käytetään salaukseen, toista (salainen, vain vastaanottajan tiedossa) käytetään salauksen purkamiseen. Epäsymmetrisistä suosituin on RSA-menetelmä, joka perustuu operaatioihin suurilla (100-numeroisilla) alkuluvuilla ja niiden tuloilla.

Kryptografiset menetelmät mahdollistavat sekä yksittäisten tietopalojen että niiden joukkojen (kuten viestivirran) eheyden luotettavan hallinnan; määrittää tietolähteen aitous; taata, että toteutetuista toimista kieltäytyminen on mahdotonta ("kiistämättömyys").

Kryptografisen eheyden valvonta perustuu kahteen käsitteeseen:

Sähköinen allekirjoitus (ES).

Hajautusfunktio on vaikeasti palautuva datamuunnos (yksisuuntainen toiminto), joka toteutetaan pääsääntöisesti symmetrisellä salauksella lohkolinkityksellä. Viimeisen lohkon salauksen tulos (riippuen kaikista edellisistä) toimii hash-funktion tuloksena.

Kryptografia keinona suojata (sulkea) tietoa on tulossa yhä tärkeämmäksi kaupallisessa toiminnassa.


Tiedon muuntamiseen käytetään erilaisia ​​salaustyökaluja: asiakirjan salaustyökaluja, mukaan lukien kannettavat, puheen salaustyökalut (puhelin- ja radiokeskustelut), lennätinviestien salaustyökalut ja tiedonsiirto.

Liikesalaisuuksien suojaamiseksi kansainvälisillä ja kotimaisilla markkinoilla tarjotaan erilaisia ​​teknisiä laitteita ja ammattikäyttöön tarkoitettuja laitteita puhelin- ja radiokeskustelujen, liikekirjeen jne. salaukseen ja salaussuojaukseen.

Scramblerit ja maskerit, jotka korvaavat puhesignaalin digitaalisella tiedonsiirrolla, ovat yleistyneet. Turvatuotteita valmistetaan telekoneille, telekseille ja fakseille. Näihin tarkoituksiin käytetään salauslaitteita, jotka on valmistettu erillisinä laitteina, laitteisiin liitettävinä tai sisäänrakennettuja puhelimien, faksimodeemien ja muiden viestintälaitteiden (radioasemien ja muiden) suunnitteluun. Välitettyjen sähköisten viestien luotettavuuden varmistamiseksi käytetään laajalti sähköistä digitaalista allekirjoitusta.

Tietoturvan näkökulmasta kryptografiset avaimet ovat kriittistä tietoa. Jos aiemmin yrityksen ryöstääkseen hyökkääjien piti mennä sen alueelle, avata tiloja ja kassakaapit, niin nyt riittää salausavaimella varustetun tokenin varastaminen ja siirto Internet-asiakas-pankki -järjestelmän kautta. Salaustietoturvajärjestelmien (CIPS) avulla turvallisuuden varmistamisen perusta on salausavainten luottamuksellisuuden säilyttäminen.

Kuinka voit varmistaa sellaisen asian luottamuksellisuuden, jonka olemassaolosta sinulla ei ole aavistustakaan? Jos haluat laittaa avaimella varustetun tunnuksen kassakaappiin, sinun on tiedettävä tunnuksen ja kassakaapin olemassaolo. Niin paradoksaalista kuin se kuulostaakin, vain harvoilla yrityksillä on käsitys käyttämiensä keskeisten asiakirjojen tarkasta määrästä. Tämä voi johtua useista syistä, kuten tietoturvauhkien aliarvioinnista, vakiintuneiden liiketoimintaprosessien puutteesta, henkilöstön riittämättömästä pätevyydestä turvallisuusasioissa jne. He yleensä muistavat tämän tehtävän tapahtumien, kuten tämän, jälkeen.

Tässä artikkelissa kuvataan ensimmäinen askel kohti tietoturvan parantamista kryptotyökalujen avulla, tai tarkemmin sanottuna, tarkastelemme yhtä CIPF:n ja kryptoavainten auditoinnin lähestymistavista. Selostus tehdään tietoturva-asiantuntijan toimesta ja oletetaan, että työ tehdään tyhjästä.

Termit ja määritelmät


Artikkelin alussa, jotta valmistautumatonta lukijaa ei pelottaisi monimutkaisilla määritelmillä, käytimme laajasti termejä kryptografinen avain tai kryptoavain, nyt on aika parantaa käsitelaitteistoamme ja saattaa se nykyisen lainsäädännön mukaiseksi. Tämä on erittäin tärkeä askel, koska sen avulla voit jäsentää tehokkaasti auditointituloksista saatua tietoa.

  1. Salausavain (cryptokey)- tietojoukko, joka tarjoaa yhden tietyn kryptografisen muunnoksen valinnan kaikista mahdollisista tietyssä salausjärjestelmässä (määritelmä "vaaleanpunaisesta ohjeesta - FAPSI-määräys nro 152, 13. kesäkuuta 2001, jäljempänä FAPSI 152).
  2. Keskeiset tiedot- Erityisesti järjestetty salausavaimien joukko, joka on suunniteltu tarjoamaan tiedon kryptografista suojaa tietyn ajan [FAPSI 152].
    Voit ymmärtää salausavaimen ja avaintietojen välisen perustavanlaatuisen eron seuraavan esimerkin avulla. HTTPS:ää organisoitaessa luodaan julkinen ja yksityinen avainpari, ja julkisesta avaimesta ja lisätiedoista saadaan varmenne. Joten tässä järjestelmässä varmenteen ja yksityisen avaimen yhdistelmä muodostaa avaintiedot, ja jokainen niistä on yksittäin kryptoavain. Tässä voit ohjata seuraavaa yksinkertaista sääntöä - loppukäyttäjät käyttävät avaintietoja työskennellessään CIPF:n kanssa, ja kryptoavaimet käyttävät yleensä CIPF:ää sisäisesti. Samalla on tärkeää ymmärtää, että avaintieto voi koostua yhdestä kryptoavaimesta.
  3. Keskeiset asiakirjat- sähköiset asiakirjat millä tahansa tietovälineellä, samoin kuin paperiasiakirjat, jotka sisältävät rajoitetun pääsyn avaintietoja tietojen kryptografiseen muuntamiseen käyttämällä algoritmeja tietojen kryptografiseen muuntamiseen (salausavain) salauskeinoin (salauksen avulla). (määritelmä valtioneuvoston 16. huhtikuuta 2012 annetusta asetuksesta nro 313, jäljempänä PP-313)
    Yksinkertaisesti sanottuna avainasiakirja on avaintieto, joka on tallennettu välineelle. Avaintietoja ja avainasiakirjoja analysoitaessa tulee korostaa, että avaintietoa hyödynnetään (eli käytetään salausmuunnoksiin - salaukseen, sähköiseen allekirjoitukseen jne.) ja niitä sisältävät avainasiakirjat siirretään työntekijöille.
  4. Salaustietojen suojausvälineet (CIPF)– salausvälineet, jäljitelmäsuojausvälineet, sähköiset allekirjoitusvälineet, koodausvälineet, välineet avainasiakirjojen tuottamiseksi, avainasiakirjat, laitteiston salausvälineet (salausvälineet), ohjelmistot ja laitteiston salausvälineet (salaus). [PP-313]
    Kun analysoit tätä määritelmää, voit löytää siitä termin avainasiakirjat. Termi on annettu valtioneuvoston asetuksessa, eikä meillä ole oikeutta muuttaa sitä. Samalla tehdään lisäkuvaus sillä perusteella, että CIPF sisältää vain välineet kryptografisten muunnosten toteuttamiseksi). Tämä lähestymistapa yksinkertaistaa auditointia, mutta ei samalla vaikuta sen laatuun, sillä otamme silti keskeiset asiakirjat huomioon, mutta omassa osiossa ja omin menetelmin.

Tarkastusmenetelmät ja odotetut tulokset


Tässä artikkelissa ehdotetun tarkastusmenetelmän pääpiirteet ovat seuraavat:

  • yksikään yrityksen työntekijä ei voi vastata tarkasti tarkastuksen aikana esitettyihin kysymyksiin;
  • olemassa olevat tietolähteet (luettelot, rekisterit jne.) ovat epätarkkoja tai huonosti jäsenneltyjä.
Siksi artikkelissa ehdotettu metodologia on eräänlainen tiedon louhinta, jonka aikana eri lähteistä poimitaan samat tiedot, joita sitten verrataan, jäsennetään ja jalostetaan.

Tässä ovat tärkeimmät riippuvuudet, jotka auttavat meitä tässä:

  1. Jos on CIPF, siellä on avaintietoa.
  2. Jos on olemassa sähköinen asiakirjavirta (mukaan lukien vastapuolet ja sääntelyviranomaiset), se käyttää todennäköisesti sähköistä allekirjoitusta ja sen seurauksena CIPF:ää ja avaintietoja.
  3. Sähköinen dokumenttien hallinta on tässä yhteydessä ymmärrettävä laajasti, eli se sisältää sekä oikeudellisesti merkittävien sähköisten asiakirjojen suoran vaihdon että raporttien toimittamisen, työskentelyn maksu- tai kauppajärjestelmissä ja niin edelleen. Sähköisen dokumentinhallinnan luettelo ja muodot määräytyvät yrityksen liiketoimintaprosessien sekä voimassa olevan lainsäädännön mukaan.
  4. Jos työntekijä osallistuu sähköiseen asiakirjahallintaan, hänellä on todennäköisesti keskeisiä asiakirjoja.
  5. Järjestettäessä sähköistä dokumentinhallintaa vastapuolten kanssa organisaatio- ja hallintoasiakirjat (toimeksiannot) annetaan yleensä vastuuhenkilöiden nimeämisen perusteella.
  6. Jos tietoa välitetään Internetin (tai muiden julkisten verkkojen) kautta, se on todennäköisesti salattu. Tämä koskee ensisijaisesti VPN-verkkoja ja erilaisia ​​etäkäyttöjärjestelmiä.
  7. Jos verkkoliikenteessä havaitaan protokollia, jotka välittävät liikennettä salatussa muodossa, käytetään CIPF:ää ja avaintietoja.
  8. Jos selvitykset tehtiin vastapuolten kanssa, jotka harjoittavat: tietoturvalaitteiden, televiestintälaitteiden toimittamista, tiedonsiirtopalvelujen tarjoamista, varmennekeskusten palveluita, tämän vuorovaikutuksen aikana voitiin ostaa CIPF tai avainasiakirjoja.
  9. Avainasiakirjat voivat olla joko siirrettäville tietovälineille (levykkeille, flash-asemille, tokeneille jne.) tai tallennettuna tietokoneiden ja laitteistojen salaustietosuojajärjestelmiin.
  10. Virtualisointityökaluja käytettäessä tärkeimmät asiakirjat voidaan tallentaa sekä virtuaalikoneiden sisään että liittää virtuaalikoneen hypervisorin avulla.
  11. Laitteiston CIPF voidaan asentaa palvelinhuoneisiin, eikä sitä voida analysoida verkon kautta.
  12. Jotkin sähköiset asiakirjanhallintajärjestelmät voivat olla ei-aktiivisessa tai passiivisessa muodossa, mutta sisältävät samalla aktiiviset avaintiedot ja CIPF:n.
  13. Sisäinen sääntely- ja organisaatiodokumentaatio voi sisältää tietoa sähköisistä dokumentinhallintajärjestelmistä, CIPF:stä ja tärkeimmistä asiakirjoista.
Ensisijaisten tietojen saamiseksi teemme:
  • haastatella työntekijöitä;
  • analysoida yrityksen asiakirjoja, mukaan lukien sisäiset sääntely- ja hallintoasiakirjat, sekä lähtevät maksumääräykset;
  • Palvelinhuoneiden ja viestintäkaappien visuaalinen analyysi;
  • suorittaa teknisiä analyyseja automatisoitujen työasemien (AWS), palvelimien ja virtualisointityökalujen sisällöstä.
Muotoilemme tarkempia toimia myöhemmin, mutta katsotaan nyt lopullisia tietoja, jotka meidän pitäisi saada tarkastuksen tuloksena:

Luettelo CIPF:stä:

  1. CIPF malli. Esimerkiksi CIPF Crypto CSP 3.9 tai OpenSSL 1.0.1
  2. CIPF-ilmentymän tunniste. Esimerkiksi CIPF:n sarja-, lisenssi- (tai rekisteröintinumero PKZ-2005:n mukaan).
  3. Tietoja Venäjän FSB:n sertifikaatista salaustietojen suojaamiseksi, mukaan lukien voimassaolon alkamis- ja päättymispäivämäärät.
  4. Tiedot CIPF:n toimintapaikasta. Esimerkiksi sen tietokoneen nimi, johon ohjelmisto-CIPF on asennettu, tai sen teknisen välineen tai tilan nimi, johon laitteisto-CIPF on asennettu.
Näiden tietojen avulla voit:
  1. Hallitse CIPF:n haavoittuvuuksia, eli tunnista ja korjaa ne nopeasti.
  2. Tarkkaile CIPF-varmenteiden voimassaoloaikoja ja tarkista myös, käytetäänkö sertifioitua CIPF:ää dokumentaatiossa vahvistettujen sääntöjen mukaisesti vai ei.
  3. Suunnittele CIPF:n kustannukset tietäen, kuinka paljon on jo toiminnassa ja kuinka paljon varoja on vielä käytettävissä.
  4. Luo sääntelyraportteja.
Luettelo tärkeimmistä tiedoista:

Jokaisesta luettelon elementistä tallennetaan seuraavat tiedot:

  1. Keskeisten tietojen nimi tai tunniste. Esimerkiksi "Hyväksytyn sähköisen allekirjoituksen avain. Sertifikaatin sarjanumero 31:2D:AF", ja tunniste tulee valita siten, että avain löytyy siitä. Esimerkiksi ilmoituksia lähettäessään varmentajat tunnistavat avaimet yleensä varmennenumeroiden perusteella.
  2. Avainjärjestelmän ohjauskeskus (KSUC), joka julkaisi nämä keskeiset tiedot. Tämä voi olla avaimen myöntänyt organisaatio, esimerkiksi varmenneviranomainen.
  3. Yksilöllinen, jonka nimissä keskeiset tiedot julkaistiin. Nämä tiedot voidaan poimia X.509-varmenteiden CN-kentistä
  4. Keskeisten tietojen muoto. Esimerkiksi CIPF CryptoPRO, CIPF Verba-OW, X.509 jne. (tai toisin sanoen käytettäväksi, jonka CIPF:n kanssa nämä keskeiset tiedot on tarkoitettu).
  5. Avaintietojen määrittäminen. Esimerkiksi "Osallistuminen kaupankäyntiin Sberbank AST -sivustolla", "Hyväksytty sähköinen allekirjoitus raportointiin" jne. Teknisestä näkökulmasta katsottuna tähän kenttään voit tallentaa laajennettuihin avainten käyttökenttiin ja muihin X.509-varmenteisiin tallennettuja rajoituksia.
  6. Keskeisten tietojen voimassaoloajan alku ja loppu.
  7. Menettely keskeisten tietojen uudelleen julkaisemiseksi. Eli tietoa siitä, mitä on tehtävä ja miten, kun avaintietoa julkaistaan ​​uudelleen. Ainakin keskeiset tiedot luovuttaneiden keskusvalvontakeskuksen virkamiesten yhteystiedot kannattaa tallentaa.
  8. Luettelo tietojärjestelmistä, palveluista tai liiketoimintaprosesseista, joissa keskeisiä tietoja käytetään. Esimerkiksi "Etäpankkipalvelujärjestelmä Internet-asiakaspankki".
Näiden tietojen avulla voit:
  1. Seuraa tärkeiden tietojen vanhentumispäiviä.
  2. Julkaise avaintiedot nopeasti uudelleen tarvittaessa. Tämä saattaa olla tarpeen sekä suunnitellussa että suunnittelemattomassa uudelleenjulkaisussa.
  3. Estä avaintietojen käyttö sen työntekijän irtisanomisen yhteydessä, jolle tiedot on annettu.
  4. Tutki tietoturvaloukkauksia vastaamalla kysymyksiin: "Kenellä oli avaimet maksujen suorittamiseen?" jne.
Luettelo tärkeimmistä asiakirjoista:

Jokaisesta luettelon elementistä tallennetaan seuraavat tiedot:

  1. Keskeiset tiedot keskeisessä asiakirjassa.
  2. Keskeisten tietojen välittäjä, johon tärkeimmät tiedot on tallennettu.
  3. Kasvot, joka vastaa avainasiakirjan turvallisuudesta ja sen sisältämien keskeisten tietojen luottamuksellisuudesta.
Näiden tietojen avulla voit:
  1. Julkaise avaintiedot uudelleen seuraavissa tapauksissa: keskeisiä asiakirjoja hallussaan pitävän työntekijän irtisanominen sekä median vaarantuminen.
  2. Varmista keskeisten tietojen luottamuksellisuus inventoimalla niitä sisältävät tiedotusvälineet.

Tarkastussuunnitelma


On tullut aika pohtia auditoinnin käytännön piirteitä. Tehdään tämä rahoituslaitoksen tai toisin sanoen pankin esimerkkiä käyttäen. Tätä esimerkkiä ei valittu sattumalta. Pankit käyttävät melko suurta määrää erilaisia ​​kryptografisia suojausjärjestelmiä, jotka ovat mukana valtavassa määrässä liiketoimintaprosesseja, ja lisäksi lähes kaikki pankit ovat Venäjän FSB:n salauksen lisenssinsaajia. Artikkelissa esitetään edelleen CIPF:n ja kryptoavaimien auditointisuunnitelma suhteessa pankkiin. Samanaikaisesti tätä suunnitelmaa voidaan käyttää perustana suoritettaessa lähes minkä tahansa yrityksen tilintarkastusta. Havainnoinnin helpottamiseksi suunnitelma on jaettu vaiheisiin, jotka puolestaan ​​puretaan spoilereiksi.

Vaihe 1. Tietojen kerääminen yrityksen infrastruktuuriosastoilta

Toiminta
Lähde – kaikki yrityksen työntekijät
1 Lähetämme kaikille yrityksen työntekijöille yrityssähköpostin, jossa pyydetään ilmoittamaan tietoturvapalvelulle kaikista käyttämistään salausavaimista. Saamme sähköpostit, joiden perusteella luomme luettelon tärkeimmistä tiedoista ja luettelon tärkeimmistä asiakirjoista
Lähde – Tietotekniikkapalvelun johtaja
1 Pyydämme luettelon tärkeimmistä tiedoista ja tärkeimmistä asiakirjoista Jollakin todennäköisyydellä IT-palvelu ylläpitää vastaavia asiakirjoja, jotta voimme luoda ja selventää luetteloita keskeisistä tiedoista, avainasiakirjoista ja CIPF:stä
2 Pyydämme luetteloa CIPF:stä
3 Pyydämme rekisterin palvelimille ja työasemille asennetuista ohjelmistoista Tästä rekisteristä etsimme ohjelmistojen CIPF:itä ja niiden komponentteja. Esimerkiksi CryptoPRO CSP, Verba-OW, Signal-COM CSP, Signature, PGP, ruToken, eToken, KritoARM jne. Näiden tietojen perusteella muodostamme luettelon CIPF:istä.
4 Pyydämme luetteloa työntekijöistä (todennäköisesti teknisestä tuesta), jotka auttavat käyttäjiä käyttämään CIPF:ää ja antamaan uudelleen tärkeitä tietoja. Pyydämme näiltä henkilöiltä samat tiedot kuin järjestelmänvalvojilta
Lähde – Tietotekniikkapalvelun järjestelmänvalvojat
1 Pyydämme luettelon kotimaisista kryptoyhdyskäytävistä (VIPNET, Continent, S-terra jne.) Tapauksissa, joissa yritys ei ota käyttöön tavanomaisia ​​liiketoimintaprosesseja IT- ja tietoturvan hallintaan, tällaiset kysymykset voivat auttaa muistuttamaan järjestelmänvalvojia tietyn laitteen tai ohjelmiston olemassaolosta. Käytämme näitä tietoja saadaksemme luettelon CIPF:stä.
2 Pyydämme luettelon kotimaisista ohjelmistoista CIPF (CIPF MagPro CryptoPacket, VIPNET CSP, CryptonDisk, SecretDisk, ...)
3 Pyydämme luetteloa reitittimistä, jotka toteuttavat VPN:n:
a) viestintä yrityksen toimistojen välillä;
b) vuorovaikutus urakoitsijoiden ja kumppaneiden kanssa.
4 Pyydämme luettelon Internetissä julkaistuista tietopalveluista (saatavilla Internetistä). Näitä voivat olla:
a) yrityksen sähköposti;
b) pikaviestintäjärjestelmät;
c) yritysten verkkosivustot;
d) palvelut tiedonvaihtoon kumppaneiden ja urakoitsijoiden kanssa (ekstranet);
e) etäpankkijärjestelmät (jos yritys on pankki);
f) etäkäyttöjärjestelmät yrityksen verkkoon.
Tarkistaaksemme annettujen tietojen täydellisyyden vertaamme niitä reunapalomuurien siirtämissääntöjen luetteloon.		 Analysoimalla saatuja tietoja on erittäin todennäköistä, että kohtaat CIPF:n ja kryptoavaimien käytön. Käytämme saatuja tietoja luodaksemme luettelon CIPF:stä ja tärkeimmistä tiedoista.
5 Pyydämme luettelon raportoinnissa käytetyistä tietojärjestelmistä (Taxcom, Kontur jne.) Nämä järjestelmät käyttävät hyväksyttyjä sähköisen allekirjoituksen avaimia ja CIPF:ää. Tämän luettelon avulla luomme luettelon CIPF:stä, luettelon tärkeimmistä tiedoista ja selvitämme myös työntekijät, jotka käyttävät näitä järjestelmiä avainasiakirjojen luettelon luomiseen.
6 Pyydämme luettelon sisäisistä sähköisistä dokumentinhallintajärjestelmistä (Lotus, DIRECTUM, 1C: Document Management jne.) sekä luettelon niiden käyttäjistä. Sähköisen allekirjoituksen avaimet löytyvät sisäisistä sähköisistä asiakirjojen hallintajärjestelmistä. Luomme saatujen tietojen perusteella luettelon avaintiedoista ja luettelon tärkeimmistä asiakirjoista.
7 Pyydämme luettelon sisäisistä sertifiointikeskuksista. Varmennekeskusten järjestämiseen käytetyt keinot on kirjattu CIPF-luetteloon. Jatkossa analysoimme varmentajan tietokantojen sisältöä keskeisten tietojen tunnistamiseksi.
8 Pyydämme tietoja teknologioiden käytöstä: IEEE 802.1x, WiFiWPA2 Enterprise ja IP-videovalvontajärjestelmät Jos näitä tekniikoita käytetään, saatamme löytää tärkeitä asiakirjoja kyseessä olevista laitteista.
Lähde – Henkilöstöpäällikkö
1 Kuvaile työntekijöiden palkkaamisen ja irtisanomisen prosessia. Keskitymme kysymykseen siitä, kuka ottaa irtisanoutuvien työntekijöiden keskeiset asiakirjat Analysoimme asiakirjoja (ohitusarkkeja) niiden tietojärjestelmien olemassaolon varalta, joissa CIPF:ää voidaan käyttää.

Vaihe 2. Tietojen kerääminen yrityksen liiketoimintayksiköistä (pankin esimerkillä)

Toiminta Odotettu tulos ja sen käyttö
Lähde – selvityspalvelun päällikkö (kirjeenvaihtajasuhteet)
1 Esitä suunnitelma vuorovaikutuksen järjestämiseksi Venäjän keskuspankin maksujärjestelmän kanssa. Tämä koskee erityisesti pankkeja, joilla on kehittynyt konttoriverkosto, jossa konttorit voivat liittyä suoraan keskuspankin maksujärjestelmään. Saatujen tietojen perusteella määritämme maksuyhdyskäytävien sijainnin (AWC KBR, UTA) ja osallistuvien käyttäjien luettelon. Käytämme saatuja tietoja luodaksemme luettelon CIPF:stä, tärkeimmistä tiedoista ja tärkeimmistä asiakirjoista.
2 Pyydämme listaa pankeista, joiden kanssa on muodostettu suorat kirjeenvaihtajasuhteet, ja pyydämme myös kertomaan, kuka on mukana tilisiirtojen tekemisessä ja mitä teknisiä keinoja käytetään.
3 Pyydämme luettelon maksujärjestelmistä, joihin pankki osallistuu (SWIFT, VISA, MasterCard, NSPK jne.) sekä tietoliikennepäätteiden sijainnin Sama kuin Venäjän keskuspankin maksujärjestelmässä
Lähde – Etäpankkipalveluista vastaavan osaston johtaja
1 Pyydämme luetteloa etäpankkijärjestelmistä. Näissä järjestelmissä analysoimme CIPF:n ja avaintietojen käyttöä. Luomme saatujen tietojen perusteella luettelon CIPF:stä sekä tärkeimmistä tiedoista ja tärkeimmistä asiakirjoista.
Lähde – Maksukorttien käsittelyn toimivuudesta vastaavan osaston päällikkö
1 HSM-rekisterin pyytäminen Luomme saatujen tietojen perusteella luettelon CIPF:stä, tärkeimmistä tiedoista ja tärkeimmistä asiakirjoista.
2 Pyydämme rekisteriä turvapäälliköistä
4 Pyydämme tietoa LMK HSM -komponenteista
5 Pyydämme tietoja järjestelmien, kuten 3D-Securen, organisoinnista ja maksukorttien personoinnin järjestämisestä
Lähde – Treasury- ja säilytystehtäviä suorittavien osastojen päälliköt
1 Luettelo pankeista, joiden kanssa on solmittu kirjeenvaihtajasuhteet ja jotka osallistuvat pankkien väliseen luotonantoon. Käytämme saatuja tietoja selvityspalvelusta aiemmin saatujen tietojen selventämiseen ja myös tallentamaan tietoja vuorovaikutuksesta pörssien ja säilytysyhteisöjen kanssa. Saatujen tietojen perusteella luomme luettelon CIPF:stä ja tärkeimmistä tiedoista.
2 Luettelo pörsseistä ja erikoistuneista säilytysyhteisöistä, joiden kanssa pankki tekee yhteistyötä
Lähde – Talousvalvontapalveluiden päälliköt ja osastot, jotka vastaavat raporttien toimittamisesta Venäjän keskuspankille
1 Pyydämme tietoja siitä, kuinka he lähettävät tietoja ja vastaanottavat tietoja keskuspankilta. Luettelo mukana olevista henkilöistä ja teknisistä keinoista. Tietojen vuorovaikutusta Venäjän pankin kanssa säätelevät tiukasti asiaankuuluvat asiakirjat, esimerkiksi 2332-U, 321-I ja monet muut, tarkistamme näiden asiakirjojen noudattamisen ja luomme luetteloita CIPF:stä, avaintiedoista ja avainasiakirjoista.
Lähde – Pääkirjanpitäjä ja kirjanpitotyöntekijät, jotka osallistuvat pankin sisäisten tarpeiden laskujen maksamiseen
1 Pyydämme tietoa siitä, miten raportit laaditaan ja toimitetaan veroviranomaisille ja Venäjän keskuspankille Selvennämme aiemmin saatuja tietoja
2 Pyydämme maksuasiakirjarekisteriä pankin sisäisten tarpeiden maksamiseen Tästä rekisteristä etsimme asiakirjoja, joissa:
1) maksun vastaanottajiksi ilmoitetaan varmennekeskukset, erikoistuneet teleyritykset, CIPF-valmistajat ja tietoliikennelaitteiden toimittajat. Näiden yritysten nimet ovat saatavissa Venäjän FSB:n sertifioitujen CIPF:n rekisteristä, televiestintä- ja joukkoviestintäministeriön akkreditoitujen sertifiointikeskusten luettelosta ja muista lähteistä.
2) maksun salauksen purkamiseksi on sanat "CIPF", "allekirjoitus", "tunnus", "avain", "BKI" jne.
Lähde – Erääntyneiden velkojen ja riskienhallintapalvelujen johtajat
1 Pyydämme luettelon luottotietotoimistoista ja perintätoimistoista, joiden kanssa pankki tekee yhteistyötä. Yhdessä IT-palvelun kanssa analysoimme vastaanotetut tiedot sähköisen dokumentinhallinnan organisoinnin selkeyttämiseksi, jonka perusteella selkeytämme CIPF-luettelot, avaintiedot ja avainasiakirjat.
Lähde – Dokumenttienhallinnan, sisäisen valvonnan ja sisäisen tarkastuksen johtajat
1 Pyydämme rekisterin sisäisistä organisaatio- ja hallintoasiakirjoista (tilauksista). Näistä asiakirjoista etsimme CIPF:ään liittyviä asiakirjoja. Tätä varten analysoimme avainsanoja "turvallisuus", "vastuuhenkilö", "järjestelmänvalvoja", "sähköinen allekirjoitus", "digitaalinen allekirjoitus", "digitaalinen allekirjoitus", "digitaalinen allekirjoitus", "digitaalinen digitaalinen allekirjoitus", "ASP", "CIPF" ja niiden johdannaiset. Sitten tunnistamme näihin asiakirjoihin tallennetun luettelon pankin työntekijöistä. Haastattelemme työntekijöitä heidän kryptovaluuttojensa käytöstä. Saadut tiedot näkyvät CIPF-luetteloissa, avaintiedoissa ja avainasiakirjoissa.
2 Pyydämme luetteloita vastapuolten kanssa tehdyistä sopimuksista Pyrimme tunnistamaan sähköisen dokumentinhallinnan sopimuksia sekä sopimuksia tietoturvatuotteita tuottavien tai tämän alan palveluita tarjoavien yritysten sekä Internetin kautta varmennekeskuspalveluita ja raportointipalveluja tarjoavien yritysten kanssa.
3 Analysoimme päivittäisten asiakirjojen sähköisessä muodossa säilytystekniikkaa Toteutettaessa päivän asiakirjojen tallentamista sähköiseen muotoon tulee käyttää kryptografista tietosuojausta

Vaihe 3. Tekninen auditointi

Toiminta Odotettu tulos ja sen käyttö
1 Suoritamme teknisen inventaarion tietokoneisiin asennetuista ohjelmistoista. Tätä varten käytämme:
· yritysten virustorjuntajärjestelmien analyyttiset ominaisuudet (esimerkiksi Kaspersky Anti-Virus voi rakentaa samanlaisen rekisterin).
· WMI-skriptit Windows-käyttöjärjestelmää käyttäville tietokoneille;
· paketinhallintalaitteiden ominaisuudet *nix-järjestelmien kyselyyn;
· erikoisohjelmisto inventaarioon.		 Asennettujen ohjelmistojen joukosta etsimme ohjelmisto-CIPF-ajureita, laitteisto-CIPF-ajureita ja avainmediaa. Päivitämme CIPF-luettelon saatujen tietojen perusteella.
2 Etsimme tärkeitä asiakirjoja palvelimilta ja työasemilta. Tätä varten
· Kirjautumisskriptien avulla kyselemme toimialueen työasemilta, onko käyttäjäprofiileissa ja tietokoneprofiileissa yksityisiä avaimia sisältäviä varmenteita.
· Kaikista tietokoneista, tiedostopalvelimista ja hypervisoreista etsimme tiedostoja, joiden pääte on: crt, cer, key, pfx, p12, pem, pse, jks jne.
· Virtualisointijärjestelmien hypervisoreissa etsimme asennettuja levyasemia ja levykekuvia.		 Hyvin usein avainasiakirjat esitetään tiedostoavainsäiliöinä sekä Windows-käyttöjärjestelmää käyttävien tietokoneiden rekistereihin tallennettuina säilöinä. Löydetyt avainasiakirjat kirjataan avainasiakirjaluetteloon ja niiden sisältämät avaintiedot avaintietoluetteloon.
3 Analysoimme varmentajan tietokantojen sisältöä Varmenneviranomaisten tietokannat sisältävät yleensä tietoja näiden viranomaisten myöntämistä varmenteista. Kirjaamme vastaanotetut tiedot avaintietoluetteloon ja avainasiakirjojen luetteloon.
4 Suoritamme palvelinhuoneiden ja johtokaappien visuaalisen tarkastuksen etsien CIPF- ja laitteistoavainmediaa (tokenit, levyasemat) Joissakin tapauksissa on mahdotonta suorittaa luetteloa CIPF:stä ja tärkeimmistä asiakirjoista verkon kautta. Järjestelmät voivat sijaita eristyneissä verkkosegmenteissä tai niillä ei ole lainkaan verkkoyhteyksiä. Tätä varten teemme silmämääräisen tarkastuksen, jonka tulosten tulee selvittää kaikkien palvelinhuoneissa esiteltyjen laitteiden nimet ja käyttötarkoitukset. Kirjaamme saamamme tiedot CIPF- ja avainasiakirjojen luetteloon.
5 Analysoimme verkkoliikennettä tunnistaaksemme tietovirrat salatun tiedonsiirron avulla Salatut protokollat ​​- HTTPS, SSH jne. antavat meille mahdollisuuden tunnistaa verkkosolmut, joissa suoritetaan salausmuunnoksia ja jotka sisältävät CIPF:n ja avainasiakirjoja.

Johtopäätös

Tässä artikkelissa tarkastelimme CIPF:n ja kryptoavainten auditoinnin teoriaa ja käytäntöä. Kuten olet nähnyt, tämä menettely on melko monimutkainen ja aikaa vievä, mutta jos lähestyt sitä oikein, se on melko mahdollista. Toivomme, että tämä artikkeli auttaa sinua tosielämässä. Kiitos huomiostasi, odotamme kommenttejasi

Tunnisteet:

  • skzi
  • kryptografia
  • Sähköinen allekirjoitus
  • tarkastaa
  • hallinta
Lisää tunnisteita Tärkeimmät tehtävät suojata tietoa sen tallennuksen, käsittelyn ja siirron aikana viestintäkanavien ja eri tietovälineiden kautta, jotka on ratkaistu CIPF:n avulla, ovat: 1.

Tietosalaisuuden (luottamuksellisuuden) varmistaminen. 2.

Tietojen eheyden varmistaminen. 3.

Tietojen (asiakirjojen) aitouden vahvistaminen. Näiden ongelmien ratkaisemiseksi on tarpeen toteuttaa seuraava

prosessit: 1.

Varsinaisten tietojen suojaustoimintojen toteuttaminen, mukaan lukien:

salaus/salauksen purku; digitaalisen allekirjoituksen luominen/varmennus; simuloitujen lisäosien luominen/tarkistaminen. 2.

KZI-työkalujen tilan seuranta ja toiminnan hallinta (järjestelmässä):

tilan seuranta: KZI-työkalujen toimintahäiriöiden, luvattoman pääsyn yritysten, avainten vaarantumistapausten havaitseminen ja rekisteröinti;

toiminnan hallinta: toimenpiteiden toteuttaminen, jos luetellut poikkeukset CIS-laitteiden normaalista toiminnasta. 3.

KZI-tilojen kunnossapidon suorittaminen: avaintenhallinnan toteuttaminen;

uusien verkkotilaajien yhdistämiseen ja/tai lähtevien tilaajien poissulkemiseen liittyvien toimenpiteiden suorittaminen; CIPF:n havaittujen puutteiden poistaminen; uusien CIPF-ohjelmistoversioiden käyttöönotto;

CIPF:n teknisten välineiden nykyaikaistaminen ja korvaaminen edistyneemmillä ja/tai käytettyjen laitteiden vaihtaminen loppuun.

Avainten hallinta on yksi tärkeimmistä salaustietojen suojauksen toiminnoista, ja se koostuu seuraavien päätoimintojen toteuttamisesta:

avainten luonti: määrittelee mekanismin avainten tai avainparien luomiseksi niiden kryptografisten ominaisuuksien takaamiseksi;

avainten jakelu: määrittää mekanismin, jolla avaimet toimitetaan luotettavasti ja turvallisesti tilaajille;

avainten säilytys: määrittää mekanismin, jolla avaimet tallennetaan turvallisesti ja luotettavasti tulevaa käyttöä varten;

avainten palautus: määrittää mekanismin yhden avaimen palauttamiseksi (korvaamalla se uudella avaimella);

avainten tuhoaminen: määrittää mekanismin, jolla vanhentuneet avaimet tuhotaan turvallisesti;

avainarkisto: mekanismi, jolla avaimet voidaan tallentaa turvallisesti niiden notaarin vahvistamaa palautusta varten konfliktitilanteissa.

Yleisesti ottaen lueteltujen kryptografisen tiedon suojauksen toimintojen toteuttamiseksi on tarpeen luoda salaustietosuojajärjestelmä, joka yhdistää itse digitaaliset turvatyökalut, huoltohenkilöstön, tilat, toimistolaitteet, erilaiset dokumentaatiot (tekninen, viranomais- ja hallinnollinen) , jne.

Kuten jo todettiin, tietoturvatakuiden saamiseksi on käytettävä sertifioituja digitaalisen turvallisuuden työkaluja.

Tällä hetkellä yleisin kysymys on luottamuksellisten tietojen suojaaminen. Tämän ongelman ratkaisemiseksi FAPSI:n alaisuudessa on kehitetty toiminnallisesti täydellinen työkalusarja luottamuksellisten tietojen salaussuojaukseen, joka mahdollistaa lueteltujen tietojen suojausongelmien ratkaisemisen monenlaisiin sovelluksiin ja käyttöolosuhteisiin.

Tämä kompleksi perustuu kryptografisiin ytimiin "Verba" (epäsymmetrinen avainjärjestelmä) ja "Verba-O" (symmetrinen avainjärjestelmä). Nämä kryptoytimet tarjoavat tietojen salausmenettelyt standardin GOST 28147-89 "Tiedonkäsittelyjärjestelmät. Salaussuojaus" vaatimusten mukaisesti ja digitaaliset allekirjoitukset GOST R34.10-94 "Tietotekniikka. Salaustietojen suojaus. Menettelyt sähköisten digitaalisten allekirjoitusten luominen ja tarkistaminen epäsymmetrisen salausalgoritmin perusteella."

CIPF-kompleksiin sisältyvien työkalujen avulla voit suojata sähköisiä asiakirjoja ja tietovirtoja käyttämällä sertifioituja salausmekanismeja ja sähköisiä allekirjoituksia lähes kaikissa nykyaikaisissa tietoteknologioissa, mukaan lukien: voit käyttää CIPF:ää offline-tilassa;

turvallinen tiedonvaihto off-line-tilassa; turvallinen tiedonvaihto online-tilassa; suojattu heterogeeninen, ts. sekalaista tiedonvaihtoa.

CIPF:n käytön systeemisten ongelmien ratkaisemiseksi kehitettiin D. A. Starovoitovin johdolla monimutkaisen kryptografisen tiedon suojauksen Vityaz-tekniikka, joka tarjoaa salaustietojen suojauksen järjestelmän kaikissa osissa kerralla: ei vain viestintäkanavissa ja järjestelmäsolmuissa, vaan myös suoraan käyttäjien työpaikoilla dokumentin luomisprosessin aikana, kun itse dokumentti on suojattu.

Lisäksi yleisen Vityaz-teknologian puitteissa tarjotaan yksinkertaistettu tekniikka, joka on käyttäjien helposti saatavilla lisensoidun CIPF:n upottamiseksi erilaisiin sovellusjärjestelmiin, mikä tekee näiden CIPF:ien käyttöalueesta erittäin laajan.

Alla on kuvaus suojauskeinoista ja -menetelmistä jokaiselle luetellulle tilalle.

CIPF:n käyttö offline-tilassa.

Kun työskennellään itsenäisesti CIPF:n kanssa, voidaan toteuttaa seuraavat salaustietojen suojaustyypit: suojatun asiakirjan luominen; tiedostojen suojaus;

suojatun tiedostojärjestelmän luominen; suojatun loogisen aseman luominen. Käyttäjän pyynnöstä voidaan toteuttaa seuraavan tyyppinen asiakirjojen (tiedostojen) salaussuojaus:

asiakirjan (tiedoston) salaus, joka tekee sen sisällöstä saavuttamattomissa sekä asiakirjaa (tiedostoa) tallennettaessa että lähetettäessä sitä viestintäkanavien kautta tai käsin;

simuloidun liitteen kehittäminen, joka varmistaa asiakirjan (tiedoston) eheyden valvonnan;

sähköisen digitaalisen allekirjoituksen luominen, joka varmistaa asiakirjan (tiedoston) eheyden valvonnan ja asiakirjan (tiedoston) allekirjoittajan autentikoinnin.

Tämän seurauksena suojattu asiakirja (tiedosto) muuttuu salatuksi tiedostoksi, joka sisältää tarvittaessa sähköisen digitaalisen allekirjoituksen. Digitaalinen allekirjoitus voidaan tietojenkäsittelyprosessin organisoinnista riippuen esittää erillisenä tiedostona allekirjoitettavasta asiakirjasta. Tämä tiedosto voidaan sitten tulostaa levykkeelle tai muulle välineelle kuriirin toimittamista varten tai lähettää minkä tahansa saatavilla olevan sähköpostin kautta, esimerkiksi Internetin kautta.

Vastaanotettuaan salatun tiedoston sähköpostitse tai jollakin toisella välineellä, suoritetaan siis salaussuojausvaiheet käänteisessä järjestyksessä (salauksen purkaminen, jäljitelmien tarkistaminen, digitaalisen allekirjoituksen varmennus).

Itsenäisen työn suorittamiseen CIPF:n kanssa voidaan käyttää seuraavia sertifioituja työkaluja:

tekstieditori "Lexicon-Verba", toteutettu CIPF "Verba-O" ja CIPF "Verba" pohjalta;

CIPF-ohjelmistopaketti "Autonomous Workplace", toteutettu CIPF "Verba" ja "Verba-O" pohjalta Windows 95/98/NT:lle;

kryptografinen levyohjain PTS "DiskGuard".

Suojattu tekstinkäsittelyohjelma "Lexicon-Verba".

Lexikon-Verba-järjestelmä on monipuolinen tekstieditori, joka tukee asiakirjojen salausta ja sähköisiä digitaalisia allekirjoituksia. Asiakirjojen suojaamiseen se käyttää Verba- ja Verba-O-salausjärjestelmiä. Tästä tuotteesta ainutlaatuisen tekee se, että tekstin salaus- ja allekirjoitustoiminnot sisältyvät yksinkertaisesti osaksi nykyaikaisen tekstieditorin toimintoja. Asiakirjan salaus ja allekirjoittaminen muuttuu tässä tapauksessa erityisistä prosesseista yksinkertaisesti vakiotoimiksi dokumentin kanssa työskennellessä.

Samaan aikaan Lexicon-Verba-järjestelmä näyttää tavalliselta tekstieditorilta. Tekstin muotoiluvaihtoehtoja ovat asiakirjan kirjasimien ja kappaleiden täydellinen mukauttaminen; taulukot ja luettelot; otsikot, alaviitteet, sivupalkit; tyylien käyttö ja monet muut nykyajan vaatimukset täyttävän tekstieditorin toiminnot. "Lexicon-Verba" mahdollistaa asiakirjojen luomisen ja muokkaamisen Lexicon-, RTF-, MS Word 6/95/97, MS Write -muodoissa.

Itsenäinen työpaikka.

CIPF "Autonomous Workplace" on toteutettu CIPF "Verba" ja "Verba-O" pohjalta Windows 95/98/NT:lle ja antaa käyttäjälle mahdollisuuden suorittaa seuraavat toiminnot interaktiivisesti:

tiedostojen salaus/salauksen purku avaimilla; tiedostojen salaus/salauksen purku salasanalla; elektronisten digitaalisten allekirjoitusten (EDS) kiinnittäminen/poistaminen/tarkistaminen tiedostoihin;

salattujen tiedostojen tarkistaminen;

digitaalisen allekirjoituksen kiinnittäminen + tiedostojen salaus (yhdessä toiminnossa); salauksen purku + digitaalisen allekirjoituksen poistaminen (yhdessä toiminnossa) tiedostoista;

hash-tiedoston laskenta.

CIPF "Autonomous Workplace" on suositeltavaa käyttää päivittäiseen työhön työntekijöille, joiden on tarjottava:

luottamuksellisten tietojen siirto sähköisesti pika- tai kuriirin välityksellä;

luottamuksellisten tietojen lähettäminen julkisen verkon kautta, mukaan lukien Internet;

suojaus työntekijöiden henkilökohtaisten tietokoneiden luottamuksellisten tietojen luvattomalta käytöltä.

Tiedon luottamuksellisuutta luonnehtivat sellaiset näennäisesti vastakkaiset indikaattorit, kuten saavutettavuus ja salassapito. Menetelmiä, joilla varmistetaan, että tiedot ovat käyttäjien saatavilla, käsitellään kohdassa 9.4.1. Tässä osiossa pohditaan tapoja varmistaa tietojen salassapito. Tälle tiedon ominaisuudelle on tunnusomaista informaation peittoaste ja se heijastaa sen kykyä vastustaa tietotaulukoiden merkityksen paljastamista, tallennetun informaatiotaulukon rakenteen tai lähetetyn tietojoukon kantoaallon (kantoaaltosignaalin) määrittämistä ja tosiasian toteamista. tietoryhmän siirtämisestä viestintäkanavien kautta. Optimaalisuuskriteerit tässä tapauksessa ovat pääsääntöisesti:

    minimoida todennäköisyys suojan voittamiseksi ("rikkomiseksi");

    odotetun turvallisen ajan maksimoiminen ennen kuin tietoturva-alijärjestelmä "hakkeroidaan";

    minimoimalla suojauksen "hakkeroinnista" aiheutuvat kokonaistappiot sekä tiedonhallinta- ja suoja-alijärjestelmän vastaavien elementtien kehittämisestä ja käytöstä aiheutuvat kustannukset jne.

Yleisesti ottaen voit varmistaa tilaajien välisen tietojen luottamuksellisuuden jollakin seuraavista tavoista:

    luo ehdottoman luotettava viestintäkanava tilaajien välille, johon muut eivät pääse;

    käytä julkista viestintäkanavaa, mutta piilota tiedon välittämisen tosiasia;

    käyttää julkista viestintäkanavaa, mutta välittää sen kautta tietoa muunnetussa muodossa, ja se on muunnettava siten, että vain vastaanottaja voi palauttaa sen.

Ensimmäinen vaihtoehto on käytännössä mahdoton toteuttaa, koska tällaisen kanavan luominen etätilaajien välillä on korkeat materiaalikustannukset.

Yksi tapa varmistaa tiedonsiirron luottamuksellisuus on steganografia. Tällä hetkellä se on yksi lupaavista alueista tallennetun tai siirretyn tiedon luottamuksellisuuden varmistamisessa tietokonejärjestelmissä piilottamalla luokiteltu tieto avoimiin tiedostoihin, erityisesti multimediatiedostoihin.

Osallistunut tietojen muuntamiseen (salaukseen) liittyvien menetelmien kehittämiseen sen suojaamiseksi laittomuuksilta kryptografia.

Kryptografia (joskus käytetään termiä kryptologia) on tietämysala, joka tutkii salaista kirjoittamista (salausta) ja menetelmiä sen paljastamiseksi (salausanalyysi). Kryptografiaa pidetään matematiikan haarana.

Viime aikoihin asti kaikki tämän alan tutkimus oli vain suljettua, mutta viime vuosina avoimessa lehdistössä on alkanut ilmestyä yhä enemmän julkaisuja. Syynä salassapitovelvollisuuden lieventymiseen on osittain se, että kertyneen tietomäärän piilottaminen on muuttunut mahdottomaksi. Toisaalta kryptografiaa käytetään yhä enemmän siviiliteollisuudessa, mikä vaatii paljastamista.

9.6.1. Salauksen periaatteet. Salausjärjestelmän tavoitteena on salata mielekäs selväteksti (kutsutaan myös selväksi tekstiksi) näennäisesti merkityksettömäksi salatekstiksi (salateksti). Vastaanottajan, jolle se on tarkoitettu, on kyettävä tulkitsemaan (kutsutaan myös "salakirjoitukseksi") tämä salateksti ja siten palauttaa vastaava selkeä teksti. Tässä tapauksessa vastustaja (kutsutaan myös kryptanalyytikoksi) ei saa pystyä paljastamaan alkuperäistä tekstiä. Salakirjoituksen (salauksen) ja salatekstin paljastamisen välillä on tärkeä ero.

Salausmenetelmiä ja tiedon muuntamisen menetelmiä kutsutaan salauksia. Salausjärjestelmän (salauksen) paljastaminen on kryptoanalyytikon työn tulos, mikä johtaa mahdollisuuteen paljastaa tehokkaasti mikä tahansa tietyllä kryptojärjestelmällä salattu selkeä teksti. Sitä, missä määrin kryptosysteemi ei pysty havaitsemaan, kutsutaan sen vahvuudeksi.

Tietoturvajärjestelmien luotettavuus on hyvin monimutkainen kysymys. Tosiasia on, että ei ole olemassa luotettavia testejä, joilla varmistetaan, että tiedot on suojattu riittävän luotettavasti. Ensinnäkin kryptografialla on se erityispiirre, että salauksen "murtaminen" vaatii usein useita suuruusluokkaa enemmän rahaa kuin sen luominen. Tästä johtuen kryptografisen suojausjärjestelmän testitestaus ei ole aina mahdollista. Toiseksi, toistuvat epäonnistuneet yritykset voittaa puolustus eivät tarkoita, että seuraava yritys ei onnistu. On mahdollista, että ammattilaiset kamppailivat salauksen kanssa pitkään, mutta tuloksetta, ja tietty tulokas otti epätavanomaisen lähestymistavan - ja salaus tuli hänelle helposti.

Tietoturvatyökalujen luotettavuuden näin huonon todennettavuuden seurauksena markkinoilla on monia tuotteita, joiden luotettavuutta ei voida luotettavasti arvioida. Luonnollisesti niiden kehittäjät ylistävät työtään kaikin mahdollisin tavoin, mutta eivät pysty todistamaan sen laatua, ja usein tämä on periaatteessa mahdotonta. Pääsääntöisesti luotettavuuden todistamattomuuteen liittyy myös se, että salausalgoritmi pidetään salassa.

Ensi silmäyksellä algoritmin salaisuus toimii lisätakuutena salauksen luotettavuudesta. Tämä on amatööreille suunnattu argumentti. Itse asiassa, jos algoritmi on kehittäjien tiedossa, sitä ei voida enää pitää salaisena, elleivät käyttäjä ja kehittäjä ole sama henkilö. Lisäksi, jos kehittäjän epäpätevyyden tai virheiden vuoksi algoritmi osoittautuu epävakaaksi, sen salassapito ei anna riippumattomille asiantuntijoille mahdollisuuden tarkistaa sitä. Algoritmin epävakaus paljastuu vasta, kun se on jo hakkeroitu tai ei ollenkaan, koska vihollinen ei kiirehdi kerskumaan onnistumisistaan.

Siksi salakirjoittajan on ohjattava hollantilaisen O. Kerkhoffsin ensin muotoilemaa sääntöä: salauksen vahvuuden tulee määrittää vain avaimen salassapito. Toisin sanoen O. Kerkhoffsin sääntö on, että koko salausmekanismi, paitsi salaisen avaimen arvo, katsotaan a priori vihollisen tiedoksi.

Toinen asia on, että tiedon suojausmenetelmä on mahdollinen (tarkasti ottaen, ei liity kryptografiaan), kun salausalgoritmi ei ole piilotettu, vaan se tosiasia, että viesti sisältää salattua (siihen piilotettua) tietoa. Olisi oikeampaa kutsua tätä tekniikkaa tiedon peittämiseksi. Sitä käsitellään erikseen.

Krypografian historia ulottuu useiden tuhansien vuosien taakse. Tarve piilottaa kirjoitettu ilmeni ihmisessä melkein heti kun hän oppi kirjoittamaan. Tunnettu historiallinen esimerkki kryptosysteemistä on ns. Caesar-salaus, joka yksinkertaisesti korvaa jokaisen selkeän tekstin kirjaimen sitä seuraavalla aakkosten kolmannella kirjaimella (tarvittaessa käärimisellä). Esimerkiksi, A korvattiin D,B päällä E,Z päällä C.

Huolimatta merkittävistä edistysaskeleista matematiikassa vuosisatojen kuluessa Caesarin ajoista, salainen kirjoittaminen edistyi merkittävästi vasta 1900-luvun puolivälissä. Siinä oli amatöörimäinen, spekulatiivinen, epätieteellinen lähestymistapa.

Esimerkiksi 1900-luvulla ammattilaiset käyttivät laajasti ”kirja”-salauksia, joissa avaimena käytettiin jotakin massajulkaisua. Tarpeetonta sanoa, kuinka helposti sellaiset salaukset paljastettiin! Tietenkin teoreettisesta näkökulmasta "kirjan" salaus näyttää melko luotettavalta, koska sen sarjaa on mahdotonta lajitella manuaalisesti. Pieninkin ennakkotieto kaventaa kuitenkin jyrkästi tätä valintaa.

Muuten, ennakkotiedoista. Suuren isänmaallisen sodan aikana, kuten tiedetään, Neuvostoliitto kiinnitti huomattavaa huomiota partisaaniliikkeen järjestämiseen. Melkein jokaisella vihollislinjojen takana olevalla osastolla oli radioasema sekä jonkinlainen viestintä "mantereeseen". Partisaanien salakirjoitukset olivat erittäin epävakaita - saksalaiset koodinmurtajat salasivat ne melko nopeasti. Ja tämä, kuten tiedämme, johti sotilaallisiin tappioihin ja tappioihin. Partisaanit osoittautuivat oveliksi ja kekseliäisiksi tälläkin alueella. Vastaanotto oli erittäin yksinkertainen. Viestin alkuperäinen teksti sisälsi suuren määrän kielioppivirheitä, esimerkiksi he kirjoittivat: "kolme ešelonia ohitti tankkeja." Oikein tulkittuina kaikki oli selvää venäläiselle. Mutta vihollisen kryptanalyytikot olivat voimattomia tällaista tekniikkaa vastaan: käydessään läpi mahdollisia vaihtoehtoja he kohtasivat venäjän kielelle mahdoton yhdistelmän "tnk" ja hylkäsivät tämän vaihtoehdon ilmeisen virheellisenä.

Tämä näennäisesti kotimainen tekniikka on itse asiassa erittäin tehokas ja sitä käytetään usein vieläkin. Viestin alkuperäiseen tekstiin on lisätty satunnaisia ​​symbolisarjoja hämmentämään raa'alla voimalla toimivat kryptaanalyyttiset ohjelmat tai muuttamaan salauksen tilastollisia kuvioita, jotka voivat myös tarjota hyödyllistä tietoa viholliselle. Mutta yleisesti ottaen voimme silti sanoa, että sotaa edeltävä kryptografia oli erittäin heikkoa eikä voinut vaatia vakavan tieteen nimitystä.

Tiukka sotilaallinen välttämättömyys pakotti kuitenkin pian tiedemiehet tarttumaan salauksen ja kryptoanalyysin ongelmiin. Yksi ensimmäisistä merkittävistä saavutuksista tällä alalla oli saksalainen Enigma-kirjoituskone, joka oli itse asiassa mekaaninen kooderi ja dekooderi, jolla oli melko suuri vastus.

Samaan aikaan, toisen maailmansodan aikana, ilmestyivät ensimmäiset ammattimaiset salauksenpurkupalvelut. Tunnetuin niistä on brittiläisen tiedustelupalvelun MI5:n yksikkö Bletchley Park.

9.6.2. Salaustyypit Kaikki salausmenetelmät voidaan jakaa kahteen ryhmään: salaisen avaimen salaukset ja julkisen avaimen salaukset. Ensin mainituille on ominaista jonkin tiedon (salainen avain) läsnäolo, jonka hallussapito mahdollistaa viestien sekä salauksen että salauksen purkamisen. Siksi niitä kutsutaan myös yksiavaimeisiksi. Julkisen avaimen salaukset vaativat kaksi avainta viestien salauksen purkamiseen. Näitä salauksia kutsutaan myös kahden avaimen salakirjoiksi.

Salaussääntö ei voi olla mielivaltainen. Sen on oltava sellainen, että salatekstistä voidaan avaussääntöä käyttäen rekonstruoida yksiselitteisesti avoin viesti. Samantyyppiset salaussäännöt voidaan yhdistää luokkiin. Luokassa säännöt eroavat toisistaan ​​jonkin parametrin arvoilla, jotka voivat olla numeroita, taulukkoja jne. Salaustekniikassa tällaisen parametrin erityisarvoa kutsutaan yleensä avain.

Pohjimmiltaan avain valitsee tietyn salaussäännön tietystä sääntöluokasta. Tämä mahdollistaa ensinnäkin käytettäessä erikoislaitteita salaukseen laiteparametrien arvon muuttamisen siten, että salattua viestiä eivät voi purkaa edes henkilöt, joilla on täsmälleen sama laite, mutta jotka eivät tiedä valittua parametrin arvoa, ja toiseksi, sen avulla voit muuttaa salaussääntöä ajoissa, koska saman salaussäännön toistuva käyttö selväkielisille viesteille luo edellytykset saada selkokielisiä viestejä salatuista viesteistä.

Avaimen käsitettä käyttäen salausprosessia voidaan kuvata relaationa:

Missä A- avoin viesti; B– salattu viesti; f– salaussääntö; α – valittu avain, jonka lähettäjä ja vastaanottaja tuntevat.

Jokaiselle avaimelle α salauksen muunnos on oltava käänteinen, eli siinä on oltava käänteinen muunnos , joka valitulla näppäimellä α yksilöi avoimen viestin A salatun viestin kautta B:

(9.0)

Joukko muunnoksia ja avaimet, joita ne vastaavat, kutsutaan koodi. Kaikista salakirjoista voidaan erottaa kaksi suurta luokkaa: korvaussalaukset ja permutaatiosalaukset. Tällä hetkellä elektronisia salauslaitteita käytetään laajalti tietojen suojaamiseen automatisoiduissa järjestelmissä. Tällaisten laitteiden tärkeä ominaisuus ei ole vain toteutetun salauksen vahvuus, vaan myös salaus- ja salauksenpurkuprosessin suuri nopeus.

Joskus kaksi käsitettä sekoitetaan: salaus Ja koodaus. Toisin kuin salauksessa, jota varten sinun on tiedettävä salaus ja salainen avain, koodauksessa ei ole mitään salaista, kirjaimet tai sanat korvataan vain tietyllä tavalla ennalta määrätyillä symboleilla. Koodausmenetelmillä ei pyritä piilottamaan avointa viestiä, vaan esittämään se kätevämmässä muodossa lähetettäväksi teknisten viestintävälineiden kautta, lyhentämään viestin pituutta, suojaamaan vääristymiä jne.

Salaiset avainsalaukset. Tämän tyyppinen salaus tarkoittaa joidenkin tietojen (avaimen) läsnäoloa, jonka hallussa voit sekä salata että purkaa viestin.

Toisaalta tällaisessa järjestelyssä on haittoja, että avoimen kanavan lisäksi salakirjoituksen siirtoon tulee olla myös salainen kanava avaimen lähettämiseksi, minkä lisäksi se on mahdotonta, jos avaimesta vuotaa tietoa todistaa, kummalta kahdesta kirjeenvaihtajasta vuoto tapahtui.

Toisaalta tämän tietyn ryhmän salausten joukossa on ainoa salausjärjestelmä maailmassa, jolla on absoluuttinen teoreettinen vahvuus. Kaikki muut voidaan ainakin periaatteessa tulkita. Tällainen menetelmä on tavallinen salaus (esimerkiksi XOR-operaatio) avaimella, jonka pituus on yhtä suuri kuin viestin pituus. Tässä tapauksessa avainta tulee käyttää vain kerran. Yritykset purkaa tällainen viesti ovat hyödyttömiä, vaikka viestin tekstistä olisikin etukäteen tietoa. Valitsemalla avaimen saat minkä tahansa viestin tuloksena.

Julkisen avaimen salaukset. Tämän tyyppinen salaus tarkoittaa kahden avaimen - julkisen ja yksityisen - läsnäoloa; toista käytetään salaukseen, toista viestien salauksen purkamiseen. Julkinen avain julkaistaan ​​- tuodaan kaikkien tietoon, kun taas salainen avain on sen omistajan hallussa ja se on avain viestien salaisuuteen. Menetelmän ydin on, että salaisella avaimella salattu voidaan purkaa vain julkisella avaimella ja päinvastoin. Nämä avaimet luodaan pareittain ja ne vastaavat toisiaan yksitellen. Lisäksi on mahdotonta laskea toista avaimesta.

Tämän tyyppisille salakirjoille tyypillinen piirre, joka erottaa ne suotuisasti salaisen avaimen salauksista, on se, että salainen avain on tässä vain yhden henkilön tiedossa, kun taas ensimmäisessä mallissa se on tiedettävä vähintään kahdelle. Tämä antaa seuraavat edut:

    salaisen avaimen lähettämiseen ei tarvita suojattua kanavaa;

    kaikki viestintä tapahtuu avoimen kanavan kautta;

    Yksittäinen kopio avaimesta vähentää sen menettämisen mahdollisuutta ja antaa sinun määrittää selkeän henkilökohtaisen vastuun salaisuuden säilyttämisestä;

    kahden avaimen läsnäolo mahdollistaa tämän salausjärjestelmän käytön kahdessa tilassa - salainen viestintä ja digitaalinen allekirjoitus.

Yksinkertaisin esimerkki tarkasteltavana olevista salausalgoritmeista on RSA-algoritmi. Kaikki muut tämän luokan algoritmit eivät pohjimmiltaan eroa siitä. Voidaan sanoa, että yleisesti ottaen RSA on ainoa julkisen avaimen algoritmi.

9.6.3. Algoritmi RSA. RSA (nimetty kirjoittajiensa Rivestin, Shamirin ja Aldermanin mukaan) on julkisen avaimen algoritmi, joka on suunniteltu sekä salaukseen että todentamiseen (digitaalinen allekirjoitus). Tämä algoritmi kehitettiin vuonna 1977 ja se perustuu suurten kokonaislukujen hajottamiseen yksinkertaisiksi tekijöiksi (faktorointi).

RSA on erittäin hidas algoritmi. Vertailun vuoksi ohjelmistotasolla DES on vähintään 100 kertaa nopeampi kuin RSA; laitteistolla – 1 000-10 000 kertaa suorituksesta riippuen.

RSA-algoritmi on seuraava. Otetaan kaksi erittäin suurta alkulukua s Ja q. Päättäväinen n kertomisen seurauksena s päällä q(n=sq). Suuri satunnainen kokonaisluku valitaan d, koprime kanssa m, Missä
. Tämä luku määräytyy e, Mitä
. Kutsutaan sitä julkiseksi avaimeksi e Ja n, ja salainen avain on numerot d Ja n.

Nyt tietojen salaamiseksi tunnetulla avaimella ( e,n), sinun on tehtävä seuraava:

jakaa salateksti lohkoihin, joista jokainen voidaan esittää numeroina M(i)=0,1,…,n-1;

salaa teksti, jota käsitellään numerosarjana M(i) kaavan mukaan C(i)=(M(i)) mod n;

purkaa näiden tietojen salaus salaisella avaimella ( d,n), sinun on suoritettava seuraavat laskelmat M(i)=(C(i))mod n.

Tuloksena on paljon numeroita M(i), jotka edustavat lähdetekstiä.

Esimerkki. Harkitsemme RSA-menetelmän käyttöä viestin: "Tietokone" salaamiseen. Yksinkertaisuuden vuoksi käytämme hyvin pieniä numeroita (käytännössä käytetään paljon suurempia numeroita - 200:sta ja enemmän).

    Valitaan s= 3 ja q=11. Määritellään n=3×11=33.

    Etsitään ( s-1)×( q-1) = 20. Siksi, kuten d valitse mikä tahansa luku, joka vastaa esimerkiksi 20:tä d=3.

    Valitaan numero e. Tällainen luku voi olla mikä tahansa luku, jolle relaatio ( e×3) mod 20=1, esimerkiksi 7.

    Kuvitellaan salattua viestiä kokonaislukujen sarjana välillä 1...32. Esitetään kirjain “E” numerolla 30, kirjain “B” numerolla 3 ja kirjain “M” numerolla 13. Tällöin alkuperäinen viesti voidaan esittää numerosarjana (30 03 13 ).

    Salataan viesti avaimella (7.33).

C1=(307) mod 33=21870000000 mod 33=24,

С2=(37) mod 33=2187 mod 33=9,

C3=(137) mod 33=62748517 mod 33=7.

Näin ollen salattu viesti näyttää tältä (24 09 07).

Ratkaistaan ​​käänteinen ongelma. Puretaan viestin (24 09 07), joka on saatu salauksen tuloksena tunnetulla avaimella, salausavaimen (3.33) perusteella:

M1=(24 3) mod 33=13824 mod 33=30,

M2=(9 3) mod 33=739 mod 33=9,

M3=(7 3)mod33=343mod33=13 .

Näin ollen viestin salauksen purkamisen seurauksena vastaanotettiin alkuperäinen viesti "tietokone".

RSA-algoritmin kryptografinen vahvuus perustuu oletukseen, että salaisen avaimen määrittäminen tunnetusta on äärimmäisen vaikeaa, koska tämä edellyttää kokonaislukujakajan olemassaolon ongelman ratkaisemista. Tämä ongelma on NP-täydellinen, ja tämän tosiasian seurauksena se ei tällä hetkellä mahdollista tehokasta (polynomista) ratkaisua. Lisäksi itse kysymys tehokkaiden algoritmien olemassaolosta NP-täydellisten ongelmien ratkaisemiseksi on edelleen avoin. Tältä osin 200 numerosta koostuvien numeroiden (ja näitä numeroita suositellaan käytettäväksi) perinteiset menetelmät vaativat valtavan määrän toimintoja (noin 1023).

RSA-algoritmi (kuva 9.2) on patentoitu Yhdysvalloissa. Sen käyttö muiden toimesta ei ole sallittua (avaimen pituus ylittää 56 bittiä). Totta, tällaisen perustamisen oikeudenmukaisuus voidaan kyseenalaistaa: kuinka tavallinen eksponentio voidaan patentoida? RSA on kuitenkin suojattu tekijänoikeuslailla.

Riisi. 9.2. Salausjärjestelmä

Tilaajan julkisella avaimella salatun viestin salauksen voi purkaa vain hän itse, koska vain hänellä on salainen avain. Joten lähettääksesi yksityisen viestin, sinun on otettava vastaanottajan julkinen avain ja salattava viesti sillä. Tämän jälkeen edes sinä itse et voi tulkita sitä.

9.6.4. Sähköinen allekirjoitus. Kun teemme päinvastoin, eli salaamme viestin salaisella avaimella, niin kuka tahansa voi purkaa sen salauksen (ottamalla julkisen avaimesi). Mutta jo se tosiasia, että viesti oli salattu salaisella avaimellasi, toimii vahvistuksena, että se tuli sinulta, ainoalta salaisen avaimen haltijalta maailmassa. Tätä algoritmin käyttötapaa kutsutaan digitaaliseksi allekirjoitukseksi.

Teknisestä näkökulmasta sähköinen digitaalinen allekirjoitus on ohjelmistosalattu (eli asianmukaisesti salattu) työkalu, jonka avulla voit varmistaa, että allekirjoituksen tietyssä sähköisessä asiakirjassa on kirjoittanut sen tekijä, ei kukaan muu. Sähköinen digitaalinen allekirjoitus on joukko merkkejä, jotka on luotu GOST R 34.0-94 ja GOST R 34.-94 määrittelemän algoritmin mukaisesti. Samalla sähköisellä digitaalisella allekirjoituksella voit varmistaa, että sähköisellä digitaalisella allekirjoituksella allekirjoitettuja tietoja ei ole muutettu lähetysprosessin aikana ja että lähettäjä on allekirjoittanut ne täsmälleen siinä muodossa, jossa sait ne.

Asiakirjan sähköinen allekirjoitus (kuva 9.3) on varsin yksinkertainen: allekirjoitettava tietojoukko käsitellään erityisohjelmistolla ns. yksityistä avainta käyttäen. Seuraavaksi salattu taulukko lähetetään sähköpostitse, ja vastaanotettuaan se vahvistetaan vastaavalla julkisella avaimella. Julkisen avaimen avulla voit tarkistaa taulukon eheyden ja varmistaa lähettäjän sähköisen digitaalisen allekirjoituksen aitouden. Uskotaan, että tällä tekniikalla on 100% suoja hakkerointia vastaan.

Riisi. 9.3. Sähköisen asiakirjan allekirjoitusprosessin kaavio

Jokaisella allekirjoitusoikeutetulla henkilöllä on salainen avain (koodi) ja se voidaan tallentaa levykkeelle tai älykortille. Asiakirjan vastaanottajat käyttävät julkista avainta sähköisen digitaalisen allekirjoituksen aitouden tarkistamiseen. Sähköisen digitaalisen allekirjoituksen avulla voit allekirjoittaa yksittäisiä tiedostoja tai tietokannan fragmentteja.

Jälkimmäisessä tapauksessa sähköisen digitaalisen allekirjoituksen toteuttava ohjelmisto tulee integroida sovellettaviin automatisoituihin järjestelmiin.

Uuden lain mukaan sähköisen digitaalisen allekirjoituksen työkalujen sertifiointimenettely ja itse allekirjoituksen sertifiointi on selkeästi säännelty.

Tämä tarkoittaa, että asianomaisen viranomaisen on vahvistettava, että tietty ohjelmisto sähköisen digitaalisen allekirjoituksen luomiseksi todella tuottaa (tai vahvistaa) vain sähköisen digitaalisen allekirjoituksen eikä mitään muuta. että vastaavat ohjelmat eivät sisällä viruksia, eivät lataa tietoja urakoitsijoilta, eivät sisällä "bugeja" ja ovat taattu hakkerointia vastaan. Itse allekirjoituksen sertifiointi tarkoittaa, että asianomainen organisaatio - varmenneviranomainen - vahvistaa, että tämä avain kuuluu tälle tietylle henkilölle.

Voit allekirjoittaa asiakirjoja ilman määritettyä todistusta, mutta oikeudenkäynnissä on vaikea todistaa mitään. Tässä tapauksessa varmenne on korvaamaton, koska allekirjoitus itsessään ei sisällä tietoja sen omistajasta.

Esimerkiksi kansalainen A ja kansalainen SISÄÄN tekivät sopimuksen 10 000 ruplan määrästä ja vahvistivat sopimuksen digitaalisella allekirjoituksellaan. Kansalainen A ei täyttänyt velvollisuuttaan. Loukkaantunut kansalainen SISÄÄN, joka on tottunut toimimaan oikeudellisissa puitteissa, menee oikeuteen, jossa allekirjoituksen aitous vahvistetaan (julkisen avaimen vastaavuus yksityiseen). Kuitenkin kansalainen A toteaa, että yksityinen avain ei ole ollenkaan hänen. Kun tällainen ennakkotapaus syntyy, grafologinen tutkimus tehdään tavallisella allekirjoituksella, mutta sähköisen digitaalisen allekirjoituksen tapauksessa tarvitaan kolmas osapuoli tai asiakirja, joka vahvistaa, että allekirjoitus todella kuuluu tälle henkilölle. Tätä varten julkisen avaimen varmenne on tarkoitettu.

Nykyään yksi suosituimmista sähköisen digitaalisen allekirjoituksen perustoimintoja toteuttavista ohjelmistotyökaluista ovat Verba- ja CryptoPRO CSP -järjestelmät.

9.6.5. HASH-toiminto. Kuten yllä näkyy, julkisen avaimen salausta voidaan käyttää kahdessa tilassa: salaus ja digitaalinen allekirjoitus. Toisessa tapauksessa ei ole järkevää salata koko tekstiä (dataa) salaisella avaimella. Teksti jätetään selkeäksi ja tietty "tarkistussumma" tästä tekstistä salataan, jolloin tuloksena on tietolohko, joka on digitaalinen allekirjoitus, joka lisätään tekstin loppuun tai liitetään siihen erillisessä tiedostossa.

Mainittu tietojen ”tarkistussumma”, joka on ”allekirjoitettu” koko tekstin sijaan, on laskettava koko tekstistä niin, että kirjaimen muutos heijastuu siihen. Toiseksi määritetyn funktion on oltava yksisuuntainen, toisin sanoen laskettavissa vain "yhteen suuntaan". Tämä on tarpeen, jotta vihollinen ei voi tarkoituksella muuttaa tekstiä sopimaan olemassa olevaan digitaaliseen allekirjoitukseen.

Tätä toimintoa kutsutaan Hash-toiminto, joka on salausalgoritmien tapaan standardoinnin ja sertifioinnin alainen. Maassamme sitä säätelee GOST R-3411. Hash-toiminto– toiminto, joka suorittaa tietotaulukon tiivistyksen yhdistämällä arvot (erittäin) suuresta arvojoukosta (merkittävästi) pienempään arvojoukkoon. Hajautustoimintoja käytetään digitaalisten allekirjoitusten lisäksi myös muissa sovelluksissa. Esimerkiksi vaihdettaessa viestejä etätietokoneiden välillä, joissa vaaditaan käyttäjän todennusta, voidaan käyttää hash-funktioon perustuvaa menetelmää.

Antaa Hash koodin funktion luoma N:

,

Missä M on mielivaltaisen pituinen viesti ja h on kiinteäpituinen hash-koodi.

Katsotaanpa vaatimuksia, jotka hash-funktion on täytettävä, jotta sitä voidaan käyttää viestin todentajana. Katsotaanpa hyvin yksinkertaista esimerkkiä hash-funktiosta. Sitten analysoimme useita lähestymistapoja hash-funktion rakentamiseen.

Hash-toiminto N, jota käytetään viestien todentamiseen, on oltava seuraavat ominaisuudet:

    N(M) koskee minkä tahansa pituisia tietolohkoja;

    N(M) luoda kiinteäpituinen tuloste;

    N(M) on suhteellisen helppo (polynomiajassa) laskea mille tahansa arvolle M;

    mille tahansa tiivistekoodin arvolle h mahdotonta löytää M sellasta N(M) =h;

    mille tahansa tietylle X laskennallisesti mahdotonta löytää yx, Mitä H(y) =H(x);

    On laskennallisesti mahdotonta löytää mielivaltaista paria ( X,y) sellaista H(y) =H(x).

Kolme ensimmäistä ominaisuutta edellyttävät, että hash-funktio tuottaa hajakoodin mille tahansa viestille.

Neljäs ominaisuus määrittelee vaatimuksen, että hash-funktio on yksipuolinen: annetusta viestistä on helppo luoda hash-koodi, mutta sanomaa on mahdotonta rekonstruoida annetusta hash-koodista. Tämä ominaisuus on tärkeä, jos hash-todennus sisältää salaisen arvon. Itse salaista arvoa ei saa lähettää, mutta jos hash-funktio ei ole yksisuuntainen, vastustaja voi helposti paljastaa salaisen arvon seuraavasti.

Viides ominaisuus varmistaa, että on mahdotonta löytää toista viestiä, jonka hash-arvo vastaa tämän viestin hash-arvoa. Tämä estää autentikaattorin huijauksen käytettäessä salattua hash-koodia. Tässä tapauksessa vastustaja voi lukea viestin ja siten luoda sen hash-koodin. Mutta koska vastustajalla ei ole salaista avainta, hänellä ei ole keinoa muuttaa viestiä ilman, että vastaanottaja havaitsee sitä. Jos tämä ominaisuus ei täyty, hyökkääjällä on mahdollisuus suorittaa seuraava toimintosarja: siepata viesti ja sen salattu hash-koodi, laskea viestin hash-koodi, luoda vaihtoehtoinen viesti samalla hash-koodilla, korvata alkuperäinen viesti viesti väärennöksellä. Koska näiden viestien tiivisteet ovat samat, vastaanottaja ei havaitse huijausta.

Hajautusfunktiota, joka täyttää viisi ensimmäistä ominaisuutta, kutsutaan yksinkertainen tai heikko hash-toiminto. Jos lisäksi kuudes ominaisuus täyttyy, niin tällaista funktiota kutsutaan vahva hash-toiminto. Kuudes ominaisuus suojaa syntymäpäivähyökkäyksenä tunnetuilta hyökkäyksiltä.

Kaikki hash-toiminnot suoritetaan seuraavasti. Syöttöarvoa (viesti, tiedosto jne.) pidetään sarjana n-bittilohkot. Syöttöarvo käsitellään peräkkäin lohko lohkolta, ja a m- hash-koodin bittiarvo.

Yksi yksinkertaisimmista esimerkeistä hash-funktiosta on kunkin lohkon bittikohtainen XOR:

KANSSA i = b i 1 XOR b i2 XOR. . . XOR b ik ,

Missä KANSSA i i hash-koodin bitti, i = 1, …, n;

k- numero n-bitin syöttölohkot;

b iji th bitti sisään j th lohko.

Tuloksena on pituinen hash-koodi n, joka tunnetaan pitkittäisenä ylimääräisenä kontrollina. Tämä on tehokas tapa, kun tietojen eheyden tarkistaminen epäonnistuu satunnaisesti.

9.6.6. DES JA GOST-28147. DES (Data Encryption Standard) on algoritmi, jossa on symmetriset avaimet, ts. yhtä avainta käytetään sekä viestien salaukseen että salauksen purkamiseen. IBM:n kehittämä ja Yhdysvaltain hallituksen vuonna 1977 hyväksymä virallinen standardi sellaisten tietojen suojaamiseen, jotka eivät ole valtiosalaisuuksia.

DES:ssä on 64-bittiset lohkot, se perustuu tietojen 16-kertaiseen permutaatioon ja käyttää 56-bittistä avainta salaukseen. On olemassa useita DES-tiloja, kuten Electronic Code Book (ECB) ja Cipher Block Chaining (CBC). 56 bittiä on 8 seitsemänbittistä ASCII-merkkiä, ts. Salasana saa olla enintään 8 kirjainta. Jos lisäksi käytät vain kirjaimia ja numeroita, mahdollisten vaihtoehtojen määrä on huomattavasti pienempi kuin suurin mahdollinen 256.

Yksi DES-algoritmin vaiheista. Syöttötietolohko jaetaan puoliksi vasemmalla ( L") ja oikea ( R") osat. Tämän jälkeen tulosteryhmä muodostetaan siten, että sen vasen puoli L"" edustaa oikea puoli R" syöttö ja oikea R"" muodostuu summaksi L" Ja R" XOR-toiminnot. Seuraavaksi tulosteryhmä salataan permutaatiolla ja korvaamalla. Voit varmistaa, että kaikki suoritetut toiminnot voidaan peruuttaa ja salauksen purku suoritetaan useissa operaatioissa, jotka riippuvat lineaarisesti lohkon koosta. Algoritmi on esitetty kaavamaisesti kuvassa. 9.4

Riisi. 9.4 DES-algoritmikaavio

Useiden tällaisten muunnosten jälkeen voimme ajatella, että tulosteen salauslohkon jokainen bitti voi riippua viestin kustakin bitistä.

Venäjällä on DES-algoritmin analogi, joka toimii samalla salaisen avaimen periaatteella. GOST 28147 kehitettiin 12 vuotta myöhemmin kuin DES, ja sen suojausaste on korkeampi. Niiden vertailuominaisuudet on esitetty taulukossa. 9.3.

Taulukko 9.3

9.6.7. Steganografia. Steganografia- Tämä on tapa organisoida kommunikointia, joka itse asiassa kätkee viestinnän läsnäolon. Toisin kuin kryptografia, jossa vastustaja voi tarkasti määrittää, onko lähetetty viesti salattua tekstiä, steganografiatekniikat mahdollistavat salaisten viestien upottamisen vaarattomiin viesteihin niin, että on mahdotonta epäillä upotetun salaisen viestin olemassaoloa.

Kreikasta käännetty sana "steganografia" tarkoittaa kirjaimellisesti "salaista kirjoittamista" (steganos - salaisuus, salaisuus; grafia - ennätys). Tämä sisältää valtavan määrän salaisia ​​viestintävälineitä, kuten näkymätön muste, mikrovalokuvat, tavanomaiset merkkien järjestelyt, salaiset kanavat ja viestintävälineet kelluvilla taajuuksilla jne.

Steganografialla on markkinarakonsa turvallisuuden suhteen: se ei korvaa, vaan täydentää kryptografiaa. Viestin piilottaminen steganografiamenetelmillä vähentää merkittävästi todennäköisyyttä havaita itse viestin lähetys. Ja jos tämä viesti on myös salattu, sillä on vielä yksi lisäsuojaustaso.

Tällä hetkellä tietotekniikan nopean kehityksen ja uusien tiedonvälityskanavien myötä on ilmaantunut uusia steganografisia menetelmiä, jotka perustuvat tiedon esittämisen erityispiirteisiin tietokonetiedostoissa, tietokoneverkoissa jne. Tämä antaa meille mahdollisuuden puhua uuden suunnan muodostuminen - tietokonesteganografia.

Huolimatta siitä, että steganografia menetelmänä salaisen tiedon piilottamiseen on tunnettu jo tuhansia vuosia, tietokonesteganografia on nuori ja kehittyvä ala.

Steganografinen järjestelmä tai stegosysteemi– joukko keinoja ja menetelmiä, joilla muodostetaan salainen tiedonsiirtokanava.

Stegosysteemiä rakennettaessa on otettava huomioon seuraavat ehdot:

    Vastustajalla on täydellinen käsitys steganografisesta järjestelmästä ja sen toteuttamisen yksityiskohdista. Ainoa tieto, joka jää mahdolliselle vastustajalle tuntemattomaksi, on avain, jonka avulla vain sen haltija voi todeta piiloviestin olemassaolon ja sisällön.

    Jos vastustaja jollakin tavalla saa tietoonsa piilotetun viestin olemassaolosta, hänen ei pitäisi sallia hänen poimia samanlaisia ​​viestejä muihin tietoihin niin kauan kuin avain pidetään salassa.

    Mahdolliselta vastustajalta on evättävä kaikki tekniset tai muut edut salaisten viestien sisällön tunnistamisessa tai paljastamisessa.

Stegosysteemin yleinen malli on esitetty kuvassa. 9.5

Riisi. 9.5 Yleistetty stegosysteemimalli

Kuten tiedot Mitä tahansa tietoa voidaan käyttää: tekstiä, viestiä, kuvaa jne.

Yleisessä tapauksessa on suositeltavaa käyttää sanaa "viesti", koska viesti voi olla joko tekstiä tai kuvaa tai esimerkiksi äänidataa. Seuraavassa käytämme sanaa viesti kuvaamaan piilotettua tietoa.

Säiliö– kaikki tiedot, joiden tarkoituksena on salata salaisia ​​viestejä.

Stegokey tai yksinkertaisesti avain - salainen avain, jota tarvitaan tietojen piilottamiseen. Suojaustasojen lukumäärästä riippuen (esimerkiksi esisalatun viestin upottaminen) stegojärjestelmässä voi olla yksi tai useampia stegoavaimia.

Analogisesti kryptografian kanssa stegokeyn tyypin perusteella stegosysteemit voidaan jakaa kahteen tyyppiin:

salaisella avaimella;

julkisella avaimella.

Salaisen avaimen stegosysteemissä käytetään yhtä avainta, joka on määritettävä joko ennen salaisten viestien vaihtoa tai lähettämistä suojatun kanavan kautta.

Julkisen avaimen stegosysteemissä viestien upottamiseen ja hakuun käytetään erilaisia ​​avaimia, jotka eroavat toisistaan ​​siten, että on mahdotonta laskennallisesti päätellä yhtä avainta toisesta. Siksi yksi avain (julkinen) voidaan lähettää vapaasti suojaamattoman viestintäkanavan kautta. Lisäksi tämä malli toimii hyvin myös silloin, kun lähettäjän ja vastaanottajan välillä vallitsee keskinäinen epäluottamus.

Tällä hetkellä se on mahdollista erottaa kolme Steganografian sovellusohjeet, jotka liittyvät läheisesti toisiinsa ja joilla on samat juuret: tietojen piilottaminen(viestit), digitaaliset vesileimat Ja otsikot.

Piilottaa syötetyt tiedot, jotka useimmissa tapauksissa ovat suuria, asettaa säiliölle vakavia vaatimuksia: säilön koon on oltava useita kertoja suurempi kuin upotetun tiedon koko.

Digitaaliset vesileimat niitä käytetään digitaalisten kuvien, valokuvien tai muiden digitoitujen taideteosten tekijän- tai omistusoikeuksien suojaamiseen. Tällaisten upotettujen tietojen päävaatimukset ovat luotettavuus ja vääristymisenkestävyys. Digitaaliset vesileimat ovat kooltaan pieniä, mutta ottaen huomioon yllä olevat vaatimukset, niiden upottaminen vaatii kehittyneempiä tekniikoita kuin pelkkä viestien tai otsikoiden upottaminen.

Otsikot käytetään ensisijaisesti kuvien merkitsemiseen suurissa digitaalisten kuvien, ääni- ja videotiedostojen sähköisissä arkistoissa (kirjastoissa). Tässä tapauksessa steganografisia menetelmiä ei käytetä ainoastaan ​​tunnistavan otsikon, vaan myös muiden tiedoston yksittäisten ominaisuuksien lisäämiseen. Upotetut otsikot ovat kooltaan pieniä, ja niille asetettavat vaatimukset ovat minimaaliset: otsikoiden tulee aiheuttaa pieniä vääristymiä ja kestää geometrisia perusmuutoksia.

Tietokonesalaus perustuu useisiin periaatteisiin:

    Viesti voidaan lähettää käyttämällä kohinakoodausta. Se on vaikea havaita puhelinlinjan tai verkkokaapeleiden laitteistokohinan taustalla.

    Viestit voidaan sijoittaa tiedosto- tai levytilaan menettämättä toimivuutta. Suoritettavat tiedostot sisältävät usean segmentin suoritettavan koodin, joka voidaan lisätä tyhjien segmenttien väliin. Näin WinCIH-virus piilottaa kehonsa. Tiedostolla on aina kokonaislukumäärä klustereita levyllä, joten tiedoston fyysinen ja looginen pituus ovat harvoin samat. Voit myös kirjoittaa jotain muistiin tänä aikana. Voit alustaa levyn väliraidan ja sijoittaa sille viestin. On olemassa yksinkertaisempi tapa, jossa HTML-rivin tai tekstitiedoston loppuun lisätään tietty määrä välilyöntejä, jotka kuljettavat tietokuorman.

    Ihmisen aistit eivät pysty erottamaan pieniä muutoksia värissä, kuvassa tai äänessä. Tätä sovelletaan tietoihin, jotka sisältävät ylimääräistä tietoa. Esimerkiksi 16-bittinen ääni tai 24-bittinen kuva. Pikselin väristä vastaavien bittien arvojen muuttaminen ei johda havaittavaan värin muutokseen. Tämä sisältää myös piilotettujen fonttien menetelmän. Hienovaraisia ​​vääristymiä tehdään kirjainten ääriviivoissa, jotka kantavat semanttista kuormaa. Voit lisätä samanlaisia ​​symboleja Microsoft Word -asiakirjaan, joka sisältää piilotetun viestin.

Yleisin ja yksi parhaista ohjelmistotuotteista steganografiaan on S-Tools (freeware status). Sen avulla voit piilottaa kaikki tiedostot GIF-, BMP- ja WAV-muodoissa. Suorittaa hallitun tietojen pakkaamisen (arkistoinnin). Lisäksi se suorittaa salauksen MCD-, DES-, triple-DES-, IDEA-algoritmeilla (valinnainen). Graafinen tiedosto säilyy ilman näkyviä muutoksia, vain sävyt muuttuvat. Ääni pysyy myös ilman merkittäviä muutoksia. Vaikka epäilyksiä herääkin, on mahdotonta määrittää, onko S-Toolsia käytössä ilman salasanaa.

9.6.8. Salausjärjestelmien sertifiointi ja standardointi. Kaikki osavaltiot kiinnittävät erityistä huomiota salausongelmiin. Salaustyökalujen tuotannolle, käytölle ja viennille yritetään jatkuvasti asettaa tiettyjä rajoituksia, kieltoja ja muita rajoituksia. Esimerkiksi Venäjällä tietoturvavälineiden, erityisesti kryptografisten välineiden, maahantuonti ja vienti on lisensoitu Venäjän federaation presidentin 3. huhtikuuta 1995 päivätyn asetuksen nro 334 ja Venäjän federaation hallituksen päivätyn asetuksen mukaisesti. 15. huhtikuuta 1994 nro 331.

Kuten jo mainittiin, kryptojärjestelmää ei voida pitää luotettavana, jos sen toiminnan algoritmia ei täysin tunneta. Vain algoritmin tuntemalla voit tarkistaa, onko suojaus vakaa. Kuitenkin vain asiantuntija voi tarkistaa tämän, ja silloinkin tällainen tarkastus on usein niin monimutkainen, että se ei ole taloudellisesti kannattavaa. Kuinka tavallinen matematiikkaa tuntematon käyttäjä voi olla vakuuttunut hänen käytettäväksi tarjotun kryptojärjestelmän luotettavuudesta?

Ei-asiantuntijalle todiste luotettavuudesta voi olla pätevien riippumattomien asiantuntijoiden mielipide. Tästä sertifiointijärjestelmä syntyi. Kaikki tietoturvajärjestelmät ovat sen alaisia, jotta yritykset ja laitokset voivat käyttää niitä virallisesti. Sertifioimattomien järjestelmien käyttö ei ole kiellettyä, mutta tässä tapauksessa otat koko riskin, että se ei ole riittävän luotettava tai sillä on "takaovia". Mutta tietoturvatuotteiden myyminen edellyttää sertifiointia. Tällaisia ​​määräyksiä sovelletaan Venäjällä ja useimmissa maissa.

Ainoa elimemme, joka on valtuutettu suorittamaan sertifiointia, on Venäjän federaation presidentin alainen liittovaltion viestintä- ja tiedotusvirasto (FAPSI). Tämä elin lähestyy sertifiointikysymyksiä erittäin huolellisesti. Hyvin harvat kolmansien osapuolten kehitystyöt pystyivät saamaan FAPSI-sertifikaatin.

Lisäksi FAPSI lisensoi sellaisten yritysten toimintaa, jotka liittyvät salaustyökalujen sekä turvallisten teknisten tietojen säilytys-, käsittely- ja siirtovälineiden kehittämiseen, tuotantoon, myyntiin ja käyttöön sekä tietojen salaukseen liittyvien palvelujen tarjoamiseen (puheenjohtajan asetus). Venäjän federaation 3. huhtikuuta 1995 päivätty asetus nro 334 "Toimenpiteistä lain noudattamiseksi salaustyökalujen tuotannon, myynnin ja toiminnan kehittämisessä sekä palvelujen tarjoamisessa tietojen salauksen alalla"; Venäjän federaation laki "liittovaltion hallituksen viestintä- ja tiedotuselimistä").

Sertifioinnin edellytyksenä on standardien noudattaminen tietoturvajärjestelmiä kehitettäessä. Standardit palvelevat samanlaista tehtävää. Niiden avulla ilman monimutkaista, kallista ja ei aina mahdollista tutkimusta voidaan saada luottamus siihen, että tietty algoritmi tarjoaa riittävän luotettavuuden suojan.

9.6.9. Salatut arkistot. Monet sovellusohjelmat sisältävät salausominaisuuden. Tässä on esimerkkejä ohjelmistotyökaluista, joissa on salausominaisuudet.

Arkistointiohjelmissa (esimerkiksi WinZip) on mahdollisuus salata arkistoidut tiedot. Sitä voidaan käyttää tietoihin, jotka eivät ole liian tärkeitä. Ensinnäkin siellä käytetyt salausmenetelmät eivät ole kovin luotettavia (virallisten vientirajoitusten alaisia), ja toiseksi niitä ei ole kuvattu yksityiskohtaisesti. Kaikki tämä ei salli meidän vakavasti luottaa tällaiseen suojeluun. Salasanalla varustettuja arkistoja voidaan käyttää vain "tavallisille" käyttäjille tai ei-kriittisille tiedoille.

Joiltakin Internet-sivustoilta löytyy ohjelmia salattujen arkistojen avaamiseen. Esimerkiksi ZIP-arkisto voidaan avata hyvällä tietokoneella muutamassa minuutissa, eikä käyttäjältä vaadita erityistä pätevyyttä.

Huomautus. Ohjelmat salasanojen arvaamiseen: Ultra Zip Password Cracker 1.00 – Nopea ohjelma salattujen arkistojen salasanojen arvaamiseen. Venäjän/englannin käyttöliittymä. Win"95/98/NT. (Kehittäjä - "m53group") Advanced ZIP Password Recovery 2.2 - Tehokas ohjelma salasanojen valitsemiseen ZIP-arkistoja varten. Nopea, graafinen käyttöliittymä, lisätoiminnot. Käyttöjärjestelmä: Windows95/98/NT. Kehittäjäyritys – “Elcom Ltd.”, shareware.

Salaus MS Wordissa ja MS Excelissä. Microsoft on sisällyttänyt tuotteisiinsa jonkinlaisen salaussuojauksen. Mutta tämä suojaus on erittäin epävakaa. Lisäksi salausalgoritmia ei ole kuvattu, mikä on osoitus epäluotettavuudesta. Lisäksi on näyttöä siitä, että Microsoft jättää "takaoven" käyttämilleen salausalgoritmeille. Jos sinun on purettava tiedoston salaus, jonka salasana on kadonnut, voit ottaa yhteyttä yritykseen. Virallisesta pyynnöstä, riittävän perustein, he purkavat MS Word- ja MS Excel -tiedostojen salauksen. Muuten, jotkut muut ohjelmistovalmistajat tekevät samoin.

Salatut asemat (hakemistot). Salaus on melko luotettava tapa suojata kiintolevyllä olevia tietoja. Jos suljettavan tiedon määrä ei kuitenkaan rajoitu kahteen tai kolmeen tiedostoon, sen kanssa on melko vaikeaa työskennellä: joka kerta sinun on purettava tiedostojen salaus ja muokkauksen jälkeen salaa ne takaisin. Tässä tapauksessa useiden editorien luomien tiedostojen turvakopiot voivat jäädä levylle. Siksi on kätevää käyttää erityisiä ohjelmia (ohjaimia), jotka automaattisesti salaavat ja purkaavat kaikki tiedot, kun ne kirjoitetaan levylle ja luetaan levyltä.

Yhteenvetona toteamme, että turvallisuuspolitiikka määritellään joukoksi dokumentoituja hallintapäätöksiä, joiden tarkoituksena on suojata tietoa ja niihin liittyviä resursseja. Sitä kehitettäessä ja toteutettaessa on suositeltavaa noudattaa seuraavia perusperiaatteita:

    Kyvyttömyys ohittaa suojavarusteita. Kaikki tietovirrat suojattuun verkkoon ja suojattuun verkkoon on läpäistävä turvatoimenpiteet. Ei saa olla salaisia ​​modeemituloja tai testilinjoja, jotka ohittavat suojauksen.

    Heikoimman lenkin vahvistaminen. Kaiken suojan luotettavuus määräytyy heikoimman lenkin mukaan, koska hyökkääjät hakkeroivat sen. Usein heikoin lenkki ei ole tietokone tai ohjelma, vaan ihminen, jolloin tietoturvan varmistamisen ongelma muuttuu luonteeltaan ei-tekniseksi.

    Kyvyttömyys siirtyä vaaralliseen tilaan. Periaate, jonka mukaan turvattomaan tilaan siirtyminen on mahdotonta, tarkoittaa, että kaikissa olosuhteissa, mukaan lukien epänormaalit, suojalaite joko suorittaa täysin tehtävänsä tai estää kokonaan pääsyn.

    Etuoikeuden minimointi. Vähimmäisoikeuksien periaate edellyttää, että käyttäjille ja ylläpitäjille annetaan vain ne käyttöoikeudet, jotka he tarvitsevat työtehtäviensä hoitamiseksi.

    Tehtävien eriyttäminen. Tehtävien erottamisen periaate edellyttää roolien ja vastuiden jakoa, jossa yksi henkilö ei voi häiritä organisaation kannalta kriittistä prosessia.

    Puolustuksen taso. Ekelonoidun puolustuksen periaate määrää, ettei yhteen puolustuslinjaan luota. Syväpuolustus voi ainakin viivyttää hyökkääjää ja vaikeuttaa haitallisten toimien suorittamista huomaamatta.

    Erilaisia ​​suojavarusteita. Suojakeinojen monimuotoisuuden periaate suosittelee erilaisten puolustuslinjojen järjestämistä siten, että mahdolliselta hyökkääjältä vaaditaan erilaisia, mikäli mahdollista, yhteensopimattomia taitoja.

    Tietojärjestelmän yksinkertaisuus ja hallittavuus. Yksinkertaisuuden ja hallittavuuden periaate edellyttää, että vain yksinkertaisessa ja hallittavassa järjestelmässä voidaan tarkistaa eri komponenttien konfiguroinnin johdonmukaisuus ja toteuttaa keskitetty hallinto.

    Varmista kaikkien tuki turvatoimille. Turvatoimien yleisen tuen periaate ei ole luonteeltaan tekninen. Jos käyttäjät ja/tai järjestelmänvalvojat pitävät tietoturvaa tarpeettomana tai vihamielisenä asiana, ei varmasti ole mahdollista luoda turvajärjestelmää. Alusta alkaen on tarpeen säätää toimenpiteistä, joilla varmistetaan henkilöstön uskollisuus sekä jatkuva teoreettinen ja käytännön koulutus.

Lisää tästä aiheesta:

Lataa Driver Sweeper – ohjelma ajurien poistamiseen käyttöjärjestelmästä Windows Lataa ohjelma kortin ajurien poistamiseen Lataa Driver Sweeper – ohjelma ajurien poistamiseen käyttöjärjestelmästä Windows Lataa ohjelma kortin ajurien poistamiseen
Heittää Sniper Elite V2:n työpöydälle Mitä tehdä, jos sniper elite 3 viivästyy Heittää Sniper Elite V2:n työpöydälle Mitä tehdä, jos sniper elite 3 viivästyy
Etsitään vastaavaa kuvaa Internetistä Etsitään vastaavaa kuvaa Internetistä