Skee - šta je ovo? sredstva kriptografske zaštite informacija. Sredstva kriptografske zaštite informacija: vrste i aplikacije

Sa stanovišta sigurnosti informacija, kriptografski ključevi su kritični podaci. Ako su ranije, da bi opljačkali kompaniju, zlonamjernici morali da uđu na njenu teritoriju, otvore prostorije i sefove, sada je dovoljno ukrasti token sa kriptografskim ključem i izvršiti transfer putem Internet sistema Klijent-Banka. Osnova osiguranja sigurnosti korištenjem kriptografskih sistema zaštite informacija (CIPS) je održavanje povjerljivosti kriptografskih ključeva.

Kako osigurati povjerljivost nečega za što ne znate da postoji? Da biste stavili token sa ključem u sef, morate znati o postojanju tokena i sefa. Koliko god paradoksalno zvučalo, vrlo malo kompanija ima predstavu o tačnom broju ključnih dokumenata koje koriste. To se može dogoditi iz više razloga, na primjer, potcjenjivanje prijetnji sigurnosti informacija, nedostatak dobro uspostavljenih poslovnih procesa, nedovoljne kvalifikacije osoblja u sigurnosnim pitanjima itd. Ovaj zadatak se obično pamti nakon incidenata kao što je ovaj.

Ovaj članak će opisati prvi korak ka poboljšanju sigurnosti informacija korištenjem kriptografskih sredstava, ili, preciznije, razmotrit ćemo jedan od pristupa reviziji kriptografskih alata za zaštitu informacija i kriptografskih ključeva. Naracija će biti obavljena u ime stručnjaka za informatičku sigurnost, dok ćemo pretpostaviti da se posao obavlja od nule.

Termini i definicije

Na početku članka, kako ne bismo uplašili nespremnog čitatelja složenim definicijama, naširoko smo koristili termine kriptografski ključ ili kriptoključ, sada je vrijeme da poboljšamo svoj konceptualni aparat i uskladimo ga s važećim zakonodavstvom. Ovo je veoma važan korak jer će efikasno strukturirati informacije dobijene od revizije.

1. Kriptografski ključ (kriptoključ)- skup podataka koji omogućava odabir jedne specifične kriptografske transformacije između svih mogućih u datom kriptografskom sistemu (definicija iz „ružičaste instrukcije - Naredba FAPSI br. 152 od 13. juna 2001. godine, u daljem tekstu FAPSI 152) .
2. Ključne informacije- posebno organizovan skup kripto ključeva dizajniranih za implementaciju kriptografske zaštite informacija u određenom periodu [FAPSI 152].
   Možete razumjeti osnovnu razliku između kripto ključa i informacija o ključu koristeći sljedeći primjer. Prilikom organiziranja HTTPS-a generira se par javnog i privatnog ključa, a certifikat se dobiva iz javnog ključa i dodatnih informacija. Dakle, u ovoj shemi kombinacija certifikata i privatnog ključa formira informacije o ključu, a svaki od njih pojedinačno je kripto ključ. Ovdje se možete voditi sljedećim jednostavnim pravilom – krajnji korisnici pri radu sa alatima za kriptografsku zaštitu podataka koriste ključne informacije, a kriptografski ključevi obično koriste alate za kriptografsku zaštitu podataka unutar sebe. U isto vrijeme, važno je razumjeti da se ključna informacija može sastojati od jednog kripto ključa.
3. Ključni dokumenti- elektronski dokumenti na bilo kom mediju, kao i dokumenti na papirnom mediju koji sadrže ključne informacije ograničenog pristupa za kriptografsku transformaciju informacija korišćenjem algoritama za kriptografsku transformaciju informacija (kriptografski ključ) u enkripciona (kriptografska) sredstva. (definicija iz Odluke Vlade br. 313 od 16. aprila 2012. godine, u daljem tekstu - PP-313)
   Jednostavno rečeno, ključni dokument je ključna informacija snimljena na mediju. Prilikom analize ključnih informacija i ključnih dokumenata potrebno je istaknuti šta se koristi (odnosno koristi za kriptografske transformacije - šifriranje, elektronski potpis i sl.) ključne informacije, a ključni dokumenti koji ih sadrže se prenose zaposlenima.
4. Alati za zaštitu kriptografskih informacija (CIPF)- sredstva za šifrovanje, sredstva imitacije zaštite, sredstva elektronskog potpisa, sredstva kodiranja, sredstva za izradu ključnih dokumenata, ključna dokumenta, sredstva hardverske enkripcije (kriptografske), softverska i hardverska sredstva za šifrovanje (kriptografska). [PP-313]
   Kada analizirate ovu definiciju, u njoj možete pronaći prisustvo pojma ključni dokumenti. Termin je dat u Vladinoj uredbi i nemamo ga pravo mijenjati. Istovremeno, dalji opis će se vršiti na osnovu toga da će samo sredstva za izvođenje kriptografskih transformacija biti vezana za CIPF). Ovaj pristup će pojednostaviti reviziju, ali u isto vrijeme neće uticati na njen kvalitet, jer ćemo i dalje voditi računa o ključnim dokumentima, ali u našem dijelu i korištenjem vlastitih metoda.

Metodologija revizije i očekivani rezultati

Glavne karakteristike metodologije revizije predložene u ovom članku su postulati da:

• ni jedan zaposleni u kompaniji ne može tačno odgovoriti na postavljena pitanja tokom revizije;
• postojeći izvori podataka (liste, registri, itd.) su netačni ili loše strukturirani.

Stoga je metodologija predložena u članku svojevrsno rudarenje podataka, tokom kojeg će isti podaci biti izvučeni iz različitih izvora, a zatim upoređivani, strukturirani i rafinirani.

Evo glavnih zavisnosti koje će nam pomoći u tome:

1. Ako postoji alat za zaštitu kriptografskih informacija, tu su i ključne informacije.
2. Ako postoji tok elektronskih dokumenata (uključujući sa drugim stranama i regulatorima), onda najvjerovatnije koristi elektronički potpis i, kao rezultat, alate za zaštitu kriptografskih informacija i ključne informacije.
3. Elektronski tok dokumenata u ovom kontekstu treba shvatiti široko, odnosno uključiće i direktnu razmjenu pravno značajnih elektronskih dokumenata i podnošenje izvještaja, te rad u platnim ili trgovačkim sistemima i tako dalje. Spisak i oblici elektronskog upravljanja dokumentima određeni su poslovnim procesima kompanije, kao i važećom zakonskom regulativom.
4. Ako je zaposlenik uključen u elektronsko upravljanje dokumentima, onda najvjerovatnije ima ključne dokumente.
5. Prilikom organizovanja elektronskog toka dokumenata sa ugovornim stranama, najčešće se izdaju organizacioni i administrativni dokumenti (nalozi) o imenovanju odgovornih lica.
6. Ako se informacije prenose putem Interneta (ili drugih javnih mreža), onda su najvjerovatnije šifrirane. Ovo se prvenstveno odnosi na VPN i razne sisteme za daljinski pristup.
7. Ako se u mrežnom prometu pronađu protokoli koji prenose promet u šifriranom obliku, tada se koriste alati za zaštitu kriptografskih informacija i ključne informacije.
8. Ako bi se obračuni vršili sa ugovornim stranama koje se bave: isporukom proizvoda za informatičku sigurnost, telekomunikacijskih uređaja, pružanjem usluga za prijenos natečenosti, uslugama certifikacijskih centara, tada bi se ovom interakcijom mogli kupiti alati za kriptografsku zaštitu informacija ili ključni dokumenti.
9. Ključni dokumenti mogu biti ili na otuđivim medijima (flopi diskovi, fleš diskovi, tokeni,...), ili snimljeni unutar računara i hardverskih kriptografskih alata za sigurnost informacija.
10. Kada koristite alate za virtuelizaciju, ključni dokumenti se mogu pohraniti i unutar virtuelnih mašina i montirati na virtuelne mašine pomoću hipervizora.
11. Alati za hardversku kriptografsku zaštitu informacija mogu se instalirati u serverskim prostorijama i biti nedostupni za analizu preko mreže.
12. Neki sistemi za upravljanje elektronskim dokumentima mogu biti neaktivni ili neaktivni, ali u isto vrijeme sadrže informacije o aktivnom ključu i alate za zaštitu kriptografskih informacija.
13. Interna regulatorna i organizaciona i administrativna dokumentacija može sadržavati informacije o elektronskim sistemima upravljanja dokumentima, CIPF-u i ključnim dokumentima.

Za ekstrakciju primarnih informacija, mi ćemo:

• intervjuisanje zaposlenih;
• analizira dokumentaciju kompanije, uključujući interne regulatorne i administrativne dokumente, kao i izlazne naloge za plaćanje;
• izvršiti vizualnu analizu serverskih soba i komunikacijskih ormara;
• vršiti tehničku analizu sadržaja automatizovanih radnih stanica (AWS), servera i alata za virtuelizaciju.

Konkretne mjere ćemo formulirati kasnije, ali za sada ćemo uzeti u obzir konačne podatke koje bismo trebali dobiti kao rezultat revizije:

Spisak SKZI:

1. CIPF model... Na primjer, CIPF Crypto CSP 3.9 ili OpenSSL 1.0.1
2. Identifikator CIPF instance... Na primjer, serijski, licencni (ili registracijski prema PKZ-2005) SKZI broj
3. Informacije o certifikatu FSB Rusije za CIPF, uključujući broj i datum početka i završetka važenja.
4. Informacije o mjestu rada SKZI... Na primjer, naziv računara na kojem je instaliran softver SKZI, ili naziv tehničkog sredstva ili prostorije u kojoj je instaliran hardverski SKZI.

Ove informacije će omogućiti:

1. Upravljajte ranjivostima u sistemima zaštite kriptografskih informacija, odnosno brzo ih otkrijte i popravite.
2. Pratite period važenja sertifikata za alate za zaštitu kriptografskih informacija, kao i da proverite da li se sertifikovani alat za zaštitu kriptografskih informacija koristi u skladu sa pravilima utvrđenim dokumentacijom ili ne.
3. Planirajte troškove zaštite kriptografskih informacija, znajući koliko je već u funkciji i koliko je još konsolidovanih sredstava dostupno.
4. Generirajte regulatorno izvještavanje.

Lista ključnih informacija:

Za svaki element liste bilježimo sljedeće podatke:

1. Naziv ili identifikator ključnih informacija... Na primjer, „Kvalificirani ES ključ. Serijski broj sertifikata je 31: 2D: AF", a identifikator treba odabrati na način da se po njemu može pronaći ključ. Na primjer, tijela za izdavanje certifikata, kada šalju obavještenja, obično identifikuju ključeve prema brojevima certifikata.
2. Key System Control Center (CMC) izdavaoca ovih ključnih informacija. To može biti organizacija koja je izdala ključ, na primjer, certifikacijsko tijelo.
3. Pojedinac, u čije ime su izdate ključne informacije. Ove informacije se mogu dohvatiti iz CN polja X.509 certifikata
4. Format ključnih informacija... Na primjer, CryptoPRO CIP, Verba-OW CIP, X.509, itd. (ili drugim riječima, za koji je CIP ova ključna informacija namijenjena).
5. Dodjela ključnih informacija... Na primjer, "Učešće na aukcijama na web stranici Sberbank AST", "Kvalificirani elektronički potpis za podnošenje izvještaja" itd. Sa tehničke tačke gledišta, u ovom polju možete popraviti ograničenja koja su fiksirana proširenim poljima upotrebe ključa i drugim X.509 certifikatima.
6. Početak i kraj važenja ključnih informacija.
7. Postupak ponovnog izdavanja ključnih informacija... Odnosno, znanje o tome šta treba učiniti i kako ponovo izdati ključne informacije. U najmanju ruku, preporučljivo je zabilježiti kontakte službenika CMC-a koji su dali ključne informacije.
8. Spisak informacionih sistema, usluga ili poslovnih procesa u okviru kojih se koriste ključne informacije... Na primjer, "Sistem usluga daljinskog bankarstva Internet klijent-banka".

Ove informacije će omogućiti:

1. Pratite datume isteka ključnih informacija.
2. Brzo ponovo izdajte ključne informacije ako je potrebno. Ovo može biti potrebno i za planirana i za neplanirana ponovna izdanja.
3. Blokirati korištenje ključnih informacija, nakon otpuštanja zaposlenika kome su one puštene.
4. Istražite incidente u informacionoj sigurnosti tako što ćete odgovoriti na pitanja: "Ko je imao ključeve za plaćanje?" i sl.

Spisak ključnih dokumenata:

Za svaki element liste bilježimo sljedeće podatke:

1. Ključne informacije sadržane u ključnom dokumentu.
2. Nosač ključnih informacija, na kojem su zabilježene ključne informacije.
3. Face odgovoran za sigurnost ključnog dokumenta i povjerljivost ključnih informacija sadržanih u njemu.

Ove informacije će omogućiti:

1. Ponovo izdati ključne informacije u slučajevima: otpuštanja zaposlenih koji imaju ključna dokumenta, kao iu slučaju kompromitacije medija.
2. Osigurajte povjerljivost ključnih informacija tako što ćete napraviti inventar nosilaca koji ih sadrže.

Plan revizije

Sada je vrijeme da razmotrimo praktične karakteristike revizije. Učinimo to na primjeru kreditno-finansijske organizacije ili drugim riječima na primjeru banke. Ovaj primjer nije slučajno odabran. Banke koriste prilično veliki broj različitih sistema kriptografske zaštite koji su uključeni u ogroman broj poslovnih procesa, a osim toga, gotovo sve banke imaju licencu FSB Rusije za kriptografiju. U daljem tekstu biće predstavljen plan revizije kriptografskih alata za zaštitu informacija i kriptoključeva u odnosu na Banku. Istovremeno, ovaj plan se može uzeti kao osnova pri obavljanju revizije gotovo svake kompanije. Radi lakše percepcije, plan je podijeljen u faze, koje su zauzvrat presavijene u spolijere.

Faza 1. Prikupljanje podataka od infrastrukturnih odjela kompanije

№	Akcija
Izvor - svi zaposleni u kompaniji
1	Svim zaposlenima u kompaniji šaljemo korporativnu poštu sa zahtjevom da informišu službu za sigurnost informacija o svim kriptografskim ključevima koje koriste	Primamo mejlove na osnovu kojih formiramo listu ključnih informacija i listu ključnih dokumenata
Izvor - šef Službe za informacione tehnologije
1	Tražimo listu ključnih informacija i ključnih dokumenata	Uz određenu vjerovatnoću, IT služba održava takve dokumente, mi ćemo ih koristiti za formiranje i pojašnjavanje lista ključnih informacija, ključnih dokumenata i alata za zaštitu kriptografskih informacija
2	Zahtjev za listu resursa kriptografskih informacija
3	Zahtijevamo registar softvera instaliranog na serverima i radnim stanicama	U ovom registru tražimo softverske kriptografske alate i njihove komponente. Na primjer, CryptoPRO CSP, Verba-OW, Signal-COM CSP, Signature, PGP, ruToken, eToken, KritoARM itd. Na osnovu ovih podataka formiramo listu alata za zaštitu kriptografskih informacija.
4	Tražimo spisak zaposlenih (vjerovatno tehničke podrške) koji pomažu korisnicima da koriste alate za kriptografsku zaštitu informacija i ponovno izdaju ključne informacije.	Od ovih osoba tražimo iste informacije kao i od administratora sistema
Izvor - Sistemski administratori usluga informacionih tehnologija
1	Tražimo listu domaćih kripto gateway-a (VIPNET, Continent, S-terra, itd.)	U slučajevima kada kompanija ne implementira redovne poslovne procese upravljanja IT i informatičkom bezbednošću, ovakva pitanja mogu pomoći administratorima sistema da upamte postojanje određenog uređaja ili softvera. Koristimo ove informacije da dobijemo listu alata za zaštitu kriptografskih informacija.
2	Tražimo spisak domaćih softverskih kriptografskih alata (kriptografski alati za zaštitu informacija MagPro CryptoPacket, VIPNET CSP, CryptonDisk, SecretDisk,...)
3	Zahtijevamo listu rutera koji implementiraju VPN za: a) komunikacija između ureda kompanije; b) interakcija sa izvođačima i partnerima.
4	Zahtijevamo listu informativnih usluga objavljenih na Internetu (dostupnih sa Interneta). One mogu uključivati: a) korporativni email; b) sisteme za razmenu trenutnih poruka; c) korporativne web stranice; d) usluge za razmjenu informacija sa partnerima i izvođačima (ekstranet); e) sistemi daljinskog bankarstva (ako je kompanija banka); f) sistemi daljinskog pristupa mreži preduzeća. Da bismo provjerili kompletnost datih informacija, provjeravamo ih u odnosu na listu pravila portforwardinga graničnih zaštitnih zidova.	Analizirajući primljene informacije, s velikom vjerovatnoćom, možete pronaći upotrebu kriptografskih alata za zaštitu informacija i kripto ključeva. Dobivene podatke koristimo za formiranje liste kriptografskih alata za zaštitu informacija i ključnih informacija.
5	Tražimo listu informacionih sistema koji se koriste za izvještavanje (Taxcom, Kontur, itd.)	Ovi sistemi koriste ključeve kvalifikovanog elektronskog potpisa i SKZI. Preko ove liste formiramo listu alata za kriptografsku zaštitu podataka, listu ključnih informacija, a takođe saznajemo i zaposlene koji koriste ove sisteme za formiranje liste ključnih dokumenata.
6	Tražimo spisak internih sistema za elektronsko upravljanje dokumentima (Lotus, DIRECTUM, 1C: Upravljanje dokumentima, itd.), kao i spisak njihovih korisnika.	U okviru internih sistema elektronskog upravljanja dokumentima mogu se naići na ključeve elektronskog potpisa. Na osnovu dobijenih informacija formiramo listu ključnih informacija i listu ključnih dokumenata.
7	Tražimo listu internih certifikacijskih centara.	Sredstva utrošena za organizaciju sertifikacionih centara evidentiraju se na listi alata za zaštitu kriptografskih informacija. U budućnosti ćemo analizirati sadržaj baza podataka centara za sertifikaciju kako bismo identifikovali ključne informacije.
8	Tražimo informacije o upotrebi tehnologija: IEEE 802.1x, WiFiWPA2 Enterprise i IP sistemi video nadzora	U slučaju korištenja ovih tehnologija možemo pronaći ključne dokumente u uključenim uređajima.
Izvor - šef ljudskih resursa
1	Molimo opišite proces zapošljavanja i otpuštanja radnika. Fokusiramo se na pitanje ko uzima ključna dokumenta od odlaska radnika	Analiziramo dokumente (bypass sheets) na prisustvo informacionih sistema u kojima se može koristiti kriptografski sistem zaštite informacija.

Faza 2. Prikupljanje podataka od poslovnih jedinica kompanije (na primjeru Banke)

№	Akcija	Očekivani učinak i upotreba
Izvor - šef službe za poravnanje (dopisni odnosi)
1	Navedite šemu za organizovanje interakcije sa platnim sistemom Banke Rusije. Ovo će posebno biti relevantno za banke koje imaju razvijenu mrežu ekspozitura, u kojoj filijale mogu direktno povezati Centralnu banku sa platnim sistemom.	Na osnovu dobijenih podataka utvrđujemo lokaciju platnih prolaza (AWP KBR, UTA) i listu uključenih korisnika. Dobivene informacije koristimo za formiranje liste alata za zaštitu kriptografskih informacija, ključnih informacija i ključnih dokumenata.
2	Tražimo spisak banaka sa kojima su uspostavljeni direktni korespondentni odnosi, a takođe tražimo da se kaže ko je uključen u vršenje transfera i koja tehnička sredstva se koriste.
3	Tražimo spisak platnih sistema u kojima Banka učestvuje (SWIFT, VISA, MasterCard, NSPK, itd.), kao i lokaciju terminala za komunikaciju	Isto kao i za platni sistem Banke Rusije
Izvor - Šef Odjeljenja zaduženog za pružanje usluga daljinskog bankarstva
1	Tražimo listu sistema daljinskog bankarstva.	U ovim sistemima analiziramo upotrebu kriptografskih alata za zaštitu informacija i ključnih informacija. Na osnovu primljenih podataka formiramo listu alata za zaštitu kriptografskih informacija i ključnih informacija i ključnih dokumenata.
Izvor - Šef odjela zaduženog za funkcionisanje obrade platnih kartica
1	Upitajte HSM registar	Na osnovu dobijenih informacija formiramo listu alata za zaštitu kriptografskih informacija, ključnih informacija i ključnih dokumenata.
2	Traži se spisak službenika obezbjeđenja
4	Traženje informacija o LMK HSM komponentama
5	Tražimo informacije o organizaciji sistema kao što je 3D-Secure i organizaciji personalizacije platnih kartica
Izvor - Rukovodioci odjela koji obavljaju funkcije trezora i depozitara
1	Spisak banaka sa kojima su uspostavljeni korespondentni odnosi i koje učestvuju u međubankarskom kreditiranju.	Dobivene informacije koristimo za pojašnjenje prethodno primljenih podataka od službe poravnanja, kao i za evidentiranje informacija o interakciji sa berzama i depozitarima. Na osnovu primljenih informacija formiramo listu kriptografskih alata za zaštitu informacija i ključnih informacija.
2	Spisak berzi i specijalizovanih depozitara sa kojima Banka sarađuje
Izvor - Rukovodioci službi finansijskog monitoringa i odjeljenja odgovorni za podnošenje izvještaja Banci Rusije
1	Tražimo informacije o tome kako oni šalju informacije i primaju informacije od Centralne banke. Spisak uključenih lica i tehničkih sredstava.	Informaciona interakcija sa Bankom Rusije strogo je regulisana relevantnim dokumentima, na primer, 2332-U, 321-I i mnogim drugim, proveravamo usklađenost sa ovim dokumentima i formiramo liste alata za zaštitu kriptografskih informacija, ključnih informacija i ključnih dokumenata.
Izvor - Glavni računovođa i računovođe koji plaćaju račune za interne potrebe banke
1	Tražimo informacije o načinu pripreme i podnošenja izvještaja poreskim inspekcijama i Banci Rusije	Pojašnjavamo prethodno dobijene informacije
2	Zahtijevamo registar platnih dokumenata za plaćanje internih potreba banke	U ovom registru tražićemo dokumente gde: 1) Kao primaoci plaćanja navedeni su sertifikacioni centri, specijalizovani telekom operateri, proizvođači kriptografskih alata za zaštitu informacija, dobavljači telekomunikacione opreme. Imena ovih kompanija mogu se dobiti iz Registra sertifikovanih sistema kriptografske zaštite informacija FSB Rusije, liste akreditovanih sertifikacionih centara Ministarstva telekomunikacija i masovnih komunikacija i drugih izvora. 2) kao dešifrovanje uplate prisutne su reči: "CIPF", "potpis", "token", "ključ", "BKI" itd.
Izvor - Rukovodioci za dugove i upravljanje rizicima
1	Tražimo spisak kreditnih biroa i agencija za naplatu sa kojima Banka sarađuje.	Zajedno sa IT službom analiziramo dobijene podatke u cilju pojašnjenja organizacije upravljanja elektronskim dokumentima, na osnovu čega pojašnjavamo liste alata za kriptografsku zaštitu informacija, ključnih informacija i ključnih dokumenata.
Izvor - Rukovodioci Službe za upravljanje dokumentima, internu kontrolu i internu reviziju
1	Zahtijevamo registar internih organizacionih i administrativnih dokumenata (naloga).	U ovim dokumentima tražimo dokumente koji se odnose na zaštitu kriptografskih informacija. Da bismo to uradili, analiziramo prisustvo ključnih reči „bezbednost”, „odgovorno lice”, „administrator”, „elektronski potpis”, „ES”, „EDS”, „EDO”, „ASP”, „SKZI” i njihove derivati. Zatim identifikujemo spisak zaposlenih Banke koji je evidentiran u ovim dokumentima. Vodimo intervjue sa zaposlenicima na temu njihove upotrebe kripto-alata. Primljene informacije odražavamo u listama alata za zaštitu kriptografskih informacija, ključnih informacija i ključnih dokumenata.
2	Zahtijevamo liste ugovora sa drugim ugovornim stranama	Pokušavamo da identifikujemo ugovore o elektronskom upravljanju dokumentima, kao i ugovore sa kompanijama koje isporučuju alate za informatičku bezbednost ili pružaju usluge u ovoj oblasti, kao i kompanije koje pružaju usluge sertifikacionih centara i usluge za podnošenje izveštaja putem interneta.
3	Analiziramo tehnologiju skladištenja dokumenata dana u elektronskom obliku	Prilikom implementacije skladištenja dokumenata dana u elektronskom obliku, potrebni su kriptografski alati za zaštitu informacija

Faza 3. Tehnička revizija

№	Akcija	Očekivani učinak i upotreba
1	Vršimo tehnički inventar softvera instaliranog na računarima. Za ovo koristimo: · Analitičke mogućnosti korporativnih sistema zaštite od virusa (na primer, Kaspersky Anti-Virus može da napravi takav registar). · WMI skripte za prozivanje Windows računara; · Mogućnosti paket menadžera za polling * nix sisteme; · Specijalizovani softver za inventar.	Među instaliranim softverom tražimo softver SKZI, drajvere za hardver SKZI i ključeve. Na osnovu dobijenih informacija ažuriramo listu CIPF-ova.
2	Tražimo ključne dokumente na serverima i radnim stanicama. Za ovo · Logon-skripte anketiraju AWP u domenu za prisustvo sertifikata sa privatnim ključevima u korisničkim profilima i profilima računara. Na svim računarima, fajl serverima, hipervizorima, tražimo fajlove sa ekstenzijama: crt, cer, key, pfx, p12, pem, pse, jks itd. · Na hipervizorima virtualizacijskih sistema tražimo montirane flopi drajvove i slike disketa.	Vrlo često su ključni dokumenti predstavljeni u obliku kontejnera ključeva fajlova, kao i kontejnera pohranjenih u registrima računara koji koriste Windows. Pronađene ključne dokumente evidentiramo u listu ključnih dokumenata, a ključne informacije sadržane u njima u listu ključnih informacija.
3	Analiziramo sadržaj baza podataka centara za sertifikaciju	Baze podataka certifikacijskih tijela obično sadrže informacije o certifikatima koje izdaju ova tijela. Primljene informacije unosimo u listu ključnih informacija i listu ključnih dokumenata.
4	Vršimo vizualnu inspekciju serverskih soba i ormara za ožičenje, tražimo alate za kriptografsku zaštitu informacija i hardverske nosače ključeva (tokeni, diskovi)	U nekim slučajevima nemoguće je izvršiti popis alata za zaštitu kriptografskih informacija i ključnih dokumenata preko mreže. Sistemi mogu biti na izolovanim mrežnim segmentima ili uopšte nemaju mrežne veze. Da bismo to uradili, vršimo vizuelni pregled, na osnovu kojeg treba utvrditi nazive i namenu sve opreme koja se nalazi u server sobama. Primljene informacije unosimo u listu kriptografskih alata za zaštitu informacija i ključnih dokumenata.
5	Analiziramo mrežni promet kako bismo identificirali tokove informacija koristeći šifriranu razmjenu	Šifrovani protokoli - HTTPS, SSH, itd. omogućiće nam da identifikujemo mrežne čvorove na kojima se izvode kriptografske transformacije, i kao rezultat, sadrže alate za zaštitu kriptografskih informacija i ključne dokumente.

Zaključak

U ovom članku smo ispitali teoriju i praksu revizije kriptografskih alata za zaštitu informacija i kripto ključeva. Kao što ste vidjeli, ovaj postupak je prilično složen i dugotrajan, ali ako mu se pravilno pristupi, sasvim je izvodljiv. Nadamo se da će vam ovaj članak pomoći u stvarnom životu. Hvala vam na pažnji, čekamo vaše komentare.

Tagovi:

• skzy
• kriptografija
• elektronski potpis
• revizija
• menadžment

Dodaj oznake

Povjerljivost informacija karakteriziraju naizgled suprotni pokazatelji kao što su dostupnost i tajnost. Metode za stavljanje informacija na raspolaganje korisnicima razmatrane su u odjeljku 9.4.1. U ovom odjeljku ćemo razmotriti načine da osiguramo tajnost informacija. Ovo svojstvo informacije karakteriše stepen maskiranja informacije i odražava njenu sposobnost da se odupre otkrivanju značenja niza informacija, određivanju strukture pohranjenog niza informacija ili nosioca (nosajućeg signala) prenošenog informacijskog niza i utvrđivanju činjenice prijenos niza informacija putem komunikacionih kanala. U ovom slučaju kriteriji za optimalnost su, po pravilu:

minimiziranje vjerovatnoće prevazilaženja („razbijanja“) zaštite;

maksimiziranje očekivanog sigurnog vremena prije "razbijanja" zaštitnog podsistema;

minimiziranje ukupnih gubitaka od „hakovanja“ zaštite i troškova razvoja i rada odgovarajućih elemenata podsistema kontrole i zaštite informacija itd.

Općenito, povjerljivost informacija između pretplatnika može se osigurati na jedan od tri načina:

stvoriti apsolutno pouzdan kanal komunikacije između pretplatnika nedostupan drugima;

koristiti javni komunikacijski kanal, ali sakriti samu činjenicu prijenosa informacija;

koriste javni komunikacijski kanal, ali preko njega prenose informacije u transformiranom obliku, a on se mora transformirati tako da ga samo primalac može vratiti.

Prva opcija je praktički neostvariva zbog visokih materijalnih troškova za stvaranje takvog kanala između udaljenih pretplatnika.

Jedan od načina da se osigura povjerljivost prijenosa informacija je steganografija... Trenutno predstavlja jedan od obećavajućih pravaca za osiguranje povjerljivosti pohranjenih ili prenošenih informacija u kompjuterskim sistemima maskiranjem povjerljivih informacija u otvorene datoteke, prvenstveno multimedijalne.

Bavi se razvojem metoda za transformaciju (šifrovanje) informacija u cilju njihove zaštite od ilegalnih korisnika. kriptografija.

Kriptografija (ponekad se koristi termin kriptologija) je polje znanja koje proučava kriptografiju (kriptografiju) i metode njenog otkrivanja (kriptoanaliza). Kriptografija se smatra granom matematike.

Donedavno su sva istraživanja u ovoj oblasti bila samo zatvorena, ali je u posljednjih nekoliko godina počelo da izlazi sve više publikacija u otvorenoj štampi. Djelomično je ublažavanje tajnosti posljedica činjenice da je postalo nemoguće sakriti akumuliranu količinu informacija. S druge strane, kriptografija se sve više koristi u civilnim industrijama, što zahtijeva otkrivanje.

9.6.1. Principi kriptografije. Svrha kriptografskog sistema je da šifrira smisleni izvorni tekst (koji se naziva i čisti tekst), što rezultira potpuno besmislenim šifriranim tekstom (šifrirani tekst, kriptogram). Predviđeni primalac mora biti u stanju da dešifruje (takođe kažu "dešifruj") ovaj šifrovani tekst, i na taj način povrati odgovarajući otvoreni tekst. U ovom slučaju, protivnik (koji se naziva i kriptoanalitičar) mora biti nesposoban da otkrije originalni tekst. Postoji bitna razlika između dešifriranja (dešifriranja) i otkrivanja šifriranog teksta.

Zovu se kriptografske metode i načini transformacije informacija šifre... Otkrivanje kriptosistema (šifre) rezultat je rada kriptoanalitičara, što dovodi do mogućnosti efektivnog otkrivanja bilo kojeg običnog teksta šifrovanog uz pomoć ovog kriptosistema. Stepen nesposobnosti kriptosistema da otkrije naziva se njegovom snagom.

Pitanje pouzdanosti sistema informacione bezbednosti je veoma složeno. Činjenica je da ne postoje pouzdani testovi koji bi bili sigurni da su informacije dovoljno pouzdano zaštićene. Prvo, kriptografija ima posebnost da je često potrebno nekoliko redova veličine više novca da bi se "razbila" šifra nego da bi se stvorila. Shodno tome, testiranje sistema kriptografske zaštite nije uvijek moguće. Drugo, ponovljeni neuspješni pokušaji savladavanja odbrane uopće ne znače da sljedeći pokušaj neće biti uspješan. Nije isključen slučaj kada su se profesionalci dugo, ali bezuspješno borili oko šifre, a novajlija je primijenio nestandardni pristup - i šifra mu je bila laka.

Kao rezultat tako slabe dokazivosti pouzdanosti alata za sigurnost informacija, na tržištu postoji mnogo proizvoda o čijoj se pouzdanosti ne može pouzdano procijeniti. Naravno, njihovi programeri hvale njihov rad u svakom pogledu, ali ne mogu dokazati njegovu kvalitetu, a često je to u principu nemoguće. U pravilu, nedokazivost pouzdanosti je praćena i činjenicom da se algoritam šifriranja drži u tajnosti.

Na prvi pogled, tajnost algoritma služi kao dodatna garancija pouzdanosti šifre. Ovo je argument usmjeren na amatere. Zapravo, kada je algoritam poznat programerima, on se više ne može smatrati tajnim, osim ako korisnik i programer nisu ista osoba. Osim toga, ako se zbog nesposobnosti ili grešaka programera algoritam pokaže nestabilnim, njegova tajnost neće dopustiti neovisnim stručnjacima da ga provjere. Nestabilnost algoritma će se otkriti tek kada je već hakovan, ili čak nije pronađen, jer se neprijatelju ne žuri da se hvali svojim uspjesima.

Stoga bi se kriptograf trebao rukovoditi pravilom koje je prvi formulirao Holanđanin O. Kerkhoffs: snagu šifre treba odrediti samo tajnost ključa. Drugim riječima, pravilo O. Kerckhoffsa je da se cijeli mehanizam šifriranja, osim vrijednosti tajnog ključa, a priori smatra poznatim neprijatelju.

Druga stvar je da je moguć način zaštite informacija (strogo govoreći, nevezan za kriptografiju), kada nije skriven algoritam šifriranja, već sama činjenica da poruka sadrži šifrovane (skrivene u sebi) informacije. Ispravnije je takvu tehniku ​​nazvati maskiranjem informacija. O tome će se raspravljati posebno.

Istorija kriptografije seže nekoliko hiljada godina unazad. Potreba da se sakrije napisano pojavila se u čovjeku gotovo odmah, čim je naučio pisati. Poznati istorijski primjer kriptosistema je takozvana Cezarova šifra, koja predstavlja jednostavnu zamjenu svakog slova otvorenog teksta trećim slovom abecede koje slijedi (sa cikličnim stavljanjem crtica kada je potrebno). Na primjer, A je zamijenjen sa D,B na E,Z na C.

Uprkos značajnom napretku u matematici tokom vekova koji su prošli od vremena Cezara, kriptografija nije napravila značajne korake napred sve do sredine 20. veka. Imao je amaterski, spekulativni, nenaučni pristup.

Na primjer, u XX vijeku, profesionalci su naširoko koristili "knjižne" šifre, u kojima se bilo koje izdanje masovne štampe koristilo kao ključ. Nepotrebno je reći kako su se takve šifre lako otkrile! Naravno, sa teorijske tačke gledišta, šifra "knjige" izgleda prilično pouzdano, jer je skup nemoguće razvrstati ručno. Međutim, i najmanja a priori informacija oštro sužava ovaj izbor.

Usput, o apriornim informacijama. Tokom Velikog domovinskog rata, kao što znate, Sovjetski Savez je posvetio značajnu pažnju organizaciji partizanskog pokreta. Gotovo svaki odred iza neprijateljskih linija imao je radio stanicu, kao i neku vrstu veze sa "kopnom". Šifre koje su partizani imali bile su krajnje nestabilne - nemački dekoderi su ih dešifrovali dovoljno brzo. A to je, kao što znate, rezultiralo borbenim porazima i gubicima. Gerilci su se i na ovom području pokazali kao lukavi i snalažljivi. Trik je bio krajnje jednostavan. U originalnom tekstu poruke napravljen je veliki broj gramatičkih grešaka, na primjer, napisali su: "Pošalji tri ešalona sa tonama". Uz ispravno dekodiranje, Rusu je sve bilo jasno. Ali neprijateljski kriptoanalitičari su se pokazali nemoćni pred takvom tehnikom: pregledavajući moguće opcije, naišli su na kombinaciju "tnk", koja je bila nemoguća za ruski jezik, i odbacili ovu opciju kao svjesno netačnu.

Ovaj naizgled domaći trik je zapravo vrlo efikasan i često se koristi čak i sada. Nasumični nizovi znakova zamjenjuju se u originalni tekst poruke kako bi se zbunili brute-force kriptoanalitički programi ili promijenili statistički obrasci šifriranog koda, koji također mogu pružiti korisne informacije neprijatelju. Ali u cjelini, još uvijek možemo reći da je predratna kriptografija bila izuzetno slaba i da nije mogla tvrditi da je ozbiljna nauka.

Međutim, oštra vojna potreba ubrzo je primorala naučnike da se pozabave problemima kriptografije i kriptoanalize. Jedan od prvih značajnih napretka u ovoj oblasti bila je njemačka pisaća mašina Enigma, koja je zapravo bila mehanički koder i dekoder s prilično velikom izdržljivošću.

U isto vrijeme, tokom Drugog svjetskog rata, pojavile su se prve profesionalne usluge dešifriranja. Najpoznatiji od njih je Bletchley Park, ogranak britanske obavještajne službe MI5.

9.6.2. Vrste šifri. Sve metode šifriranja mogu se podijeliti u dvije grupe: šifre tajnog ključa i šifre javnog ključa. Prve karakterizira prisustvo neke informacije (tajni ključ), čije posjedovanje omogućava i šifriranje i dešifriranje poruka. Stoga se nazivaju i jednoključnim. Šifre javnog ključa zahtijevaju dva ključa za dešifriranje poruka. Ove šifre se takođe nazivaju šiframa sa dva ključa.

Pravilo šifriranja ne može biti proizvoljno. Mora biti takav da je moguće nedvosmisleno povratiti otvorenu poruku iz šifriranog teksta korištenjem pravila dešifriranja. Pravila šifriranja istog tipa mogu se kombinirati u klase. Unutar klase pravila se međusobno razlikuju po vrijednostima nekog parametra, koji može biti broj, tabela itd. U kriptografiji se obično naziva specifična vrijednost takvog parametra ključ.

U suštini, ključ odabire određeno pravilo šifriranja iz date klase pravila. Ovo omogućava, prvo, kada se koriste posebni uređaji za enkripciju, da se promijeni vrijednost parametara uređaja tako da šifrovanu poruku ne mogu dešifrirati čak ni osobe koje imaju potpuno isti uređaj, a ne znaju vrijednost odabranog parametra, i drugo, omogućava vam da pravovremeno promijenite pravilo šifriranja, budući da ponovljena upotreba istog pravila šifriranja za obične tekstove stvara preduvjete za primanje otvorenih poruka od strane šifriranih.

Koristeći koncept ključa, proces šifriranja se može opisati kao omjer:

gdje A- otvorena poruka; B- šifrovana poruka; f- pravilo šifriranja; α - odabrani ključ, poznat pošiljaocu i primaocu.

Za svaki ključ α konverzija šifre mora biti reverzibilna, odnosno mora postojati reverzna transformacija , što za odabrani ključ α jedinstveno identifikuje otvorenu poruku Ašifrovanom porukom B:

(9.0)

Skup transformacija i skup ključeva koji im odgovaraju se poziva šifra... Među svim šiframa, mogu se razlikovati dvije velike klase: zamjenske šifre i permutacijske šifre. Trenutno se elektronski uređaji za šifrovanje široko koriste za zaštitu informacija u automatizovanim sistemima. Važna karakteristika ovakvih uređaja nije samo snaga implementirane šifre, već i velika brzina procesa enkripcije i dešifriranja.

Ponekad se brkaju dva koncepta: enkripcija i kodiranje... Za razliku od enkripcije, za koju morate znati šifru i tajni ključ, kod šifriranja nema ništa tajno, postoji samo određena zamjena slova ili riječi unaprijed definiranim simbolima. Metode kodiranja nisu usmjerene na skrivanje otvorene poruke, već na predstavljanje u prikladnijoj formi za prijenos putem tehničkih sredstava komunikacije, kako bi se smanjila dužina poruke, zaštitila izobličenja itd.

Šifre tajnog ključa... Ova vrsta šifre podrazumijeva prisustvo neke informacije (ključa), čije posjedovanje omogućava i šifriranje i dešifriranje poruke.

S jedne strane, takva šema ima nedostatke da je pored otvorenog kanala za prijenos šifriranog koda potrebno imati i tajni kanal za prijenos ključa, štoviše, ako dođe do curenja informacija o ključu, nemoguće je dokazati od koga je od dva dopisnika došlo do curenja.

S druge strane, među šiframa ove posebne grupe, postoji jedina šema šifriranja na svijetu koja posjeduje apsolutnu teorijsku snagu. Svi ostali se mogu dešifrirati barem u principu. Takva šema je uobičajena enkripcija (na primjer, operacija XOR) s ključem čija je dužina jednaka dužini poruke. U tom slučaju, ključ treba koristiti samo jednom. Bilo kakvi pokušaji dešifriranja takve poruke su beskorisni, čak i ako postoje a priori informacije o tekstu poruke. Odabirom ključa možete dobiti bilo koju poruku kao rezultat.

Šifre javnog ključa... Ova vrsta šifre podrazumijeva prisustvo dva ključa - javnog i privatnog; jedan se koristi za šifriranje, a drugi za dešifriranje poruka. Javni ključ se objavljuje - stavlja se na znanje svima, dok tajni ključ čuva njegov vlasnik i predstavlja garanciju tajnosti poruka. Suština metode je da ono što je šifrirano tajnim ključem može biti dešifrirano samo javnim i obrnuto. Ovi ključevi se generiraju u parovima i međusobno se korespondiraju jedan-na-jedan. Štaviše, nemoguće je izračunati drugi iz jednog ključa.

Karakteristična karakteristika šifara ovog tipa, koja ih povoljno razlikuje od šifri sa tajnim ključem, jeste da je tajni ključ ovde poznat samo jednoj osobi, dok u prvoj shemi mora biti poznat najmanje dvema osobama. Ovo daje sljedeće prednosti:

nije potreban siguran kanal za slanje tajnog ključa;

sva komunikacija se odvija putem otvorenog kanala;

prisustvo jedne kopije ključa smanjuje mogućnost njegovog gubitka i omogućava utvrđivanje jasne lične odgovornosti za očuvanje tajnosti;

Prisustvo dva ključa omogućava da se ovaj sistem šifrovanja koristi u dva načina - tajna komunikacija i digitalni potpis.

Najjednostavniji primjer razmatranih algoritama šifriranja je RSA algoritam. Svi ostali algoritmi ove klase se ne razlikuju suštinski od nje. Možemo reći da je RSA, uglavnom, jedini algoritam javnog ključa.

9.6.3. Algoritam RSA. RSA (nazvan po svojim autorima - Rivest, Shamir i Alderman) je algoritam javnog ključa za enkripciju i autentifikaciju (digitalni potpis). Ovaj algoritam je razvijen 1977. godine i zasniva se na dekompoziciji velikih cijelih brojeva na proste faktore (faktorizacija).

RSA je veoma spor algoritam. Za poređenje, na nivou softvera, DES je najmanje 100 puta brži od RSA; na hardveru - za 1.000-10.000 puta, u zavisnosti od implementacije.

RSA algoritam je sljedeći. Uzima dva vrlo velika prosta broja str i q... Odlučan n kao rezultat množenja str na q(n=str q). Odabran je veliki slučajni cijeli broj d coprime with m, gdje
... Takav broj je određen e, šta
... Pozovimo javni ključ e i n, a tajni ključ su brojevi d i n.

Sada, za šifriranje podataka pomoću poznatog ključa ( e,n), potrebno je da uradite sledeće:

podijeliti šifrirani tekst u blokove, od kojih svaki može biti predstavljen kao broj M(i)=0,1,…,n-1;

šifriranje teksta tretiranog kao niz brojeva M(i) prema formuli C(i)=(M(i)) mod n;

za dešifriranje ovih podataka pomoću tajnog ključa ( d,n), potrebno je izvršiti sljedeće proračune M(i)=(C(i)) mod n.

Rezultat će biti skup brojeva M(i), koji predstavljaju originalni tekst.

Primjer. Razmotrimo primjenu RSA metode za šifriranje poruke: "kompjuter". Radi jednostavnosti koristit ćemo vrlo male brojeve (u praksi se koriste mnogo veći brojevi - od 200 i više).

Hajde da izaberemo str= 3 i q= 11. Mi definišemo n= 3 × 11 = 33.

Pronađi ( str-1) × ( q-1) = 20. Stoga, kao d odaberite bilo koji broj koji je koprost sa 20, na primjer d=3.

Odaberimo broj e... Kao takav broj može se uzeti bilo koji broj za koji je relacija ( e× 3) mod 20 = 1, na primjer, 7.

Hajde da predstavimo šifrovanu poruku kao niz celih brojeva u opsegu 1 ... 32. Neka je slovo "E" predstavljeno brojem 30, slovo "B" brojem 3, a slovo "M" brojem 13. Tada se originalna poruka može predstaviti kao niz brojeva (30 03 13 ).

Šifrujmo poruku pomoću ključa (7.33).

C1 = (307) mod 33 = 21870000000 mod 33 = 24,

C2 = (37) mod 33 = 2187 mod 33 = 9,

C3 = (137) mod 33 = 62748517 mod 33 = 7.

Tako izgleda šifrovana poruka (24 09 07).

Hajde da riješimo inverzni problem. Dešifrirajmo poruku (24 09 07), primljenu kao rezultat šifriranja pomoću poznatog ključa, na osnovu tajnog ključa (3.33):

M1 = (24 3) mod 33 = 13824 mod 33 = 30,

M2 = (9 3) mod 33 = 739 mod 33 = 9,

M3 = (7 3) mod33 = 343 mod33 = 13 .

Tako je kao rezultat dešifriranja poruke primljena originalna poruka "kompjuter".

Kriptografska snaga RSA algoritma zasniva se na pretpostavci da je izuzetno teško odrediti tajni ključ od poznatog, jer je za to potrebno riješiti problem postojanja cijelih djelitelja. Ovaj problem je NP-kompletan i, kao posljedica ove činjenice, trenutno ne dopušta efikasno (polinomsko) rješenje. Štaviše, i dalje je otvoreno samo pitanje postojanja efikasnih algoritama za rješavanje NP-potpunih problema. S tim u vezi, za brojeve koji se sastoje od 200 znamenki (i upravo se ti brojevi preporučuju za korištenje), tradicionalne metode zahtijevaju ogroman broj operacija (oko 1023).

RSA algoritam (slika 9.2) patentiran je u SAD. Njegova upotreba od strane drugih osoba nije dozvoljena (ako je dužina ključa veća od 56 bita). Istina, valjanost takvog uspostavljanja može biti dovedena u pitanje: kako se može patentirati obična eksponencijacija? Međutim, RSA je zaštićena zakonima o autorskim pravima.

Rice. 9.2. Šema šifriranja

Poruku šifrovanu javnim ključem pretplatnika može dešifrovati samo on, jer samo on ima tajni ključ. Dakle, da biste poslali privatnu poruku, morate uzeti javni ključ primaoca i šifrirati poruku na njemu. Nakon toga, čak ni vi sami nećete to moći dešifrirati.

9.6.4. Elektronski potpis. Kada postupamo obrnuto, odnosno šifriramo poruku pomoću tajnog ključa, tada je svako može dešifrirati (uzimajući vaš javni ključ). Ali sama činjenica da je poruka šifrirana vašim privatnim ključem potvrđuje da je došla od vas - jedinog vlasnika tajnog ključa na svijetu. Ovaj način upotrebe algoritma naziva se digitalni potpis.

Sa stanovišta tehnologije, elektronski digitalni potpis je softversko-kriptografsko (odnosno, odgovarajuće šifrovano) sredstvo koje vam omogućava da potvrdite da je potpis na određeni elektronski dokument stavio njegov autor, a ne bilo koja druga osoba. . Elektronski digitalni potpis je skup znakova generiranih prema algoritmu definiranom GOST R 34.0-94 i GOST R 34.-94. Istovremeno, elektronski digitalni potpis vam omogućava da se uverite da podaci potpisani metodom elektronskog digitalnog potpisa nisu promenjeni tokom prenosa i da ih je pošiljalac potpisao tačno u obliku u kojem ste ih primili.

Proces elektronskog potpisivanja dokumenta (slika 9.3) je prilično jednostavan: niz informacija koje je potrebno potpisati obrađuje poseban softver koristeći tzv. privatni ključ. Zatim se šifrovani niz šalje e-poštom i po prijemu se verifikuje odgovarajućim javnim ključem. Javni ključ vam omogućava da provjerite sigurnost niza i provjerite autentičnost elektronskog digitalnog potpisa pošiljaoca. Vjeruje se da je ova tehnologija 100% otporna na neovlašteno korištenje.

Rice. 9.3. Dijagram procesa elektronskog potpisivanja dokumenta

Tajni ključ (šifru) drži svaka osoba koja ima ovlaštenje za potpisivanje, a može se pohraniti na disketu ili pametnu karticu. Javni ključ koriste primaoci dokumenta za provjeru autentičnosti elektronskog digitalnog potpisa. Koristeći elektronski digitalni potpis, možete potpisivati ​​pojedinačne datoteke ili fragmente baza podataka.

U potonjem slučaju, softver koji implementira elektronski digitalni potpis mora biti ugrađen u primijenjene automatizovane sisteme.

Prema novom zakonu, jasno je uređena procedura ovjere elektronskih digitalnih potpisa i ovjere samog potpisa.

To znači da nadležni državni organ mora potvrditi da ovaj ili onaj softver za generisanje elektronskog digitalnog potpisa zaista proizvodi (ili verifikuje) samo elektronski digitalni potpis i ništa drugo; da odgovarajući programi ne sadrže viruse, ne preuzimaju informacije od izvođača, ne sadrže greške i garantuju protiv hakovanja. Certifikacija potpisa sama po sebi znači da relevantna organizacija - tijelo za sertifikaciju - potvrđuje da ovaj ključ pripada ovoj osobi.

Možete potpisati dokumente bez navedenog sertifikata, ali u slučaju suđenja biće teško bilo šta dokazati. U ovom slučaju, certifikat je nezamjenjiv, jer sam potpis ne sadrži podatke o svom vlasniku.

Na primjer, građanin A i građanin V zaključili ugovor u iznosu od 10.000 rubalja i ovjerili ugovor sa svojim EDS-om. Citizen A nije ispunio svoju obavezu. Uvređeni građanin V, koji je navikao da djeluje u okviru pravnog polja, ide na sud, gdje se potvrđuje autentičnost potpisa (podudarnost javnog ključa privatnom). Međutim, građanin A navodi da privatni ključ uopće nije njegov. U slučaju ovakvog presedana sa običnim potpisom, vrši se grafološko ispitivanje, ali u slučaju EDS-a potrebna je treća strana ili dokument kojim je moguće potvrditi da potpis zaista pripada toj osobi. Tome služi certifikat javnog ključa.

Danas su jedan od najpopularnijih softverskih alata koji implementiraju glavne funkcije elektronskog digitalnog potpisa Verba i CryptoPRO CSP sistemi.

9.6.5. Hash funkcija. Kao što je gore prikazano, šifra javnog ključa može se koristiti u dva načina: enkripcija i digitalni potpis. U drugom slučaju, nema smisla šifrirati cijeli tekst (podatke) pomoću tajnog ključa. Tekst se ostavlja otvorenim, a određena "kontrolna suma" ovog teksta se šifruje, usled čega se formira blok podataka, a to je digitalni potpis, koji se dodaje na kraj teksta ili mu prilaže u poseban fajl.

Navedenu "kontrolnu sumu" podataka, koja je "potpisana" umjesto cijelog teksta, mora se izračunati iz cijelog teksta tako da se na njemu odrazi promjena bilo kojeg slova. Drugo, navedena funkcija mora biti jednosmjerna, odnosno izračunljiva samo "u jednom smjeru". To je neophodno kako neprijatelj ne bi mogao namjerno promijeniti tekst, prilagođavajući ga postojećem digitalnom potpisu.

Ova funkcija se zove Hash funkcija, koji, kao i kriptoalgoritmi, podliježe standardizaciji i sertifikaciji. U našoj zemlji to je regulisano GOST R-3411. Hash funkcija- funkcija koja hashira niz podataka mapiranjem vrijednosti iz (veoma) velikog skupa vrijednosti u (značajno) manji skup vrijednosti. Pored digitalnih potpisa, heš funkcije se koriste u drugim aplikacijama. Na primjer, kada se razmjenjuju poruke između udaljenih računala, kada je potrebna autentikacija korisnika, može se koristiti metoda zasnovana na hash funkciji.

Neka Hash kod kreirana funkcijom N:

,

gdje M je poruka proizvoljne dužine i h je heš kod fiksne dužine.

Razmotrite zahtjeve koje hash funkcija mora ispuniti da bi se koristila kao autentifikator poruke. Pogledajmo vrlo jednostavan primjer hash funkcije. Zatim ćemo analizirati nekoliko pristupa izgradnji hash funkcije.

Hash funkcija N koje se koriste za autentifikaciju poruka moraju imati sljedeća svojstva:

N(M) mora se primijeniti na blok podataka bilo koje dužine;

N(M) kreirati izlaz fiksne dužine;

N(M) se relativno lako (u polinomskom vremenu) izračunava za bilo koju vrijednost M;

za bilo koju datu vrijednost hash koda h nemoguće naći M takav da N(M) =h;

za bilo koju datu X kompjuterski nemoguće naći y≠x, šta H(y) =H(x);

kompjuterski je nemoguće pronaći proizvoljan par ( X,y) takav da H(y) =H(x).

Prva tri svojstva zahtijevaju hash funkciju za generiranje hash koda za bilo koju poruku.

Četvrto svojstvo definira zahtjev jednosmjerne hash funkcije: lako je kreirati hash kod iz date poruke, ali je nemoguće oporaviti poruku iz datog hash koda. Ovo svojstvo je važno ako heš autentifikacija uključuje tajnu vrijednost. Sama tajna vrijednost možda neće biti poslana, međutim, ako hash funkcija nije jednosmjerna, protivnik može lako otkriti tajnu vrijednost na sljedeći način.

Peto svojstvo osigurava da se ne može pronaći nijedna druga poruka čija heš vrijednost odgovara hash vrijednosti ove poruke. Ovo sprječava neovlašteno mijenjanje autentifikatora kada se koristi šifrirani hash kod. U ovom slučaju, protivnik može pročitati poruku i stoga generirati njen hash kod. Ali pošto protivnik ne posjeduje tajni ključ, on ne može promijeniti poruku tako da je primalac ne otkrije. Ako ovo svojstvo nije ispunjeno, napadač može izvršiti sljedeći slijed radnji: presresti poruku i njen šifrirani hash kod, izračunati hash kod poruke, kreirati alternativnu poruku s istim hash kodom, zamijeniti originalnu poruku lažnom . Pošto su hash kodovi ovih poruka isti, primalac neće otkriti lažiranje.

Poziva se heš funkcija koja zadovoljava prvih pet svojstava jednostavno ili slab hash funkcija. Ako je, pored toga, zadovoljeno šesto svojstvo, tada se takva funkcija poziva jaka hash funkcija. Šesto svojstvo štiti od klase napada poznatih kao rođendanski napad.

Sve hash funkcije se izvode na sljedeći način. Ulazna vrijednost (poruka, datoteka, itd.) se tretira kao niz n-bit blokovi. Ulazna vrijednost se obrađuje sekvencijalno blok po blok i kreira m- bit vrijednost hash koda.

Jedan od najjednostavnijih primjera hash funkcije je bitni XOR svakog bloka:

WITH i = b i 1 XOR b i2 XOR. ... ... XOR b ik ,

gdje WITH i – i ti bit heš koda, i = 1, …, n;

k- broj n- blokovi bitova;

b ij –i th bit in j th block.

Rezultat je hash kod dužine n poznata kao longitudinalna nadkontrola. Ovo je efikasno za slučajne neuspjehe u provjeri integriteta podataka.

9.6.6. DES I GOST-28147. DES (Data Encryption Standard) je algoritam simetričnog ključa, tj. jedan ključ se koristi i za šifriranje i za dešifriranje poruka. Razvijen od strane IBM-a i odobren od strane američke vlade 1977. godine kao službeni standard za zaštitu nevladinih tajni.

DES ima 64-bitne blokove, baziran je na 16-strukoj permutaciji podataka, koristi 56-bitni ključ za enkripciju. Postoji nekoliko DES režima, kao što su elektronski kodirnik (ECB) i lančano lančano blokove šifre (CBC). 56 bita je 8 sedmobitnih ASCII znakova, tj. lozinka ne može imati više od 8 slova. Ako se, osim toga, koriste samo slova i brojevi, tada će broj mogućih opcija biti znatno manji od maksimalno mogućih 256.

Jedan od koraka DES algoritma... Blok ulaznih podataka je prepolovljen za lijevo ( L ") i desno ( R ") dijelovi. Nakon toga, izlazni niz se formira tako da je njegova lijeva strana L "" predstavljeno desnom stranom R " unos i desno R "" formirana kao zbir L " i R " XOR operacije. Nadalje, izlazni niz je šifriran permutacijom i zamjenom. Možete osigurati da se sve izvedene operacije mogu obrnuti i da se dešifriranje izvodi u nizu operacija koje linearno ovise o veličini bloka. Algoritam je šematski prikazan na Sl. 9.4.

Rice. 9.4. DES algoritamski dijagram

Nakon nekoliko takvih transformacija, možemo pretpostaviti da svaki bit izlaznog bloka šifre može ovisiti o svakom bitu poruke.

U Rusiji postoji analog DES algoritma, koji radi na istom principu tajnog ključa. GOST 28147 razvijen je 12 godina kasnije od DES-a i ima viši stepen zaštite. Njihove komparativne karakteristike prikazane su u tabeli. 9.3.

Tabela 9.3

9.6.7. Steganografija. Steganografija- Ovo je način organizovanja veze, koji zapravo krije samo postojanje veze. Za razliku od kriptografije, gdje neprijatelj može precizno odrediti da li je poslana poruka šifrirani tekst, metode steganografije omogućavaju ugrađivanje tajnih poruka u bezopasne poruke tako da je nemoguće posumnjati u postojanje ugrađene tajne poruke.

Riječ "steganografija" u prijevodu s grčkog doslovno znači "tajno pisanje" (steganos - tajna, tajna; graphy - zapis). Uključuje veliki izbor tajnih komunikacija, kao što su nevidljivo mastilo, mikrofotografije, konvencionalni raspored znakova, tajni kanali i sredstva komunikacije na plutajućim frekvencijama, itd.

Steganografija zauzima vlastitu nišu u sigurnosti: ne zamjenjuje, već nadopunjuje kriptografiju. Skrivanje poruke steganografskim metodama značajno smanjuje vjerovatnoću otkrivanja same činjenice prijenosa poruke. A ako je i ova poruka šifrirana, onda ima još jedan, dodatni, nivo zaštite.

Trenutno, u vezi sa brzim razvojem računarske tehnologije i novih kanala prenosa informacija, pojavile su se nove steganografske metode koje se zasnivaju na posebnostima prikaza informacija u kompjuterskim datotekama, računarskim mrežama itd. To nam daje mogućnost da govoriti o formiranju novog pravca - kompjuterske steganografije...

Uprkos činjenici da je steganografija kao metoda skrivanja tajnih podataka poznata hiljadama godina, kompjuterska steganografija je mlad pravac koji se razvija.

Steganografski sistem ili stegosistem- skup alata i metoda koji se koriste za formiranje prikrivenog kanala za prijenos informacija.

Prilikom izgradnje stegosistema treba uzeti u obzir sljedeće odredbe:

Neprijatelj ima potpuno razumijevanje steganografskog sistema i detalja njegove implementacije. Jedina informacija koja potencijalnom protivniku ostaje nepoznata je ključ uz pomoć kojeg samo njegov nosilac može utvrditi činjenicu prisutnosti i sadržaja skrivene poruke.

Ako protivnik nekako sazna za postojanje skrivene poruke, to mu ne bi trebalo dozvoliti da izdvoji slične poruke u drugim podacima sve dok se ključ čuva u tajnosti.

Potencijalnom protivniku treba oduzeti bilo kakve tehničke ili druge prednosti u prepoznavanju ili otkrivanju sadržaja tajnih poruka.

Generalizovani model stegosistema prikazan je na Sl. 9.5.

Rice. 9.5. Generalizovani model stegosistema

As podaci mogu se koristiti bilo koja informacija: tekst, poruka, slika itd.

U opštem slučaju, preporučljivo je koristiti reč "poruka", jer poruka može biti ili tekst ili slika, ili, na primer, audio podaci. U nastavku ćemo koristiti termin poruka da označimo skrivene informacije.

Kontejner- sve informacije dizajnirane da sakriju tajne poruke.

Stegkey ili samo ključ - tajni ključ potreban za skrivanje informacija. U zavisnosti od broja nivoa zaštite (na primer, ugrađivanje unapred šifrovane poruke) u stegosistem, može postojati jedan ili više stego ključeva.

Po analogiji sa kriptografijom, stegosistemi se mogu podijeliti u dva tipa prema tipu stegkey-a:

sa tajnim ključem;

sa javnim ključem.

U stegosistemu sa tajnim ključem koristi se jedan ključ, koji se mora odrediti ili prije početka razmjene tajnih poruka, ili prenijeti preko sigurnog kanala.

Stegosistem javnog ključa koristi različite ključeve za ugradnju i preuzimanje poruke, koji se razlikuju na takav način da je nemoguće izračunati jedan ključ od drugog. Stoga se jedan ključ (javni) može slobodno prenijeti preko nezaštićenog komunikacijskog kanala. Osim toga, ova šema dobro funkcionira uz međusobno nepovjerenje između pošiljaoca i primaoca.

Trenutno je moguće razlikovati tri pravci primjena steganografije usko povezani jedni s drugima i imaju iste korijene: skrivanje podataka(poruke), digitalni vodeni žigovi i naslovi.

Prikrivanje ugrađenih podataka, koji u većini slučajeva ima veliki volumen, postavlja ozbiljne zahtjeve za kontejner: veličina kontejnera mora biti nekoliko puta veća od veličine ugrađenih podataka.

Digitalni vodeni žigovi se koriste za zaštitu autorskih ili imovinskih prava na digitalne slike, fotografije ili druga digitalizirana umjetnička djela. Glavni zahtjevi za takve ugrađene podatke su pouzdanost i robusnost. Digitalni vodeni žigovi su mali, međutim, s obzirom na gore navedene zahtjeve, koriste se sofisticiranije metode za njihovo ugrađivanje nego za ugrađivanje samo poruka ili zaglavlja.

Naslovi se uglavnom koriste za označavanje slika u velikim elektronskim repozitorijumima (bibliotekama) digitalnih slika, audio i video datoteka. U ovom slučaju, steganografske metode se koriste ne samo za ugrađivanje identifikacionog zaglavlja, već i drugih pojedinačnih atributa datoteke. Ugrađeni naslovi su male veličine, a zahtjevi za njih su minimalni: naslovi bi trebali unositi manja izobličenja i biti otporni na osnovne geometrijske transformacije.

Kompjuterska kriptografija zasniva se na nekoliko principa:

Poruka se može poslati pomoću kodiranja šuma. Biće teško detektovati u prisustvu hardverske buke na telefonskoj liniji ili mrežnim kablovima.

Poruka se može postaviti u praznine datoteka ili diska bez gubitka njihove funkcionalnosti. Izvršne datoteke imaju višesegmentnu strukturu izvršnog koda; gomila bajtova se može umetnuti između praznina segmenata. Ovako WinCIH virus skriva svoje tijelo. Datoteka uvijek zauzima cijeli broj klastera na disku, tako da se fizička i logička dužina datoteke rijetko podudaraju. U ovom intervalu možete i nešto napisati. Možete formatirati srednji zapis na disku i staviti poruku na njega. Postoji lakši način, a to je da na kraju reda HTML ili tekstualne datoteke možete dodati određeni broj razmaka koji nose informacijsko opterećenje.

Ljudska osjetila nisu u stanju razlikovati male promjene u boji, slici ili zvuku. Ovo se odnosi na podatke koji nose suvišne informacije. Na primjer, 16-bitni zvuk ili 24-bitne slike. Promjena vrijednosti bita za boju piksela neće primjetno promijeniti boju. Ovo takođe uključuje metodu skrivenih slova. U obrisima slova su napravljena suptilna izobličenja, koja će nositi semantičko opterećenje. U Microsoft Word dokument možete umetnuti slične znakove koji sadrže skrivenu poruku.

Najrasprostranjeniji i jedan od najboljih softverskih proizvoda za steganografiju je S-Tools (freeware status). Omogućava vam da sakrijete sve datoteke u GIF, BMP i WAV datotekama. Obavlja podesivu kompresiju (arhiviranje) podataka. Osim toga, obavlja enkripciju pomoću algoritama MCD, DES, triple-DES, IDEA (opciono). Grafička datoteka ostaje bez vidljivih promjena, mijenjaju se samo nijanse. Zvuk također ostaje nepromijenjen. Čak i ako se pojave sumnje, nemoguće je utvrditi činjenicu korištenja S-Toolsa bez poznavanja lozinke.

9.6.8. Certifikacija i standardizacija kriptosistema. Sve države posvećuju veliku pažnju pitanjima kriptografije. Stalno se pokušavaju nametnuti određena ograničenja, zabrane i druga ograničenja na proizvodnju, upotrebu i izvoz kriptografskih alata. Na primjer, u Rusiji je uvoz i izvoz sredstava za sigurnost informacija, posebno kriptografskih sredstava, licenciran u skladu sa Uredbom predsjednika Ruske Federacije od 3. aprila 1995. br. 334 i uredbom Vlade Republike Srpske. Ruske Federacije od 15. aprila 1994. br. 331.

Kao što je već spomenuto, kriptosistem se ne može smatrati pouzdanim ako algoritam njegovog rada nije u potpunosti poznat. Samo poznavajući algoritam možete provjeriti da li je zaštita stabilna. Međutim, to može provjeriti samo stručnjak, a i tada je takva provjera često toliko komplicirana da je ekonomski neisplativa. Kako se običan korisnik koji ne poznaje matematiku može uvjeriti u pouzdanost kriptosistema koji mu se nudi da koristi?

Za laika, dokaz pouzdanosti može biti mišljenje kompetentnih nezavisnih stručnjaka. Tako je nastao sistem sertifikacije. Njemu su podložni svi sistemi informacione bezbednosti, tako da preduzeća i institucije mogu da ih zvanično koriste. Nije zabranjeno korištenje necertificiranih sistema, ali u ovom slučaju preuzimate cijeli rizik da neće biti dovoljno pouzdan ili će imati „stražnja vrata“. Ali da bi se prodavali proizvodi za sigurnost informacija, neophodna je certifikacija. Takve odredbe važe u Rusiji i većini zemalja.

Naše jedino tijelo ovlašteno za certifikaciju je Federalna agencija za vladine komunikacije i informacije pri Predsjedniku Ruske Federacije (FAPSI). Ovo tijelo vrlo pažljivo pristupa pitanjima sertifikacije. Vrlo mali broj razvojnih kompanija trećih strana uspio je dobiti FAPSI certifikat.

Pored toga, FAPSI licencira delatnost preduzeća koja se odnosi na razvoj, proizvodnju, prodaju i rad alata za šifrovanje, kao i sigurnih tehničkih sredstava za skladištenje, obradu i prenošenje informacija, pružanje usluga u oblasti šifrovanja informacija (Ukaz predsednika Ruske Federacije od 03.04.95 br. mjera za poštovanje vladavine prava u razvoju proizvodnje, prodaje i rada alata za šifriranje, kao i pružanje usluga u oblasti šifriranja informacija"; i Zakon o Ruske Federacije "O federalnim tijelima vladinih komunikacija i informacija").

Za sertifikaciju preduslov je usklađenost sa standardima u razvoju sistema informacione bezbednosti. Standardi imaju sličnu funkciju. Oni omogućavaju, bez sprovođenja složenih, skupih, pa čak i ne uvijek mogućih istraživanja, steći povjerenje da dati algoritam pruža zaštitu dovoljnog stepena pouzdanosti.

9.6.9. Šifrovane arhive. Mnoge softverske aplikacije uključuju funkciju šifriranja. Navedimo primjere nekih softverskih alata sa mogućnostima šifriranja.

Programi za arhiviranje (na primjer, WinZip) imaju opciju šifriranja arhiviranih informacija. Može se koristiti za ne baš važne informacije. Prvo, metode šifriranja koje se tamo koriste nisu baš pouzdane (podložne službenim ograničenjima izvoza), a drugo, nisu detaljno opisane. Sve ovo nam ne dozvoljava da ozbiljno računamo na takvu zaštitu. Arhive sa lozinkom mogu se koristiti samo za "obične" korisnike ili informacije koje nisu kritične.

Na nekim stranicama na Internetu možete pronaći programe za otvaranje šifriranih arhiva. Na primjer, ZIP arhiva se može otvoriti na dobrom računaru za nekoliko minuta, a od korisnika nisu potrebne posebne kvalifikacije.

Bilješka. Programi za pogađanje lozinki: Ultra Zip Password Cracker 1.00 - Brzi program za pogađanje lozinki za šifrovane arhive. Ruski / engleski interfejs. Win "95/98 / NT. (Developer -" m53group "). Advanced ZIP Password Recovery 2.2 - Moćan program za pogađanje lozinki za ZIP arhive. Velika brzina, grafički interfejs, dodatne funkcije. OS: Windows95 / 98 / NT. Razvojna kompanija - "Elcom doo", shareware.

Šifrovanje u MS Word i MS Excel... Microsoft je uključio neki privid kripto zaštite u svoje proizvode. Ali ova odbrana je vrlo krhka. Osim toga, algoritam šifriranja nije opisan, što je pokazatelj nepouzdanosti. Osim toga, postoje dokazi da Microsoft ostavlja "stražnja vrata" u korištenim kripto algoritmima. Ako trebate dešifrirati datoteku čija je lozinka izgubljena, možete kontaktirati kompaniju. Na službeni zahtjev, sa dovoljno osnova, dešifriraju MS Word i MS Excel fajlove. Usput, to rade i neki drugi proizvođači softvera.

Šifrirani diskovi (direktoriji)... Šifriranje je prilično pouzdan način zaštite informacija na tvrdom disku. Međutim, ako količina informacija koje treba zatvoriti nije ograničena na dvije ili tri datoteke, onda je prilično teško raditi s njom: svaki put datoteke će se morati dešifrirati, a nakon uređivanja, oni će biti ponovo šifrirani. Istovremeno, rezervne kopije datoteka koje kreiraju mnogi urednici mogu ostati na disku. Stoga je zgodno koristiti posebne programe (drajvere) koji automatski šifriraju i dešifriraju sve informacije kada se zapisuju na disk i čitaju s diska.

U zaključku, napominjemo da je sigurnosna politika definirana kao skup dokumentiranih upravljačkih odluka usmjerenih na zaštitu informacija i povezanih resursa. Prilikom izrade i implementacije preporučljivo je voditi se sljedećim osnovnim principima:

Nemogućnost zaobilaženja zaštitne opreme... Svi tokovi informacija ka i iz zaštićene mreže moraju proći kroz sredstva zaštite. Ne bi trebalo postojati tajni modemski ulazi ili testne linije koje zaobilaze zaštitu.

Jačanje najslabije karike... Pouzdanost bilo koje zaštite određuje najslabija karika, budući da je napadači hakuju. Često najslabija karika nije kompjuter ili program, već osoba i tada problem osiguranja informacione sigurnosti postaje netehničke prirode.

Nemogućnost prelaska u nesigurno stanje... Načelo nemogućnosti prijelaza u nesigurno stanje znači da u svim okolnostima, uključujući i abnormalne, zaštitni uređaj ili u potpunosti ispunjava svoje funkcije ili potpuno blokira pristup.

Minimiziranje privilegija... Princip minimiziranja privilegija nalaže da korisnicima i administratorima date samo ona prava pristupa koja su im neophodna za obavljanje službenih dužnosti.

Podela dužnosti... Princip podjele dužnosti pretpostavlja takvu raspodjelu uloga i odgovornosti u kojoj jedna osoba ne može poremetiti proces koji je kritičan za organizaciju.

Odbrambeni ešalon... Princip odvojenosti odbrane propisuje da se ne oslanja na jednu liniju odbrane. Slojevita odbrana može barem odgoditi napadača i znatno otežati neprimijećeno izvođenje zlonamjernih radnji.

Raznovrsna zaštitna oprema... Princip raznovrsnosti zaštitne opreme preporučuje organiziranje odbrambenih linija različite prirode tako da se od potencijalnog napadača traži da ovlada raznim, ako je moguće, nekompatibilnim vještinama.

Jednostavnost i upravljivost informacionog sistema... Princip jednostavnosti i upravljivosti kaže da samo u jednostavnom i upravljivom sistemu možete provjeriti konzistentnost konfiguracije različitih komponenti i izvršiti centraliziranu administraciju.

Osiguravanje univerzalne podrške mjerama sigurnosti... Princip univerzalne podrške sigurnosnim mjerama je netehnički. Ako korisnici i/ili administratori sistema smatraju informacijsku sigurnost nečim suvišnim ili neprijateljskim, tada se sigurnosni način ne može kreirati namjerno. Od samog početka treba predvidjeti set mjera u cilju obezbjeđivanja lojalnosti kadrova, za kontinuiranu teorijsku i praktičnu obuku.

U ovom članku ćete naučiti šta je kriptografski alat za zaštitu informacija i čemu služi. Ova definicija se odnosi na kriptografiju - zaštitu i skladištenje podataka. Zaštita informacija u elektronskom obliku može se izvršiti na bilo koji način - čak i isključivanjem računara iz mreže i postavljanjem naoružanih stražara sa psima u blizini. Ali to je mnogo lakše postići korištenjem kripto-sigurnosnih alata. Hajde da vidimo šta je to i kako se implementira u praksi.

Glavni ciljevi kriptografije

Dešifriranje CIPF-a zvuči kao "kriptografski sistem zaštite informacija". U kriptografiji, komunikacijski kanal može biti potpuno dostupan napadačima. Ali svi podaci su povjerljivi i vrlo dobro šifrirani. Stoga, uprkos otvorenosti kanala, sajber kriminalci ne mogu doći do informacija.

Savremeni alati za kriptografsku zaštitu informacija sastoje se od softverskog i kompjuterskog kompleksa. Uz njegovu pomoć osigurava se zaštita informacija za najvažnije parametre, koje ćemo dalje razmotriti.

Povjerljivost

Nemoguće je pročitati informacije ako nemate dozvolu za to. Šta je alat za zaštitu kriptografskih informacija i kako šifrira podatke? Glavna komponenta sistema je elektronski ključ. To je kombinacija slova i brojeva. Samo unosom ovog ključa možete doći do željenog dijela na kojem je postavljena zaštita.

Integritet i autentifikacija

Ovo je važan parametar koji određuje mogućnost neovlaštenih promjena podataka. Ako nema ključa, informacije se ne mogu uređivati ​​ili brisati.

Autentifikacija je postupak za provjeru autentičnosti informacija koje su zabilježene na ključnom nosaču. Ključ mora odgovarati mašini na kojoj se informacije dešifriraju.

Autorstvo

Ovo je potvrda radnji korisnika i nemogućnosti da ih odbije. Najčešći tip potvrde je EDS (elektronski digitalni potpis). Sadrži dva algoritma - jedan kreira potpis, drugi ga provjerava.

Napominjemo da se sve transakcije koje se sprovode elektronskim potpisima obrađuju u ovlaštenim centrima (nezavisnim). Iz tog razloga, autorstvo se ne može krivotvoriti.

Osnovni algoritmi šifriranja podataka

Danas su mnogi CIPF certifikati široko rasprostranjeni; za enkripciju se koriste različiti ključevi - i simetrični i asimetrični. A ključevi su dovoljno dugi da obezbede potrebnu kriptografsku složenost.

Najpopularniji algoritmi koji se koriste u kripto zaštiti:

1. Simetrični ključ - DES, AES, RC4, ruski R-28147.89.
2. Sa hash funkcijama - na primjer, SHA-1/2, MD4 / 5/6, R-34.11.94.
3. Asimetrični ključ - RSA.

Mnoge zemlje imaju svoje standarde za algoritme šifriranja. Na primjer, u Sjedinjenim Državama se koristi modificirana AES enkripcija, ključ može biti dug od 128 do 256 bita.

Ruska Federacija ima svoj algoritam - R-34.10.2001 i R-28147.89, u kojem se koristi 256-bitni ključ. Imajte na umu da postoje elementi u nacionalnim kriptografskim sistemima koji su zabranjeni za izvoz u druge zemlje. Sve aktivnosti vezane za razvoj kriptografskih alata za zaštitu informacija zahtijevaju obavezno licenciranje.

Hardverska kripto zaštita

Prilikom instaliranja CIPF tahografa, možete osigurati maksimalnu zaštitu podataka pohranjenih u uređaju. Sve je to implementirano i na softverskom i na hardverskom nivou.

Hardverski tip kriptografskog sistema zaštite informacija je uređaj koji sadrži posebne programe koji omogućavaju pouzdanu enkripciju podataka. Također uz njihovu pomoć, informacije se pohranjuju, snimaju i prenose.

Uređaj za šifriranje se izvodi u obliku enkriptora spojenog na USB portove. Postoje i uređaji koji se instaliraju na matične ploče računara. Za rad s podacima mogu se koristiti čak i specijalizirani prekidači i kripto-zaštićene mrežne kartice.

Hardverski tipovi uređaja za kriptografsku zaštitu informacija se instaliraju prilično brzo i sposobni su za razmjenu informacija velikom brzinom. Ali nedostatak je prilično visoka cijena, kao i ograničena mogućnost modernizacije.

Softverska kripto zaštita

Ovo je kompleks programa koji vam omogućava šifriranje informacija koje su pohranjene na različitim medijima (fleš diskovi, tvrdi i optički diskovi, itd.). Također, ako postoji licenca za uređaje za kriptografsku zaštitu informacija ovog tipa, možete šifrirati podatke prilikom njihovog prijenosa putem Interneta (na primjer, putem e-pošte ili chata).

Postoji veliki broj zaštitnih programa, a ima čak i besplatnih - kao što je DiskCryptor. Softverski tip CIPF-a su također virtuelne mreže koje omogućavaju razmjenu informacija "preko Interneta". Ovo su VPN-ovi poznati mnogima. Ova vrsta zaštite uključuje HTTP protokol, koji podržava SSL i HTTPS enkripciju.

CIPF softver se najčešće koristi pri radu na Internetu, kao i na kućnim računarima. Drugim riječima, samo u onim područjima gdje ne postoje ozbiljni zahtjevi za stabilnost i funkcionalnost sistema.

Hardversko-softverski tip kripto zaštite

Sada znate šta je CIPF, kako funkcioniše i gde se koristi. Takođe je potrebno izdvojiti jednu vrstu - softver i hardver, u kojoj su sakupljena sva najbolja svojstva oba tipa sistema. Ovaj način obrade informacija danas je najpouzdaniji i najsigurniji. Štoviše, korisnik se može identificirati na različite načine - i hardverski (instaliranjem fleš diska ili diskete), i standardni (unošenjem para za prijavu/lozinka).

Svi algoritmi šifriranja koji danas postoje podržani su hardverskim i softverskim sistemima. Imajte na umu da SKZI instalaciju treba da izvodi samo kvalifikovano osoblje programera kompleksa. Jasno je da takav kriptografski alat za zaštitu informacija ne bi trebao biti instaliran na računarima koji ne obrađuju povjerljive informacije.

Slušaj...možeš li, za našu zajedničku korist, svako pismo koje stigne u tvoju poštu, dolazno i ​​odlazno, znaš, malo odštampati i pročitati: da li sadrži nekakav izvještaj ili samo prepisku... .. .

N.V. Gogol "Generalni inspektor"

U idealnom slučaju, samo dvije osobe trebale bi moći pročitati povjerljivo pismo: pošiljalac i osoba kojoj je upućeno. Formulacija tako naizgled vrlo jednostavne stvari bila je polazna tačka sistema kripto zaštite. Razvoj matematike dao je podsticaj razvoju ovakvih sistema.

Već u XVII-XVIII vijeku šifre u Rusiji bile su prilično sofisticirane i otporne na razbijanje. Mnogi ruski matematičari radili su na stvaranju ili poboljšanju sistema šifriranja i u isto vrijeme pokušavali pronaći ključeve za šifre drugih sistema. Trenutno se može uočiti nekoliko ruskih enkripcijskih sistema, kao što su Lexicon Verba, Secret Net, DALLAS LOCK, Secret Disk, familija proizvoda Akkord i drugi kompleksi kripto zaštite, upoznaju se sa njihovim mogućnostima, prednostima i slabostima. Nadamo se da će vam ovaj članak pomoći da odaberete sistem kripto zaštite.

Uvod

Da li ste zabrinuti da bi važne informacije sa vašeg računara mogle završiti u pogrešnim rukama? Ove informacije mogu koristiti konkurenti, regulatorna tijela i jednostavno zlobnici. Očigledno, ovo vam može nanijeti značajnu štetu. šta da radim? Kako biste zaštitili svoje podatke od nepoznatih osoba, potrebno je da instalirate jedan od programa za šifriranje podataka. Naš pregled je posvećen analizi enkripcijskih sistema za desktop sisteme. Treba napomenuti da je upotreba stranih sistema šifriranja na teritoriji Rusije vrlo ograničena iz niza razloga, pa su vladine organizacije i velike domaće kompanije prinuđene da koriste ruska dostignuća. Međutim, srednja i mala preduzeća, kao i pojedinci, ponekad preferiraju strane sisteme.

Za neupućene, šifriranje informacija izgleda kao crna magija. Zaista, šifriranje poruka kako bi se njihov sadržaj sakrio od autsajdera je složen matematički zadatak. Osim toga, šifra mora biti odabrana na takav način da je praktički nemoguće otvoriti bez ključa, a brzo i jednostavno ključem. Mnoge kompanije i organizacije smatraju da je veoma teško napraviti najbolji izbor prilikom instaliranja softvera za šifrovanje. Stvar se dodatno komplikuje činjenicom da ne postoje apsolutno sigurni računari i apsolutno pouzdani sistemi šifrovanja. Međutim, još uvijek postoji dovoljno načina na koje je moguće odbiti gotovo sve pokušaje otkrivanja šifriranih informacija.

Šta programi za šifrovanje imaju unutra

Programi za šifriranje se međusobno razlikuju po algoritmu šifriranja. Nakon šifriranja datoteke, možete je zapisati na disketu, poslati e-poštom ili staviti na server na vašoj lokalnoj mreži. Primalac vaše enkripcije mora imati isti program za šifriranje da bi pročitao sadržaj datoteke.

Ako želite poslati šifriranu poruku više korisnika u isto vrijeme, tada se vaši podaci za svakog primatelja mogu šifrirati pomoću njegovog vlastitog ključa ili zajedničkog ključa za sve korisnike (uključujući autora poruke).

Sistem šifriranja koristi tajni kod da pretvori vaše podatke u besmislen, pseudo-slučajan skup znakova. Uz dobar algoritam šifriranja, gotovo je nemoguće dešifrirati poruku bez poznavanja tajnog koda koji se koristi za šifriranje. Takvi algoritmi se nazivaju algoritmi simetričnog ključa jer se isti ključ koristi za šifriranje i dešifriranje informacija.

Kako bi zaštitio vaše podatke, program za šifriranje generiše tajni ključ na osnovu vaše lozinke. Vi samo trebate postaviti dugu lozinku koju niko ne može pogoditi. Međutim, ako želite da neko drugi pročita datoteku, morat ćete toj osobi dati tajni ključ (ili lozinku od koje je kreirana). Možete biti sigurni da će čak i jednostavan algoritam šifriranja zaštititi vaše podatke od običnog korisnika, recimo, od kolege s posla. Međutim, profesionalci imaju nekoliko načina da dešifruju poruku bez poznavanja tajne šifre.

Bez posebnog znanja nećete moći samostalno provjeriti koliko je pouzdan vaš algoritam šifriranja. Ali možete se osloniti na mišljenje profesionalaca. Nekoliko algoritama za šifrovanje, kao što je Triple DES (Standard šifriranja podataka), testirano je godinama. Prema rezultatima verifikacije, ovaj algoritam se pokazao dobro, a kriptografi smatraju da mu se može vjerovati. Većina novih algoritama se također pažljivo proučava, a rezultati se objavljuju u stručnoj literaturi.

Ako algoritam programa nije otvoreno pregledan i raspravljen od strane profesionalaca, ako nema certifikate i druge službene papire, to je razlog za sumnju u njegovu pouzdanost i odbijanje korištenja takvog programa.

Drugi tip sistema za šifrovanje su sistemi javnih ključeva. Da bi takav sistem funkcionisao, nije potrebno da se primaocu kaže tajni ključ (ili šifra na osnovu koje je kreiran). Ovi sistemi za šifrovanje generišu dva digitalna ključa za svakog korisnika: jedan se koristi za šifrovanje podataka, drugi se koristi za njihovo dešifrovanje. Prvi ključ (koji se zove javni) može se objaviti, a drugi čuvati u tajnosti. Nakon toga, bilo ko može šifrirati informacije javnim ključem, a samo onaj koji ima odgovarajući tajni ključ može ih dešifrirati.

Neki programi za šifriranje sadrže još jednu važnu sigurnosnu karakteristiku - digitalni potpis. Digitalni potpis potvrđuje da datoteka nije promijenjena od kada je potpisana i daje primaocu informacije o tome ko je potpisao datoteku. Algoritam za kreiranje digitalnog potpisa zasniva se na izračunavanju kontrolne sume - takozvanog hash-suma, ili sažetka poruke. Korišteni algoritmi osiguravaju da je nemoguće pronaći dvije različite datoteke čiji bi hešovi bili isti.

Kada primalac primi digitalno potpisanu datoteku, njihov softver za šifrovanje ponovo izračunava heš za datoteku. Primalac zatim oporavlja digitalni potpis koristeći javni ključ koji je objavio pošiljalac. Ako rezultat odgovara vrijednosti izračunatoj za datoteku, tada primalac može biti siguran da tekst poruke nije promijenjen (da se to dogodilo, ispostavilo se da je hash zbroj drugačiji), a potpis pripada osoba koja ima pristup tajnom ključu pošiljaoca.

Zaštita osjetljivih ili povjerljivih informacija zahtijeva više od samo dobrog programa za šifriranje. Postoji niz mjera koje morate poduzeti kako biste osigurali sigurnost informacija. Ako vaša lozinka nije jaka (stručnjaci preporučuju da je navedete sa osam ili više znakova) ili ako je na vašem računaru pohranjena nešifrovana kopija povjerljivih informacija, onda će čak i najbolji sistem šifriranja biti nemoćan.

Sistem "Leksikon-Verba"

Lexicon-Verba sistem je sredstvo za organizovanje sigurnog elektronskog toka dokumenata kako unutar korporativne mreže tako i između različitih organizacija. U Lexicon-Verba se koriste dvije modifikacije kriptografskog sistema: Verba-W sistem je namijenjen državnim organima (zaštita povjerljivih informacija, posebno iverica; ključevi za potpis - javni, ključevi za šifriranje - privatni), Verba-OW sistem - za komercijalne organizacije (zaštita komercijalne tajne; ključevi potpisa i šifriranja su javni).

Postoji dosta svjetskih standarda šifriranja, ali samo mali dio njih je certificiran od strane Federalne agencije za vladine komunikacije i informacije (FAPSI), što onemogućuje korištenje necertificiranih rješenja na teritoriji Rusije. Verba-W sistem ima FAPSI sertifikat br. SF / 114-0176. Verba-OW sistem - FAPSI sertifikat br. SF / 114-0174.

Lexicon-Verba obezbeđuje šifrovanje i elektronske digitalne potpise u skladu sa zahtevima GOST 28147-89 „Sistemi za obradu informacija. Kriptografska zaštita "i GOST R34.10-94" Informaciona tehnologija. Zaštita kriptografskih informacija. Procedure za generisanje i verifikaciju elektronskog digitalnog potpisa zasnovanog na asimetričnom kriptografskom algoritmu".

Program je certificiran od strane Državne tehničke komisije pri predsjedniku Ruske Federacije. U julu se očekuje da dobije sertifikat od ruskog Ministarstva odbrane.

Kripto zaštita sistema se zasniva na metodi šifrovanja javnim ključem. Svaki ključ koji identifikuje korisnika sastoji se od dva dela: javnog ključa i privatnog ključa. Javni ključ se može slobodno distribuirati i koristi se za šifriranje informacija datog korisnika. Da bi dešifrirao dokument, korisnik koji ga je šifrirao mora imati vaš javni ključ i, kada je šifriran, naznačiti da imate pristup dokumentu.

Da biste dešifrirali dokument, morate koristiti privatni ključ. Privatni ključ ima dva dijela, od kojih je jedan pohranjen na pametnoj kartici ili dodirnoj memoriji, a drugi na tvrdom disku vašeg računara. Dakle, ni gubitak pametne kartice ni neovlašćeni pristup računaru ne daju svakom pojedinačno mogućnost dešifrovanja dokumenata.

Početni set ključeva, koji uključuje potpune informacije o javnim i privatnim ključevima korisnika, kreira se na posebno opremljenom bezbednom radnom mestu. Disketa sa ključnim informacijama koristi se samo u fazi pripreme radnog mjesta korisnika.

Lexicon-Verba sistem se može koristiti u okviru dva glavna sistema za organizovanje sigurnog toka dokumenata:

• kao samostalno rešenje. Ako organizacija ima lokalnu mrežu, sistem se može instalirati ne na svim računarima, već samo na onima na kojima je potrebno raditi s povjerljivim dokumentima. To znači da se unutar korporativne mreže pojavljuje podmreža za razmjenu zatvorenih informacija. Istovremeno, učesnici zatvorenog dela sistema mogu da razmenjuju otvorene dokumente sa drugim zaposlenima;
• kao sastavni deo radnog procesa. "Lexicon-Verba" ima standardne interfejse za povezivanje eksternih funkcija za obavljanje operacija otvaranja, čuvanja, zatvaranja i slanja dokumenata, što olakšava integraciju ovog sistema u postojeće i novorazvijene sisteme za upravljanje dokumentima.

Treba napomenuti da svojstva Lexicon-Verba sistema čine ga ne samo sredstvom za pružanje zaštite informacija od eksternih upada, već i sredstvom za povećanje povjerljivosti unutar kompanije i dijeljenje pristupa.

Jedan od važnih dodatnih resursa za povećanje nivoa kontrole sigurnosti informacija je mogućnost održavanja "dnevnika događaja" za bilo koji dokument. Funkcija snimanja istorije dokumenata može se omogućiti ili onemogućiti samo kada je sistem instaliran; kada je omogućeno, ovaj dnevnik će se čuvati bez obzira na želje korisnika.

Glavna prednost i karakteristična karakteristika sistema je jednostavna i intuitivna implementacija funkcija sigurnosti informacija uz održavanje korisničkog radnog okruženja tradicionalnog za procesore teksta.

Jedinica za kriptografiju vrši enkripciju, kao i instalaciju i uklanjanje elektronskih digitalnih potpisa (EDS) dokumenata.

Pomoćne funkcije jedinice - učitavanje tajnog ključa, izvoz i uvoz javnih ključeva, postavljanje i održavanje direktorija ključeva sistemskih pretplatnika.

Dakle, svako od onih koji imaju pristup dokumentu može samo staviti svoj potpis, ali ukloniti - bilo koji od prethodno dostavljenih.

Ovo odražava prihvaćenu proceduru za kancelarijski rad, kada dok dokument prolazi kroz odobrenje, može se revidirati u različitim fazama, ali nakon toga dokument mora biti ponovo odobren.

Ako pokušate izvršiti izmjene u dokumentu drugim sredstvima osim Lexicon-Verba, EDS je oštećen, kao rezultat toga, u polju „Status potpisa“ pojavit će se poruka „Oštećeno“.

Ured

Sa povećanjem broja korisnika sistema, postaje teško uneti svaki javni ključ na svakom računaru. Stoga je za organizovanje rada kancelarije organizovana centralizovana administracija imenika javnih ključeva. To se radi na sljedeći način:

1) "Lexicon-Verba" je instaliran na računar administratora u lokalnom režimu. Istovremeno se kreira direktorijum javnih ključeva u koji administrator dodaje svaki ključ koji se koristi u kancelariji;

2) na svim ostalim računarima sistem je instaliran u mrežnom režimu. U ovom režimu se koristi direktorijum javnih ključeva koji se nalazi na računaru administratora;

3) svaki novi korisnik kojeg administrator unese u imenik postaje "vidljiv" za sve korisnike koji su povezani na imenik. Od tog trenutka dobijaju priliku da mu prenesu šifrovane dokumente.

Administracija direktorijuma postaje centralizovana, ali to ne utiče na nivo bezbednosti sistema, jer je obezbeđivanje pristupa javnim ključevima svojevrsno "upoznavanje" korisnika, ali ne daje pristup nikakvim dokumentima. Da bi korisnik mogao da dešifruje dokument, neophodno je da se njegov javni ključ nalazi ne samo u referentnoj knjizi, već i eksplicitno naznačeno da ima pristup dokumentu.

Osnovni zadaci zaštite informacija prilikom njihovog skladištenja, obrade i prijenosa putem komunikacionih kanala i na različite medije, rješavani uz pomoć kriptografskih alata za zaštitu informacija, su: 1.

Osiguravanje tajnosti (povjerljivosti) informacija. 2.

Osiguravanje integriteta informacija. 3.

Potvrda autentičnosti informacija (dokumenata). Za rješavanje ovih problema potrebno je implementirati sljedeće

procesi: 1.

Implementacija stvarnih funkcija zaštite informacija, uključujući:

šifriranje / dešifriranje; Kreiranje/verifikacija EDS-a; kreiranje / verifikacija imitacije umetka. 2.

Praćenje stanja i upravljanje funkcionisanjem KZI (u sistemu):

državna kontrola: otkrivanje i evidentiranje slučajeva neispravnosti objekata KZZ, pokušaja neovlaštenog pristupa, slučajeva kompromitovanih ključeva;

upravljanje radom: poduzimanje mjera u slučaju navedenih odstupanja od normalnog funkcionisanja objekata KZZ. 3.

Održavanje objekata KZZ: implementacija ključnog upravljanja;

sprovođenje procedura vezanih za priključenje novih pretplatnika mreže i/ili isključenje odbačenih pretplatnika; otklanjanje uočenih nedostataka CIPF-a; uvođenje novih verzija softvera za zaštitu kriptografskih informacija;

modernizacija i zamjena tehničkih sredstava kriptografskog sistema zaštite informacija za naprednija i/ili zamjenu sredstava čiji je resurs iscrpljen.

Upravljanje ključevima jedna je od najvažnijih funkcija zaštite kriptografskih informacija i sastoji se od implementacije sljedećih glavnih funkcija:

generiranje ključeva: definira mehanizam za generiranje ključeva ili parova ključeva uz garanciju njihovih kriptografskih kvaliteta;

distribucija ključeva: definira mehanizam pomoću kojeg se ključevi pouzdano i sigurno dostavljaju pretplatnicima;

skladištenje ključeva: definira mehanizam pomoću kojeg se ključevi sigurno i sigurno čuvaju za buduću upotrebu;

oporavak ključa: definira mehanizam za oporavak jednog od ključeva (zamjena novim ključem);

uništavanje ključa: definira mehanizam kojim se zastarjeli ključevi pouzdano uništavaju;

arhiva ključeva: mehanizam pomoću kojeg se ključevi mogu sigurno pohraniti za njihov daljnji ovjereni oporavak u konfliktnim situacijama.

Generalno, za realizaciju navedenih funkcija kriptografske zaštite informacija potrebno je kreirati sistem kriptografske zaštite informacija, kombinujući stvarna sredstva KZI, uslužno osoblje, prostorije, kancelarijsku opremu, raznu dokumentaciju (tehničku, regulatornu). i administrativni) itd.

Kao što je već napomenuto, da bi se dobile garancije zaštite informacija, potrebno je koristiti certificirane KZZ alate.

Trenutno je najrasprostranjenije pitanje zaštite povjerljivih informacija. Za rješavanje ovog problema, pod okriljem FAPSI-ja, razvijen je funkcionalno zaokružen kompleks kriptografske zaštite povjerljivih informacija, koji omogućava rješavanje navedenih zadataka zaštite informacija za najrazličitije primjene i uvjete korištenja.

Ovaj kompleks je baziran na kriptografskim jezgrama "Verba" (sistem asimetričnog ključa) i "Verba-O" (sistem simetričnog ključa). Ovi kriptokerneli obezbeđuju procedure šifrovanja podataka u skladu sa zahtevima GOST 28147-89 "Sistemi za obradu informacija. Kriptografska zaštita" i digitalne potpise u skladu sa zahtevima GOST R34.10-94 "Informaciona tehnologija. Zaštita kriptografskih informacija. Procedure za generisanje i provjera elektronskih digitalnih potpisa zasnovanih na asimetričnom kriptografskom algoritmu".

Sredstva uključena u kompleks CIPF-a omogućavaju zaštitu elektronskih dokumenata i tokova informacija korišćenjem sertifikovanih mehanizama šifrovanja i elektronskog potpisa u skoro svim savremenim informacionim tehnologijama, uključujući omogućavanje: upotrebe CIPF-a u oflajn režimu;

sigurna razmjena informacija u off-line modu; sigurna razmjena informacija u on-line modu; zaštićena heterogena, tj. mješovita razmjena informacija.

Za rješavanje sistemskih problema korištenja uređaja za kriptografsku zaštitu podataka pod vodstvom D.A. u procesu kreiranja dokumenta, kada je sam dokument zaštićen.

Osim toga, u okviru opšte tehnologije Vityaz, predviđena je pojednostavljena tehnologija, lako dostupna korisnicima, za ugradnju licenciranih alata za zaštitu kriptografskih informacija u različite aplikativne sisteme, što čini veoma širok spektar upotrebe ovih kriptografskih informacionih resursa.

Ispod je opis sredstava i metoda zaštite za svaki od navedenih načina.

Upotreba kriptografskih alata za zaštitu informacija u offline modu.

Tokom samostalnog rada sa alatima za zaštitu kriptografskih podataka mogu se implementirati sljedeće vrste zaštite kriptografskih informacija: kreiranje sigurnog dokumenta; zaštita datoteka;

kreiranje sigurnog sistema datoteka; kreiranje zaštićenog logičkog diska. Na zahtjev korisnika mogu se implementirati sljedeće vrste kriptografske zaštite dokumenata (fajlova):

šifriranje dokumenta (datoteke), što čini njegov sadržaj nedostupnim kako za vrijeme pohranjivanja dokumenta (datoteke), tako i za vrijeme njegovog prijenosa putem komunikacijskih kanala ili kurira;

razvoj imitacije uloška, ​​koji osigurava kontrolu integriteta dokumenta (fajla);

formiranje EDS-a, koji osigurava kontrolu integriteta dokumenta (fajla) i autentifikaciju osobe koja je potpisala dokument (fajl).

Kao rezultat toga, zaštićeni dokument (datoteka) pretvara se u šifriranu datoteku koja sadrži, ako je potrebno, EDS. EDS se, u zavisnosti od organizacije procesa obrade informacija, može prikazati kao poseban fajl od potpisanog dokumenta. Nadalje, ovaj fajl se može prikazati na disketi ili drugom mediju, za dostavu kurirskom službom ili poslati bilo kojom dostupnom e-poštom, na primjer, preko Interneta.

Shodno tome, po prijemu šifrovanog fajla e-poštom ili na određenom medijumu, izvršene radnje kriptografske zaštite se izvode obrnutim redosledom (dešifrovanje, verifikacija umetka imitacije, verifikacija EDS-a).

Za obavljanje autonomnog rada sa CIPF-om mogu se koristiti sljedeći certificirani alati:

uređivač teksta "Leksikon-Verba", implementiran na bazi CIPF-a "Verba-O" i CIPF-a "Verba";

softverski kompleks CIPF-a "Autonomno radno mjesto", implementiran na bazi CIPF-a "Verba" i "Verba-O" za OS Windows 95/98/NT;

PTS "DiskGuard" drajver za kriptografski disk.

Zaštićeni program za obradu teksta "Lexicon-Verba".

Sistem "Lexicon-Verba" je potpuni uređivač teksta sa podrškom za enkripciju dokumenata i elektronske digitalne potpise. Za zaštitu dokumenata koristi kriptografske sisteme "Verba" i "Verba-O". Jedinstvenost ovog proizvoda leži u činjenici da su funkcije šifriranja i potpisivanja teksta jednostavno uključene u funkcije modernog uređivača teksta. U ovom slučaju, šifriranje i potpis dokumenta pretvaraju se iz posebnih procesa u standardne radnje pri radu s dokumentom.

U ovom slučaju, sistem "Lexicon-Verba" izgleda kao običan uređivač teksta. Mogućnosti oblikovanja teksta uključuju potpuno prilagođavanje fontova i pasusa dokumenta; tabele i liste; zaglavlja i podnožja, fusnote, bočne trake; korištenje stilova i mnoge druge funkcije uređivača teksta koji zadovoljavaju moderne zahtjeve. "Lexicon-Verba" omogućava kreiranje i uređivanje dokumenata u formatima Lexicon, RTF, MS Word 6/95/97, MS Write.

Autonomno radno mjesto.

CIPF "Autonomno radno mjesto" implementiran je na osnovu CIPF-a "Verba" i "Verba-O" za Windows 95/98/NT i omogućava korisniku da obavlja sljedeće funkcije u interaktivnom načinu rada:

šifriranje / dešifriranje datoteka na ključevima; šifriranje / dešifriranje datoteka lozinkom; stavljanje/uklanjanje/provjera elektronskih digitalnih potpisa (EDS) ispod datoteka;

Skeniranje šifriranih datoteka;

EDS pričvršćivanje + šifriranje (u jednoj akciji) fajlova; dešifriranje + uklanjanje EDS-a (jednom radnjom) ispod datoteka;

izračunavanje hash fajla.

CIPF „Autonomno radno mesto“ preporučljivo je koristiti za svakodnevni rad zaposlenih koji treba da obezbede:

prijenos povjerljivih informacija u elektronskom obliku putem kurira ili kurira;

Slanje povjerljivih informacija putem javne mreže, uključujući Internet;

zaštita od neovlašćenog pristupa poverljivim informacijama na personalnim računarima zaposlenih.