Skzi - ce este? mijloace de protecție criptografică a informațiilor. Mijloace de protecție a informațiilor criptografice: tipuri și aplicații

Din punct de vedere al securității informațiilor, cheile criptografice sunt date critice. Dacă mai devreme, pentru a jefui o companie, atacatorii trebuiau să intre pe teritoriul acesteia, să deschidă spații și seifuri, acum este suficient să furi un token cu o cheie criptografică și să faci un transfer prin sistemul Internet Client-Bank. Fundamentul pentru asigurarea securității cu ajutorul sistemelor de protecție a informațiilor criptografice (CIPF) este menținerea confidențialității cheilor criptografice.

Și cum să vă asigurați confidențialitatea a ceea ce nu știți că există? Pentru a pune jetonul cu cheia în seif, trebuie să știți despre existența jetonului și a seifului. Oricât de paradoxal sună, foarte puține companii au o idee despre numărul exact de documente cheie pe care le folosesc. Acest lucru se poate întâmpla din mai multe motive, cum ar fi subestimarea amenințărilor la securitatea informațiilor, lipsa proceselor de afaceri stabilite, calificarea insuficientă a personalului în probleme de securitate etc. De obicei, își amintesc această sarcină după incidente, cum ar fi acesta.

Acest articol va descrie primul pas către îmbunătățirea protecției informațiilor folosind instrumente criptografice sau, mai precis, vom lua în considerare una dintre abordările pentru efectuarea unui audit al instrumentelor de protecție a informațiilor criptografice și al cheilor criptografice. Narațiunea va fi realizată în numele unui specialist în securitatea informațiilor, în timp ce vom presupune că munca este realizată de la zero.

Termeni și definiții

La începutul articolului, pentru a nu speria cititorul nepregătit cu definiții complexe, am folosit pe scară largă termenii cheie criptografică sau cheie criptografică, acum este timpul să ne îmbunătățim aparatul conceptual și să-l aducem în conformitate cu legislația actuală. Acesta este un pas foarte important, deoarece va structura eficient informațiile obținute din rezultatele auditului.

1. Cheie criptografică (cheie criptografică)- un set de date care asigură alegerea unei transformări criptografice specifice dintre toate posibilele într-un sistem criptografic dat (definiție din „instrucțiunea roz – Ordinul FAPSI nr. 152 din 13 iunie 2001, în continuare – FAPSI 152).
2. Informatie cheie- un set special organizat de chei criptografice, concepute pentru a asigura protecția criptografică a informațiilor pentru o anumită perioadă [FAPSI 152].
   Puteți înțelege diferența fundamentală dintre o cheie cripto și informațiile cheie folosind următorul exemplu. La organizarea HTTPS, se generează o pereche de chei publice și private și se obține un certificat din cheia publică și informații suplimentare. Deci, în această schemă, combinația dintre un certificat și o cheie privată formează informații despre cheie și fiecare dintre ele în mod individual este o cheie cripto. Aici vă puteți ghida după următoarea regulă simplă - atunci când lucrați cu CIPF, utilizatorii finali folosesc informațiile cheie, iar cheile cripto folosesc de obicei CIPF în interiorul lor. În același timp, este important să înțelegeți că informațiile cheie pot consta dintr-o cheie cripto.
3. Documente cheie- documente electronice pe orice suport, precum și documente pe hârtie care conțin informații cheie cu acces limitat pentru transformarea criptografică a informațiilor folosind algoritmi de transformare criptografică a informațiilor (cheie criptografică) în mijloace de criptare (criptografice). (determinare din HG nr. 313 din 16 aprilie 2012, denumită în continuare PP-313)
   În termeni simpli, un document cheie este o informație cheie înregistrată pe un suport. La analizarea informațiilor cheie și a documentelor cheie, trebuie menționat că informațiile cheie sunt exploatate (adică utilizate pentru transformări criptografice - criptare, semnătură electronică etc.), iar documentele cheie care le conțin sunt transferate angajaților.
4. Mijloace de protecție a informațiilor criptografice (CIPF)- mijloace de criptare, mijloace de protecție împotriva imitației, mijloace de semnătură electronică, mijloace de codare, mijloace de producere a documentelor cheie, documente cheie, mijloace hardware de criptare (criptografice), mijloace software și hardware de criptare (criptografice). [PP-313]
   Atunci când se analizează această definiție, este posibil să se detecteze prezența termenului documente cheie în ea. Termenul este dat în Hotărârea Guvernului și nu avem dreptul să-l schimbăm. În același timp, descrierea ulterioară se va baza pe presupunerea că numai mijloacele de implementare a transformărilor criptografice vor fi raportate la CIPF). Această abordare va simplifica auditul, dar în același timp nu va afecta calitatea acestuia, deoarece vom lua în considerare documentele cheie oricum, dar în secțiunea noastră și prin metodele proprii.

Metodologia de audit și rezultatele așteptate

Principalele caracteristici ale metodologiei de audit propuse în acest articol sunt postulatele că:

• niciun angajat al companiei nu poate răspunde cu acuratețe la întrebările puse în timpul auditului;
• sursele de date existente (liste, registre etc.) nu sunt precise sau prost structurate.

Prin urmare, metodologia propusă în articol este un fel de data mining, în timpul căruia aceleași date vor fi extrase din surse diferite, iar apoi comparate, structurate și rafinate.

Iată principalele dependențe care ne vor ajuta în acest sens:

1. Dacă există CIPF, atunci există informații cheie.
2. Dacă există un flux de documente electronice (inclusiv cu contrapărțile și autoritățile de reglementare), atunci cel mai probabil utilizează o semnătură electronică și, ca urmare, CIPF și informații cheie.
3. Managementul documentelor electronice în acest context ar trebui înțeles în sens larg, adică va include atât schimbul direct de documente electronice semnificative din punct de vedere juridic, cât și raportarea, precum și lucrul în sistemele de plată sau tranzacționare și așa mai departe. Lista și formele de gestionare a documentelor electronice sunt determinate de procesele de afaceri ale companiei, precum și de legislația în vigoare.
4. Dacă un angajat este implicat în managementul documentelor electronice, atunci cel mai probabil are documente cheie.
5. La organizarea gestiunii electronice a documentelor cu contrapartidele, documentele organizatorice si administrative (ordinele) sunt de obicei emise la numirea persoanelor responsabile.
6. Dacă informațiile sunt transmise prin Internet (sau alte rețele publice), atunci cel mai probabil sunt criptate. În primul rând, este vorba despre VPN și diverse sisteme de acces la distanță.
7. Dacă în traficul de rețea se găsesc protocoale care transmit trafic în formă criptată, atunci se aplică CIPF și informațiile cheie.
8. Dacă s-ar face decontări cu contrapărți implicate în: furnizarea de instrumente de securitate a informațiilor, dispozitive de telecomunicații, prestarea de servicii pentru transferul umflăturii, serviciile centrelor de certificare, atunci în această interacțiune se puteau achiziționa CIPF sau documente cheie.
9. Documentele cheie pot fi atât pe suporturi alienabile (dischete, unități flash, jetoane, ...), cât și înregistrate în interiorul computerelor și hardware-ului CIPF.
10. Când utilizați instrumente de virtualizare, documentele cheie pot fi stocate atât în ​​interiorul mașinilor virtuale, cât și montate pe mașinile virtuale folosind un hypervisor.
11. Hardware-ul CIPF poate fi instalat în sălile de server și nu poate fi disponibil pentru analiză prin rețea.
12. Unele sisteme electronice de gestionare a documentelor pot fi într-o formă inactivă sau inactivă, dar în același timp conțin informații cheie active și CIPF.
13. Documentația internă de reglementare, organizatorică și administrativă poate conține informații despre sistemele electronice de gestionare a documentelor, CIPF și documentele cheie.

Pentru a extrage informațiile primare, vom:

• intervievați angajații;
• analizează documentația companiei, inclusiv documentele interne de reglementare și administrative, precum și ordinele de plată de ieșire;
• efectuează o analiză vizuală a camerelor serverelor și a cabinetelor de comunicații;
• efectuează analize tehnice ale conținutului stațiilor de lucru automate (AWP), serverelor și instrumentelor de virtualizare.

Vom formula măsuri specifice mai târziu, dar deocamdată vom lua în considerare datele finale pe care ar trebui să le primim în urma auditului:

Lista SKZI:

1. model SKZI. De exemplu, CIPF Crypto CSP 3.9 sau OpenSSL 1.0.1
2. ID-ul instanței CIPF. De exemplu, numărul de serie, licență (sau înregistrare conform PKZ-2005) al CIPF
3. Informații despre certificatul FSB al Rusiei pentru CIPF, inclusiv numărul și datele de început și de încheiere ale perioadelor de valabilitate.
4. Informații despre locul de funcționare al CIPF. De exemplu, numele computerului pe care este instalat software-ul CIPF sau numele hardware-ului sau sediului în care este instalat hardware-ul CIPF.

Aceste informații vor permite:

1. Gestionați vulnerabilitățile din CIPF, adică detectați și remediați rapid.
2. Urmăriți valabilitatea certificatelor pentru CIPF și, de asemenea, verificați dacă CIPF certificat este utilizat în conformitate cu regulile stabilite de documentație sau nu.
3. Planificați costurile CIPF, știind cât de mult este deja în funcțiune și câte mai multe fonduri consolidate sunt disponibile.
4. Generați rapoarte de reglementare.

Lista informațiilor cheie:

Pentru fiecare element al listei, fixăm următoarele date:

1. Numele sau identificatorul informațiilor cheie. De exemplu, „Cheia unui ES calificat. Numărul de serie al certificatului este 31:2D:AF”, în timp ce identificatorul trebuie selectat în așa fel încât să poată fi folosit pentru a găsi cheia. De exemplu, CA, atunci când trimit notificări, identifică de obicei cheile după numerele de certificat.
2. Centrul de control al sistemului cheie (TSUKS) care a emis această informație cheie. Aceasta poate fi o organizație care a emis cheia, de exemplu, o autoritate de certificare.
3. Individualîn numele căruia sunt emise informaţiile cheie. Aceste informații pot fi extrase din câmpurile CN ale certificatelor X.509
4. Formatul informațiilor cheie. De exemplu, CIPF CryptoPRO, CIPF Verba-OW, X.509 etc. (sau cu alte cuvinte, pentru utilizarea cu care CIPF este destinată această informație cheie).
5. Scopul informațiilor cheie. De exemplu, „Participarea la tranzacționare pe site-ul Sberbank AST”, „Semnătura electronică calificată pentru raportare”, etc. Din punct de vedere al tehnologiei, în acest domeniu, puteți remedia câmpurile fixe de restricții de utilizare extinsă a cheilor și alte certificate X.509.
6. Începutul și sfârșitul perioadelor de valabilitate a informațiilor cheie.
7. Procedura de reemitere a informațiilor cheie. Adică, cunoașterea ce trebuie făcut și cum, atunci când se reemite informații cheie. Cel puțin, este de dorit să se înregistreze contactele oficialilor CCC care au eliberat informațiile cheie.
8. Lista sistemelor informaționale, serviciilor sau proceselor de afaceri în cadrul cărora sunt utilizate informațiile cheie. De exemplu, „Sistem de servicii bancare la distanță Internet Client-Bank”.

Aceste informații vor permite:

1. Urmăriți datele de expirare ale informațiilor cheie.
2. Dacă este necesar, reemiteți rapid informațiile cheie. Acest lucru poate fi necesar atât pentru reeditările planificate, cât și pentru cele neprogramate.
3. Blocați utilizarea informațiilor cheie, la concedierea angajatului pentru care sunt eliberate.
4. Investigați incidentele de securitate a informațiilor răspunzând la întrebările: „Cine a avut cheile pentru a efectua plăți?” si etc.

Lista documentelor cheie:

Pentru fiecare element al listei, fixăm următoarele date:

1. Informatie cheie Conținut în documentul cheie.
2. Purtător de informații cheie care conțin informațiile cheie.
3. Față responsabil pentru siguranța documentului cheie și confidențialitatea informațiilor cheie conținute în acesta.

Aceste informații vor permite:

1. Reemite informații cheie în cazuri de: concediere a angajaților care dețin documente cheie, precum și în caz de compromitere a mass-media.
2. Asigurați confidențialitatea informațiilor cheie prin inventarierea suporturilor care le conțin.

Planul de audit

Este timpul să luăm în considerare caracteristicile practice ale auditului. Să facem asta pe exemplul unei instituții financiare sau, cu alte cuvinte, pe exemplul unei bănci. Acest exemplu nu a fost ales întâmplător. Băncile folosesc un număr destul de mare de sisteme de protecție criptografică pestrițe care sunt implicate într-un număr mare de procese de afaceri și, în plus, aproape toate băncile sunt licențiate ale FSB al Rusiei pentru criptare. În continuare, în articol, va fi prezentat un plan de audit pentru CIPF și cheile cripto, în relație cu Banca. În același timp, acest plan poate fi luat ca bază pentru auditarea aproape oricărei companii. Pentru ușurință de percepție, planul este împărțit în etape, care, la rândul lor, sunt împăturite în spoilere.

Etapa 1. Colectarea datelor de la departamentele de infrastructură ale companiei

№	Acțiune
Sursă - toți angajații companiei
1	Facem o listă de corespondență corporativă tuturor angajaților companiei cu o solicitare de a informa serviciul de securitate a informațiilor despre toate cheile criptografice pe care le folosesc	Primim e-mailuri, pe baza cărora formăm o listă de informații cheie și o listă de documente cheie
Sursa - Şef Serviciu Tehnologia Informaţiei
1	Solicităm o listă de informații cheie și documente cheie	Cu o oarecare probabilitate, Serviciul IT menține astfel de documente, le vom folosi pentru a forma și clarifica liste de informații cheie, documente cheie și CIPF
2	Solicităm o listă a CIPF
3	Solicitam registrul software-ului instalat pe servere si statii de lucru	În acest registru, căutăm instrumente software de protecție a informațiilor criptografice și componentele acestora. De exemplu, CryptoPRO CSP, Verba-OW, Signal-COM CSP, Signature, PGP, ruToken, eToken, CritoARM etc. Pe baza acestor date, formăm o listă de instrumente de protecție a informațiilor criptografice.
4	Solicităm o listă de angajați (probabil suport tehnic) care îi ajută pe utilizatori să utilizeze CIPF și să reemite informații cheie.	Solicităm de la aceste persoane aceleași informații ca și de la administratorii de sistem
Sursă - Administratorii de sistem al Serviciului de Tehnologia Informației
1	Solicităm o listă de cripto-gateway-uri interne (VIPNET, Continent, S-terra etc.)	În cazurile în care compania nu a implementat procese obișnuite de management IT și securitatea informațiilor, astfel de întrebări pot ajuta administratorii de sistem să-și amintească existența unui anumit dispozitiv sau software. Folosim aceste informații pentru a obține o listă a CIPF.
2	Solicităm o listă de software autohton CIPF (CIPF MagPro CryptoPacket, VIPNET CSP, CryptonDisk, SecretDisk, ...)
3	Solicităm o listă de routere care implementează VPN pentru: a) comunicări ale birourilor societății; b) interacțiunea cu contractanții și partenerii.
4	Solicităm o listă a serviciilor de informare publicate pe Internet (accesibile de pe Internet). Acestea pot include: a) e-mail corporativ; b) sisteme de mesagerie instantanee; c) site-uri web corporative; d) servicii de schimb de informații cu parteneri și contractori (extranet); e) sisteme bancare la distanță (dacă societatea este o bancă); f) sisteme de acces la distanta la reteaua firmei. Pentru a verifica caracterul complet al informațiilor furnizate, le comparăm cu lista de reguli de portforwarding ale firewall-urilor edge.	Analizând informațiile primite, cu o mare probabilitate, se constată utilizarea instrumentelor de protecție a informațiilor criptografice și a cheilor criptografice. Folosim datele obținute pentru a forma o listă de instrumente de protecție a informațiilor criptografice și informații cheie.
5	Solicităm o listă a sistemelor informatice utilizate pentru raportare (Takskom, Kontur etc.)	Aceste sisteme folosesc chei de semnătură electronică calificate și CIPF. Prin această listă, formăm o listă de instrumente de protecție a informațiilor criptografice, o listă de informații cheie și, de asemenea, recunoaștem angajații care folosesc aceste sisteme pentru a forma o listă de documente cheie.
6	Solicităm o listă cu sistemele electronice interne de gestionare a documentelor (Lotus, DIRECTUM, 1C: Document Management etc.), precum și o listă a utilizatorilor acestora.	În cadrul sistemelor interne de gestionare a documentelor electronice, pot apărea chei de semnătură electronică. Pe baza informațiilor primite, formăm o listă de informații cheie și o listă de documente cheie.
7	Solicităm o listă a centrelor de certificare interne.	Mijloacele utilizate pentru organizarea centrelor de certificare sunt consemnate în lista CIPF. În viitor, vom analiza conținutul bazelor de date ale centrelor de certificare pentru a identifica informațiile cheie.
8	Solicităm informații despre utilizarea tehnologiilor: IEEE 802.1x, WiFiWPA2 Enterprise și sisteme de supraveghere video IP	În cazul utilizării acestor tehnologii, putem găsi documente cheie în dispozitivele implicate.
Sursa - Șef Resurse Umane
1	Vă rugăm să descrieți procesul de angajare și concediere a angajaților. Concentrarea pe întrebarea cine preia documentele cheie de la angajații care pleacă	Analizăm documente (fișe de bypass) pentru prezența sistemelor informaționale în care poate fi utilizat CIPF.

Etapa 2. Colectarea datelor de la unitățile de afaceri ale companiei (pe exemplul Băncii)

№	Acțiune	Rezultatul așteptat și utilizarea acestuia
Sursa - Șef Serviciu decontări (Relații cu corespondenți)
1	Vă rugăm să furnizați o schemă pentru organizarea interacțiunii cu sistemul de plăți al Băncii Rusiei. În special, acest lucru va fi relevant pentru băncile care au o rețea de sucursale dezvoltată, în care sucursalele pot conecta Banca Centrală direct la sistemul de plăți	Pe baza datelor primite, determinăm locația gateway-urilor de plată (ARM KBR, UTA) și lista utilizatorilor implicați. Folosim informațiile primite pentru a forma o listă de CIPF, informații cheie și documente cheie.
2	Solicităm o listă a Băncilor cu care s-au stabilit relații de corespondență directă și, de asemenea, ne solicităm să spunem cine este implicat în efectuarea transferurilor și ce mijloace tehnice sunt utilizate.
3	Solicităm o listă a sistemelor de plată la care Banca participă (SWIFT, VISA, MasterCard, NSPK etc.), precum și locația terminalelor de comunicare.	În mod similar, în ceea ce privește sistemul de plăți al Băncii Rusiei
Sursa - Sef divizie responsabila cu furnizarea de servicii bancare la distanta
1	Solicităm o listă de sisteme bancare la distanță.	În aceste sisteme, analizăm utilizarea CIPF și a informațiilor cheie. Pe baza datelor obținute, formăm o listă de instrumente de protecție a informațiilor criptografice și informații cheie și documente cheie.
Sursa - Șef departament responsabil cu funcționarea procesării cardurilor de plată
1	Interogarea registrului HSM	Pe baza informațiilor primite, formăm o listă de CIPF, informații cheie și documente cheie.
2	Solicitarea unui registru al ofițerilor de securitate
4	Solicitarea de informații despre componentele LMK HSM
5	Solicităm informații despre organizarea unor sisteme precum 3D-Secure și organizarea personalizării cardurilor de plată
Sursa - Sefii de departamente care indeplinesc functiile de trezorerie si depozitar
1	Lista băncilor cu care s-au stabilit relații de corespondență și care participă la împrumuturi interbancare.	Folosim informațiile primite pentru a clarifica datele primite anterior de la serviciul de decontare și, de asemenea, înregistrăm informații despre interacțiunea cu bursele și depozitarii. Pe baza informațiilor primite, formăm o listă de instrumente de protecție a informațiilor criptografice și informații cheie.
2	Lista burselor si depozitarilor specializati cu care colaboreaza Banca
Sursa - Șefii serviciilor de monitorizare financiară și departamentelor responsabile cu raportarea către Banca Rusiei
1	Solicităm informații despre cum trimit informații și cum primesc informații de la Banca Centrală. Lista persoanelor implicate și a mijloacelor tehnice.	Interacțiunea informațiilor cu Banca Rusiei este strict reglementată de documente relevante, de exemplu, 2332-U, 321-I și multe altele, verificăm conformitatea cu aceste documente și formăm liste de CIPF, informații cheie și documente cheie.
Sursa - Contabil Sef si personal contabil implicat in plata facturilor pentru nevoile bancare interne
1	Solicităm informații despre modul în care are loc întocmirea și transmiterea rapoartelor către inspectoratele fiscale și Banca Rusiei	Rafinați informațiile primite anterior
2	Solicităm un registru al documentelor de plată pentru a plăti nevoile intra-bancare	În acest registru, vom căuta documente în care: 1) sunt indicați ca destinatari ai plății centrele de certificare, operatorii telecom specializați, producătorii CIPF, furnizorii de echipamente de telecomunicații. Numele acestor companii pot fi obținute din Registrul CIPF certificat al FSB al Rusiei, lista centrelor de certificare acreditate a Ministerului Telecomunicațiilor și Comunicațiilor de masă și din alte surse. 2) ca decriptare a plății, există cuvintele: „CIPF”, „semnătură”, „token”, „cheie”, „BKI”, etc.
Sursa - Șefii de arierate și managementul riscurilor
1	Solicitam o lista cu birourile de credit si agentiile de colectare cu care Banca lucreaza.	Împreună cu serviciul IT analizăm datele primite pentru a clarifica organizarea managementului documentelor electronice, pe baza cărora perfecționăm listele de instrumente de protecție a informațiilor criptografice, informații cheie și documente cheie.
Sursa - Șefii serviciilor de management al documentelor, control intern și audit intern
1	Solicitam un registru al documentelor interne organizatorice si administrative (comenzi).	În aceste documente căutăm documente legate de CIPF. Pentru a face acest lucru, analizăm prezența cuvintelor cheie „securitate”, „persoană responsabilă”, „administrator”, „semnătură electronică”, „ES”, „EDS”, „EDO”, „ASP”, „CIPF” și a acestora. derivate. După aceea, identificăm lista angajaților Băncii consemnate în aceste documente. Efectuăm interviuri cu angajații pe tema utilizării instrumentelor criptografice. Reflectăm informațiile primite în listele CIPF, informații cheie și documente cheie.
2	Solicitam liste de contracte cu contractori	Încercăm să identificăm acorduri privind managementul documentelor electronice, precum și acorduri cu companii implicate în furnizarea de instrumente de securitate a informațiilor sau furnizarea de servicii în acest domeniu, precum și companii care prestează servicii de centre de certificare și servicii de raportare prin internet.
3	Analizăm tehnologia de stocare a documentelor zilei în formă electronică	La implementarea stocării documentelor zilei în formă electronică, CIPF este obligatorie

Etapa 3. Audit tehnic

№	Acțiune	Rezultatul așteptat și utilizarea acestuia
1	Efectuăm un inventar tehnic al software-ului instalat pe computere. Pentru aceasta folosim: · Capacități analitice ale sistemelor de protecție antivirus corporative (de exemplu, Kaspersky Anti-Virus poate construi un astfel de registru). · Scripturi WMI pentru computere de sondare care rulează Windows; · Posibilitățile managerilor de pachete de a interoga sistemele *nix; Software specializat pentru inventariere.	Printre software-ul instalat, căutăm software CIPF, drivere pentru hardware CIPF și media cheie. Pe baza informațiilor primite, actualizăm lista CIPF.
2	Căutăm documente cheie pe servere și stații de lucru. Pentru asta · Folosind scripturi Logon, interogăm stația de lucru din domeniu pentru prezența certificatelor cu chei private în profilurile de utilizator și profilurile computerului. Pe toate computerele, serverele de fișiere, hipervizoarele, căutăm fișiere cu extensii: crt, cer, key, pfx, p12, pem, pse, jks etc. · Pe hypervizoarele sistemelor de virtualizare, căutăm unități montate și imagini de dischetă.	Foarte des, documentele cheie sunt prezentate sub formă de containere de cheie de fișiere, precum și containere stocate în registrele computerelor care rulează Windows. Fixăm documentele cheie găsite în lista de documente cheie, iar informațiile cheie conținute în acestea în lista de informații cheie.
3	Analizăm conținutul bazelor de date ale centrelor de certificare	Bazele de date ale autorităților de certificare conțin de obicei informații despre certificatele emise de aceste autorități. Informațiile primite sunt introduse în lista de informații cheie și în lista de documente cheie.
4	Efectuăm o inspecție vizuală a camerelor serverelor și a dulapurilor de cablare, căutăm protecția informațiilor criptografice și purtători de chei hardware (jetoane, unități de disc)	În unele cazuri, este imposibilă inventarierea CIPF și a documentelor cheie prin rețea. Sistemele pot fi amplasate pe segmente izolate de rețea sau nu au deloc conexiuni la rețea. Pentru a face acest lucru, efectuăm o inspecție vizuală, ale cărei rezultate ar trebui să stabilească numele și scopul tuturor echipamentelor prezentate în camerele serverelor. Informațiile primite sunt introduse în lista CIPF și documentele cheie.
5	Analizăm traficul de rețea pentru a identifica fluxurile de informații folosind schimbul criptat	Protocoalele criptate – HTTPS, SSH etc. ne vor permite să identificăm nodurile de rețea pe care se efectuează transformări criptografice și, ca urmare, să conțină CIPF și documente cheie.

Concluzie

În acest articol, am examinat teoria și practica auditării instrumentelor de protecție a informațiilor criptografice și a cheilor criptografice. După cum puteți vedea, această procedură este destul de complicată și necesită timp, dar dacă este abordată corect, este destul de fezabilă. Sperăm că acest articol vă va ajuta în viața reală. Vă mulțumim pentru atenție, așteptăm comentariile voastre

Etichete:

• skzi
• criptografie
• semnatura electronica
• audit
• management

Adaugă etichete

Confidențialitatea informațiilor este caracterizată de indicatori aparent opuși precum accesibilitatea și secretul. Tehnicile de punere la dispoziția utilizatorilor a informațiilor sunt discutate în Secțiunea 9.4.1. În această secțiune, vom lua în considerare modalități de a asigura secretul informațiilor. Această proprietate a informației este caracterizată prin gradul de mascare a informațiilor și reflectă capacitatea acesteia de a rezista la dezvăluirea semnificației matricei de informații, determinând structura matricei de informații stocate sau purtătorul (semnal purtător) al matricei de informații transmise și stabilirea fapt de transmitere a matricei informaţionale prin canale de comunicare. Criteriile de optimitate în acest caz, de regulă, sunt:

minimizarea probabilității de depășire a protecției ("hacking");

maximizarea timpului de siguranță așteptat înainte de „ruperea” subsistemului de protecție;

minimizarea pierderilor totale din „piratarea” protecției și a costurilor pentru dezvoltarea și funcționarea elementelor corespunzătoare ale subsistemului de control și protecție a informațiilor etc.

În general, confidențialitatea informațiilor între abonați poate fi asigurată în unul din trei moduri:

creați un canal de comunicare absolut fiabil între abonați, inaccesibil celorlalți;

utilizați un canal public de comunicare, dar ascundeți însuși faptul transferului de informații;

folosește un canal de comunicare public, dar transmite informații prin acesta într-o formă transformată, iar acesta trebuie convertit astfel încât doar destinatarul să îl poată restaura.

Prima opțiune este practic irealizabilă din cauza costurilor materiale ridicate ale creării unui astfel de canal între abonații de la distanță.

Una dintre modalitățile de a asigura confidențialitatea transferului de informații este steganografie. În prezent, reprezintă unul dintre domeniile promițătoare pentru asigurarea confidențialității informațiilor stocate sau transmise în sisteme informatice prin mascarea informațiilor confidențiale în fișiere deschise, în primul rând multimedia.

Dezvoltarea metodelor de conversie (criptare) a informațiilor pentru a le proteja de utilizatorii ilegali este implicată în criptografie.

Criptografia (uneori se folosește termenul de criptologie) este un domeniu de cunoaștere care studiază scrierea secretă (criptografia) și metodele de dezvăluire a acesteia (criptanaliză). Criptografia este considerată o ramură a matematicii.

Până de curând, toate cercetările în acest domeniu au fost doar închise, dar în ultimii ani au început să apară tot mai multe publicații în presa deschisă. O parte din atenuarea secretului se datorează faptului că a devenit imposibil să se ascundă cantitatea acumulată de informații. Pe de altă parte, criptografia este din ce în ce mai utilizată în industriile civile, ceea ce necesită dezvăluirea de informații.

9.6.1. Principiile criptografiei. Scopul unui sistem criptografic este de a cripta text simplu semnificativ (numit și text simplu), rezultând un text cifrat (text cifrat, criptogramă) care pare complet lipsit de sens. Destinatarul vizat trebuie să poată decripta (numit și „decriptare”) acest text cifrat, restabilind astfel textul simplu corespunzător. În acest caz, adversarul (numit și criptoanalist) trebuie să nu poată dezvălui textul sursă. Există o diferență importantă între decriptarea (decriptarea) și decriptarea unui text cifrat.

Sunt numite metode criptografice și modalități de conversie a informațiilor cifruri. Dezvăluirea unui criptosistem (cifr) este rezultatul muncii unui criptoanalist, ceea ce duce la posibilitatea dezvăluirii efective a oricărui text simplu criptat cu acest criptosistem. Gradul de incapacitate a unui criptosistem de a se rupe se numește puterea sa.

Problema fiabilității sistemelor de securitate a informațiilor este foarte complexă. Cert este că nu există teste de încredere pentru a se asigura că informațiile sunt protejate suficient de fiabil. În primul rând, criptografia are particularitatea că este adesea necesar să cheltuiți mai multe ordine de mărime mai mulți bani pentru a „deschide” un cifr decât pentru a-l crea. În consecință, testarea de testare a sistemului de criptoprotecție nu este întotdeauna posibilă. În al doilea rând, încercările repetate nereușite de a depăși protecția nu înseamnă deloc că următoarea încercare nu va avea succes. Cazul nu este exclus atunci când profesioniștii s-au luptat mult timp, dar fără succes, pentru cifru, iar un anumit începător a aplicat o abordare non-standard - iar cifrul i-a fost dat cu ușurință.

Ca urmare a demonstrabilității atât de slabe a fiabilității instrumentelor de securitate a informațiilor, există o mulțime de produse pe piață, a căror fiabilitate nu poate fi judecată în mod fiabil. Desigur, dezvoltatorii lor își laudă munca în toate privințele, dar nu pot dovedi calitatea acesteia și adesea acest lucru este imposibil în principiu. De regulă, nedemonstrabilitatea fiabilității este însoțită și de faptul că algoritmul de criptare este ținut secret.

La prima vedere, secretul algoritmului servește ca o securitate suplimentară a cifrului. Acesta este un argument destinat amatorilor. De fapt, dacă algoritmul este cunoscut dezvoltatorilor, acesta nu mai poate fi considerat secret, decât dacă utilizatorul și dezvoltatorul sunt aceeași persoană. În plus, dacă un algoritm este considerat instabil din cauza incompetenței sau a greșelilor dezvoltatorului, secretul acestuia nu va permite verificarea acestuia de către experți independenți. Instabilitatea algoritmului va fi dezvăluită doar atunci când a fost deja piratat, sau chiar nu a fost detectat deloc, pentru că inamicul nu se grăbește să se laude cu succesele sale.

Prin urmare, un criptograf ar trebui să se ghideze după regula formulată mai întâi de olandezul O. Kerkgoffs: securitatea unui cifr ar trebui să fie determinată doar de secretul cheii. Cu alte cuvinte, regula lui O. Kerckhoffs este că întregul mecanism de criptare, cu excepția valorii cheii secrete, este considerat a priori cunoscut adversarului.

Un alt lucru este că este posibilă o metodă de protejare a informațiilor (strict vorbind, fără legătură cu criptografia), atunci când nu algoritmul de criptare este ascuns, ci chiar faptul că mesajul conține informații criptate (ascunse în el). Această tehnică se numește mai corect mascarea informațiilor. Se va lua în considerare separat.

Istoria criptografiei datează de câteva mii de ani. Nevoia de a ascunde ceea ce a fost scris a apărut într-o persoană aproape imediat, de îndată ce a învățat să scrie. Un exemplu istoric binecunoscut de criptosistem este așa-numitul cifru Caesar, care este o simplă înlocuire a fiecărei litere a textului simplu cu a treia literă a alfabetului care o urmează (cu împachetare atunci când este necesar). De exemplu, A a fost înlocuit cu D,B pe E,Z pe C.

În ciuda progreselor semnificative ale matematicii de-a lungul secolelor care au trecut de pe vremea lui Cezar, criptografie nu a făcut pași semnificativi înainte până la mijlocul secolului al XX-lea. Avea o abordare amatorească, speculativă, neștiințifică.

De exemplu, în secolul al XX-lea, cifrurile „cărților” erau utilizate pe scară largă de profesioniști, în care orice publicație tipărită în masă era folosită ca cheie. Inutil să spun, cât de ușor au fost dezvăluite astfel de cifruri! Desigur, din punct de vedere teoretic, cifrul „cartei” pare destul de fiabil, deoarece este imposibil să sortați manual setul său. Cu toate acestea, cea mai mică informație a priori restrânge drastic această alegere.

Apropo, despre informații a priori. În timpul Marelui Război Patriotic, după cum se știe, Uniunea Sovietică a acordat o atenție considerabilă organizării mișcării partizane. Aproape fiecare detașament din spatele liniilor inamice avea un post de radio, precum și una sau alta comunicare cu „continentul”. Cifrurile pe care le aveau partizanii erau extrem de instabile - decodificatoarele germane le descifrau destul de repede. Și asta, după cum știți, a dus la înfrângeri și pierderi în luptă. Partizanii s-au dovedit a fi vicleni și inventivi și în acest domeniu. Recepția a fost extrem de simplă. În textul original al mesajului, au fost făcute un număr mare de erori gramaticale, de exemplu, ei scriau: „am trecut pe lângă trei trenuri cu tancuri”. Cu decodarea corectă pentru o persoană rusă, totul era clar. Dar criptoanalistii inamicului au fost neputincioși în fața unei astfel de tehnici: parcurgând opțiunile posibile, au întâlnit combinația „tnk” care era imposibilă pentru limba rusă și au renunțat la această opțiune ca fiind evident incorectă.

Această tehnică aparent de casă este de fapt foarte eficientă și este adesea folosită chiar și acum. Secvențe aleatorii de caractere sunt înlocuite în textul sursă al mesajului pentru a încurca programele criptoanalitice cu forță brută sau pentru a schimba tiparele statistice ale textului cifrat, care poate oferi și informații utile adversarului. Dar, în general, încă se poate spune că criptografia antebelică era extrem de slabă și nu putea pretinde titlul de știință serioasă.

Cu toate acestea, necesitatea militară severă a forțat în curând oamenii de știință să se confrunte cu problemele criptografiei și criptoanalizei. Una dintre primele realizări semnificative în acest domeniu a fost mașina de scris germană Enigma, care era de fapt un encoder și decodor mecanic cu o rezistență destul de mare.

Apoi, în timpul celui de-al Doilea Război Mondial, au apărut primele servicii profesionale de decriptare. Cel mai faimos dintre acestea este Bletchley Park, o divizie a serviciului britanic de informații MI5.

9.6.2. Tipuri de cifruri. Toate metodele de criptare pot fi împărțite în două grupuri: cifruri cu cheie secretă și cifruri cu cheie publică. Primele se caracterizează prin prezența unor informații (cheie secretă), a căror deținere face posibilă atât criptarea, cât și decriptarea mesajelor. Prin urmare, ele sunt numite și cu o singură cheie. Cifrurile cu chei publice implică prezența a două chei - pentru a decripta mesajele. Aceste cifre sunt numite și cifruri cu două chei.

Regula de criptare nu poate fi arbitrară. Trebuie să fie astfel încât textul cifrat care utilizează regula de decriptare să poată restaura în mod unic mesajul deschis. Regulile de criptare de același tip pot fi grupate în clase. În interiorul clasei, regulile diferă unele de altele prin valorile unui parametru, care poate fi un număr, un tabel etc. În criptografie, valoarea specifică a unui astfel de parametru este de obicei denumită cheie.

În esență, cheia selectează o anumită regulă de criptare dintr-o anumită clasă de reguli. Acest lucru permite, în primul rând, atunci când se utilizează dispozitive speciale pentru criptare, modificarea valorii parametrilor dispozitivului, astfel încât mesajul criptat să nu poată fi decriptat chiar și de către persoane care au exact același dispozitiv, dar nu cunosc valoarea parametrului selectat și, în al doilea rând, vă permite să schimbați regula de criptare în timp util, deoarece utilizarea repetată a aceleiași reguli de criptare pentru textele simple creează condițiile preliminare pentru primirea mesajelor deschise folosind cele criptate.

Folosind conceptul de cheie, procesul de criptare poate fi descris ca o relație:

Unde A– mesaj deschis; B– mesaj criptat; f– regula de criptare; α – cheia aleasă, cunoscută de expeditor și de destinatar.

Pentru fiecare cheie α conversie cifră trebuie să fie reversibil, adică trebuie să existe o transformare inversă , care, cu cheia aleasă α identifică în mod unic un mesaj deschis A prin mesaj criptat B:

(9.0)

Set de transformări iar setul de chei căruia îi corespund este numit cifru. Dintre toate cifrurile, se pot distinge două clase mari: cifrurile de substituție și cifrurile de permutare. În prezent, dispozitivele electronice de criptare sunt utilizate pe scară largă pentru a proteja informațiile din sistemele automate. O caracteristică importantă a unor astfel de dispozitive este nu numai puterea cifrului implementat, ci și viteza mare a procesului de criptare și decriptare.

Uneori, cele două concepte sunt confundate: criptareși codificare. Spre deosebire de criptare, care necesită cunoașterea cifrului și a cheii secrete, nu există nimic secret în codificare, există doar o anumită înlocuire de litere sau cuvinte cu caractere prestabilite. Metodele de codificare nu vizează ascunderea mesajului deschis, ci prezentarea acestuia într-o formă mai convenabilă pentru transmiterea prin mijloace tehnice de comunicare, reducerea lungimii mesajului, protejarea distorsiunilor etc.

Cifrele cheie secrete. Acest tip de cifră presupune prezența unor informații (cheia), a căror deținere permite atât criptarea, cât și decriptarea mesajului.

Pe de o parte, o astfel de schemă are dezavantajele că, pe lângă canalul deschis pentru transmiterea textului cifrat, este necesar să existe și un canal secret pentru transmiterea cheii; în plus, dacă informații despre cheie sunt scurse, aceasta este imposibil de demonstrat de la care dintre cei doi corespondenți s-a produs scurgerea.

Pe de altă parte, printre cifrurile acestui grup particular, există singura schemă de criptare din lume care are stabilitate teoretică absolută. Toate celelalte pot fi descifrate cel puțin în principiu. O astfel de schemă este o criptare normală (de exemplu, operațiune XOR) cu o cheie a cărei lungime este egală cu lungimea mesajului. Cheia trebuie folosită o singură dată. Orice încercare de a descifra un astfel de mesaj este inutilă, chiar dacă există informații a priori despre textul mesajului. Prin selectarea tastei, puteți primi orice mesaj ca rezultat.

Cifre cu cheie publică. Acest tip de cifră presupune prezența a două chei - publică și privată; unul este folosit pentru a cripta, iar celălalt pentru a decripta mesajele. Cheia publică este publicată - adusă în atenția tuturor, în timp ce cheia secretă este păstrată de proprietarul acesteia și este cheia secretului mesajelor. Esența metodei este că ceea ce este criptat cu cheia secretă poate fi decriptat doar cu cheia publică și invers. Aceste chei sunt generate în perechi și au o corespondență unu-la-unu între ele. Mai mult, este imposibil să calculezi un altul dintr-o cheie.

O trăsătură caracteristică a cifrurilor de acest tip, care le deosebește favorabil de cifrurile cu o cheie secretă, este că aici cheia secretă este cunoscută doar de o persoană, în timp ce în prima schemă trebuie cunoscută cel puțin două. Aceasta oferă următoarele beneficii:

nu este necesar un canal securizat pentru a trimite cheia secretă;

toată comunicarea se realizează pe un canal deschis;

prezența unei singure copii a cheii reduce posibilitatea pierderii acesteia și vă permite să stabiliți o responsabilitate personală clară pentru păstrarea secretului;

prezența a două chei vă permite să utilizați acest sistem de criptare în două moduri - comunicare secretă și semnătură digitală.

Cel mai simplu exemplu de algoritmi de criptare luați în considerare este algoritmul RSA. Toți ceilalți algoritmi ai acestei clase diferă de ea în mod neprincipal. Putem spune că, în general, RSA este singurul algoritm cu cheie publică.

9.6.3. Algoritm R.S.A. RSA (numit după autorii Rivest, Shamir și Alderman) este un algoritm cu cheie publică conceput atât pentru criptare, cât și pentru autentificare (semnătură digitală). Acest algoritm a fost dezvoltat în 1977 și se bazează pe descompunerea numerelor întregi mari în factori primi (factorizare).

RSA este un algoritm foarte lent. Prin comparație, la nivel de software, DES este de cel puțin 100 de ori mai rapid decât RSA; pe hardware - de 1.000-10.000 de ori, în funcție de implementare.

Algoritmul RSA este următorul. Luați două numere prime foarte mari pși q. Determinat n ca urmare a înmulţirii p pe q(n=p q). Alegeți un număr întreg mare aleatoriu d, coprime cu m, Unde
. Acest număr este definit e, ce
. Să-i spunem cheie publică. eși n, iar cheia secretă sunt numerele dși n.

Acum, pentru a cripta datele cu o cheie cunoscută ( e,n), urmează următoarele instrucțiuni:

împărțiți textul cifrat în blocuri, fiecare dintre acestea putând fi reprezentat ca număr M(i)=0,1,…,n-1;

criptați textul tratat ca o secvență de numere M(i) conform formulei C(i)=(M(i)) mod n;

pentru a decripta aceste date folosind cheia secretă ( d,n), este necesar să se efectueze următoarele calcule M(i)=(C(i))mod n.

Rezultatul va fi un set de numere M(i) care reprezintă textul original.

Exemplu. Luați în considerare utilizarea metodei RSA pentru a cripta mesajul: „computer”. Pentru simplitate, vom folosi numere foarte mici (în practică, se folosesc numere mult mai mari - de la 200 și mai sus).

Să alegem p=3 și q=11. Să definim n=3×11=33.

Sa gasim ( p-1)×( q-1)=20. Prin urmare, ca d alege orice număr care este relativ prim la 20, de exemplu d=3.

Alegeți un număr e. Ca atare număr, poate fi luat orice număr pentru care relația ( e×3) mod 20=1, de exemplu 7.

Să reprezentăm mesajul criptat ca o secvență de numere întregi în intervalul 1...32. Fie ca litera „E” să fie reprezentată cu cifra 30, litera „B” cu cifra 3 și litera „M” cu cifra 13. Apoi mesajul original poate fi reprezentat ca o succesiune de numere (30 03 13 ).

Să criptăm mesajul folosind cheia (7,33).

С1=(307) mod 33=21870000000 mod 33=24,

C2=(37) mod 33=2187 mod 33=9,

C3=(137) mod 33=62748517 mod 33=7.

Astfel, mesajul criptat arată ca (24 09 07).

Să rezolvăm problema inversă. Să decriptăm mesajul (24 09 07), obținut ca urmare a criptării cu o cheie cunoscută, pe baza cheii secrete (3.33):

М1=(24 3) mod 33=13824 mod 33=30,

М2=(9 3) mod 33=739 mod 33=9,

М3=(7 3)mod33=343mod33=13 .

Astfel, ca urmare a decriptării mesajului, s-a obținut mesajul original „computer”.

Puterea criptografică a algoritmului RSA se bazează pe presupunerea că este extrem de dificil să se determine cheia secretă dintr-o cheie cunoscută, deoarece pentru aceasta este necesară rezolvarea problemei existenței divizorilor întregi. Această problemă este NP-completă și, ca urmare a acestui fapt, nu admite în prezent o soluție eficientă (polinomială). Mai mult, însăși întrebarea existenței unor algoritmi eficienți pentru rezolvarea problemelor NP-complete este încă deschisă. În acest sens, pentru numerele formate din 200 de cifre (și anume, se recomandă utilizarea unor astfel de numere), metodele tradiționale necesită un număr mare de operații (aproximativ 1023).

Algoritmul RSA (Fig. 9.2) este brevetat în SUA. Utilizarea acestuia de către alte persoane nu este permisă (când lungimea cheii este de peste 56 de biți). Adevărat, validitatea unei astfel de stabiliri poate fi pusă sub semnul întrebării: cum poate fi patentată exponentiația obișnuită? Cu toate acestea, RSA este protejată de legile drepturilor de autor.

Orez. 9.2. Schema de criptare

Un mesaj criptat folosind cheia publică a unui abonat poate fi decriptat doar de acesta, deoarece numai el deține cheia secretă. Astfel, pentru a trimite un mesaj privat, trebuie să iei cheia publică a destinatarului și să criptezi mesajul cu ea. După aceea, nici măcar tu însuți nu o vei putea decripta.

9.6.4. Semnatura electronica. Când facem invers, adică criptăm mesajul folosind cheia secretă, atunci oricine îl poate decripta (luând cheia dumneavoastră publică). Dar chiar faptul că mesajul a fost criptat cu cheia ta secretă confirmă că a venit de la tine, singurul proprietar al cheii secrete din lume. Acest mod de utilizare a algoritmului se numește semnătură digitală.

Din punct de vedere al tehnologiei, o semnătură digitală electronică este un instrument software-criptografic (adică criptat corespunzător) care vă permite să confirmați că semnătura de pe un anumit document electronic a fost pusă de autorul acestuia și nu de către orice altă persoană. . O semnătură digitală electronică este un set de caractere generate conform algoritmului definit de GOST R 34.0-94 și GOST R 34.-94. Totodată, o semnătură digitală electronică vă permite să vă asigurați că informațiile semnate prin metoda semnăturii digitale electronice nu au fost modificate în timpul procesului de transfer și au fost semnate de expeditor exact în forma în care le-ați primit.

Procesul de semnare electronică a unui document (Fig. 9.3) este destul de simplu: șirul de informații care urmează să fie semnat este procesat de un software special folosind așa-numita cheie privată. Apoi, matricea criptată este trimisă prin e-mail și, la primire, este verificată de cheia publică corespunzătoare. Cheia publică vă permite să verificați integritatea matricei și să verificați autenticitatea semnăturii digitale electronice a expeditorului. Se crede că această tehnologie are protecție 100% împotriva hackingului.

Orez. 9.3. Schema procesului de semnare electronică a unui document

O cheie secretă (cod) este disponibilă pentru fiecare entitate care are dreptul de a semna și poate fi stocată pe o dischetă sau pe un smart card. Cheia publică este utilizată de către destinatarii documentului pentru a verifica autenticitatea semnăturii digitale electronice. Folosind o semnătură digitală electronică, puteți semna fișiere individuale sau fragmente de baze de date.

În acest din urmă caz, software-ul care implementează o semnătură digitală electronică trebuie să fie încorporat în sistemele automatizate aplicate.

Potrivit noii legi, procedura de certificare a mijloacelor de semnătură electronică digitală și certificarea semnăturii în sine este reglementată în mod clar.

Aceasta înseamnă că un organism guvernamental dotat cu competențe adecvate trebuie să confirme că un anumit software pentru generarea unei semnături digitale electronice generează (sau verifică) cu adevărat doar o semnătură digitală electronică și nimic altceva; că programele corespunzătoare nu conțin viruși, nu descarcă informații de la contrapărți, nu conțin „bug-uri” și garantează împotriva hackingului. Certificarea semnăturii în sine înseamnă că organizația corespunzătoare - centrul de certificare - confirmă că această cheie aparține acestei persoane.

Poți semna documente fără certificatul specificat, dar în cazul unui proces, va fi dificil să dovedești ceva. În acest caz, certificatul este indispensabil, deoarece semnătura în sine nu conține date despre proprietarul său.

De exemplu, un cetățean DAR si cetatean LA au încheiat un acord în valoare de 10.000 de ruble și au certificat acordul cu EDS-ul lor. Cetăţean DAR nu și-a îndeplinit obligația. cetatean jignit LA, obisnuita sa actioneze in cadrul legal, se adreseaza instantei, unde se confirma autenticitatea semnaturii (corespondenta cheii publice cu cea privata). Totuși, cetățean DAR declară că cheia privată nu este deloc a lui. Dacă un astfel de precedent apare cu o semnătură obișnuită, se efectuează o examinare a scrisului de mână, în timp ce în cazul unui EDS, este nevoie de un terț sau de un document pentru a confirma că semnătura aparține cu adevărat acestei persoane. Pentru asta este un certificat cu cheie publică.

Astăzi, unul dintre cele mai populare instrumente software care implementează principalele funcții ale unei semnături digitale electronice sunt sistemele Verba și CryptoPRO CSP.

9.6.5. Funcția HASH. După cum se arată mai sus, un cifr cu cheie publică poate fi utilizat în două moduri: criptare și semnătură digitală. În al doilea caz, nu are sens să criptezi întregul text (date) folosind o cheie secretă. Textul este lăsat deschis și o anumită „sumă de control” a acestui text este criptată, în urma căreia se formează un bloc de date, care este o semnătură digitală care este adăugată la sfârșitul textului sau atașată la acesta într-o formă separată. fişier.

„Suma de control” menționată a datelor, care este „semnată” în loc de întregul text, trebuie calculată din întregul text, astfel încât o modificare a oricărei litere să se reflecte pe acesta. În al doilea rând, funcția specificată trebuie să fie unilaterală, adică calculabilă doar „într-o singură direcție”. Acest lucru este necesar pentru ca adversarul să nu poată schimba intenționat textul, potrivindu-l la semnătura digitală existentă.

O astfel de funcție este numită funcția hash, care, ca și criptoalgoritmii, este supusă standardizării și certificării. În țara noastră, este reglementat de GOST R-3411. funcția hash– o funcție care hashează o matrice de date prin maparea valorilor dintr-un set (foarte) mare de valori la un set (substanțial) mai mic de valori. Pe lângă semnătura digitală, funcțiile hash sunt folosite în alte aplicații. De exemplu, la schimbul de mesaje între computere la distanță, când este necesară autentificarea utilizatorului, se poate folosi o metodă bazată pe o funcție hash.

Lasa Cod hash creat de funcție H:

,

Unde M este un mesaj de lungime arbitrară și h este un cod hash cu lungime fixă.

Luați în considerare cerințele pe care trebuie să le îndeplinească o funcție hash pentru ca aceasta să fie utilizată ca autentificator de mesaje. Luați în considerare un exemplu de funcție hash foarte simplu. Apoi vom analiza mai multe abordări ale construirii unei funcții hash.

funcția hash H, care este utilizat pentru autentificarea mesajelor, trebuie să aibă următoarele proprietăți:

H(M) trebuie aplicat unui bloc de date de orice lungime;

H(M) creați o ieșire cu lungime fixă;

H(M) este relativ ușor (în timp polinomial) de calculat pentru orice valoare M;

pentru orice valoare dată de cod hash h imposibil de găsit M astfel încât H(M) =h;

pentru orice dat X imposibil de găsit din punct de vedere computațional y≠X, ce H(y) =H(X);

este imposibil din punct de vedere computațional să găsiți o pereche arbitrară ( X,y) astfel încât H(y) =H(X).

Primele trei proprietăți necesită funcția hash pentru a genera un cod hash pentru orice mesaj.

A patra proprietate definește cerința unei funcție hash unidirecțională: este ușor să creați un cod hash dintr-un anumit mesaj, dar este imposibil să recuperați un mesaj dintr-un anumit cod hash. Această proprietate este importantă dacă autentificarea hash include o valoare secretă. Este posibil ca valoarea secretă în sine să nu fie trimisă, totuși, dacă funcția hash nu este unidirecțională, adversarul poate dezvălui cu ușurință valoarea secretă, după cum urmează.

A cincea proprietate asigură că nu este posibil să găsiți un alt mesaj a cărui valoare hash se potrivește cu valoarea hash a mesajului dat. Acest lucru împiedică autentificatorul să fie falsificat atunci când este utilizat un hash criptat. În acest caz, adversarul poate citi mesajul și, prin urmare, poate genera codul hash al acestuia. Dar, din moment ce adversarul nu deține cheia secretă, el nu poate schimba mesajul fără ca destinatarul să-l descopere. Dacă această proprietate nu este îndeplinită, atacatorul poate efectua următoarea secvență de acțiuni: interceptarea mesajului și codul hash criptat al acestuia, calcularea codului hash al mesajului, crearea unui mesaj alternativ cu același cod hash, înlocuirea mesajului original cu un unul fals. Deoarece codurile hash ale acestor mesaje se potrivesc, destinatarul nu va detecta falsificarea.

Se numește o funcție hash care satisface primele cinci proprietăți simplu sau slab funcția hash. Dacă, în plus, a șasea proprietate este îndeplinită, atunci o astfel de funcție este numită puternic funcția hash. A șasea proprietate protejează împotriva unei clase de atacuri cunoscute sub numele de atacuri de naștere.

Toate funcțiile hash sunt efectuate după cum urmează. O valoare de intrare (mesaj, fișier etc.) este tratată ca o secvență n-blocuri de biți. Valoarea de intrare este procesată secvenţial bloc cu bloc şi a m- valoarea de biți a codului hash.

Unul dintre cele mai simple exemple de funcție hash este XOR pe biți al fiecărui bloc:

Cu i = b i 1XOR b i2 XOR. . . XOR b ik ,

Unde Cu i – i-al doilea bit al codului hash, i = 1, …, n;

k- număr n-blocuri de intrare de biți;

b ij –i al-lea înăuntru j- al-lea bloc.

Rezultatul este un cod hash de lungime n, cunoscut sub numele de supracontrol longitudinal. Acest lucru este eficient în cazul eșecurilor ocazionale de verificare a integrității datelor.

9.6.6. DES și GOST-28147. DES (Data Encryption Standard) este un algoritm cu cheie simetrică, adică o cheie este folosită atât pentru criptarea, cât și pentru decriptarea mesajelor. Dezvoltat de IBM și aprobat de guvernul SUA în 1977 ca standard oficial pentru protejarea informațiilor care nu sunt secrete de stat.

DES are blocuri de 64 de biți, se bazează pe o permutare de 16 ori a datelor, folosește o cheie de 56 de biți pentru criptare. Există mai multe moduri de DES, cum ar fi Electronic Code Book (ECB) și Cipher Block Chaining (CBC). 56 de biți reprezintă 8 caractere ASCII de șapte biți, adică parola nu poate avea mai mult de 8 litere. Dacă, în plus, sunt folosite doar litere și cifre, atunci numărul de opțiuni posibile va fi semnificativ mai mic decât maximul posibil de 256.

Unul dintre pașii algoritmului DES. Blocul de date de intrare este divizat în două de stânga ( L") și dreapta ( R") părți. După aceea, matricea de ieșire este formată astfel încât partea stângă L"" reprezentată de partea dreaptă R" intrare și dreapta R"" format ca o sumă L"și R" Operațiuni XOR. Apoi, matricea de ieșire este criptată prin permutare cu înlocuire. Se poate verifica că toate operațiunile efectuate pot fi inversate și decriptarea se realizează într-un număr de operații dependente liniar de dimensiunea blocului. Schematic, algoritmul este prezentat în fig. 9.4.

Orez. 9.4. Diagrama algoritmului DES

După mai multe astfel de transformări, se poate considera că fiecare bit al blocului de criptare de ieșire poate depinde de fiecare bit al mesajului.

În Rusia, există un analog al algoritmului DES, care funcționează pe același principiu al unei chei secrete. GOST 28147 a fost dezvoltat cu 12 ani mai târziu decât DES și are un grad mai mare de protecție. Caracteristicile lor comparative sunt prezentate în tabel. 9.3.

Tabelul 9.3

9.6.7. Steganografie. Steganografie- aceasta este o metodă de organizare a comunicării, care ascunde de fapt însăși existența unei conexiuni. Spre deosebire de criptografie, în care un adversar poate determina cu precizie dacă un mesaj transmis este text cifrat, tehnicile de steganografie permit ca mesajele secrete să fie încorporate în mesaje inofensive, astfel încât existența unui mesaj secret încorporat nu poate fi suspectată.

Cuvântul „steganografie” în greacă înseamnă literal „scriere secretă” (steganos - secret, secret; grafie - înregistrare). Include o mare varietate de mijloace secrete de comunicare, cum ar fi cerneală invizibilă, microfotografii, aranjarea condiționată a semnelor, canale secrete și mijloace de comunicare pe frecvențe flotante etc.

Steganografia își ocupă nișa în securitate: nu înlocuiește, ci completează criptografia. Ascunderea unui mesaj prin metode de steganografie reduce semnificativ probabilitatea de a detecta chiar faptul că un mesaj este transmis. Și dacă acest mesaj este și criptat, atunci are încă un nivel suplimentar de protecție.

În prezent, datorită dezvoltării rapide a tehnologiei informatice și a noilor canale de transmitere a informațiilor, au apărut noi metode steganografice, care se bazează pe caracteristicile de prezentare a informațiilor în fișiere informatice, rețele de calculatoare etc. Acest lucru ne oferă posibilitatea de a vorbi despre formarea unei noi direcţii - steganografia computerizată .

În ciuda faptului că steganografia ca modalitate de a ascunde datele secrete este cunoscută de mii de ani, steganografia computerizată este un domeniu tânăr și în curs de dezvoltare.

Sistem steganografic sau stegosistem- un set de mijloace și metode care sunt utilizate pentru a forma un canal secret pentru transmiterea informațiilor.

La construirea unui stegosistem, trebuie luate în considerare următoarele prevederi:

Adversarul are o înțelegere completă a sistemului steganografic și a detaliilor implementării acestuia. Singura informație care rămâne necunoscută unui potențial adversar este cheia, cu ajutorul căreia doar deținătorul acesteia poate stabili prezența și conținutul mesajului ascuns.

Dacă adversarul devine cumva conștient de existența mesajului ascuns, acest lucru ar trebui să-l împiedice să extragă mesaje similare în alte date atâta timp cât cheia este ținută secretă.

Un potențial adversar trebuie să fie privat de orice avantaje tehnice sau de altă natură în recunoașterea sau dezvăluirea conținutului mesajelor secrete.

Modelul generalizat al stegosistemului este prezentat în fig. 9.5.

Orez. 9.5. Modelul Stegosistemului Generalizat

La fel de date poate fi folosită orice informație: text, mesaj, imagine etc.

În cazul general, este recomandabil să folosiți cuvântul „mesaj”, deoarece un mesaj poate fi fie text, fie o imagine, fie, de exemplu, date audio. În cele ce urmează, vom folosi termenul mesaj pentru a desemna informații ascunse.

Container– orice informație menită să ascundă mesaje secrete.

Stegokey sau doar o cheie - o cheie secretă necesară pentru a ascunde informații. În funcție de numărul de niveluri de protecție (de exemplu, încorporarea unui mesaj pre-criptat), un stegosistem poate avea una sau mai multe stegokeys.

Prin analogie cu criptografie, în funcție de tipul de stegokey, stegosistemele pot fi împărțite în două tipuri:

cu o cheie secretă;

cu cheie publică.

Un stegosistem cu o cheie secretă utilizează o cheie, care trebuie determinată fie înainte de schimbul de mesaje secrete, fie transmisă pe un canal securizat.

Într-un stegosistem cu cheie publică, diferite chei sunt utilizate pentru încorporarea și preluarea unui mesaj, care diferă în așa fel încât este imposibil să se deducă o cheie din cealaltă folosind calcule. Prin urmare, o cheie (publică) poate fi transmisă liber printr-un canal de comunicare nesigur. În plus, această schemă funcționează bine cu neîncrederea reciprocă a expeditorului și destinatarului.

În prezent, se poate distinge Trei strâns legate și având aceleași rădăcini direcții de aplicare a steganografiei: ascunderea datelor(mesaje), filigrane digitaleși titluri.

Ascunderea datelor încorporate, care în cele mai multe cazuri sunt mari, impune cerințe serioase containerului: dimensiunea containerului trebuie să fie de câteva ori mai mare decât dimensiunea datelor încorporate.

Filigrane digitale sunt utilizate pentru a proteja drepturile de autor sau drepturile de proprietate asupra imaginilor digitale, fotografiilor sau a altor opere de artă digitalizate. Principalele cerințe pentru astfel de date încorporate sunt fiabilitatea și rezistența la distorsiuni. Filigranele digitale au dimensiuni mici, totuși, având în vedere cerințele de mai sus, sunt folosite metode mai sofisticate pentru a le încorpora decât pentru a încorpora mesaje sau anteturi simple.

Titluri sunt utilizate în principal pentru marcarea imaginilor în depozite electronice mari (biblioteci) de imagini digitale, fișiere audio și video. În acest caz, metodele steganografice sunt folosite nu numai pentru a încorpora un antet de identificare, ci și pentru alte caracteristici individuale ale fișierului. Anteturile încorporate au un volum mic, iar cerințele pentru ele sunt minime: anteturile trebuie să introducă distorsiuni minore și să fie rezistente la transformările geometrice de bază.

Criptografia computerizată se bazează pe mai multe principii:

Mesajul poate fi trimis folosind codificarea zgomotului. Va fi dificil de determinat pe fundalul zgomotului hardware din linia telefonică sau cablurile de rețea.

Mesajul poate fi plasat în golurile fișierelor sau discului fără a-și pierde funcționalitatea. Fișierele executabile au o structură cu mai multe segmente de cod executabil; puteți insera o grămadă de octeți între golurile de segment. Acesta este modul în care virusul WinCIH își ascunde corpul. Un fișier ocupă întotdeauna un număr întreg de clustere pe disc, astfel încât lungimile fizice și logice ale unui fișier se potrivesc rar. Puteți scrie ceva și în acest interval. Puteți formata o piesă intermediară de pe un disc și puteți plasa un mesaj pe acesta. Există o modalitate mai ușoară, care constă în faptul că un anumit număr de spații pot fi adăugate la sfârșitul unei linii HTML sau unui fișier text, purtând o încărcare informațională.

Simțurile umane nu sunt capabile să distingă micile schimbări de culoare, imagine sau sunet. Acest lucru se aplică datelor care transportă informații redundante. De exemplu, audio pe 16 biți sau imagine pe 24 de biți. Modificarea valorilor biților responsabili pentru culoarea unui pixel nu va duce la o schimbare vizibilă a culorii. Aceasta include și metoda fonturilor ascunse. În contururile literelor se fac distorsiuni subtile, care vor purta o încărcătură semantică. Puteți insera caractere similare într-un document Microsoft Word care conține un mesaj ascuns.

Cel mai comun și unul dintre cele mai bune produse software pentru steganografie este S-Tools (statutul freeware). Vă permite să ascundeți orice fișiere din fișiere GIF, BMP și WAV. Efectuează comprimarea (arhivarea) controlată a datelor. În plus, efectuează criptarea folosind algoritmi MCD, DES, triple-DES, IDEA (opțional). Fișierul grafic rămâne fără modificări vizibile, se schimbă doar nuanțele. De asemenea, sunetul rămâne neschimbat. Chiar dacă apar suspiciuni, este imposibil să se stabilească faptul că folosești S-Tools fără a cunoaște parola.

9.6.8. Certificarea și standardizarea criptosistemelor. Toate statele acordă o atenție deosebită problemelor criptografiei. Există încercări constante de a impune un fel de cadru, interdicții și alte restricții privind producerea, utilizarea și exportul instrumentelor criptografice. De exemplu, în Rusia, importul și exportul de instrumente de securitate a informațiilor, în special mijloace criptografice, este autorizat în conformitate cu Decretul președintelui Federației Ruse din 3 aprilie 1995 nr. 334 și cu Decretul Guvernului Federația Rusă din 15 aprilie 1994 Nr. 331.

După cum sa menționat deja, un criptosistem nu poate fi considerat fiabil dacă algoritmul funcționării acestuia nu este pe deplin cunoscut. Numai cunoscând algoritmul, puteți verifica dacă protecția este stabilă. Cu toate acestea, doar un specialist poate verifica acest lucru și chiar și atunci o astfel de verificare este adesea atât de complicată încât nu este fezabilă din punct de vedere economic. Cum poate un utilizator obișnuit care nu cunoaște matematică să fie convins de fiabilitatea criptosistemului pe care i se oferă să-l folosească?

Pentru un nespecialist, opinia experților independenți competenți poate servi drept dovadă a fiabilității. De aici a venit sistemul de certificare. Toate sistemele de securitate a informațiilor sunt supuse acesteia, astfel încât întreprinderile și instituțiile să le poată utiliza oficial. Utilizarea sistemelor necertificate nu este interzisă, dar în acest caz vă asumați întregul risc ca acesta să nu fie suficient de fiabil sau să aibă „backdoors”. Dar pentru a vinde instrumente de securitate a informațiilor este necesară certificarea. Astfel de prevederi sunt valabile în Rusia și în majoritatea țărilor.

Singurul nostru organism autorizat să efectueze certificarea este Agenția Federală pentru Comunicații și Informații Guvernamentale sub președintele Federației Ruse (FAPSI). Acest organism abordează problemele de certificare cu foarte mare atenție. Foarte puține dezvoltări terțe au reușit să obțină certificatul FAPSI.

În plus, FAPSI licențiază activitățile întreprinderilor legate de dezvoltarea, producerea, vânzarea și operarea instrumentelor de criptare, precum și a mijloacelor tehnice securizate de stocare, prelucrare și transmitere a informațiilor, furnizând servicii în domeniul criptării informațiilor (Decretul Președintelui). al Federației Ruse din 03.04.95 nr. 334 „Cu privire la măsurile de respectare a legii în domeniul dezvoltării producției, vânzării și exploatării instrumentelor de criptare, precum și prestării de servicii în domeniul criptării informațiilor”; și Legea Federației Ruse „Cu privire la organismele de informare și comunicații guvernamentale federale”).

Pentru certificare, o condiție prealabilă este respectarea standardelor în dezvoltarea sistemelor de securitate a informațiilor. Standardele îndeplinesc o funcție similară. Acestea permit, fără a efectua studii complexe, costisitoare și chiar nu întotdeauna posibile, să obțineți încredere că un anumit algoritm oferă protecție cu un grad suficient de fiabilitate.

9.6.9. Arhive criptate. Multe programe de aplicație includ o funcție de criptare. Să dăm exemple de unele instrumente software care au capabilități de criptare.

Programele de arhivare (de exemplu, WinZip) au opțiunea de a cripta informațiile arhivate. Poate fi folosit pentru informații nu prea importante. În primul rând, metodele de criptare folosite acolo nu sunt foarte fiabile (supuse restricțiilor oficiale de export), iar în al doilea rând, nu sunt descrise în detaliu. Toate acestea nu vă permit să contați serios pe o astfel de protecție. Arhivele de parole pot fi folosite numai pentru utilizatorii „obișnuiți” sau pentru informații necritice.

Pe unele site-uri de pe Internet puteți găsi programe pentru deschiderea arhivelor criptate. De exemplu, o arhivă ZIP poate fi deschisă pe un computer bun în câteva minute și nu sunt necesare abilități speciale de la utilizator.

Notă. Schimbarea parolelor: Ultra Zip Password Cracker 1.00 - Un descifrare rapidă a parolelor pentru arhive criptate. Interfață rusă/engleză. Win "95/98 / NT. (Developer - "m53group"). Advanced ZIP Password Recovery 2.2 - Un program puternic pentru ghicirea parolelor pentru arhivele ZIP. Viteză mare, interfață grafică, funcții suplimentare. OS: Windows95 / 98 / NT. Firmă -dezvoltator - „ElcomLtd.”,shareware.

Criptare în MS Word și MS Excel. Microsoft a inclus un fel de protecție cripto în produsele sale. Dar această protecție este foarte instabilă. În plus, algoritmul de criptare nu este descris, ceea ce este un indicator al nefiabilității. În plus, există dovezi că Microsoft lasă o „uşă din spate” în algoritmii cripto utilizaţi. Dacă aveți nevoie să decriptați un fișier a cărui parolă este pierdută, puteți contacta compania. La o cerere oficială, pe bună dreptate, aceștia decriptează fișierele MS Word și MS Excel. Deci, apropo, faceți alți furnizori de software.

Discuri criptate (cataloage). Criptarea este o metodă destul de fiabilă de a proteja informațiile de pe un hard disk. Cu toate acestea, dacă cantitatea de informații care trebuie închisă nu este limitată la două sau trei fișiere, atunci este destul de dificil să lucrați cu ea: de fiecare dată va trebui să decriptați fișierele și, după editare, să le criptați înapoi. În același timp, copiile de siguranță ale fișierelor pe care le creează mulți editori pot rămâne pe disc. Prin urmare, este convenabil să folosiți programe speciale (drivere) care criptează și decriptează automat toate informațiile atunci când sunt scrise pe disc și citite de pe disc.

În concluzie, remarcăm că politica de securitate este definită ca un set de decizii de management documentate care vizează protejarea informațiilor și resurselor asociate acesteia. La dezvoltarea și implementarea acestuia, este recomandabil să vă ghidați după următoarele principii de bază:

Incapacitatea de a ocoli echipamentul de protecție. Toate informațiile care circulă în și din rețeaua protejată trebuie să treacă prin protecții. Nu ar trebui să existe intrări secrete de modem sau linii de test care să ocolească securitatea.

Consolidarea verigii celei mai slabe. Fiabilitatea oricărei protecție este determinată de cea mai slabă verigă, deoarece atacatorii o sparg. Adesea, cea mai slabă verigă nu este un computer sau un program, ci o persoană, iar atunci problema asigurării securității informațiilor devine non-tehnică.

Incapacitatea de a trece la o stare nesigură. Principiul imposibilității tranziției la o stare nesigură înseamnă că în orice circumstanțe, inclusiv în cele anormale, instrumentul de protecție fie își îndeplinește pe deplin funcțiile, fie blochează complet accesul.

Minimizarea privilegiilor. Principiul cel mai mic privilegiu impune ca utilizatorilor și administratorilor să li se acorde doar acele drepturi de acces de care au nevoie pentru a-și îndeplini atribuțiile.

Separarea atribuțiilor. Principiul segregării sarcinilor implică o astfel de distribuție a rolurilor și responsabilităților, în care o singură persoană nu poate perturba un proces care este critic pentru organizație.

Apărare stratificată. Principiul stratificării apărării prescrie să nu se bazeze pe o singură linie defensivă. Apărarea în profunzime poate întârzia cel puțin un intrus și poate face mult mai dificilă efectuarea de acțiuni rău intenționate neobservate.

O varietate de echipamente de protecție. Principiul unei varietăți de mijloace de protecție recomandă organizarea unor linii defensive de natură variată, astfel încât un potențial atacator trebuie să stăpânească o varietate de abilități, dacă este posibil, incompatibile.

Simplitatea și manevrabilitate a sistemului informațional. Principiul simplității și gestionabilității spune că doar într-un sistem simplu și gestionabil puteți verifica consistența configurației diferitelor componente și implementați administrarea centralizată.

Asigurarea suportului universal pentru măsurile de securitate. Principiul suportului universal pentru măsurile de securitate este netehnic. Dacă utilizatorii și/sau administratorii de sistem consideră că securitatea informațiilor este ceva redundant sau ostil, atunci cu siguranță nu va fi posibil să se creeze un mod de securitate. Încă de la început, ar trebui avut în vedere un set de măsuri menite să asigure fidelizarea personalului, o pregătire teoretică și practică constantă.

În acest articol, veți afla ce este CIPF și de ce este necesar. Această definiție se referă la criptografie - protecția și stocarea datelor. Protecția informațiilor în formă electronică se poate face în orice mod - chiar și prin deconectarea computerului de la rețea și instalarea de paznici înarmați cu câini în apropierea acestuia. Dar este mult mai ușor să faci asta folosind instrumente de protecție criptografică. Să vedem ce este și cum este implementat în practică.

Obiectivele cheie ale criptografiei

Decriptarea CIPF sună ca un „sistem de protecție a informațiilor criptografice”. În criptografie, canalul de transmitere a informațiilor poate fi complet accesibil atacatorilor. Dar toate datele sunt confidențiale și foarte bine criptate. Prin urmare, în ciuda deschiderii canalelor, atacatorii nu pot obține informații.

Mijloacele moderne ale CIPF constau într-un complex software-calculator. Cu ajutorul ei, informațiile sunt protejate de cei mai importanți parametri, pe care îi vom lua în considerare în continuare.

Confidențialitate

Este imposibil să citiți informațiile dacă nu există drepturi de acces la acestea. Ce este CIPF și cum criptează datele? Componenta principală a sistemului este cheia electronică. Este o combinație de litere și cifre. Numai când introduceți această cheie, puteți ajunge la secțiunea dorită pe care este instalată protecția.

Integritate și autentificare

Acesta este un parametru important care determină posibilitatea modificării neautorizate a datelor. Dacă nu există nicio cheie, atunci informațiile nu pot fi editate sau șterse.

Autentificarea este o procedură de verificare a autenticității informațiilor care sunt înregistrate pe un suport cheie. Cheia trebuie să corespundă mașinii pe care informațiile sunt decriptate.

Paternitatea

Aceasta este o confirmare a acțiunilor utilizatorului și a imposibilității de a le refuza. Cel mai comun tip de confirmare este EDS (semnătură digitală electronică). Conține doi algoritmi - unul creează o semnătură, al doilea o verifică.

Vă rugăm să rețineți că toate tranzacțiile care se fac cu semnături electronice sunt procesate de centre certificate (independente). Din acest motiv, este imposibil să falsificăm calitatea de autor.

Algoritmi de bază de criptare a datelor

Până în prezent, au fost distribuite o mulțime de certificate de protecție a informațiilor criptografice, pentru criptare sunt utilizate diferite chei - atât simetrice, cât și asimetrice. Și lungimea cheilor este suficientă pentru a oferi complexitatea criptografică necesară.

Cei mai populari algoritmi care sunt utilizați în criptoprotecție:

1. Cheie simetrică - DES, AES, RC4, rusă Р-28147.89.
2. Cu funcții hash - de exemplu, SHA-1/2, MD4/5/6, R-34.11.94.
3. Cheie asimetrică - RSA.

Multe țări au propriile lor standarde pentru algoritmii de criptare. De exemplu, în Statele Unite, se utilizează criptarea AES modificată, cheia poate avea o lungime de la 128 la 256 de biți.

Federația Rusă are propriul algoritm - R-34.10.2001 și R-28147.89, care utilizează o cheie de 256 de biți. Vă rugăm să rețineți că există elemente în sistemele criptografice naționale care nu pot fi exportate în alte țări. Toate activitățile legate de dezvoltarea CIPF necesită licențiere obligatorie.

Protecție criptografică hardware

La instalarea tahografelor CIPF, puteți asigura o protecție maximă a informațiilor stocate în dispozitiv. Toate acestea sunt implementate atât la nivel software, cât și la nivel hardware.

Tipul hardware de protecție a informațiilor criptografice înseamnă dispozitive care conțin programe speciale care oferă criptare fiabilă a datelor. De asemenea, cu ajutorul lor, informațiile sunt stocate, înregistrate și transmise.

Dispozitivul de criptare este realizat sub forma unui encoder conectat la porturile USB. Există și dispozitive care sunt instalate pe plăcile de bază ale PC-urilor. Chiar și comutatoarele specializate și cardurile de rețea protejate prin criptografie pot fi folosite pentru a lucra cu date.

Tipurile de hardware ale CIPF sunt instalate destul de rapid și sunt capabile să facă schimb de informații la viteză mare. Dar dezavantajul este costul destul de ridicat, precum și posibilitatea limitată de modernizare.

Protecție criptografică software

Acesta este un set de programe care vă permite să criptați informațiile stocate pe diverse medii (unități flash, unități hard și optice etc.). De asemenea, dacă există o licență pentru acest tip de CIPF, este posibilă criptarea datelor atunci când acestea sunt transmise prin Internet (de exemplu, prin e-mail sau chat).

Există un număr mare de programe pentru protecție și chiar și gratuite - acestea includ DiskCryptor. Tipul de software al CIPF este și rețele virtuale care permit schimbul de informații „pe internet”. Acestea sunt cunoscute de multe rețele VPN. Acest tip de protecție include și protocolul HTTP, care acceptă criptarea SSL și HTTPS.

Software-ul CIPF este folosit mai ales atunci când lucrați pe Internet, precum și pe computerele de acasă. Cu alte cuvinte, doar în acele zone în care nu există cerințe serioase pentru stabilitatea și funcționalitatea sistemului.

Tip hardware-soft de criptoprotecție

Acum știți ce este CIPF, cum funcționează și unde este utilizat. De asemenea, este necesar să se evidențieze un singur tip - software și hardware, care conține toate cele mai bune proprietăți ale ambelor tipuri de sisteme. Această metodă de procesare a informațiilor este de departe cea mai fiabilă și sigură. Mai mult, un utilizator poate fi identificat în diverse moduri - atât hardware (prin instalarea unei unități flash sau dischete), cât și standard (prin introducerea unei perechi de autentificare/parolă).

Sistemele software și hardware acceptă toți algoritmii de criptare care există astăzi. Vă rugăm să rețineți că instalarea CIPF trebuie efectuată numai de personal calificat al dezvoltatorului complexului. Este clar că un astfel de CIPF nu trebuie instalat pe computere care nu procesează informații confidențiale.

Ascultă... poți, în beneficiul nostru comun, fiecare scrisoare care sosește la oficiul tău poștal, de intrare și de ieșire, știi, să o tipăriți puțin și să citiți: conține vreun raport sau doar corespondență...

N.V. Gogol „Inspectorul”

În mod ideal, doar două persoane ar trebui să poată citi o scrisoare confidențială: expeditorul și cel căruia îi este adresată Formularea unui astfel de lucru aparent foarte simplu a fost punctul de plecare al sistemelor de criptoprotecție. Dezvoltarea matematicii a dat impuls dezvoltării unor astfel de sisteme.

Deja în secolele XVII-XVIII, cifrurile din Rusia erau destul de sofisticate și rezistente la rupere. Mulți matematicieni ruși au lucrat la crearea sau îmbunătățirea sistemelor de criptare și, în același timp, au încercat să ridice cheile pentru cifrurile altor sisteme. În prezent, pot fi remarcate mai multe sisteme de criptare rusești, precum Lexicon Verba, Secret Net, DALLAS LOCK, Secret Disk, familia de produse Accord etc.. Vom vorbi despre ele. De asemenea, vă veți familiariza cu principalele software și hardware- complexele software de criptoprotecție, aflați despre capacitățile, punctele forte și punctele slabe ale acestora. Sperăm că acest articol vă va ajuta să alegeți un sistem de protecție criptografică.

Introducere

Vă îngrijorează că informațiile importante de pe computer ar putea cădea în mâini greșite? Aceste informații pot fi folosite de concurenți, autorități de reglementare și pur și simplu nedoritori. Evident, astfel de acțiuni vă pot aduce pagube semnificative. Ce sa fac? Pentru a vă proteja informațiile de străini, trebuie să instalați unul dintre programele de criptare a datelor. Revizuirea noastră este dedicată analizei sistemelor de criptare pentru sisteme desktop. Trebuie remarcat faptul că utilizarea sistemelor de criptare străine în Rusia este sever limitată din mai multe motive, astfel încât organizațiile guvernamentale și marile companii interne sunt forțate să folosească dezvoltările rusești. Cu toate acestea, companiile mijlocii și mici, precum și persoanele fizice, preferă uneori sistemele străine.

Pentru cei neinițiați, criptarea informațiilor arată ca o magie neagră. Într-adevăr, criptarea mesajelor pentru a le ascunde conținutul de persoane din afară este o problemă matematică complexă. În plus, cifrul trebuie ales în așa fel încât să fie practic imposibil de deschis fără cheie și rapid și ușor cu o cheie. Multe companii și organizații consideră că este foarte dificil să facă cea mai bună alegere atunci când instalează software de criptare. Problema este și mai complicată de faptul că nu există computere absolut sigure și sisteme de criptare absolut fiabile. Cu toate acestea, există încă suficiente moduri prin care puteți respinge aproape toate încercările de a dezvălui informații criptate.

Ce au programele de criptare în interior

Programele de criptare diferă unele de altele în algoritmul de criptare. Odată ce fișierul este criptat, îl puteți scrie pe o dischetă, îl puteți trimite prin e-mail sau îl puteți pune pe un server din rețeaua locală. Destinatarul criptării dvs. trebuie să aibă același program de criptare pentru a citi conținutul fișierului.

Dacă doriți să trimiteți un mesaj criptat către mai mulți utilizatori în același timp, atunci informațiile dvs. pentru fiecare destinatar pot fi criptate cu propria cheie sau cu o cheie partajată pentru toți utilizatorii (inclusiv autorul mesajului).

Criptosistemul folosește un cod secret pentru a vă transforma informațiile într-un set de caractere fără sens, pseudo-aleatoriu. Cu un algoritm de criptare bun, este aproape imposibil să decriptezi un mesaj fără a cunoaște codul secret folosit pentru a-l cripta. Astfel de algoritmi sunt numiți algoritmi cu cheie simetrică deoarece aceeași cheie este folosită pentru a cripta și decripta informațiile.

Pentru a vă proteja datele, programul de criptare creează o cheie secretă pe baza parolei dvs. Trebuie doar să setați o parolă lungă pe care nimeni nu o poate ghici. Cu toate acestea, dacă doriți ca altcineva să citească fișierul, va trebui să îi spuneți acelei persoane cheia secretă (sau parola pe care se bazează). Puteți fi sigur că chiar și un simplu algoritm de criptare vă va proteja datele de un utilizator obișnuit, să zicem, de la un coleg de muncă. Cu toate acestea, profesioniștii au o serie de moduri de a decripta un mesaj fără a cunoaște codul secret.

Fără cunoștințe speciale, nu veți putea verifica în mod independent cât de fiabil este algoritmul dvs. de criptare. Dar te poți baza pe părerea profesioniștilor. Unii algoritmi de criptare, cum ar fi Triple DES (Standard de criptare a datelor) au fost supuși unor ani de testare. Conform rezultatelor testului, acest algoritm s-a dovedit bine, iar criptografii cred că poate fi de încredere. Majoritatea noilor algoritmi sunt, de asemenea, studiați cu atenție, iar rezultatele sunt publicate în literatura de specialitate.

Dacă algoritmul programului nu a fost revizuit și discutat în mod deschis de către profesioniști, dacă nu are certificate și alte documente oficiale, acesta este un motiv pentru a ne îndoi de fiabilitatea acestuia și a refuza să folosești un astfel de program.

Un alt tip de sisteme de criptare sunt sistemele cu chei publice. Pentru ca un astfel de sistem să funcționeze, nu este nevoie să îi spuneți destinatarului cheia secretă (sau parola pe baza căreia a fost creată). Aceste sisteme de criptare generează două chei digitale pentru fiecare utilizator: una este folosită pentru a cripta datele, cealaltă - pentru a le decripta. Prima cheie (numită cheie publică) poate fi făcută publică, în timp ce a doua cheie este păstrată secretă. După aceea, oricine poate cripta informațiile folosind cheia publică și doar cei care au cheia secretă corespunzătoare o pot decripta.

Unele programe de criptare conțin un alt mijloc important de protecție - o semnătură digitală. O semnătură digitală atestă că fișierul nu a fost modificat de când a fost semnat și oferă destinatarului informații despre cine a semnat exact fișierul. Algoritmul pentru crearea unei semnături digitale se bazează pe calculul unei sume de control - așa-numita sumă hash, sau rezumatul mesajului. Algoritmii aplicați garantează că este imposibil să ridicați două fișiere diferite ale căror sume hash s-ar potrivi.

Când destinatarul primește un fișier semnat digital, programul său de criptare recalculează suma hash pentru acel fișier. Destinatarul folosește apoi cheia publică publicată de expeditor pentru a recupera semnătura digitală. Dacă rezultatul se potrivește cu valoarea calculată pentru fișier, atunci destinatarul poate fi sigur că textul mesajului nu a fost modificat (dacă acest lucru s-ar fi întâmplat, suma hash ar fi fost diferită), iar semnătura aparține unei persoane care are acces la cheia secretă a expeditorului.

Protejarea informațiilor importante sau sensibile necesită mai mult decât un program bun de criptare. Trebuie să luați o serie de măsuri pentru a asigura securitatea informațiilor. Dacă parola dvs. este slabă (expertii recomandă să o setați la opt sau mai multe caractere) sau dacă pe computer este stocată o copie necriptată a informațiilor confidențiale, atunci chiar și cel mai bun sistem de criptare va fi neputincios în acest caz.

Sistemul Lexicon-Verba

Sistemul Lexicon-Verba este un mijloc de organizare a gestionării securizate a documentelor electronice atât în ​​cadrul rețelei corporative, cât și între diferite organizații. „Lexicon-Verba” folosește două modificări ale sistemului de criptare: sistemul „Verba-W” este destinat organelor de stat (protecția informațiilor confidențiale, în special PAL; cheile de semnătură sunt deschise, cheile de criptare sunt închise), „Verba”. Sistemul -OW" este destinat organizațiilor comerciale (protecția secretelor comerciale; cheile de semnătură și de criptare sunt deschise).

Există destul de multe standarde globale de criptare, dar doar o mică parte dintre acestea sunt certificate de Agenția Federală pentru Comunicații și Informații Guvernamentale (FAPSI), ceea ce face imposibilă utilizarea soluțiilor necertificate în Rusia. Sistemul Verba-W are certificat FAPSI Nr. SF / 114-0176. Sistem Verba-OW - certificat FAPSI Nr SF / 114-0174.

„Lexicon-Verba” oferă criptare și semnătură digitală în conformitate cu cerințele GOST 28147-89 „Sisteme de procesare a informațiilor. Protecție criptografică” și GOST R34.10-94 „Tehnologia informației. Protecția criptografică a informațiilor. Proceduri pentru dezvoltarea și verificarea unei semnături digitale electronice bazate pe un algoritm criptografic asimetric.

Programul este certificat de către Comisia Tehnică de Stat sub președintele Federației Ruse. În iulie, este de așteptat să primească un certificat de la Ministerul rus al Apărării.

Protecția criptografică a sistemului se bazează pe metoda de criptare cu cheie publică. Fiecare cheie care identifică un utilizator constă din două părți: o cheie publică și o cheie privată. Cheia publică este distribuită gratuit și este folosită pentru a cripta informațiile utilizatorului. Pentru a decripta un document, persoana care l-a criptat trebuie să aibă cheia dvs. publică și să vă identifice ca având acces la document atunci când îl criptați.

Pentru a decripta un document, trebuie să utilizați cheia privată. Cheia privată este formată din două părți, dintre care una este stocată pe un smart card sau pe o memorie tactilă, iar cealaltă este stocată pe hard disk-ul computerului. Astfel, nici pierderea unui smart card, nici accesul neautorizat la un computer nu fac posibilă, individual, decriptarea documentelor.

Setul inițial de chei, care include informații complete despre cheile publice și private ale utilizatorului, este creat la un loc de muncă securizat special echipat. O dischetă cu informații cheie este utilizată numai în etapa de pregătire a locului de muncă al utilizatorului.

Sistemul Lexicon-Verba poate fi utilizat în cadrul a două sisteme principale pentru organizarea managementului securizat al documentelor:

• ca soluție de sine stătătoare. Dacă organizația are o rețea locală, sistemul poate fi instalat nu pe toate computerele, ci numai pe cele care necesită lucrul cu documente confidențiale. Aceasta înseamnă că în interiorul rețelei corporative există o subrețea pentru schimbul de informații clasificate. În același timp, participanții din partea închisă a sistemului pot face schimb de documente deschise cu alți angajați;
• ca parte a fluxului de lucru. Lexicon-Verba are interfețe standard pentru conectarea funcțiilor externe pentru deschiderea, salvarea, închiderea și trimiterea documentelor, ceea ce facilitează integrarea acestui sistem atât în ​​sistemele de gestionare a documentelor existente, cât și în cele nou dezvoltate.

Trebuie remarcat faptul că proprietățile sistemului Lexicon-Verba îl fac nu numai un mijloc de a oferi protecție a informațiilor împotriva intruziunilor externe, ci și un mijloc de creștere a confidențialității intra-corporate și de partajare a accesului.

Una dintre resursele suplimentare importante pentru creșterea nivelului de control al securității informațiilor este capacitatea de a menține un „jurnal de evenimente” pentru orice document. Caracteristica de fixare a istoricului documentelor poate fi activată sau dezactivată numai atunci când sistemul este instalat; când este activat, acest jurnal va fi păstrat indiferent de dorința utilizatorului.

Principalul avantaj și caracteristica distinctivă a sistemului este o implementare simplă și intuitivă a funcțiilor de securitate a informațiilor, menținând în același timp mediul de lucru al utilizatorului, tradițional pentru procesoarele de text.

Unitatea de criptografie realizează criptarea, precum și instalarea și îndepărtarea unei semnături digitale electronice (EDS) a documentelor.

Funcții auxiliare ale blocului - descărcarea unei chei secrete, exportul și importul cheilor publice, configurarea și menținerea unui director de chei de abonat de sistem.

Astfel, fiecare dintre cei care au acces la document își poate pune doar semnătura, dar înlătură pe oricare dintre cele setate anterior.

Aceasta reflectă ordinea acceptată a muncii de birou, atunci când, pe măsură ce trece aprobarea, documentul poate face obiectul unor revizuiri în diferite etape, dar după aceea documentul trebuie să fie avizat din nou.

Dacă încercați să faceți modificări documentului prin alte mijloace decât „Lexicon-Verba”, EDS-ul este deteriorat, ca urmare, în câmpul „Starea semnăturii” va apărea inscripția „Dezvoltat”.

Birou

Pe măsură ce numărul utilizatorilor sistemului crește, introducerea fiecărei chei publice pe fiecare computer devine dificilă. Prin urmare, pentru organizarea activității biroului, se organizează administrarea centralizată a directorului de chei publice. Acest lucru se face în felul următor:

1) „Lexicon-Verba” este instalat pe computerul administratorului în modul local. Se creează astfel un director de chei publice, în care administratorul adaugă fiecare cheie folosită în birou;

2) pe toate celelalte computere sistemul este instalat în modul de rețea. Acest mod folosește directorul cheii publice situat pe computerul administratorului;

3) fiecare utilizator nou adăugat de administrator în director devine „vizibil” pentru toți utilizatorii conectați la director. Din acel moment, au posibilitatea de a-i transfera documente criptate.

Administrarea directorului devine centralizată, dar acest lucru nu afectează nivelul de securitate a sistemului, deoarece furnizarea accesului la cheile publice este un fel de „cunoștință” a utilizatorilor, dar nu dă acces la niciun document. Pentru ca un utilizator să poată decripta un document, cheia publică a acestuia nu trebuie să fie doar în director, ci și să fie listată în mod explicit ca având acces la document.

Principalele sarcini de protejare a informațiilor în timpul stocării, procesării și transmiterii acesteia prin canale de comunicare și pe diverse medii, rezolvate cu ajutorul CIPF, sunt: ​​1.

Asigurarea secretului (confidenţialităţii) informaţiilor. 2.

Asigurarea integritatii informatiilor. 3.

Autentificarea informațiilor (documente). Pentru a rezolva aceste probleme, este necesar să implementați următoarele

procese: 1.

Implementarea funcțiilor efective de securitate a informațiilor, inclusiv:

criptare/decriptare; crearea/verificarea EDS; crearea/testarea inserțiilor simulate. 2.

Monitorizarea stării și gestionarea funcționării mijloacelor KPI (în sistem):

controlul stării: detectarea și înregistrarea cazurilor de încălcare a operabilității mijloacelor KPI, încercări de acces neautorizat, cazuri de compromitere a cheilor;

managementul operațiunii: luarea de măsuri în cazul abaterilor enumerate de la funcționarea normală a mijloacelor KPI. 3.

Efectuarea întreținerii instalațiilor KZI: implementarea managementului cheilor;

executarea procedurilor legate de conectarea noilor abonați la rețea și/sau excluderea abonaților pensionați; eliminarea deficiențelor identificate ale CIPF; punerea în funcțiune a noilor versiuni de software CIPF;

modernizarea si inlocuirea mijloacelor tehnice ale CIPF cu altele mai avansate si/sau inlocuirea mijloacelor a caror resursa a fost epuizata.

Managementul cheilor este una dintre cele mai importante funcții ale protecției informațiilor criptografice și constă în implementarea următoarelor funcții principale:

generarea cheilor: definește un mecanism de generare a cheilor sau perechilor de chei cu garanția calităților criptografice ale acestora;

distribuția cheilor: definește mecanismul prin care cheile sunt livrate abonaților în mod fiabil și sigur;

reținerea cheilor: definește mecanismul prin care cheile sunt stocate în siguranță și în siguranță pentru utilizare ulterioară;

recuperare cheie: definește mecanismul de recuperare a uneia dintre chei (înlocuire cu o cheie nouă);

distrugerea cheilor: definește mecanismul prin care cheile învechite sunt distruse în siguranță;

arhiva chei: un mecanism prin care cheile pot fi stocate în siguranță pentru recuperarea ulterioară notarială în situații de conflict.

În general, pentru implementarea funcțiilor enumerate de protecție a informațiilor criptografice, este necesar să se creeze un sistem de protecție a informațiilor criptografice care să combine mijloacele efective ale CSI, personalul de service, sediul, echipamentele de birou, documentația variată (tehnică, de reglementare), etc.

După cum sa menționat deja, pentru a obține garanții de protecție a informațiilor, este necesar să se utilizeze mijloace certificate de KPI.

În prezent, cea mai răspândită este problema protecției informațiilor confidențiale. Pentru a rezolva această problemă, sub auspiciile FAPSI, a fost dezvoltat un set complet funcțional de protecție criptografică a informațiilor confidențiale, care permite rezolvarea sarcinilor enumerate de protecție a informațiilor pentru o mare varietate de aplicații și condiții de utilizare.

Acest complex se bazează pe nucleele criptografice „Verba” (sistem de chei asimetrice) și „Verba-O” (sistem de chei simetrice). Aceste criptocore oferă proceduri de criptare a datelor în conformitate cu cerințele GOST 28147-89 „Sisteme de procesare a informațiilor. Protecție criptografică” și semnături digitale în conformitate cu cerințele GOST R34.10-94 „Tehnologia informației. Protecția informațiilor criptografice. Proceduri de generare și verificarea semnăturii digitale electronice pe baza unui algoritm criptografic asimetric”.

Instrumentele incluse în complexul CIPF vă permit să protejați documentele electronice și fluxurile de informații folosind mecanisme de criptare și semnătură electronică certificate în aproape toate tehnologiile informaționale moderne, inclusiv următoarele: utilizarea CIPF în modul offline;

schimb de informații securizat în modul off-line; schimb de informații securizat în modul on-line; eterogen protejat, adică schimbul mixt de informații.

Pentru a rezolva problemele sistemice ale utilizării instrumentelor de protecție a informațiilor criptografice, sub conducerea lui D. A. Starovoitov, a fost dezvoltată tehnologia complexă de protecție a informațiilor criptografice Vityaz, care asigură protecția datelor criptografice în toate părțile sistemului simultan: nu numai în canalele de comunicare. și noduri de sistem, dar și direct la locurile de muncă ale utilizatorilor în procesul de creare a unui document, când documentul în sine este protejat.

În plus, în cadrul tehnologiei generale Vityaz, este oferită utilizatorilor o tehnologie simplificată, ușor accesibilă pentru încorporarea instrumentelor de protecție a informațiilor criptografice licențiate în diverse sisteme de aplicații, ceea ce face ca gama de utilizare a acestor surse de informații criptografice să fie foarte largă.

Mai jos este o descriere a mijloacelor și metodelor de protecție pentru fiecare dintre modurile enumerate.

Utilizarea offline a CIPF.

Când se lucrează autonom cu CIPF, pot fi implementate următoarele tipuri de protecție a informațiilor criptografice: crearea unui document protejat; protecția fișierelor;

crearea unui sistem de fișiere securizat; crearea unei unități logice sigure. La cererea utilizatorului, pot fi implementate următoarele tipuri de protecție criptografică a documentelor (fișierelor):

criptarea unui document (fișier), care face conținutul acestuia inaccesibil atât la stocarea unui document (fișier), cât și atunci când acesta este transmis prin canale de comunicare sau prin curier;

dezvoltarea unui imitator de insert, care asigură controlul asupra integrității documentului (dosar);

formarea unui EDS, care asigură controlul integrității documentului (dosarul) și autentificarea persoanei care a semnat documentul (dosarul).

Ca urmare, documentul (fișierul) protejat se transformă într-un fișier criptat care conține, dacă este necesar, un EDS. Semnătura digitală, în funcție de organizarea procesului de prelucrare a informațiilor, poate fi reprezentată și printr-un dosar separat de documentul semnat. În plus, acest fișier poate fi scos pe o dischetă sau pe alt mediu, pentru livrare prin curier sau trimis prin orice e-mail disponibil, de exemplu, prin Internet.

În consecință, la primirea unui fișier criptat prin e-mail sau pe unul sau altul mediu, acțiunile de protecție criptografică efectuate sunt efectuate în ordine inversă (decriptare, verificare inserare imitație, verificare semnătură digitală).

Următoarele instrumente certificate pot fi utilizate pentru a efectua lucrări autonome cu CIPF:

editor de text „Lexicon-Verba”, implementat pe baza CIPF „Verba-O” și CIPF „Verba”;

Complexul software CIPF „Autonomous Workplace” implementat pe baza CIPF „Verba” și „Verba-O” pentru Windows 95/98/NT;

driver de disc criptografic PTS „DiskGuard”.

Procesor de text protejat „Lexicon-Verba”.

Sistemul Lexicon-Verba este un editor de text cu funcții complete, cu suport pentru criptarea documentelor și semnătura digitală electronică. Pentru a proteja documentele, folosește sistemele criptografice Verba și Verba-O. Unicitatea acestui produs constă în faptul că funcțiile de criptare și semnare de text sunt pur și simplu incluse în funcțiile unui editor de text modern. Criptarea și semnarea documentului în acest caz se transformă din procese speciale în pur și simplu acțiuni standard atunci când lucrați cu un document.

În același timp, sistemul Lexicon-Verba arată ca un editor de text obișnuit. Opțiunile de formatare a textului includ personalizarea completă a fonturilor și a paragrafelor documentelor; tabele și liste; subsoluri, note de subsol, bare laterale; utilizarea stilurilor și a multor alte caracteristici ale unui editor de text care îndeplinește cerințele moderne. „Lexicon-Verba” vă permite să creați și să editați documente în formate Lexicon, RTF, MS Word 6/95/97, MS Write.

Loc de muncă autonom.

CIPF „Locul de muncă autonom” este implementat pe baza CIPF „Verba” și „Verba-O” pentru Windows 95/98/NT și permite utilizatorului să efectueze următoarele funcții în modul interactiv:

criptarea/decriptarea fișierelor de pe chei; criptarea / decriptarea fișierelor cu o parolă; aplicarea/eliminarea/verificarea semnăturilor electronice digitale (EDS) sub dosare;

verificarea fișierelor criptate;

Fixarea EDS + criptarea (într-o singură acțiune) a fișierelor; decriptare + eliminare EDS (într-o singură acțiune) sub fișiere;

calculul fișierului hash.

CIPF „Locul de muncă autonom” este recomandabil să fie utilizat pentru munca zilnică a angajaților care trebuie să asigure:

transfer de informații confidențiale în formă electronică prin curier sau curier;

trimiterea de informații confidențiale printr-o rețea publică, inclusiv pe internet;

protecție împotriva accesului neautorizat la informații confidențiale de pe computerele personale ale angajaților.