Objektet mbrojtje kriptografike informacioni, ose i shkurtuar CIPF, përdoren për të siguruar mbrojtje gjithëpërfshirëse të të dhënave të transmetuara përmes linjave të komunikimit. Për ta bërë këtë, është e nevojshme të vëzhgoni autorizimin dhe mbrojtjen e nënshkrimit elektronik, vërtetimin e palëve që komunikojnë duke përdorur protokollet TLS dhe IPSec, si dhe mbrojtjen e vetë kanalit të komunikimit, nëse është e nevojshme.
Në Rusi, përdorimi i mjeteve kriptografike për mbrojtjen e informacionit është kryesisht i klasifikuar, kështu që ka pak informacion të disponueshëm publikisht për këtë temë.
Metodat e përdorura në sistemet e mbrojtjes së informacionit kriptografik
- Autorizimi i të dhënave dhe garantimi i sigurisë së rëndësisë së tyre ligjore gjatë transmetimit ose ruajtjes. Për këtë, algoritmet për krijimin e një nënshkrimi elektronik dhe verifikimin e tij përdoren në përputhje me rregulloret e vendosura RFC 4357 dhe përdorin certifikatat sipas standardit X.509.
- Mbrojtja e konfidencialitetit të të dhënave dhe kontrolli i integritetit të tyre. Përdoret enkriptimi asimetrik dhe mbrojtja imituese, domethënë kundërveprimi ndaj zëvendësimit të të dhënave. Në përputhje me GOST R 34.12-2015.
- Mbrojtja e sistemit dhe softuerit aplikativ. Ndjekja e ndryshimeve ose mosfunksionimeve të paautorizuara.
- Menaxhimi i elementeve më të rëndësishëm të sistemit në përputhje të plotë me rregulloret e miratuara.
- Autentifikimi i palëve që shkëmbejnë të dhëna.
- Sigurimi i lidhjes duke përdorur protokollin TLS.
- Mbrojtja e lidhjeve IP duke përdorur protokollet IKE, ESP, AH.
Metodat përshkruhen në detaje në dokumentet e mëposhtme: RFC 4357, RFC 4490, RFC 4491.
Mekanizmat CIPF për mbrojtjen e informacionit
- Konfidencialiteti i informacionit të ruajtur ose të transmetuar mbrohet duke përdorur algoritme të enkriptimit.
- Kur vendoset një lidhje, identifikimi sigurohet me nënshkrim elektronik kur ato përdoren gjatë vërtetimit (sipas rekomandimit X.509).
- Rrjedha dixhitale e punës mbrohet gjithashtu me anë të nënshkrimeve elektronike së bashku me mbrojtjen kundër ndërhyrjes ose përsëritjes, ndërkohë që kontrollohet vlefshmëria e çelësave të përdorur për verifikimin e nënshkrimeve elektronike.
- Integriteti i informacionit sigurohet me anë të nënshkrimit dixhital.
- Përdorimi i veçorive të enkriptimit asimetrik ndihmon në mbrojtjen e të dhënave tuaja. Përveç kësaj, funksionet e hashimit ose algoritmet e mbrojtjes së imitimit mund të përdoren për të kontrolluar integritetin e të dhënave. Megjithatë, këto metoda nuk e mbështesin atribuimin e dokumentit.
- Mbrojtja kundër përsëritjes ndodh nga funksionet kriptografike të nënshkrimit elektronik për mbrojtjen e enkriptimit ose imitimit. Në të njëjtën kohë, çdo sesion rrjeti i shtohet një identifikues unik, mjaft i gjatë për të përjashtuar rastësinë e tij aksidentale, dhe verifikimi nga pala marrëse zbatohet.
- Mbrojtja nga ndërhyrja, domethënë nga depërtimi në komunikime nga jashtë, sigurohet me anë të nënshkrimit elektronik.
- Mbrojtje të tjera - kundër faqerojtësve, viruseve, modifikimeve sistemi operativ etj - sigurohet nga mjete të ndryshme kriptografike, protokolle sigurie, softuer antivirus dhe masat organizative opiumi.
Siç mund ta shihni, algoritmet e nënshkrimit elektronik janë një pjesë themelore e mbrojtjes së informacionit kriptografik. Ato do të diskutohen më poshtë.
Kërkesat për përdorimin e CIPF
CIPF synon mbrojtjen (duke verifikuar nënshkrimin elektronik) të të dhënave të hapura në të ndryshme sistemet e informacionit Oh përdorim të përgjithshëm dhe sigurimin e konfidencialitetit të tyre (verifikimi i nënshkrimit elektronik, mbrojtje imituese, enkriptim, verifikim hash) në rrjetet e korporatave.
Mjetet personale të mbrojtjes së informacionit kriptografik përdoren për të mbrojtur të dhënat personale të përdoruesit. Megjithatë, është e nevojshme të theksohen informacionet në lidhje me sekretet shtetërore... Sipas ligjit, CIPF nuk mund të përdoret për të punuar me të.
E rëndësishme: përpara se të instaloni mjetin e mbrojtjes së informacionit kriptografik, gjëja e parë që duhet të bëni është të kontrolloni vetë paketën e softuerit. Ky është hapi i parë. Në mënyrë tipike, integriteti i paketës së instalimit verifikohet duke krahasuar shumat e kontrollit marrë nga prodhuesi.
Pas instalimit, duhet të përcaktoni nivelin e kërcënimit, në bazë të të cilit mund të përcaktoni llojet e mjeteve të mbrojtjes së informacionit kriptografik që kërkohen për përdorim: softuer, harduer dhe harduer-softuer. Duhet gjithashtu të kihet parasysh se gjatë organizimit të disa mjeteve të mbrojtjes së informacionit kriptografik, është e nevojshme të merret parasysh vendndodhja e sistemit.
Klasat e mbrojtjes
Sipas urdhrit të FSB të Rusisë të datës 07/10/14 nën numrin 378, që rregullon përdorimin e mjeteve kriptografike për mbrojtjen e informacionit dhe të dhënave personale, përcaktohen gjashtë klasa: KS1, KS2, KS3, KV1, KV2, KA1. Klasa e mbrojtjes për një sistem të caktuar përcaktohet nga analiza e të dhënave në modelin e ndërhyrës, domethënë nga një vlerësim i mënyrave të mundshme të hakimit të sistemit. Në këtë rast, mbrojtja ndërtohet nga mbrojtja e informacionit kriptografik të softuerit dhe harduerit.
AU (kërcënimet aktuale), siç mund të shihet nga tabela, janë të 3 llojeve:
- Kërcënimet e llojit të parë shoqërohen me aftësi të padokumentuara në softuerin e sistemit të përdorur në sistemin e informacionit.
- Kërcënimet e llojit të dytë shoqërohen me aftësi të padokumentuara në softuerin aplikativ të përdorur në sistemin e informacionit.
- Të gjithë të tjerët quhen lloji i tretë i kërcënimit.
Aftësitë e padokumentuara janë funksione dhe veti të softuerit që nuk përshkruhen në dokumentacionin zyrtar ose nuk korrespondojnë me të. Kjo do të thotë, përdorimi i tyre mund të rrisë rrezikun e cenimit të konfidencialitetit ose integritetit të informacionit.
Për qartësi, le të shqyrtojmë modelet e shkelësve, për përgjimin e të cilave nevojitet një ose një klasë tjetër e mjeteve të mbrojtjes së informacionit kriptografik:
- КС1 - ndërhyrës vepron nga jashtë, pa ndihmës brenda sistemit.
- KS2 është një ndërhyrës i brendshëm, por nuk ka qasje në CIPF.
- KS3 është një ndërhyrës i brendshëm që është përdorues i CIPF.
- KV1 është një ndërhyrës që tërheq burime të palëve të treta, për shembull, ekspertë të kripto-sigurisë.
- KV2 është një ndërhyrës, pas veprimeve të të cilit qëndron një institut ose laborator që punon në fushën e studimit dhe zhvillimit të mjeteve të sigurisë së informacionit kriptografik.
- KA1 - shërbimet speciale të shteteve.
Kështu, KC1 mund të quhet klasa bazë e mbrojtjes. Prandaj, sa më e lartë të jetë klasa e mbrojtjes, aq më pak specialistë janë në gjendje ta ofrojnë atë. Për shembull, në Rusi, sipas të dhënave për vitin 2013, kishte vetëm 6 organizata me një certifikatë nga FSB dhe të afta të siguronin mbrojtje të klasës KA1.
Algoritmet e përdorura
Le të shqyrtojmë algoritmet kryesore të përdorura në mjetet e mbrojtjes së informacionit kriptografik:
- GOST R 34.10-2001 dhe përditësuar GOST R 34.10-2012 - algoritme për krijimin dhe verifikimin e një nënshkrimi elektronik.
- GOST R 34.11-94 dhe më i fundit GOST R 34.11-2012 - algoritme për krijimin e funksioneve hash.
- GOST 28147-89 dhe më i ri GOST R 34.12-2015 - zbatimi i algoritmeve të kriptimit dhe imitimi i mbrojtjes së të dhënave.
- Algoritme shtesë kriptografike gjenden në RFC 4357.
Nënshkrimi elektronik
Përdorimi i një mjeti për mbrojtjen kriptografike të informacionit nuk mund të imagjinohet pa përdorimin e algoritmeve të nënshkrimit elektronik, të cilët po fitojnë gjithnjë e më shumë popullaritet.
Një nënshkrim elektronik është një pjesë e veçantë e një dokumenti të krijuar nga transformimet kriptografike. Detyra e tij kryesore është të identifikojë ndryshimet dhe atribuimet e paautorizuara.
Certifikata e nënshkrimit elektronik është një dokument i veçantë që dëshmon origjinalitetin dhe pronësinë e një nënshkrimi elektronik për pronarin e tij duke përdorur një çelës publik. Certifikata lëshohet nga autoritetet e certifikimit.
Pronari i certifikatës së nënshkrimit elektronik është personi në emër të të cilit është regjistruar certifikata. Ai është i lidhur me dy çelësa: publik dhe privat. Çelësi privat ju lejon të krijoni një nënshkrim elektronik. Çelësi publik është krijuar për të vërtetuar nënshkrimin përmes një lidhjeje kriptografike me çelësin privat.
Llojet e nënshkrimit elektronik
Sipas Ligjit Federal Nr. 63 nënshkrim elektronik ndahet ne 3 lloje:
- nënshkrim i rregullt elektronik;
- nënshkrim elektronik i pakualifikuar;
- nënshkrim elektronik i kualifikuar.
Nënshkrimi i thjeshtë elektronik krijohet nga fjalëkalimet e vendosura në hapjen dhe shikimin e të dhënave, ose mjete të ngjashme që konfirmojnë në mënyrë indirekte pronarin.
Një nënshkrim dixhital i pakualifikuar krijohet duke përdorur transformimet e të dhënave kriptografike duke përdorur një çelës privat. Falë kësaj, ju mund të konfirmoni personin që ka nënshkruar dokumentin dhe të vërtetoni faktin se janë bërë ndryshime të paautorizuara në të dhëna.
Nënshkrimet e kualifikuara dhe të pakualifikuara ndryshojnë vetëm në atë që në rastin e parë, një certifikatë për nënshkrim elektronik duhet të lëshohet nga një autoritet certifikues i certifikuar nga FSB.
Fusha e përdorimit të nënshkrimit elektronik
Tabela e mëposhtme tregon fushëveprimin e aplikimit të nënshkrimit elektronik.
Teknologjitë e nënshkrimit elektronik përdoren në mënyrë më aktive në shkëmbimin e dokumenteve. Në rrjedhën e brendshme të dokumenteve, nënshkrimi elektronik vepron si miratim i dokumenteve, domethënë si nënshkrim ose vulë personale. Në rastin e rrjedhës së dokumenteve të jashtme, prania e ES është kritike, pasi është një konfirmim ligjor. Vlen gjithashtu të theksohet se dokumentet e nënshkruara me nënshkrim elektronik mund të ruhen për një kohë të pacaktuar dhe të mos humbasin rëndësinë e tyre juridike për shkak të faktorëve të tillë si firmat e fshira, letra e dëmtuar etj.
Raportimi tek autoritetet rregullatore është një tjetër fushë në të cilën fluksi i dokumenteve elektronike po rritet. Shumë kompani dhe organizata e kanë vlerësuar tashmë komoditetin e punës në këtë format.
Sipas ligjit të Federatës Ruse, çdo qytetar ka të drejtë të përdorë nënshkrimin elektronik kur përdor shërbimet publike (për shembull, nënshkrimi i një aplikacioni elektronik për autoritetet).
Tregtimi në internet është një tjetër fushë interesante në të cilën nënshkrimet elektronike përdoren në mënyrë aktive. Është një konfirmim i faktit që një person real merr pjesë në ankand dhe propozimet e tij mund të konsiderohen të besueshme. Është gjithashtu e rëndësishme që çdo kontratë e lidhur me ndihmën e ES të marrë fuqi ligjore.
Algoritmet e nënshkrimit elektronik
- Hash i plotë i domenit (FDH) dhe standardet e kriptografisë së çelësit publik (PKCS). Ky i fundit është një grup i tërë algoritmesh standarde për situata të ndryshme.
- DSA dhe ECDSA janë standardet e nënshkrimit elektronik të SHBA-së.
- GOST R 34.10-2012 është standardi për krijimin e nënshkrimeve elektronike në Federatën Ruse. Ky standard zëvendësoi GOST R 34.10-2001, i cili zyrtarisht pushoi pas 31 dhjetorit 2017.
- Bashkimi Euroaziatik përdor standarde që janë plotësisht të ngjashme me ato në Rusi.
- STB 34.101.45-2013 - Standardi bjellorus për nënshkrimin elektronik dixhital.
- DSTU 4145-2002 - standardi për krijimin e një nënshkrimi elektronik në Ukrainë dhe shumë të tjerë.
Gjithashtu duhet theksuar se algoritmet për krijimin e nënshkrimeve elektronike kanë takime të ndryshme dhe qëllimet:
- Nënshkrimi elektronik i grupit.
- Nënshkrimi dixhital një herë.
- Nënshkrimi dixhital i besuar.
- Nënshkrimi i kualifikuar dhe i pakualifikuar etj.
Prezantimi
1.Ekskursion në historinë e kriptografisë elektronike
1.1 Detyrat themelore të kriptografisë
1.2 Kriptografia sot
2. Konceptet bazë
2.1 Kriptografia
2.2 Konfidencialiteti
2.3 Integriteti
2.4 Autentifikimi
2.5 Nënshkrimi dixhital
3. Mbrojtje kriptografike
3.1 Kriptosistemet
3.2 Parimet e funksionimit të Kriptosistemit
3.2.1 Metodologjia kryesore
3.2.1.1 Simetrike (metodologji sekrete)
3.2.1.2 Asimetrike (metodologji e hapur)
3.3 Shpërndarja e çelësave
3.4 Algoritmet e enkriptimit
3.4.1 Algoritmet simetrike
3.4.2 Algoritmet asimetrike
3.5 Funksionet hash
3.6 Mekanizmat e vërtetimit
3.7 Nënshkrimet elektronike dhe vulat kohore
3.8 Forca e shifrës
konkluzioni
Bibliografi
Prezantimi
Kriptografia është shkenca e mbrojtjes së informacionit nga leximi nga të huajt. Mbrojtja arrihet me enkriptim, d.m.th. transformimet që e bëjnë të vështirë zbulimin e të dhënave hyrëse të mbrojtura nga të dhënat hyrëse pa dijeninë e informacionit të veçantë kyç - çelësin. Çelësi kuptohet si një pjesë lehtësisht e ndryshueshme e kriptosistemit, e mbajtur sekret dhe që përcakton se cili nga transformimet e mundshme të enkriptimit kryhet në në këtë rast... Një kriptosistem është një familje transformimesh të kthyeshme të zgjedhura me një çelës që transformon tekstin e pastër të mbrojtur në një shifër dhe anasjelltas.
Është e dëshirueshme që metodat e kriptimit të kenë të paktën dy veti:
Marrësi legjitim do të jetë në gjendje të përmbushë transformim i kundërt dhe deshifroni mesazhin;
Kriptanalisti i një kundërshtari që përgjon një mesazh nuk do të jetë në gjendje të rikuperojë mesazhin origjinal prej tij pa një investim të tillë kohe dhe parash që do ta bënte këtë punë jopraktike.
Synimi punim terminor: Njihuni me bazat e mbrojtjes së informacionit kriptografik. Për të arritur këtë qëllim, puna u konsiderua:
1. historia e kriptografisë, e cila përfshin detyrat kryesore të kriptografisë;
2. konceptet bazë të kriptografisë (konfidencialiteti, integriteti, vërtetimi, nënshkrimi dixhital);
3. Mjetet kriptografike të mbrojtjes (kriptosistemet, parimet e kriptosistemeve, shpërndarja e çelësave, algoritmet e enkriptimit etj.).
1.Ekskursion në historinë e kriptografisë elektronike
Shfaqja në mesin e shekullit të njëzetë e kompjuterëve të parë elektronikë ndryshoi rrënjësisht situatën në fushën e enkriptimit (kriptografisë). Me depërtimin e kompjuterëve në sfera të ndryshme të jetës, u ngrit një industri thelbësisht e re - industria e informacionit. Në vitet '60 dhe pjesërisht në vitet '70, problemi i mbrojtjes së informacionit u zgjidh në mënyrë mjaft efektive duke përdorur kryesisht masa organizative. Këto përfshinin, para së gjithash, masat e sigurisë, sigurinë, sinjalizimin dhe mjetet më të thjeshta softuerike për mbrojtjen e informacionit. Efektiviteti i përdorimit të këtyre mjeteve u arrit për shkak të përqendrimit të informacionit në qendrat informatike, si rregull, autonome, gjë që kontribuoi në sigurimin e mbrojtjes me mjete relativisht të vogla. "Shpërndarja" e informacionit në vendet e ruajtjes dhe përpunimit të tij, e cila u lehtësua kryesisht nga shfaqja në sasi të mëdha të kompjuterëve personalë të lirë dhe rrjeteve kompjuterike kombëtare dhe transnacionale lokale dhe globale të ndërtuara mbi bazën e tyre, duke përdorur kanale komunikimi satelitore, krijimin e sistemet shumë efikase për kërkimin dhe prodhimin e informacionit, e përkeqësuan situatën me mbrojtjen e informacionit.
Problemi i sigurimit nivelin e kërkuar mbrojtja e informacionit doli të ishte (dhe kjo konfirmohet në mënyrë thelbësore si nga hulumtimi teorik ashtu edhe nga përvoja zgjidhje praktike) shumë kompleks, që kërkon për zgjidhjen e tij jo vetëm zbatimin e një grupi të caktuar masash shkencore, shkencore, teknike dhe organizative dhe përdorimin e mjeteve dhe metodave specifike, por krijimin e një sistemi integral të masave organizative dhe përdorimin e mjeteve specifike. dhe metodat për mbrojtjen e informacionit.
Vëllimi i informacionit që qarkullon në shoqëri po rritet vazhdimisht. Popullariteti rrjet mbarëbotëror Interneti në vitet e fundit kontribuon në dyfishimin e informacionit çdo vit. Në fakt, në pragun e mijëvjeçarit të ri, njerëzimi ka krijuar një qytetërim informacioni, në të cilin mirëqenia dhe madje mbijetesa e njerëzimit në kapacitetin e tij aktual varet nga funksionimi i suksesshëm i objekteve të përpunimit të informacionit. Ndryshimet që kanë ndodhur gjatë kësaj periudhe mund të karakterizohen si më poshtë:
Vëllimet e informacionit të përpunuar janë rritur me disa renditje të madhësisë në gjysmë shekulli;
Qasja në të dhëna të caktuara ju lejon të kontrolloni vlera të rëndësishme materiale dhe financiare;
Informacioni ka marrë një vlerë që edhe mund të llogaritet;
Natyra e të dhënave të përpunuara është bërë jashtëzakonisht e larmishme dhe nuk kufizohet më në të dhëna thjesht tekstuale;
Informacioni ishte krejtësisht i “depersonalizuar”, d.m.th. tiparet e saj përfaqësim material humbën kuptimin e tyre - krahasoni letrën e shekullit të kaluar dhe mesazhin modern me e-mail;
Natyra e ndërveprimeve të informacionit është bërë jashtëzakonisht e ndërlikuar, dhe së bashku me detyrën klasike të mbrojtjes së mesazheve tekstuale të transmetuara nga leximi dhe shtrembërimi i paautorizuar, janë shfaqur detyra të reja në fushën e mbrojtjes së informacionit, të cilat më parë qëndronin dhe zgjidheshin brenda kornizës së përdorur. Teknologjitë "letër" - për shembull, nënshkrimi nën një dokument elektronik dhe dorëzimi i një dokumenti elektronik " në marrje "- ne ende po flasim për "probleme" të tilla" të reja të kriptografisë;
Subjektet e proceseve të informacionit janë tashmë jo vetëm njerëzit, por edhe sistemet automatike të krijuara prej tyre, duke vepruar sipas programit të përcaktuar në to;
"Aftësitë" llogaritëse të kompjuterëve modernë janë ngritur plotësisht nga një nivel të ri si një mundësi për zbatimin e shifrave, e paimagjinueshme më parë për shkak të saj kompleksiteti i lartë dhe aftësia e analistëve për t'i goditur ato. Ndryshimet e mësipërme çuan në faktin se shumë shpejt pas përhapjes së kompjuterëve në sferën e biznesit Kriptografia praktike ka bërë një hap të madh përpara në zhvillimin e saj, dhe në disa drejtime njëherësh:
Së pari, u zhvilluan bllok të fortë me një çelës sekret, i projektuar për të zgjidhur problemin klasik - për të siguruar fshehtësinë dhe integritetin e të dhënave të transmetuara ose të ruajtura, ato mbeten ende "kali i punës" i kriptografisë, mjeti më i përdorur i mbrojtjes kriptografike;
Së dyti, u krijuan metoda për zgjidhjen e problemeve të reja, jo tradicionale në fushën e sigurisë së informacionit, më i famshmi prej të cilave është problemi i nënshkrimit. dokument dixhital dhe shpërndarjen e çelësit publik. Në botën moderne, një burim informacioni është bërë një nga levat më të fuqishme të zhvillimit ekonomik. Zotërimi i informacionit të cilësisë së kërkuar në koha e duhur dhe në vendin e duhur është çelësi i suksesit në çdo lloj biznesi. Pronësia monopole informacione të caktuara Shpesh rezulton të jetë një avantazh vendimtar në luftën konkurruese dhe në këtë mënyrë paracakton çmimin e lartë të "faktorit të informacionit".
Miratimi i përhapur kompjuterët personalë e solli nivelin e “informatizimit” të jetës së biznesit në një nivel të ri cilësor. Në ditët e sotme është e vështirë të imagjinohet një kompani ose ndërmarrje (përfshirë ato më të voglat) që nuk do të ishte e armatosur. mjete moderne përpunimi dhe transmetimi i informacionit. Në një kompjuter në bartës të të dhënave, grumbullohen sasi të konsiderueshme informacioni, shpesh të një natyre konfidenciale ose me vlerë të madhe për pronarin e tij.
1.1. Detyrat kryesore të kriptografisë.
Detyra e kriptografisë, d.m.th. transmetimi sekret, ndodh vetëm për informacione që kanë nevojë për mbrojtje. Në raste të tilla thonë se informacioni përmban sekret ose është i mbrojtur, privat, konfidencial, sekret. Për situatat më tipike, të hasura shpesh të këtij lloji, janë futur edhe koncepte të veçanta:
sekretet shtetërore;
Një sekret ushtarak;
Sekreti tregtar;
sekretet juridike;
1. ekziston një rreth i caktuar përdoruesish legjitimë që kanë të drejtën e zotërimit të këtij informacioni;
2. ka përdorues të paligjshëm që kërkojnë të zotërojnë këtë informacion për ta kthyer në përfitimin e tyre dhe në dëm të përdoruesve të ligjshëm.
1.2. Kriptografia sot
Kriptografia është shkenca e sigurimit të të dhënave. Ajo po kërkon zgjidhje për katër probleme të rëndësishme të sigurisë - konfidencialitetin, vërtetimin, integritetin dhe kontrollin e pjesëmarrësve në ndërveprim. Kriptimi është shndërrimi i të dhënave në një formë të palexueshme duke përdorur çelësat e enkriptimit-deshifrimit. Kriptimi ju lejon të siguroni konfidencialitet duke e mbajtur sekret informacionin nga ata të cilëve nuk u është caktuar.
2. Konceptet bazë.
Qëllimi i këtij seksioni është të përcaktojë konceptet bazë të kriptografisë.
2.1. Kriptografia.
Përkthyer nga greqishtja, fjala kriptografia do të thotë kriptografi. Kuptimi i këtij termi shpreh qëllimin kryesor të kriptografisë - për të mbrojtur ose mbajtur sekret informacionin e nevojshëm.
Kriptografia ofron një mjet për të mbrojtur informacionin, dhe për këtë arsye është pjesë e aktiviteteve të sigurisë së informacionit.
ekziston metoda të ndryshme mbrojtjen e informacionit... Ju, për shembull, mund të kufizoni fizikisht aksesin në informacion duke e ruajtur atë në një dhomë të sigurt të sigurt ose të mbrojtur rreptësisht. Kur ruani informacionin, kjo metodë është e përshtatshme, por kur e transferoni atë, duhet të përdorni mjete të tjera.
Ju mund të përdorni një nga metodat e njohura të fshehjes së informacionit:
· Fshih kanalin për transmetimin e informacionit duke përdorur një mënyrë jo standarde të transmetimit të mesazheve;
Maskojeni kanalin e transmetimit informacione të klasifikuara në një kanal të hapur komunikimi, për shembull, duke fshehur informacionin në një "enë" të padëmshme duke përdorur një ose një metodë tjetër fjalë për fjalë, ose duke shkëmbyer mesazhe të hapura, kuptimi i të cilave është rënë dakord paraprakisht;
· Ndërlikojnë ndjeshëm mundësinë e përgjimit të mesazheve të transmetuara nga kundërshtari, duke përdorur metoda të veçanta transmetimi përmes kanaleve me brez të gjerë, sinjal nën nivelin e zhurmës, ose përdorimin e frekuencave bartëse "kërcuese", etj.
Ndryshe nga metodat e listuara, kriptografia nuk i “fsheh” mesazhet e transmetuara, por i kthen ato në një formë të paarritshme për armikun. Në këtë rast, ata zakonisht dalin nga supozimi rreth kontroll të plotë armiku i kanalit të komunikimit. Kjo do të thotë që kundërshtari jo vetëm që mund të përgjojë në mënyrë pasive mesazhet e transmetuara për analizën e tyre të mëvonshme, por edhe t'i ndryshojë ato në mënyrë aktive, si dhe të dërgojë mesazhe të rreme në emër të një prej pajtimtarëve.
Ekzistojnë gjithashtu probleme të tjera të mbrojtjes së informacionit të transmetuar. Për shembull, kur plotësisht shkëmbim i hapur lind problemi i besueshmërisë së informacionit të marrë. Për ta zgjidhur atë, është e nevojshme të sigurohet:
· Verifikimi dhe konfirmimi i autenticitetit të përmbajtjes së burimit të mesazhit;
· Parandalimi dhe zbulimi i mashtrimit dhe shkeljeve të tjera të qëllimshme nga ana e pjesëmarrësve në shkëmbimin e informacionit.
Për të zgjidhur këtë problem, mjetet e zakonshme të përdorura në ndërtimin e sistemeve të transmetimit të informacionit nuk janë gjithmonë të përshtatshme. Është kriptografia ajo që siguron mjetet për të zbuluar mashtrimin në formën e falsifikimit ose refuzimit të veprimeve të kryera më parë, si dhe veprimeve të tjera të paligjshme.
Prandaj, moderne kriptografiaështë një fushë e ekspertizës që lidhet me adresimin e çështjeve të sigurisë së informacionit si konfidencialiteti, integriteti, vërtetimi dhe mospranimi. Arritja e këtyre kërkesave është qëllimi kryesor i kriptografisë.
Siguria konfidencialiteti–Zgjidhja e problemit të mbrojtjes së informacionit nga njohja me përmbajtjen e tij nga persona që nuk kanë të drejtë aksesi në të.
Siguria integriteti– Garantoni pamundësinë e ndryshimeve të paautorizuara të informacionit. Për të siguruar integritetin, një e thjeshtë dhe kriter i besueshëm zbulimin e çdo manipulimi të të dhënave. Manipulimi i të dhënave përfshin futjen, fshirjen dhe zëvendësimin.
Siguria vërtetimi-zhvillimi i metodave për konfirmimin e origjinalitetit të palëve (identifikimi) dhe vetë informacionit në procesin e ndërveprimit të informacionit. Informacioni i transmetuar përmes kanalit të komunikimit duhet të vërtetohet nga burimi, koha e krijimit, përmbajtja e të dhënave, koha e transmetimit, etj.
2.2 Konfidencialiteti
Detyra tradicionale e kriptografisë është problemi i sigurimit të konfidencialitetit të informacionit gjatë transmetimit të mesazheve përmes një kanali komunikimi të kontrolluar nga armiku. Në rastin më të thjeshtë, kjo detyrë përshkruhet nga bashkëveprimi i tre subjekteve (palëve). Zakonisht thirret pronari i informacionit nga dërguesi, transformon origjinalin ( hapur) informacioni (quhet vetë procesi i transformimit enkriptimi) në formë të transmetuar marrësi në kanali i hapur lidhjet të koduara mesazhe për ta mbrojtur atë nga armiku.
Oriz . 1. Transmetimi i informacionit të koduar
Marrësi kundërshtar i dërguesit
Nën kundërshtar nënkupton çdo subjekt që nuk ka të drejtë të njihet me përmbajtjen e informacionit të transmetuar. Armiku mund të jetë kriptanalist i cili është i aftë në metodat e deshifrimit të shifrave. Marrësi ligjor i informacionit kryen deshifrimi mesazhet e marra. Kundërshtari po përpiqet të fitojë kontrollin e informacionit të mbrojtur (veprimet e tij zakonisht quhen sulmet). Në të njëjtën kohë, ai mund të kryejë veprime pasive dhe aktive. Pasive sulmet kanë të bëjnë me përgjimin, analizën e trafikut, përgjimin, regjistrimin e mesazheve të transmetuara të koduara, deshifrimi, d.m.th. përpjekjet për të "plasur" mbrojtjen për të marrë informacion.
Gjatë kryerjes aktive sulmet, kundërshtari mund të ndërpresë transmetimin e mesazheve, të krijojë të rreme (të fabrikuara) ose të modifikojë mesazhet e transmetuara të enkriptuara. Këto veprime aktive quhen imitime dhe zëvendësimet përkatësisht.
Nën shifror zakonisht nënkuptojmë një familje transformimesh të kthyeshme, secila prej të cilave përcaktohet nga një parametër, i quajtur çelës, si dhe rendi i zbatimit të këtij transformimi, i quajtur mënyra e konvertimit... Përkufizimi zyrtar i shifrës do të jepet më poshtë.
Celës- atë komponent thelbësor cipher, i cili është përgjegjës për zgjedhjen e transformimit të përdorur për të enkriptuar një mesazh të caktuar. Në mënyrë tipike, çelësi është një sekuencë alfabetike ose numerike. Kjo sekuencë, si të thuash, "akordon" algoritmin e kriptimit.
Çdo transformim përcaktohet në mënyrë unike nga një çelës dhe përshkruhet nga disa algoritmi kriptografik... I njëjti algoritëm kriptografik mund të përdoret për kriptim në mënyra të ndryshme. Kështu, zbatohen metoda të ndryshme të enkriptimit (zëvendësimi i thjeshtë, gama, etj.). Çdo mënyrë kriptimi ka si avantazhe ashtu edhe disavantazhe. Prandaj, zgjedhja e mënyrës varet nga situata specifike. Gjatë deshifrimit, përdoret një algoritëm kriptografik, i cili në rast i përgjithshëm mund të ndryshojë nga algoritmi i përdorur për të enkriptuar mesazhin. Prandaj, ata mund të bëjnë dallimin midis çelësave të enkriptimit dhe deshifrimit. Disa algoritme të kriptimit dhe deshifrimit zakonisht quhen si sistem shifror, dhe pajisjet që i zbatojnë ato - teknologjia e shifrimit.
2.3. Integriteti
Së bashku me konfidencialitetin, një detyrë po aq e rëndësishme është të sigurohet integriteti i informacionit, me fjalë të tjera, pandryshueshmëria e tij gjatë transmetimit ose ruajtjes. Zgjidhja e këtij problemi përfshin zhvillimin e mjeteve që lejojnë zbulimin jo aq shumë shtrembërime të rastësishme (për këtë qëllim, metodat e teorisë së kodimit me zbulimin dhe korrigjimin e gabimeve janë mjaft të përshtatshme), sa imponimi i qëllimshëm i informacionit të rremë nga kundërshtari. . Për këtë, teprica futet në informacionin e transmetuar. Si rregull, kjo arrihet duke shtuar një kombinim të caktuar kontrolli në mesazh, i llogaritur duke përdorur një algoritëm të veçantë dhe duke luajtur rolin e një kontrolli për të verifikuar integritetin e mesazhit të marrë. Dallimi kryesor i kësaj metode nga metodat e teorisë së kodimit është se algoritmi për gjenerimin e kombinimit të kontrollit është "kriptografik", domethënë varet nga çelësi sekret. Pa njohuri për çelësin sekret, probabiliteti i imponimit të suksesshëm të informacionit të shtrembëruar ose të rremë nga kundërshtari është i vogël. Ky probabilitet shërben si masë rezistencë ndaj imitimit cipher, domethënë aftësia e vetë shifrës për t'i rezistuar sulmeve aktive nga armiku.
2.4. Autentifikimi
Autentifikimi është vendosja e autenticitetit. Në përgjithësi, ky term mund t'i referohet të gjitha aspekteve të ndërveprimit të informacionit: sesioni i komunikimit, partitë, mesazhet e transmetuara, etj.
Autentifikimi (d.m.th., verifikimi dhe konfirmimi) i të gjitha aspekteve të komunikimit është një pjesë e rëndësishme e problemit të sigurimit të besueshmërisë së informacionit të marrë. Ky problem është veçanërisht i mprehtë në rastin e palëve që nuk i besojnë njëra-tjetrës, kur burimi i kërcënimeve mund të jetë jo vetëm pala e tretë (kundërshtarja), por edhe pala me të cilën kryhet ndërveprimi.
Le t'i shqyrtojmë këto pyetje.
Për sa i përket një seance komunikimi (transaksioni), vërtetimi nënkupton kontrollimin e: integritetit të lidhjes, pamundësisë së ritransmetimit të të dhënave nga kundërshtari dhe afatit kohor të transmetimit të të dhënave. Për këtë, si rregull, përdoren parametra shtesë, të cilët lejojnë "lidhjen" e të dhënave të transmetuara në një sekuencë lehtësisht të verifikueshme. Kjo arrihet, për shembull, duke futur disa numra të veçantë në mesazhe, ose pulla kohore... Ato ju lejojnë të parandaloni përpjekjet e ritransmetimit, rirenditjen ose kthimin e një pjese të mesazheve të transmetuara. Për më tepër, futjet e tilla në mesazhin e transmetuar duhet të mbrohen (për shembull, duke përdorur enkriptim) nga falsifikimet dhe shtrembërimet e mundshme.
Në lidhje me palët në ndërveprim, vërtetimi nënkupton kontrollimin nga njëra nga palët që pala që komunikon është pikërisht ajo që pretendon të jetë. Autentifikimi i partisë shpesh referohet si identifikimi.
Mjetet kryesore për kryerjen e identifikimit janë protokollet e identifikimit duke lejuar identifikimin (dhe vërtetimin) e secilës prej palëve të përfshira në ndërveprim dhe duke mos i besuar njëra-tjetrës. Të dallojë protokollet njëkahëshe dhe identifikimi i ndërsjellë.
Protokolliështë një algoritëm i shpërndarë që përcakton sekuencën e veprimeve për secilën nga palët. Gjatë ekzekutimit të protokollit të identifikimit, secila nga palët nuk transmeton asnjë informacion për çelësin e saj sekret, por e ruan atë dhe e përdor për të formuar mesazhe përgjigjeje ndaj kërkesave të marra gjatë ekzekutimit të protokollit.
Së fundi, në lidhje me vetë informacionin, vërtetimi nënkupton verifikimin që informacioni i transmetuar në kanal është i vërtetë në përmbajtje, burim, kohë krijimi, kohë transmetimi, etj.
Verifikimi i autenticitetit të përmbajtjes së informacionit reduktohet, në fakt, në kontrollimin e pandryshueshmërisë së tij (që nga momenti i krijimit) në procesin e transmetimit ose ruajtjes, domethënë në kontrollin e integritetit.
Autentifikimi i burimit të të dhënave do të thotë konfirmim që dokumenti origjinal është krijuar nga burimi i pretenduar.
Vini re se nëse palët i besojnë njëra-tjetrës dhe kanë një çelës sekret të përbashkët, atëherë palët mund të vërtetohen duke përdorur një kod vërtetimi. Në të vërtetë, çdo mesazh i dekoruar me sukses nga marrësi mund të krijohet vetëm nga dërguesi, pasi vetëm ai e di sekretin e tyre të përbashkët. Për palët që nuk i besojnë njëra-tjetrës, zgjidhja e problemeve të tilla duke përdorur një sekret të përbashkët bëhet e pamundur. Prandaj, kur vërtetohet një burim i të dhënave, nevojitet një mekanizëm i nënshkrimit dixhital, i cili do të diskutohet më poshtë.
Në përgjithësi, vërtetimi i burimit të të dhënave shërben të njëjtin rol si një protokoll identiteti. Dallimi i vetëm është se në rastin e parë ka disa informacione të transmetuara, autorësia e të cilave duhet të përcaktohet, dhe në të dytin, thjesht duhet të vendosni palën me të cilën kryhet ndërveprimi.
2.5. Nënshkrimi dixhital
Në disa situata, si për shkak të rrethanave të ndryshuara, individët mund të tërhiqen nga rrethanat e pranuara më parë. Në këtë drejtim, nevojiten disa mekanizma për të parandaluar përpjekje të tilla.
Duke qenë se në këtë situatë supozohet se palët nuk i besojnë njëra-tjetrës, përdorimi i një çelësi sekret të përbashkët për të zgjidhur problemin e shtruar bëhet i pamundur. Dërguesi mund të refuzojë faktin e transmetimit të mesazhit, duke pretenduar se është krijuar nga marrësi ( mohim). Marrësi mund të modifikojë, zëvendësojë ose krijojë lehtësisht një mesazh të ri dhe më pas të pretendojë se ai është marrë nga dërguesi ( atribuimi). Është e qartë se në një situatë të tillë arbitri nuk do të jetë në gjendje të vërtetojë të vërtetën gjatë zgjidhjes së mosmarrëveshjes.
Mekanizmi kryesor për zgjidhjen e këtij problemi është i ashtuquajturi nënshkrimi dixhital.
Skema e nënshkrimit dixhital përfshin dy algoritme, një për llogaritjen dhe tjetrin për verifikimin e nënshkrimit. Llogaritja e nënshkrimit mund të kryhet vetëm nga autori i nënshkrimit. Algoritmi i verifikimit duhet të jetë i disponueshëm publikisht në mënyrë që të gjithë të mund të verifikojnë korrektësinë e nënshkrimit.
Sistemet e shifrimit simetrik mund të përdoren për të krijuar një skemë të nënshkrimit dixhital. Në këtë rast, vetë mesazhi i koduar në çelësin sekret mund të shërbejë si nënshkrim. Sidoqoftë, disavantazhi kryesor i nënshkrimeve të tilla është se ato përdoren një herë: pas çdo verifikimi, çelësi sekret bëhet i njohur. E vetmja rrugëdalje nga kjo situatë në kuadrin e përdorimit të sistemeve të shifrimit simetrik është futja e një pale të tretë të besuar që vepron si një ndërmjetës i besuar nga të dyja palët. Në këtë rast, të gjitha informacionet dërgohen përmes një ndërmjetësi, ai rikripton mesazhet nga çelësi i njërit prej pajtimtarëve në çelësin e tjetrit. Natyrisht, kjo skemë është jashtëzakonisht e papërshtatshme.
Dy qasje për ndërtimin e një sistemi nënshkrimi dixhital duke përdorur sistemet e shifrimit të çelësit publik:
1. Në konvertimin e një mesazhi në një formë që mund të përdoret për të rivendosur vetë mesazhin dhe në këtë mënyrë të verifikojë korrektësinë e "nënshkrimit". Në këtë rast, mesazhi i nënshkruar është i njëjtë me gjatësinë e mesazhit origjinal. Për të krijuar një "mesazh të nënshkruar" të tillë, mund, për shembull, të kriptoni mesazhin origjinal me çelësin sekret të autorit të nënshkrimit. Atëherë të gjithë mund të kontrollojnë korrektësinë e nënshkrimit duke deshifruar mesazhin e nënshkruar në çelësin publik të autorit të nënshkrimit;
2. Nënshkrimi llogaritet dhe dërgohet së bashku me mesazhin origjinal. Llogaritja e nënshkrimit konsiston në konvertimin e mesazhit origjinal në një kombinim dixhital (që është nënshkrimi). Algoritmi i llogaritjes së nënshkrimit duhet të varet nga çelësi privat i përdoruesit. Kjo është e nevojshme në mënyrë që vetëm pronari i çelësit të mund të përdorë nënshkrimin. Nga ana tjetër, algoritmi i verifikimit të nënshkrimit duhet të jetë i disponueshëm për të gjithë. Prandaj, ky algoritëm varet nga çelës publik përdorues. Në këtë rast, gjatësia e nënshkrimit nuk varet nga gjatësia e mesazhit që nënshkruhet.
Me problemin e nënshkrimit dixhital, kishte një problem të ndërtimit të kriptografisë pa çelës funksionet hash... Fakti është se kur llogaritni një nënshkrim dixhital, rezulton të jetë më i përshtatshëm që së pari të kryeni funksione hash, domethënë të palosni tekstin në një kombinim të caktuar me një gjatësi fikse, dhe më pas të nënshkruani kombinimin që rezulton me një çelës sekret. Në këtë rast, funksioni hash, megjithëse nuk varet nga çelësi dhe është i hapur, duhet të jetë "kriptografik". Kjo i referohet pronës njëanshmëria ky funksion: nga vlera e kombinimit-konvolucionit, askush nuk duhet të jetë në gjendje të marrë mesazhin përkatës.
Aktualisht, ekzistojnë standarde për funksionet hash kriptografike që miratohen në mënyrë të pavarur nga standardet për algoritmet kriptografike dhe skemat e nënshkrimit dixhital.
3. Mjetet e sigurisë kriptografike.
Mjetet kriptografike të mbrojtjes janë mjete dhe metoda të veçanta të transformimit të informacionit, si rezultat i të cilave përmbajtja e tij maskohet. Llojet kryesore të mbylljes kriptografike janë enkriptimi dhe kriptimi i të dhënave të mbrojtura. Në të njëjtën kohë, kriptimi është një lloj mbylljeje në të cilën çdo karakter i të dhënave që mbyllet i nënshtrohet një transformimi të pavarur; gjatë kodimit, të dhënat e mbrojtura ndahen në blloqe që kanë një kuptim semantik dhe secili bllok i tillë zëvendësohet nga një kod dixhital, alfabetik ose i kombinuar. Në këtë rast, disa sisteme të ndryshme enkriptimi: zëvendësimi, rirregullimi, gama, transformimi analitik i të dhënave të koduara. Shifrat e kombinuara u përhapën gjerësisht kur teksti origjinal konvertohet në mënyrë sekuenciale duke përdorur dy ose edhe tre shifra të ndryshme.
3.1 Kriptosistemet
Kriptosistemi punon sipas një metodologjie (procedure) të caktuar. Ai përbëhet nga:
ü një ose më shumë algoritme enkriptimi (formula matematikore);
ü çelësat e përdorur nga këto algoritme enkriptimi;
ü sistemet kryesore të menaxhimit;
ü tekst i pakriptuar;
ü dhe ciphertext (ciphertext).
Çelësi kyç
Algoritmi i tekstit Shifra e tekstit Algoritmi Teksti
deshifrimi i enkriptimit
Metodologjia
Sipas metodologjisë, një algoritëm kriptimi dhe një çelës aplikohen fillimisht në tekst për të marrë tekstin e shifruar prej tij. Më pas, teksti i koduar dërgohet në destinacionin e tij, ku i njëjti algoritëm përdoret për ta deshifruar atë për të marrë përsëri tekstin. Metodologjia përfshin gjithashtu procedura për gjenerimin e çelësave dhe shpërndarjen e tyre (nuk tregohen në figurë).
3.2 Parimet e funksionimit të Kriptosistemit.
Një shembull tipik i paraqitjes së një situate në të cilën lind problemi i kriptografisë (kriptimit) është paraqitur në Fig. një:
Figura 2. A dhe B janë përdorues legjitimë të informacionit të mbrojtur, ata duan të shkëmbejnë informacion përmes një kanali komunikimi publik. P - përdorues i paligjshëm ( armik, haker), i cili dëshiron të përgjojë mesazhet e transmetuara përmes kanalit të komunikimit dhe të përpiqet të nxjerrë informacione me interes për të prej tyre. Kjo skemë e thjeshtë mund të konsiderohet një model i një situate tipike në të cilën përdoren metoda kriptografike të mbrojtjes së informacionit ose thjesht enkriptimi. Historikisht, disa fjalë ushtarake janë ngulitur në kriptografi (armik, sulm mbi një shifër, etj.). Ato pasqyrojnë më saktë kuptimin e koncepteve kriptografike përkatëse. Në të njëjtën kohë, terminologjia e njohur ushtarake e bazuar në konceptin e një kodi (kodet detare, kodet e Shtabit të Përgjithshëm, librat e kodeve, emërtimet e kodeve, etj.) nuk përdoret më në kriptografinë teorike. Fakti është se gjatë dekadave të fundit teoria e kodimit- një zonë e madhe shkencore që zhvillon dhe studion metodat e mbrojtjes së informacionit nga shtrembërimet e rastësishme në kanalet e komunikimit.
Kriptografia merret me metodat e transformimit të informacionit që do të parandalonte një kundërshtar që ta nxjerrë atë nga mesazhet e përgjuara. Në këtë rast, nuk është vetë informacioni i mbrojtur që transmetohet përmes kanalit të komunikimit, por rezultati i transformimit të tij duke përdorur një shifër, dhe kundërshtari përballet me detyrën e vështirë për të thyer shifrën. Hapja(hakerimi) shifror- procesi i marrjes së informacionit të mbrojtur nga një mesazh i koduar pa njohuri për shifrën e aplikuar.
Kundërshtari mund të përpiqet të mos marrë, por të shkatërrojë ose modifikojë informacionin e mbrojtur në procesin e transmetimit të tij. Ky është një lloj kërcënimi krejtësisht i ndryshëm ndaj informacionit, i ndryshëm nga përgjimi dhe thyerja e një kodi. Për t'u mbrojtur nga kërcënime të tilla, po zhvillohen metodat e tyre specifike.
Prandaj, gjatë rrugës nga një përdorues legjitim në tjetrin, informacioni duhet të mbrohet në mënyra të ndryshme kundër kërcënimeve të ndryshme. Lind një situatë e një zinxhiri lidhjesh të llojeve të ndryshme, që mbron informacionin. Natyrisht, armiku do të përpiqet të gjejë lidhjen më të dobët në mënyrë që të arrijë informacionin me koston më të ulët. Kjo do të thotë që përdoruesit legjitimë duhet ta marrin parasysh këtë rrethanë në strategjinë e tyre të mbrojtjes: nuk ka kuptim të bëhet një lidhje shumë e fortë nëse ka lidhje dukshëm më të dobëta ("parimi i forcës së barabartë të mbrojtjes").
Ardhja me një shifër të mirë është e mundimshme. Prandaj, është e dëshirueshme që të rrisni jetëgjatësinë e një shifre të mirë dhe ta përdorni atë për të enkriptuar sa më shumë mesazhe të jetë e mundur. Por në të njëjtën kohë, ekziston rreziku që armiku tashmë të ketë zbërthyer (hapur) kodin dhe po lexon informacionin e mbrojtur. Nëse rrjeti ka një çelës të lëvizshëm në shifër, atëherë duke zëvendësuar çelësin, është e mundur ta bëni atë në mënyrë që metodat e zhvilluara nga armiku të mos japin më efekt.
3.2.1 Metodologjia kryesore
Në këtë metodologji, një algoritëm kriptimi kombinon një çelës me një tekst për të krijuar një tekst shifror. Siguria e këtij lloji të sistemit të enkriptimit varet nga konfidencialiteti i çelësit të përdorur në algoritmin e enkriptimit, dhe jo nga sekreti i vetë algoritmit. Shumë algoritme enkriptimi janë të disponueshme publikisht dhe janë testuar mirë për këtë (p.sh. DES). Por problemi kryesor me këtë metodologji është se si të gjenerohen dhe kalohen në mënyrë të sigurt çelësat tek pjesëmarrësit e ndërveprimit. Si të krijoni një kanal të sigurt për transferimin e informacionit midis pjesëmarrësve në ndërveprim përpara transferimit të çelësave?
Një problem tjetër është vërtetimi. Megjithatë, ka dy probleme kryesore:
Mesazhi është i koduar nga dikush që zotëron çelësin në ky moment... Ky mund të jetë pronari i çelësit;
· Por nëse sistemi është i rrezikuar, mund të jetë një person tjetër.
Kur pjesëmarrësit në ndërveprim marrin çelësat, si mund ta dinë se këta çelësa ishin në të vërtetë
· Krijuar dhe dërguar nga një person i autorizuar?
Ekzistojnë dy metodologji kryesore - simetrike (me çelës privat) dhe asimetrike (me çelës publik). Çdo metodologji përdor procedurat e veta, metodat e veta të shpërndarjes së çelësave, llojet dhe algoritmet e çelësave për enkriptimin dhe deshifrimin e çelësave. Meqenëse terminologjia e përdorur nga këto metodologji mund të duket konfuze, le të përcaktojmë termat bazë:
|
Afati |
Kuptimi |
Vërejtje |
|
Metodologjia simetrike |
Përdoret një çelës i vetëm, me të cilin kryhen si kriptimi ashtu edhe deshifrimi duke përdorur të njëjtin algoritëm të enkriptimit simetrik. Ky çelës transmetohet në mënyrë të sigurt te dy pjesëmarrësit në ndërveprim përpara se të dhënat e koduara të transmetohen. |
Shpesh përmendet me metodologjinë e çelësit sekret. |
|
Metodologjia asimetrike |
Përdor algoritme simetrike të kriptimit dhe çelësat simetrik për të kriptuar të dhënat. Përdor algoritme enkriptimi asimetrik dhe çelësa asimetrik për të enkriptuar një çelës simetrik. Janë krijuar dy çelësa asimetrik të lidhur. Një çelës simetrik i enkriptuar duke përdorur një çelës asimetrik dhe një algoritëm asimetrik enkriptimi duhet të deshifrohet duke përdorur një çelës të ndryshëm dhe një algoritëm të ndryshëm kriptimi. Janë krijuar dy çelësa asimetrik të lidhur. Njëri duhet t'i transferohet në mënyrë të sigurt pronarit të tij dhe tjetri te personi që është përgjegjës për mbajtjen e këtyre çelësave (CA-Key Certificate Authority), përpara përdorimit të tyre. |
Shpesh referohet si metodologji e çelësit publik. |
|
Çelësi sekret (1) |
Metodologjia simetrike. |
Përdor një çelës me të cilin kryhen si kriptimi ashtu edhe deshifrimi. Shiko lart. |
|
Çelësi sekret (2) |
Çelësi sekret i enkriptimit simetrik. |
Çelësi sekret simetrik. |
|
Çelësi sekret (3) |
Çelësi sekret i enkriptimit asimetrik |
Çelësi asimetrik. Çelësat asimetrik krijohen në çifte sepse janë të lidhur me njëri-tjetrin. Shprehja "çelës sekret" përdoret shpesh për një nga një palë çelësa asimetrik që duhet të mbahen sekret. Një sekret asimetrik nuk ka të bëjë fare me një sekret simetrik. |
|
Çelësi publik (1) |
Metodologjia asimetrike |
Përdor një çift çelësash që janë të bashkë-gjeneruar dhe të lidhur me njëri-tjetrin. Çdo gjë e koduar me një çelës mund të deshifrohet vetëm me një çelës tjetër në atë çift. |
|
Çelësi publik (2) |
Çelësi publik i enkriptimit asimetrik |
Çelësat asimetrik krijohen në çifte, secili nga dy çelësat është i lidhur me tjetrin. Shprehja "çelës publik" përdoret shpesh për një nga një palë çelësash asimetrik që duhet të jenë të njohur për të gjithë. |
|
Çelësi i sesionit |
Çelësi simetrik (sekret) i enkriptimit |
Përdoret në metodologjinë asimetrike për të kriptuar vetë të dhënat duke përdorur metodologji simetrike. Është thjesht një çelës sekret simetrik (shih më lart). |
|
Algoritmi i enkriptimit |
Algoritmet simetrike kërkojnë çelësa simetrikë. Algoritmet asimetrike kërkojnë çelësa asimetrik. Nuk mund të përdorni çelësa simetrikë për algoritme asimetrike dhe anasjelltas. |
|
|
Kriptosistemet sekrete |
|
|
|
Kriptosistemet e hapura |
Përdor algoritme asimetrike dhe çelësa asimetrik për të enkriptuar çelësat e sesionit. Ata përdorin algoritme simetrike dhe çelësa simetrik (të fshehtë) për të enkriptuar të dhënat. |
|
3.2.1.1 Metodologjia simetrike (sekrete).
Në këtë metodologji, si dërguesi ashtu edhe marrësi përdorin të njëjtin çelës si për enkriptim ashtu edhe për deshifrim, të cilin ata ranë dakord ta përdornin përpara se të fillonte ndërveprimi. Nëse çelësi nuk është komprometuar, atëherë gjatë deshifrimit, dërguesi vërtetohet automatikisht, pasi vetëm dërguesi ka një çelës me të cilin mund të kodohet informacioni, dhe vetëm marrësi ka një çelës që mund të përdoret për të deshifruar informacionin. Duke qenë se dërguesi dhe marrësi janë të vetmit njerëz që e njohin këtë çelës simetrik, nëse çelësi është i rrezikuar, vetëm ndërveprimi i këtyre dy përdoruesve do të rrezikohet. Një problem që do të jetë i rëndësishëm për kriptosistemet e tjera është çështja se si të shpërndahen në mënyrë të sigurt çelësat simetrik (sekret). Algoritmet e enkriptimit simetrik përdorin çelësa të shkurtër dhe mund të enkriptojnë shpejt sasi të mëdha të dhënash.
Si të përdorim sistemet me çelësat simetrik:
1. Një çelës sekret simetrik krijohet, shpërndahet dhe ruhet në mënyrë të sigurt.
2. Dërguesi krijon një nënshkrim elektronik duke llogaritur një funksion hash për tekstin dhe duke i bashkangjitur tekstit vargun e marrë.
3. Dërguesi përdor një algoritëm të shpejtë simetrik enkriptimi-deshifrimi së bashku me një çelës sekret simetrik në paketën e marrë (teksti së bashku me nënshkrimin elektronik të bashkangjitur) për të marrë tekstin e shifruar. Në mënyrë implicite, vërtetimi kryhet kështu, pasi vetëm dërguesi e njeh çelësin sekret simetrik dhe mund ta enkriptojë këtë paketë.
4. Vetëm marrësi e di çelësin sekret simetrik dhe mund të deshifrojë paketën.
5. Dërguesi transmeton tekstin e shifruar. Çelësi sekret simetrik nuk transmetohet kurrë në kanale komunikimi të pasigurta.
6. Marrësi përdor të njëjtin algoritëm simetrik enkriptimi-deshifrimi së bashku me të njëjtin çelës simetrik (të cilin marrësi e ka tashmë) në tekstin e shifrimit për të rikuperuar tekstin origjinal dhe nënshkrimin elektronik. Restaurimi i suksesshëm i tij vërteton dikë që e njeh çelësin sekret.
7. Marrësi ndan nënshkrimin elektronik nga teksti.
8. Marrësi krijon një nënshkrim tjetër elektronik duke llogaritur funksionin hash për tekstin e marrë.
9. Marrësi i krahason këto dy nënshkrime elektronike për të verifikuar integritetin e mesazhit (pa ndërhyrje).
Mjetet e disponueshme sot që përdorin metodologjinë simetrike janë:
· Kerberos, i cili u krijua për të vërtetuar aksesin në burimet në rrjet, jo për të verifikuar të dhënat. Ai përdor një bazë të dhënash qendrore që ruan kopjet e çelësave privatë të të gjithë përdoruesve.
· Rrjetet e ATM (ATM Banking Networks). Këto sisteme janë zhvillime origjinale të bankave që i zotërojnë dhe nuk janë në shitje. Ata përdorin gjithashtu metodologji simetrike.
3.2.1.2 Metodologjia asimetrike (e hapur).
Në këtë metodologji, çelësat për enkriptim dhe deshifrim janë të ndryshëm, megjithëse ato krijohen së bashku. Njëri çelës u bëhet i njohur të gjithëve dhe tjetri mbahet i fshehtë. Megjithëse mund të enkriptohen dhe deshifrohen me të dy çelësat, të dhënat e enkriptuara me një çelës mund të deshifrohen vetëm me çelësin tjetër. Të gjitha kriptosistemet asimetrike i nënshtrohen sulmeve me forcë brutale dhe për këtë arsye duhet të përdorin çelësa shumë më të gjatë se ata që përdoren në kriptosistemet simetrike për të siguruar një nivel të barabartë mbrojtjeje. Kjo ndikon menjëherë në burimet llogaritëse të kërkuara për kriptim, megjithëse algoritmet e kriptimit të kurbës eliptike mund ta zbusin këtë problem.
Bruce Schneier, në Kriptografia e Aplikuar: Protokollet, Algoritmet dhe Kodi Burim C, ofron informacionin e mëposhtëm mbi gjatësitë ekuivalente të çelësave.
Për të shmangur shpejtësinë e ulët të algoritmeve të enkriptimit asimetrik, gjenerohet një çelës i përkohshëm simetrik për çdo mesazh dhe vetëm ky çelës kodohet me algoritme asimetrike. Vetë mesazhi është i koduar duke përdorur këtë çelës të përkohshëm sesioni dhe algoritmin e enkriptimit / deshifrimit të përshkruar në pikën 2.2.1.1. Ky çelës i sesionit më pas kodohet duke përdorur çelësin publik asimetrik të marrësit dhe një algoritëm enkriptimi asimetrik. Ky çelës i sesionit të koduar i transmetohet marrësit së bashku me mesazhin e koduar. Marrësi përdor të njëjtin algoritëm të enkriptimit asimetrik dhe çelësin privat për të deshifruar çelësin e sesionit dhe çelësi i sesionit që rezulton përdoret për të deshifruar vetë mesazhin. Në kriptosistemet asimetrike, është e rëndësishme që çelësat e sesionit dhe ato asimetrike të jenë të krahasueshëm për sa i përket nivelit të sigurisë që ofrojnë. Nëse përdoret një çelës i shkurtër sesioni (siç është DES 40-bit), nuk ka rëndësi se sa të mëdhenj janë çelësat asimetrik. Hakerët nuk do t'i sulmojnë ata, por çelësat e sesionit. Çelësat publikë asimetrikë janë të prekshëm ndaj sulmeve me forcë brutale, pjesërisht sepse janë të vështirë për t'u zëvendësuar. Nëse sulmuesi mëson çelësin asimetrik sekret, atëherë jo vetëm rryma, por edhe të gjitha ndërveprimet e mëvonshme midis dërguesit dhe marrësit do të rrezikohen.
Si të përdorni sisteme me çelësa asimetrik:
1. Çelësat asimetrik publik dhe privat gjenerohen dhe shpërndahen në mënyrë të sigurt (shih seksionin 2.2 më poshtë). Çelësi sekret asimetrik i transferohet pronarit të tij. Çelësi publik asimetrik ruhet në një bazë të dhënash X.500 dhe administrohet nga një Autoritet Certifikimi (CA). Implikimi është se përdoruesit duhet të besojnë se një sistem i tillë po krijon, shpërndan dhe administron në mënyrë të sigurt çelësat. Për më tepër, nëse krijuesi i çelësave dhe personi ose sistemi që i administron ata nuk janë të njëjtë, atëherë përdoruesi përfundimtar duhet të besojë se krijuesi i çelësave në të vërtetë ka shkatërruar një kopje.
2. Një nënshkrim elektronik i tekstit krijohet duke llogaritur funksionin e tij hash. Vlera e marrë kodohet duke përdorur çelësin sekret asimetrik të dërguesit, dhe më pas vargu i karaktereve të marra i shtohet tekstit të transmetuar (vetëm dërguesi mund të krijojë një nënshkrim elektronik).
3. Krijohet një çelës sekret simetrik, i cili do të përdoret për të kriptuar vetëm këtë mesazh ose sesion ndërveprimi (çelës sesioni), më pas duke përdorur një algoritëm simetrik enkriptimi/deshifrimi dhe këtë çelës, teksti origjinal kodohet së bashku me nënshkrimin elektronik të shtuar në it - fitohet një tekst i koduar (shifr -tekst).
4. Tani ju duhet të zgjidhni problemin me transferimin e çelësit të sesionit te marrësi i mesazhit.
5. Dërguesi duhet të ketë një çelës publik asimetrik nga Autoriteti i Certifikatës (CA). Përgjimi i kërkesave të pakriptuara për këtë çelës publik është një formë e zakonshme sulmi. Mund të ekzistojë i gjithë sistemi certifikatat që konfirmojnë vërtetësinë e çelësit publik të AK-së. Standardi X.509 përshkruan një sërë metodash për përdoruesit për të marrë çelësat publikë të CA, por asnjëra prej tyre nuk mund të mbrojë plotësisht kundër mashtrimit të çelësit publik të CA, gjë që dëshmon qartë se nuk ekziston një sistem i tillë që mund të garantojë vërtetësinë e çelësit publik të CA. .
6. Dërguesi kërkon nga AK çelësin publik asimetrik të marrësit. Ky proces është i prekshëm ndaj një sulmi në të cilin një sulmues ndërhyn në komunikimin midis dërguesit dhe marrësit dhe mund të modifikojë trafikun midis tyre. Prandaj, çelësi publik asimetrik i marrësit "nënshkruhet" nga AK. Kjo do të thotë që CA përdori çelësin e saj privat asimetrik për të enkriptuar çelësin publik asimetrik të marrësit. Vetëm AK-ja e njeh çelësin privat asimetrik të AK-së, kështu që ka një garanci që çelësi asimetrik publik i marrësit është nga CA.
7. Pasi të merret, çelësi publik asimetrik i marrësit deshifrohet duke përdorur çelësin publik asimetrik të AK-së dhe algoritmin asimetrik të enkriptimit / deshifrimit. Natyrisht, supozohet se AK nuk është komprometuar. Nëse rezulton i komprometuar, atëherë paaftëson të gjithë rrjetin e përdoruesve të tij. Prandaj, ju mund të kriptoni vetë çelësat publikë të përdoruesve të tjerë, por ku është besimi se ata nuk janë komprometuar?
8. Çelësi i sesionit tani është i koduar duke përdorur algoritmin asimetrik të enkriptimit-dekriptimit dhe çelësin asimetrik të marrësit (të marrë nga CA dhe të deshifruar).
9. Çelësi i koduar i sesionit i bashkëngjitet tekstit të koduar (i cili përfshin gjithashtu nënshkrimin elektronik të shtuar më parë).
10. Të gjitha paketat e të dhënave të marra (teksti i koduar, i cili përfshin, përveç tekstit origjinal, nënshkrimin elektronik të tij dhe çelësin e sesionit të koduar) i transferohen marrësit. Meqenëse çelësi i sesionit të koduar transmetohet përmes një rrjeti të pasigurt, ai është një objektiv i dukshëm për sulme të ndryshme.
11. Marrësi nxjerr çelësin e sesionit të koduar nga paketa e marrë.
12. Tani marrësi duhet të zgjidhë problemin me deshifrimin e çelësit të sesionit.
13. Marrësi duhet të ketë një çelës publik asimetrik nga Autoriteti i Certifikatës (CA).
14. Duke përdorur çelësin e tyre sekret asimetrik dhe të njëjtin algoritëm të enkriptimit asimetrik, marrësi deshifron çelësin e sesionit.
15. Marrësi aplikon të njëjtin algoritëm simetrik enkriptim-deshifrimi dhe çelësin simetrik të deshifruar (sesion) në tekstin e koduar dhe merr tekstin origjinal së bashku me nënshkrimin elektronik.
16. Marrësi ndan nënshkrimin elektronik nga teksti origjinal.
17. Marrësi kërkon nga AK-ja çelësin publik asimetrik të dërguesit.
18. Pasi të merret ky çelës, marrësi e deshifron atë duke përdorur çelësin publik të CA dhe algoritmin përkatës asimetrik të enkriptimit-deshifrimit.
19. Funksioni hash i tekstit më pas deshifrohet duke përdorur çelësin publik të dërguesit dhe një algoritëm asimetrik enkriptimi-deshifrimi.
20. Funksioni hash i tekstit origjinal që rezulton rillogaritet.
21. Këto dy funksione hash krahasohen për të verifikuar që teksti nuk ka ndryshuar.
3.3 Shpërndarja e çelësave
Është e qartë se në të dy kriptosistemet është e nevojshme të zgjidhet problemi i shpërndarjes së çelësave.
Në metodologjitë simetrike, ky problem është më akut, dhe për këtë arsye ato përcaktojnë qartë se si të transferohen çelësat midis pjesëmarrësve në një ndërveprim përpara se të fillojë ndërveprimi. Mënyra e saktë për ta bërë këtë varet nga niveli i kërkuar i sigurisë. Nëse nuk kërkohet një nivel i lartë sigurie, atëherë çelësat mund të dërgohen duke përdorur ndonjë mekanizëm shpërndarjeje (për shembull, duke përdorur postë të thjeshtë ose shërbim korrier). Bankat, për shembull, përdorin postën për të dërguar kodet PIN. Për të siguruar më shumë nivel të lartë siguria është më e përshtatshme për dorëzimin manual të çelësave nga persona përgjegjës, mundësisht në pjesë nga disa persona.
Metodologjitë asimetrike përpiqen të kapërcejnë këtë problem duke enkriptuar çelësin simetrik dhe duke e bashkangjitur atë si të tillë me të dhënat e koduara. Dhe ata përdorin Autoritetet e Çertifikimit të Çelësave për të shpërndarë çelësat publikë asimetrikë të përdorur për të kriptuar çelësin simetrik. CA-të, nga ana tjetër, nënshkruajnë këta çelësa publikë duke përdorur çelësin sekret asimetrik të CA-së. Përdoruesit e një sistemi të tillë duhet të kenë një kopje të çelësit publik të AK-së. Në teori, kjo do të thotë që pjesëmarrësit në ndërveprim nuk kanë nevojë të dinë çelësat e njëri-tjetrit përpara se të vendosin një ndërveprim të sigurt.
Përkrahësit e sistemeve asimetrike besojnë se një mekanizëm i tillë është i mjaftueshëm për të siguruar vërtetësinë e pajtimtarëve të ndërveprimit. Por problemi mbetet ende. Një çift çelësash asimetrik duhet të krijohet së bashku. Të dy çelësat, pavarësisht nëse janë të disponueshëm për të gjithë apo jo, duhet t'i dërgohen në mënyrë të sigurt zotëruesit të çelësit, si dhe autoritetit kryesor të certifikimit. E vetmja mënyrë për ta bërë këtë do të thotë të përdorësh një lloj metode shpërndarjeje me kërkesa të ulëta sigurie dhe t'i dorëzosh ato me dorë - me kërkesa të larta sigurie.
Problemi me shpërndarjen e çelësave në sistemet asimetrike është si më poshtë:
· X.509 nënkupton që çelësat janë shpërndarë në mënyrë të sigurt dhe nuk përshkruan se si të zgjidhet ky problem - por vetëm tregon ekzistencën e këtij problemi. Nuk ka standarde për t'u marrë me këtë. Për sigurinë, çelësat duhet të dorëzohen manualisht (pavarësisht nëse janë simetrik apo asimetrik).
· Nuk ka asnjë mënyrë të besueshme për të kontrolluar se cilët kompjuterë janë duke komunikuar. Ekziston një lloj sulmi në të cilin sulmuesi maskohet si CA dhe merr të dhënat e transmetuara gjatë ndërveprimit. Për ta bërë këtë, një sulmues duhet vetëm të përgjojë një kërkesë drejtuar një autoriteti kryesor certifikues dhe të zëvendësojë çelësat e tij me të tijtë. Ky sulm mund të vazhdojë me sukses për një kohë të gjatë.
· Nënshkrimi elektronik i çelësave nga një autoritet kryesor certifikues nuk garanton gjithmonë autenticitetin e tyre, pasi çelësi i vetë AK-së mund të komprometohet. X.509 përshkruan një mënyrë për të nënshkruar në mënyrë elektronike çelësat CA nga CA të çelësave të nivelit më të lartë dhe e quan atë "rruga e certifikimit". X.509 trajton problemet që lidhen me vërtetimin e çelësit publik, duke supozuar se ky problem mund të zgjidhet vetëm nëse nuk ka ndërprerje në zinxhirin e vendeve të besuara në drejtorinë e çelësit publik të shpërndarë nga përdoruesit. Nuk ka asnjë mënyrë për këtë.
· X.509 supozon se përdoruesi tashmë ka akses në çelësin publik të AK-së. Se si bëhet kjo nuk është përcaktuar në të.
Kompromisi i një autoriteti kryesor certifikues është shumë kërcënim real... Kompromentimi i AK do të thotë. Se të gjithë përdoruesit e këtij sistemi do të rrezikohen. Dhe askush nuk do të dijë për të. X.509 supozon se të gjithë çelësat, përfshirë ato të vetë CA-së, ruhen në vend i sigurtë... Zbatimi i sistemit të drejtorive X.509 (ku ruhen çelësat) është mjaft i vështirë dhe i prekshëm ndaj gabimeve të konfigurimit. Aktualisht, shumë pak njerëz kanë njohuritë teknike të nevojshme për të administruar siç duhet sisteme të tilla. Për më tepër, është e kuptueshme që mund të ushtrohet presion ndaj njerëzve në poste kaq të rëndësishme.
AK mund të jetë ngushtica... Për tolerancën e gabimeve, X.509 sugjeron që baza e të dhënave CA të përsëritet duke përdorur mjete standarde X.500; kjo do të rrisë ndjeshëm koston e kriptosistemit. Dhe kur maskohet si CA, do të jetë e vështirë të përcaktohet se cili sistem u sulmua. Për më tepër, të gjitha të dhënat nga baza e të dhënave CA duhet të dërgohen në kanalet e komunikimit në një farë mënyre.
· Sistemi i drejtorive X.500 është kompleks për t'u instaluar, konfiguruar dhe administruar. Ky drejtori duhet të aksesohet ose nëpërmjet një shërbimi abonimi opsional, ose organizata do të duhet ta organizojë vetë. Certifikata X.509 supozon se çdo person ka një emër unik. Dhënia e emrave njerëzve është përgjegjësi e një shërbimi tjetër të besuar, shërbimi i emërtimit.
· Çelësat e sesionit, pavarësisht nga fakti se janë të koduar, megjithatë transmetohen përmes kanaleve të pambrojtura të komunikimit.
Pavarësisht nga të gjitha këto disavantazhe serioze, përdoruesi duhet t'i besojë në mënyrë implicite kriptosistemit asimetrik.
Menaxhimi i çelësave i referohet shpërndarjes së tyre, vërtetimit dhe rregullimit të rendit të përdorimit. Pavarësisht nga lloji i kriptosistemit të përdorur, çelësat duhet të menaxhohen. Metoda të sigurta Menaxhimi i çelësave është shumë i rëndësishëm pasi shumë sulme në kriptosisteme kanë nën sulm procedurat e menaxhimit të çelësave.
|
Procedura |
Një transformim kriptografik është një transformim informacioni i bazuar në një algoritëm të caktuar që varet nga një parametër i ndryshueshëm (zakonisht i quajtur çelës sekret) dhe ka vetinë e pamundësisë së rikuperimit të informacionit origjinal nga ai i transformuar, pa ditur çelësin efektiv. me një kompleksitet më të vogël se ai i paracaktuar.
Avantazhi kryesor teknikat kriptografikeështë se ato ofrojnë një forcë të lartë të garantuar mbrojtjeje, e cila mund të llogaritet dhe shprehet në formë numerike (numri mesatar i operacioneve ose koha e nevojshme për të zbuluar informacionin e koduar ose për të llogaritur çelësat).
Disavantazhet kryesore të metodave kriptografike përfshijnë:
Konsumi i konsiderueshëm i burimeve (koha, performanca e procesorit) për kryerjen e transformimeve kriptografike të informacionit;
... vështirësi në ndarjen e informacionit të koduar (të nënshkruar) në lidhje me menaxhimin e çelësave (gjenerimi, shpërndarja, etj.);
... kërkesa të larta për sigurinë e çelësave privatë dhe mbrojtjen e çelësave publikë nga zëvendësimi.
Kriptografia kryesore simetrike
Në kriptografinë e çelësit simetrik (kriptografia klasike), abonentët përdorin të njëjtin çelës (element sekret) si për enkriptimin ashtu edhe për deshifrimin e të dhënave.
Përparësitë e mëposhtme të kriptografisë simetrike të çelësit duhet të theksohen:
... performancë relativisht e lartë e algoritmeve;
... fuqi e lartë kriptografike e algoritmeve për njësi të gjatësisë së çelësit.
Disavantazhet e kriptografisë simetrike të çelësit përfshijnë:
... nevoja për të përdorur mekanizëm kompleks shpërndarja e çelësave;
... vështirësi teknologjike në sigurimin e mosrefuzimit.
Kriptografia e çelësit publik
Për të zgjidhur problemet e shpërndarjes së çelësave dhe nënshkrimit dixhital, u përdorën idetë e asimetrisë së transformimeve dhe shpërndarjes së hapur të çelësave Diffie dhe Hellman. Si rezultat, u krijua kriptografia e çelësit publik, në të cilën përdoret jo një sekret, por një palë çelësa: një çelës publik (publik) dhe një çelës sekret (privat, privat), i njohur vetëm për një palë ndërvepruese. Ndryshe nga një çelës privat, i cili duhet të mbahet sekret, një çelës publik mund të shpërndahet publikisht. Figura 1 tregon dy veti të sistemeve të çelësit publik që mundësojnë gjenerimin e mesazheve të koduara dhe të vërtetuara.
Dy veti të rëndësishme të kriptografisë së çelësit publik
Figura 1 Dy vetitë e kriptografisë së çelësit publik
Skema e enkriptimit të të dhënave duke përdorur një çelës publik është paraqitur në Figurën 6 dhe përbëhet nga dy faza. Në të parën prej tyre, çelësat publikë shkëmbehen përmes një kanali të paklasifikuar. Në këtë rast, është e nevojshme të sigurohet vërtetësia e transmetimit të informacionit kryesor. Në fazën e dytë, në fakt, zbatohet enkriptimi i mesazhit, në të cilin dërguesi e kodon mesazhin me çelësin publik të marrësit.
Skedari i koduar mund të lexohet vetëm nga pronari i çelësit privat, d.m.th. marrësi. Skema e deshifrimit të marrësit përdor çelësin sekret të marrësit për këtë.
Enkriptimi
Figura 2 Skema e enkriptimit në kriptografinë me çelës publik.
Zbatimi i skemës EDS shoqërohet me llogaritjen e një funksioni hash (digest) të të dhënave, i cili është një numër unik i marrë nga të dhënat origjinale duke i ngjeshur (palosur) ato duke përdorur një algoritëm kompleks, por të njohur. Funksioni hash është funksion njëkahësh, d.m.th. vlera hash nuk mund të përdoret për të rikuperuar të dhënat origjinale. Funksioni hash është i ndjeshëm ndaj të gjitha llojeve të korrupsionit të të dhënave. Përveç kësaj, është shumë e vështirë të gjesh dy grupe të dhënash që kanë të njëjtën vlerë hash.
Gjenerimi EDS me hash
Skema për gjenerimin e një nënshkrimi ED nga dërguesi i tij përfshin llogaritjen e funksionit hash ED dhe enkriptimin e kësaj vlere duke përdorur çelësin sekret të dërguesit. Rezultati i kriptimit është vlera e EDS të EDS (atributi EDS), i cili i dërgohet marrësit së bashku me vetë EDS. Në këtë rast, marrësit të mesazhit fillimisht duhet t'i jepet çelësi publik i dërguesit të mesazhit.
Figura 3 Skema EDS në kriptografinë me çelës publik.
Skema e verifikimit (verifikimit) EDS e kryer nga marrësi i mesazhit përbëhet nga fazat e mëposhtme. Në të parën prej tyre, blloku EDS deshifrohet me anë të çelësit publik të dërguesit. Pastaj llogaritet funksioni hash i ED. Rezultati i llogaritjes krahasohet me rezultatin e deshifrimit të bllokut EDS. Në rast të një ndeshjeje, merret një vendim për përputhjen e EDS me ED. Mospërputhja midis rezultatit të deshifrimit dhe rezultatit të llogaritjes së funksionit hash ED mund të shpjegohet nga arsyet e mëposhtme:
Në procesin e transmetimit përmes kanalit të komunikimit, integriteti i ED-it humbi;
... gjatë gjenerimit të EDS, është përdorur çelësi sekret i gabuar (i rremë);
... gjatë kontrollit të EDS, është përdorur çelësi publik i gabuar (në procesin e transmetimit përmes kanalit të komunikimit ose gjatë ruajtjes së tij të mëtejshme, çelësi publik është modifikuar ose ndryshuar).
Metoda e kombinuar
Figura 4 Skema e kombinuar e enkriptimit.
Besimi i çelësit publik dhe certifikatat dixhitale
Çështja qendrore e skemës së shpërndarjes së çelësit publik është çështja e besimit në çelësin publik të marrë të partnerit, i cili mund të modifikohet ose ndryshohet gjatë transmetimit ose ruajtjes.
Për një klasë të gjerë sistemet praktike(sistemet elektronike të menaxhimit të dokumenteve, sistemet klient-bankë, sistemet e shlyerjes elektronike ndërbankare), në të cilat është i mundur një takim personal i partnerëve para fillimit të shkëmbimit të dokumenteve elektronike, kjo detyrë ka një zgjidhje relativisht të thjeshtë - certifikimin e ndërsjellë të çelësave publikë.
Kjo procedurë konsiston në faktin se secila palë, në një takim personal, vërteton me nënshkrimin e një personi të autorizuar dhe me vulosjen e një dokumenti në letër - një printim të përmbajtjes së çelësit publik të palës tjetër. Kjo certifikatë në letër është, së pari, detyrimi i palës që ta përdorë për të verifikuar nënshkrimin në mesazhet hyrëse çelësi i dhënë, dhe, së dyti, siguron rëndësinë juridike të ndërveprimit. Në të vërtetë, certifikatat e konsideruara të letrës bëjnë të mundur identifikimin e paqartë të një mashtruesi midis dy partnerëve, nëse njëri prej tyre dëshiron të ndryshojë çelësat.
Kështu, për të zbatuar ndërveprim elektronik të rëndësishëm ligjërisht midis dy palëve, është e nevojshme të lidhet një marrëveshje që parashikon shkëmbimin e certifikatave. Një certifikatë është një dokument që lidh të dhënat personale të pronarit dhe çelësin e tij publik. Në formë letre, ai duhet të përmbajë nënshkrime të shkruara me dorë të personave të autorizuar dhe vula.
Në sistemet ku nuk ka mundësi paraprake kontakt personal partnerë, ju duhet të përdorni certifikata dixhitale të lëshuara dhe të certifikuara nga nënshkrimi dixhital i një ndërmjetësi të besuar - një qendër certifikimi ose certifikimi.
Ndërveprimi i klientëve me Qendrën e Certifikimit
Në fazën paraprake, secili nga partnerët viziton personalisht Qendrën e Certifikimit (CA) dhe merr certifikatë personale- një lloj analog elektronik i një pasaporte civile.
Figura 5 Certifikata x.509.
Pas vizitës së AK-së, secili prej partnerëve bëhet pronar i çelësit publik të AK-së. Çelësi publik CA i lejon pronarit të tij të verifikojë vërtetësinë e çelësit publik të partnerit duke vërtetuar EDS-në e autoritetit të certifikimit sipas certifikatës së çelësit publik të partnerit.
Në përputhje me ligjin "Për EDS", një certifikatë dixhitale përmban informacionin e mëposhtëm:
Emri dhe detajet e qendrës kryesore të certifikimit (organi qendror certifikues, qendra certifikuese);
... Vërtetim që certifikata është lëshuar në Ukrainë;
... Unike numrin e regjistrimit certifikata kryesore;
... Të dhënat (të dhënat) bazë të pajtimtarit - pronarit të çelësit privat (publik);
... Data dhe ora e fillimit dhe skadimit të certifikatës;
... Çelësi publik;
... Emri i algoritmit kriptografik të përdorur nga pronari i çelësit publik;
... Informacion mbi kufizimin e përdorimit të nënshkrimeve;
... Certifikata e çelësit të përforcuar, përveç të dhënave të detyrueshme që përmban certifikata e çelësit, duhet të ketë shenjën e një certifikate të përforcuar;
... Të dhëna të tjera mund të futen në certifikatën e çelësit të zgjeruar me kërkesë të pronarit të saj.
Verifikimi i besimit tek lëshuesi i certifikatës dhe periudha e vlefshmërisë së saj;
... verifikimi i EDS-së së emetuesit sipas certifikatës;
... kontrolli i revokimit të certifikatës.
Nëse certifikata e partnerit nuk e ka humbur vlefshmërinë e saj dhe EDS përdoret në marrëdhëniet në të cilat ka rëndësi juridike, çelësi publik i partnerit nxirret nga certifikata. Bazuar në këtë çelës publik, EDS e partnerit mund të verifikohet në një dokument elektronik (ED).
Është e rëndësishme të theksohet se në përputhje me ligjin "Për EDS", konfirmimi i origjinalitetit të një EDS në një ED është rezultat pozitiv verifikimi nga një mjet i duhur EDS i certifikuar duke përdorur një certifikatë çelësi nënshkrimi.
AK, duke siguruar sigurinë e ndërveprimit ndërmjet partnerëve, kryen funksionet e mëposhtme:
Regjistron çelësat EDS;
... krijon, me kërkesë të përdoruesve, çelësa privatë dhe publikë EDS;
... pezullon dhe rinovon certifikatat kryesore të nënshkrimit, si dhe i revokon ato;
... mban një regjistër të certifikatave kryesore të nënshkrimit, siguron rëndësinë e regjistrit dhe mundësinë e përdoruesve për të hyrë lirisht në regjistër;
... lëshon certifikata të çelësave të nënshkrimit në letër dhe në formën e dokumenteve elektronike me informacion për vlefshmërinë e tyre;
... kryen, me kërkesë të përdoruesve, konfirmimin e origjinalitetit (vlefshmërisë) të nënshkrimit në ED në lidhje me EDS të regjistruar prej tij.
AK krijon kushte për ruajtjen e sigurt të çelësave privatë në pajisje të shtrenjta dhe të mbrojtura mirë, si dhe kushte për administrimin e aksesit në çelësat privatë.
Regjistrimi i çdo EDS kryhet në bazë të një aplikacioni që përmban informacionin e kërkuar për lëshimin e një certifikate, si dhe informacionin e kërkuar për të identifikuar EDS-në e mbajtësit dhe për t'i transmetuar mesazhe atij. Aplikimi nënshkruhet me nënshkrimin me dorë të mbajtësit të EDS, informacioni i përfshirë në të konfirmohet me paraqitjen e dokumenteve përkatëse. Gjatë regjistrimit, kontrollohet veçantia e çelësave publikë EDS në regjistrin dhe arkivin e CA.
Gjatë regjistrimit në AK në letër, lëshohen dy kopje të certifikatës së çelësit të nënshkrimit, të cilat vërtetohen me nënshkrimet e shkruara me dorë të mbajtësit të EDS dhe personit të autorizuar të qendrës së certifikimit (AK) dhe vulën e qendrës së certifikimit. Një kopje i lëshohet mbajtësit të EDS, e dyta mbetet në AK.
V sistemet realeçdo partner mund të përdorë certifikata të shumta të lëshuara nga CA të ndryshme. CA të ndryshme mund të kombinohen nga infrastruktura e çelësit publik ose PKI (Infrastruktura e çelësit publik). AK në kuadër të PKI-së ofron jo vetëm ruajtjen e certifikatave, por edhe menaxhimin e tyre (lëshim, revokim, verifikim besimi). Modeli më i zakonshëm i PKI është hierarkik. Avantazhi themelor i këtij modeli është se vërtetimi i certifikatës kërkon vetëm një numër relativisht të vogël të CA-ve rrënjësore për t'u besuar. Në të njëjtën kohë, ky model lejon një numër të ndryshëm të AK-ve që lëshojnë certifikata.
Mbrojtja e informacionit me transformim, duke përjashtuar leximin e tij nga një i huaj, është një nga metodat më efektive për të garantuar sigurinë e informacionit dhe ka një histori të gjatë. Shkenca e kriptologjisë merret me problemin e transformimit të informacionit. Në bazë të drejtimit aplikim praktik, kriptologjia ndahet në dy drejtime të kundërta: kriptografia dhe kriptanaliza.
Kriptografia është shkenca e metodave të mbrojtjes së informacionit bazuar në transformimin e tij duke ruajtur origjinalitetin e përmbajtjes.
Kriptanaliza është shkenca e metodave të zbulimit dhe modifikimit të të dhënave pa i ditur çelësat.
Ky drejtim shkencor ka dy synime. E para është studimi i informacionit të koduar për të rivendosur përmbajtjen e dokumentit origjinal. E dyta është njohja dhe studimi i metodës së kodimit të informacionit për të falsifikuar mesazhin.
Kriptografia moderne përfshin katër seksione kryesore:
1. Kriptosistemet simetrike.
2. Kriptosistemet me çelës publik.
3. Sistemet e nënshkrimit elektronik.
4. Menaxhimi i çelësave.
Drejtimet kryesore të përdorimit të metodave kriptografike:
* transferimi i informacionit konfidencial përmes kanaleve të komunikimit;
* vërtetimi i mesazheve të transmetuara;
* ruajtja e informacionit në formë të koduar.
Le të rendisim konceptet dhe përkufizimet bazë të kriptografisë.
Kriptimi është një proces me të cilin teksti origjinal (i thjeshtë) i një mesazhi zëvendësohet me tekst shifror.
Deshifrimi është procesi i konvertimit të tekstit të koduar në tekst publik duke përdorur një çelës enkriptimi.
Çelësi i enkriptimit është informacioni i nevojshëm për enkriptimin dhe deshifrimin e papenguar të teksteve.
Teksti është një grup i renditur elementesh (simbolesh) të alfabetit.
Alfabeti është një grup i kufizuar karakteresh që përdoren për të koduar informacionin.
Shembuj të alfabeteve të përdorura në sistemet moderne të informacionit përfshijnë si më poshtë:
* alfabeti Z33 - 32 shkronja të gjuhës ruse dhe një hapësirë;
* alfabeti Z256 - karaktere standarde të kodimit kompjuterik të karaktereve të alfabetit latin dhe kombëtar, numrave, shenjave të pikësimit dhe Simbole të veçanta;
* alfabeti binar Z2 - numrat 0 dhe 1, oktal, heksadecimal, etj. alfabetet.
Procesi i transformimit kriptografik të informacionit mund të kryhet nga hardueri ose softueri. Implementimi i harduerit karakterizohet nga një kosto dukshëm më e lartë, siguri dhe shpejtësi e lartë operimi dhe lehtësi në përdorim. Metoda e softuerit është më praktike, lejon një farë fleksibiliteti në përdorim, por është relativisht më e ngadaltë dhe më pak e sigurt.
Të gjitha algoritmet moderne për transformimin kriptografik të informacionit përdorin një çelës për të kontrolluar enkriptimin dhe deshifrimin. Algoritmet kryesore ndahen në dy klasa:
* Simetrik (me një çelës sekret). I njëjti çelës përdoret për enkriptim dhe deshifrim, ose çelësi i deshifrimit llogaritet në bazë të çelësit të enkriptimit.
* Asimetrik (çelës publik). Informacioni është i koduar duke përdorur një çelës publik që është i njohur për të gjithë. Deshifrimi kryhet duke përdorur një çelës privat të njohur vetëm për marrësin e mesazhit.
Algoritmet simetrike janë më të shpejta se asimetria chnye. Në praktikë, të dy llojet e algoritmeve shpesh përdoren së bashku.
Nënshkrimi elektronik dixhital- transformimi i tij kriptografik i bashkangjitur tekstit duke përdorur çelësin privat.
Një nënshkrim elektronik dixhital ju lejon të identifikoni pronarin e nënshkrimit, si dhe të përcaktoni mungesën e shtrembërimit të informacionit në një dokument elektronik.
Procesi i përdorimit të një nënshkrimi elektronik dixhital në përgjithësi duket si më poshtë:
1. Dërguesi llogarit funksionin hash të tekstit - një identifikues i marrë duke kompresuar informacionin duke përdorur një algoritëm matematikor.
2. Dërguesi përdor çelësin e tij privat për të enkriptuar funksionin hash. Si rezultat, merret një sekuencë e caktuar dixhitale - një nënshkrim dixhital.
3. Dërguesi formon mesazhin e përcjellë, i cili përfshin tekstin origjinal dhe të tij nënshkrimi dixhital
4. Dërguesi transmeton mesazhin e dërguar nëpërmjet një kanali të hapur komunikimi.
5. Marrësi ndan nga mesazh i marrë teksti dhe nënshkrimi i tij dixhital.
6. Marrësi llogarit funksionin hash të tekstit të marrë.
7. Marrësi i mesazhit deshifron nënshkrimin dixhital duke përdorur çelësin publik.
8. Marrësi krahason rezultatin e deshifrimit me funksionin hash të llogaritur prej tij. Nëse funksionet hash të llogaritura dhe të deshifruara përputhen, atëherë mesazhi konsiderohet i konfirmuar.
Menaxhimi i çelësit është një problem i rëndësishëm në të gjithë kriptografinë e çelësit publik, duke përfshirë sistemet EDS. Është e nevojshme të sigurohet që çdo përdorues të ketë akses në çelësin e vërtetë publik të çdo përdoruesi tjetër, për të mbrojtur këta çelësa nga zëvendësimi i një ndërhyrës, si dhe për të organizuar revokimin e çelësit në rast kompromisi të tij. Menaxhimi i çelësit bëhet nga autoritetet e certifikimit.
Mjetet e mbrojtjes së softuerit dhe harduerit me çelësa elektronikë të futur Kohët e fundit po bëhen gjithnjë e më të njohura. Në këtë rast, mbrojtja e softuerit dhe harduerit do të thotë mjete të bazuara në përdorimin e të ashtuquajturve "çelësat harduerikë (elektronikë)". Një çelës elektronik është një pjesë harduerike e një sistemi mbrojtës, i cili është një tabelë me çipa memorie dhe, në disa raste, një mikroprocesor, i vendosur në një kuti dhe i projektuar për t'u instaluar në një nga portat standarde të PC (COMM, LPT, PCMCIA , USB ...) ose një zmadhim i folesë motherboard... Gjithashtu, kartat SMART mund të përdoren si pajisje të tilla. Bazuar në rezultatet e analizës, mbrojtja e softuerit dhe harduerit në aktualisht janë ndër më të shumtët sisteme rezistente mbrojtje kundër ngacmimeve.
Sipas arkitekturës, çelësat elektronikë mund të ndahen në çelësa me memorie (pa mikroprocesor) dhe çelësa me mikroprocesor (dhe memorie).
Më pak rezistentët (në varësi të llojit të softuerit) janë sistemet me llojin e parë të harduerit. Në sisteme të tilla, informacioni kritik (çelësi i deshifrimit, tabela e tranzicionit) ruhet në memorien e çelësit elektronik. Për të çaktivizuar këto mbrojtje, në shumicën e rasteve, është e nevojshme që sulmuesi të ketë pjesën harduerike të sistemit të mbrojtjes (teknika kryesore është të përgjojë dialogun midis pjesëve të softuerit dhe harduerit për të aksesuar informacionin kritik).
Më rezistentët janë sistemet me llojin e dytë të harduerit. Komplekse të tilla përmbajnë në harduer jo vetëm çelësin e deshifrimit, por edhe njësi të enkriptimit / deshifrimit të të dhënave, kështu, kur mbrojtja funksionon në çelës elektronik blloqet e informacionit të koduar transmetohen dhe të dhënat e deshifruara merren prej andej. Në sistemet e këtij lloji, është mjaft e vështirë të përgjohet çelësi i deshifrimit, pasi të gjitha procedurat kryhen nga hardueri, por mbetet e mundur të ruhet me forcë programi i mbrojtur në formë e hapur pas përpunimit të sistemit të mbrojtjes. Përveç kësaj, metodat e kriptanalizës janë të zbatueshme për to.
Informacioni rreth përdoruesit, i marrë nga sistemi i sigurisë në fazën e identifikimit/autentikimit, përdoret prej tij në të ardhmen për t'i pajisur përdoruesit me të drejta aksesi brenda modelit të sigurisë të organizuar në këtë sistem informacioni.
Së bashku me enkriptimin konvencional, steganografia përdoret gjithashtu për të fshehur të dhënat.
Steganografia- një grup metodash që sigurojnë fshehjen e faktit të ekzistencës së informacionit në një mjedis të caktuar, si dhe mjetet e zbatimit të metodave të tilla.
Një shumëllojshmëri e madhe e mjeteve sekrete të komunikimit mund t'i atribuohet steganografisë, të tilla si boja e padukshme, fotomikrografët, rregullimi konvencional i shenjave, etj.
Aktualisht, steganografia kompjuterike po zhvillohet në mënyrë aktive. Ai shqyrton çështjet që lidhen me fshehjen e informacionit të ruajtur në media dixhitale ose të transmetuar përmes kanaleve të telekomunikacionit.
Transformimi Steganografik kërkon:
* informacion i fshehur;
* kontejneri i të dhënave;
* softuer për shtimin e informacionit në një skedar kontejner dhe nxjerrjen e tij.
Kontejneri për mesazhin e fshehur mund të jetë skedarë grafikë, audio ose video.
Ideja kryesore e fshehjes së informacionit steganografik është se shtimi i një mesazhi "sekret" në një skedar konteiner duhet të shkaktojë vetëm ndryshime të vogla në këtë të fundit, të cilat nuk janë kapur nga shqisat njerëzore. Prandaj, skedari i kontejnerit duhet të jetë i mjaftueshëm madhësia e madhe... Teknologjitë Steganografike përdoren për të zgjidhur detyrat e mëposhtme:
* mbrojtjen e informacionit nga aksesi i paautorizuar;
* kundërveprim ndaj sistemeve për monitorimin e të dhënave të transmetuara;
* Krijimi i kanaleve të fshehura të rrjedhjes së informacionit.
Steganografia ju lejon të vendosni një shenjë të veçantë dixhitale në imazhe grafike kompjuterike, produkte audio dhe video, tekste letrare, programe, të padukshme gjatë përdorimit normal të skedarit, por të njohur nga një speciale. software... Një informacion i tillë i veçantë mund të konsiderohet si dëshmi e autorësisë.
Nga pikëpamja e sigurisë së informacionit, çelësat kriptografikë janë të dhëna kritike. Nëse më parë, për të grabitur një kompani, keqbërësit duhej të hynin në territorin e saj, të hapnin ambiente dhe kasaforta, tani mjafton të vidhni një token me një çelës kriptografik dhe të bëni një transferim përmes sistemit të Internetit Klient-Bank. Themeli i garantimit të sigurisë duke përdorur sistemet e mbrojtjes së informacionit kriptografik (CIPS) është ruajtja e konfidencialitetit të çelësave kriptografikë.
Si e siguroni konfidencialitetin e diçkaje që nuk e dini se ekziston? Për të vendosur një shenjë me një çelës në kasafortë, duhet të dini për ekzistencën e tokenit dhe kasafortës. Sado paradoksale që tingëllon, shumë pak kompani kanë një ide për numrin e saktë të dokumenteve kryesore që përdorin. Kjo mund të ndodhë për një sërë arsyesh, për shembull, nënvlerësimi i kërcënimeve të sigurisë së informacionit, mungesa e proceseve të mirëpërcaktuara të biznesit, kualifikimet e pamjaftueshme të personelit në çështjet e sigurisë, etj. Kjo detyrë zakonisht mbahet mend pas incidenteve të tilla si ky.
Ky artikull do të përshkruajë hapin e parë drejt përmirësimit të sigurisë së informacionit duke përdorur mjete kriptografike, ose më saktë, ne do të shqyrtojmë një nga qasjet për auditimin e mjeteve të mbrojtjes së informacionit kriptografik dhe çelësave kripto. Rrëfimi do të kryhet për llogari të një specialisti të sigurisë së informacionit, ndërkohë që do të supozojmë se puna po kryhet nga e para.
Termat dhe Përkufizimet
Në fillim të artikullit, për të mos frikësuar një lexues të papërgatitur përkufizime komplekse, ne kemi përdorur gjerësisht termat çelës kriptografik ose kriptoçel, tani është koha për të përmirësuar aparatin tonë konceptual dhe për ta sjellë atë në përputhje legjislacionin aktual... Kjo është shumë hap i rëndësishëm sepse do t'ju lejojë të strukturoni në mënyrë efektive informacionin e marrë nga auditimi.
- Çelësi kriptografik (çelës kriptografik)- një grup të dhënash që siguron zgjedhjen e një transformimi specifik kriptografik nga të gjitha të mundshmet në një të dhënë sistemi kriptografik(përkufizimi nga “instruksionet rozë - Urdhri i FAPSI Nr. 152 i datës 13 qershor 2001, në vijim - FAPSI 152).
- Informacion kyç - në mënyrë të veçantë një grup i organizuar çelësash kripto të krijuar për të zbatuar mbrojtjen kriptografike të informacionit për një periudhë të caktuar [FAPSI 152].
Ju mund të kuptoni ndryshimin themelor midis një çelësi kripto dhe informacionit kryesor duke përdorur shembullin e mëposhtëm. Kur organizoni HTTPS, gjenerohet një çift çelësash publik dhe privat, dhe nga çelësi publik dhe informacion shtese merret një certifikatë. Pra, në këtë skemë, kombinimi i një certifikate dhe një çelësi privat formojnë informacionin kryesor, dhe secili prej tyre individualisht është një çelës kripto. Këtu mund të udhëhiqeni nga sa vijon rregull i thjeshtë – përdoruesit përfundimtarë kur punojnë me mjetet e mbrojtjes së informacionit kriptografik, ata përdorin informacionin kryesor, dhe çelësat kripto zakonisht përdorin mjete për mbrojtjen e informacionit kriptografik brenda vetes. Në të njëjtën kohë, është e rëndësishme të kuptohet se informacioni kryesor mund të përbëhet nga një çelës kripto. - Dokumentet kryesore- dokumente elektronike në çdo media, si dhe dokumente letre që përmbajnë informacion kyç akses i kufizuar për transformimin kriptografik të informacionit duke përdorur algoritme për transformimin kriptografik të informacionit (çelës kriptografik) në mjete enkriptuese (kriptografike). (përkufizim nga Vendimi i Qeverisë nr. 313, datë 16.04.2012, në vijim - PP-313)
Në një gjuhë të thjeshtë, një dokument kyç është informacioni kryesor i regjistruar në një medium. Kur analizoni informacionin kryesor dhe dokumentet kryesore, është e nevojshme të nënvizoni atë që përdoret (d.m.th., përdoret për transformime kriptografike - kriptim, nënshkrim elektronik, etj.) Informacioni kryesor, dhe dokumentet kryesore që e përmbajnë atë u transferohen punonjësve. - Mjetet e mbrojtjes së informacionit kriptografik (CIPF)- mjetet e kriptimit, mjetet e mbrojtjes imituese, mjetet e nënshkrimit elektronik, mjetet e kodimit, mjetet e prodhimit të dokumenteve kyçe, dokumentet kyçe, mjetet e enkriptimit harduer (kriptografik), mjetet softuerike dhe harduerike të enkriptimit (kriptografike). [PP-313]
Kur analizoni këtë përkufizim, mund të gjeni në të praninë e termit dokumente kyçe. Afati është dhënë në Dekretin e Qeverisë dhe ne nuk kemi të drejtë ta ndryshojmë. Në të njëjtën kohë, përshkrimi i mëtejshëm do të bëhet mbi bazën se vetëm mjetet e kryerjes së transformimeve kriptografike do të lidhen me CIPF). Kjo qasje do të thjeshtojë auditimin, por në të njëjtën kohë nuk do të ndikojë në cilësinë e tij, pasi ne ende do të marrim parasysh dokumentet kryesore, por në seksionin tonë dhe duke përdorur metodat tona.
Metodologjia e auditimit dhe rezultatet e pritura
Karakteristikat kryesore të metodologjisë së auditimit të propozuar në këtë artikull janë postulatet që:
- asnjë punonjës i vetëm i kompanisë nuk mund t'i përgjigjet me saktësi pyetjeve të bëra gjatë auditimit;
- Burimet ekzistuese të të dhënave (listat, regjistrat, etj.) janë të pasakta ose të strukturuara dobët.
Këtu janë varësitë kryesore që do të na ndihmojnë me këtë:
- Nëse ekziston një mjet për mbrojtjen e informacionit kriptografik, atëherë ka edhe informacion kyç.
- Nëse ka një rrjedhë dokumenti elektronik (përfshirë palët dhe rregullatorët), atëherë ka shumë të ngjarë që ai përdor një nënshkrim elektronik dhe, si rezultat, mjetet e mbrojtjes së informacionit kriptografik dhe informacionin kryesor.
- Rrjedha elektronike e dokumenteve në këtë kontekst duhet të kuptohet gjerësisht, domethënë do të referohet si një shkëmbim i drejtpërdrejtë i rëndësisë juridike. dokumente elektronike, dhe paraqitjen e raporteve, dhe punën në sistemet e pagesave ose tregtimit, e kështu me radhë. Lista dhe format e menaxhimit të dokumenteve elektronike përcaktohen nga proceset e biznesit të kompanisë, si dhe nga legjislacioni aktual.
- Nëse një punonjës është i përfshirë në menaxhimin e dokumenteve elektronike, atëherë ka shumë të ngjarë që ai ka dokumente kryesore.
- Kur organizoni rrjedhën elektronike të dokumenteve me palët, zakonisht lëshohen dokumente (urdhra) organizative dhe administrative për emërimin e personave përgjegjës.
- Nëse informacioni transmetohet përmes Internetit (ose tjetër rrjetet publike), atëherë ka shumë të ngjarë që është i koduar. Kjo vlen kryesisht për VPN dhe sisteme të ndryshme të aksesit në distancë.
- Nëse në trafikun e rrjetit gjenden protokolle që transmetojnë trafikun në një formë të koduar, atëherë përdoren mjetet e mbrojtjes së informacionit kriptografik dhe informacioni kryesor.
- Nëse do të bëheshin marrëveshje me palët e angazhuara në: furnizimin e produkteve të sigurisë së informacionit, pajisjeve të telekomunikacionit, ofrimin e shërbimeve për transferimin e fryrjes, shërbimet e qendrave të certifikimit, atëherë me këtë ndërveprim mund të bliheshin mjete për mbrojtjen e informacionit kriptografik ose dokumente kyçe.
- Dokumentet kryesore mund të jenë ose në media të huaja (disketa, disqe flash, argumente, ...), ose të regjistruara brenda kompjuterëve dhe mjeteve të sigurisë së informacionit kriptografik të harduerit.
- Kur përdorni mjete virtualizimi, dokumentet kryesore mund të ruhen si brenda makinave virtuale ashtu edhe të montohen në të makina virtuale duke përdorur një hipervizor.
- Mjetet e mbrojtjes së informacionit kriptografik të harduerit mund të instalohen në dhomat e serverëve dhe të mos jenë të disponueshëm për analiza në rrjet.
- Disa sisteme elektronike të menaxhimit të dokumenteve mund të jenë joaktive ose joaktive, por në të njëjtën kohë përmbajnë informacion kyç aktiv dhe mjete për mbrojtjen e informacionit kriptografik.
- Dokumentacioni i brendshëm rregullator, organizativ dhe administrativ mund të përmbajë informacion në lidhje me sistemet e menaxhimit të dokumenteve elektronike, CIPF dhe dokumentet kryesore.
- interviston punonjësit;
- të analizojë dokumentacionin e kompanisë, duke përfshirë dokumentet e brendshme rregullatore dhe administrative, si dhe urdhërpagesat dalëse;
- të kryejë një analizë vizuale të dhomave të serverëve dhe kabineteve të komunikimit;
- sjellje analiza teknike përmbajtjen e stacioneve të automatizuara të punës (AWP), serverët dhe mjetet e virtualizimit.
Lista e SKZI:
- Modeli CIPF... Për shembull, CIPF Crypto CSP 3.9, ose OpenSSL 1.0.1
- Identifikuesi i shembullit CIPF... Për shembull, numri serial, licenca (ose regjistrimi sipas PKZ-2005) SKZI
- Informacion në lidhje me certifikatën e FSB të Rusisë për CIPF, duke përfshirë numrin dhe datat e fillimit dhe mbarimit të vlefshmërisë.
- Informacion në lidhje me vendin e funksionimit të SKZI... Për shembull, emri i kompjuterit në të cilin është instaluar softueri SKZI, ose emri i mjeteve teknike ose ambienteve ku është instaluar hardueri SKZI.
- Menaxhoni dobësitë në sistemet e mbrojtjes së informacionit kriptografik, domethënë zbuloni dhe rregulloni shpejt ato.
- Monitoroni periudhën e vlefshmërisë së certifikatave për mjetet e mbrojtjes së informacionit kriptografik, si dhe kontrolloni nëse një mjet i certifikuar i mbrojtjes së informacionit kriptografik përdoret në përputhje me rregullat e përcaktuara nga dokumentacioni apo jo.
- Planifikoni koston e mbrojtjes së informacionit kriptografik, duke ditur se sa është tashmë në funksion dhe sa më shumë fonde të konsoliduara janë në dispozicion.
- Gjeneroni raportim rregullator.
Për secilin element të listës, ne regjistrojmë të dhënat e mëposhtme:
- Emri ose identifikuesi i informacionit kyç... Për shembull, "Çelësi ES i kualifikuar. Numër serik certifikata 31: 2D: AF ", dhe identifikuesi duhet të zgjidhet në mënyrë të tillë që të jetë e mundur të gjendet çelësi nga ai. Për shembull, autoritetet e certifikimit, kur dërgojnë njoftime, zakonisht identifikojnë çelësat me numrat e certifikatës.
- Qendra kryesore e kontrollit të sistemit (CMC) lëshuesi i këtij informacioni kyç. Kjo mund të jetë organizata që ka lëshuar çelësin, për shembull, një autoritet certifikimi.
- Individual, në emër të të cilit është lëshuar informacioni kyç. Ky informacion mund të merret nga fushat CN të certifikatave X.509
- Formati kryesor i informacionit... Për shembull, CryptoPRO CIP, Verba-OW CIP, X.509, etj. (ose me fjalë të tjera, për përdorim me cilin CIP synohet ky informacion kyç).
- Caktimi i informacionit kryesor... Për shembull, "Pjesëmarrja në ankande në faqen e Sberbank AST", "Nënshkrimi elektronik i kualifikuar për paraqitjen e raporteve", etj. Nga pikëpamja teknike, në këtë fushë, mund të rregulloni kufizimet e fiksuara nga fushat e zgjeruara të përdorimit të çelësit dhe certifikatat e tjera X.509.
- Fillimi dhe mbarimi i vlefshmërisë së informacionit kyç.
- Procedura e ribotimit të informacionit kyç... Kjo do të thotë, njohuri se çfarë të bëni dhe si të ribotoni informacionin kryesor. Është të paktën e dëshirueshme të rregullohen kontaktet zyrtarët TsUKS, e cila publikoi informacionin kryesor.
- Lista e sistemeve të informacionit, shërbimeve ose proceseve të biznesit brenda të cilave përdoret informacioni kryesor... Për shembull, "Sistemi i shërbimeve bankare në distancë Internet Client-Bank".
- Ndiqni datat e skadimit të informacionit kryesor.
- Ribotoni shpejt informacionin kryesor nëse është e nevojshme. Kjo mund të jetë e nevojshme si për ribotimet e planifikuara ashtu edhe për ato të paplanifikuara.
- Blloko përdorimin e informacionit kyç, pas shkarkimit të një punonjësi, të cilit i është dhënë.
- Hetoni incidentet e sigurisë së informacionit duke iu përgjigjur pyetjeve: "Kush i kishte çelësat për të bërë pagesat?" dhe etj.
Për secilin element të listës, ne regjistrojmë të dhënat e mëposhtme:
- Informacion kyç të përfshira në dokumentin kyç.
- Transportuesi kryesor i informacionit, në të cilën regjistrohet informacioni kryesor.
- Fytyra përgjegjës për sigurinë e dokumentit kyç dhe konfidencialitetin e informacionit kyç që përmbahet në të.
- Rilëshimi i informacionit kyç në rastet e: largimit nga puna të punonjësve që kanë dokumente kyçe, si dhe në rast kompromisi të medias.
- Siguroni konfidencialitetin e informacionit kryesor duke bërë një inventar të transportuesve që e përmbajnë atë.
Plani i auditimit
Tani është koha për të shqyrtuar veçoritë praktike të auditimit. Le ta bëjmë këtë duke përdorur shembullin e një organizate krediti dhe financiare, ose me fjalë të tjera, duke përdorur shembullin e një banke. Ky shembull jo i zgjedhur rastësisht. Bankat përdorin mjaft numër i madh sisteme të ndryshme të mbrojtjes kriptografike që përfshihen në një numër të madh procesesh biznesi, dhe përveç kësaj, pothuajse të gjitha bankat janë të licencuara nga FSB e Rusisë në kriptografi. Më tej në artikull do të prezantohet një plan auditimi për mjetet e mbrojtjes së informacionit kriptografik dhe çelësat kriptografikë në lidhje me Bankën. Në të njëjtën kohë, ky plan mund të merret si bazë kur kryhet një auditim i pothuajse çdo kompanie. Për lehtësinë e perceptimit, plani ndahet në faza, të cilat, nga ana tjetër, janë palosur në spoliers.
Faza 1. Mbledhja e të dhënave nga departamentet e infrastrukturës së kompanisë
| № | Veprimi | |
| Burimi - të gjithë punonjësit e kompanisë | ||
| 1 | Ne bëjmë listat e postimeve posta e korporatës të gjithë punonjësit e kompanisë me një kërkesë për të informuar shërbimin e sigurisë së informacionit për të gjithë çelësat kriptografikë që përdorin | Ne marrim email, në bazë të të cilave formojmë një listë të informacioneve kryesore dhe një listë të dokumenteve kryesore |
| Burimi - Shef i Shërbimit të Teknologjisë së Informacionit | ||
| 1 | Ne kërkojmë një listë të informacioneve kryesore dhe dokumenteve kryesore | Me njëfarë probabiliteti, Shërbimi i IT-së i ruan dokumente të tilla, ne do t'i përdorim ato për të formuar dhe sqaruar listat e informacionit kryesor, dokumentet kryesore dhe mjetet e mbrojtjes së informacionit kriptografik |
| 2 | Kërkimi i një liste të burimeve të informacionit kriptografik | |
| 3 | Kërkojmë regjistrin e softuerit të instaluar në serverë dhe stacione pune | V këtë regjistër duke kërkuar mjete softuerike për mbrojtjen e informacionit kriptografik dhe komponentët e tyre. Për shembull, CryptoPRO CSP, Verba-OW, Signal-COM CSP, Signature, PGP, ruToken, eToken, KritoARM, etj. Mbi bazën e këtyre të dhënave, ne formojmë një listë të CIPF. |
| 4 | Ne kërkojmë një listë të punonjësve (ndoshta mbeshtetje teknike), duke i ndihmuar përdoruesit të përdorin mjetet e mbrojtjes së informacionit kriptografik dhe rishfaqjen e informacionit kryesor. | Ne u kërkojmë këtyre personave të njëjtin informacion si administratorët e sistemit |
| Burimi - Administratorët e Sistemit të Shërbimit të Teknologjisë së Informacionit | ||
| 1 | Ne kërkojmë një listë të portave të brendshme të kriptove (VIPNET, Kontinenti, S-terra, etj.) | Në rastet kur kompania nuk zbaton procese të rregullta biznesi të menaxhimit të TI-së dhe sigurisë së informacionit, pyetje të tilla mund t'i ndihmojnë administratorët e sistemit të kujtojnë ekzistencën e një pajisjeje ose softueri të caktuar. Ne përdorim ky informacion për të marrë një listë të mjeteve të mbrojtjes së informacionit kriptografik. |
| 2 | Ne po kërkojmë një listë të mjeteve kriptografike të softuerit vendas (mjetet e mbrojtjes së informacionit kriptografik MagPro CryptoPacket, VIPNET CSP, CryptonDisk, SecretDisk, ...) | |
| 3 | Ne kërkojmë një listë të ruterave që zbatojnë VPN për: a) komunikimet ndërmjet zyrave të shoqërisë; b) ndërveprimin me kontraktorët dhe partnerët. |
|
| 4 | Ne kërkojmë një listë të shërbimeve të informacionit të publikuara në internet (të aksesueshme nga Interneti). Ato mund të përfshijnë: a) emaili i korporatës; b) sistemet e mesazheve të çastit; c) faqet e internetit të korporatave; d) shërbimet për shkëmbimin e informacionit me partnerët dhe kontraktorët (ekstranet); e) sistemet bankare në distancë (nëse shoqëria është Bankë); f) sistemet e aksesit në distancë në rrjetin e shoqërisë. Për të kontrolluar plotësinë e informacionit të dhënë, ne e kontrollojmë atë në përputhje me listën e rregullave të Portforwarding për muret e zjarrit kufitar. |
Duke analizuar informacionin e marrë, me një probabilitet të lartë, mund të gjeni përdorimin e mjeteve të mbrojtjes së informacionit kriptografik dhe çelësave kripto. Ne përdorim të dhënat e marra për të formuar një listë të mjeteve të mbrojtjes së informacionit kriptografik dhe informacionit kryesor. |
| 5 | Ne kërkojmë një listë të sistemeve të informacionit të përdorura për raportim (Taxcom, Kontur, etj.) | Këto sisteme përdorin çelësat e një nënshkrimi elektronik të kualifikuar dhe SKZI. Nëpërmjet kësaj liste, ne formojmë një listë të mjeteve të mbrojtjes së të dhënave kriptografike, një listë të informacioneve kryesore dhe gjithashtu zbulojmë punonjësit që përdorin këto sisteme për të formuar një listë të dokumenteve kryesore. |
| 6 | Ne kërkojmë një listë të sistemeve të brendshme të menaxhimit të dokumenteve elektronike (Lotus, DIRECTUM, 1C: Menaxhimi i dokumenteve, etj.), si dhe një listë të përdoruesve të tyre. | Në kuadrin e sistemeve të brendshme të menaxhimit të dokumenteve elektronike, mund të hasen çelësa të nënshkrimit elektronik. Bazuar në informacionin e marrë, ne formojmë një listë të informacioneve kryesore dhe një listë të dokumenteve kryesore. |
| 7 | Ne kërkojmë një listë të qendrave të brendshme të certifikimit. | Fondet e përdorura për organizimin e qendrave të certifikimit regjistrohen në listën e mjeteve të mbrojtjes së informacionit kriptografik. Në të ardhmen, ne do të analizojmë përmbajtjen e bazave të të dhënave të qendrave të certifikimit për të identifikuar informacionin kryesor. |
| 8 | Ne kërkojmë informacion në lidhje me përdorimin e teknologjive: IEEE 802.1x, WiFiWPA2 Enterprise dhe sistemet e mbikëqyrjes video IP | Në rastin e përdorimit të këtyre teknologjive, ne mund të gjejmë dokumente kyçe në pajisjet e përfshira. |
| Burimi - Shefi i Burimeve Njerëzore | ||
| 1 | Ju lutemi përshkruani procesin e punësimit dhe shkarkimit të punonjësve. Ne fokusohemi në pyetjen se kush i merr dokumentet kryesore nga largimi i punëtorëve | Ne analizojmë dokumentet (fletët e anashkalimit) për praninë e sistemeve të informacionit në të cilat mund të përdoret sistemi i mbrojtjes së informacionit kriptografik. |
Faza 2. Mbledhja e të dhënave nga njësitë e biznesit të kompanisë (në shembullin e Bankës)
| № | Veprimi | Rezultati dhe përdorimi i pritshëm |
| Burimi - Shefi i Shërbimit të Zgjidhjes (Marrëdhëniet me Korrespondencën) | ||
| 1 | Ju lutemi jepni një skemë për organizimin e ndërveprimit me sistemin e pagesave të Bankës së Rusisë. Në veçanti, kjo do të jetë e rëndësishme për bankat që kanë një rrjet të zhvilluar të degëve, në të cilat degët mund të lidhin Bankën Qendrore me sistemin e pagesave drejtpërdrejt. | Bazuar në të dhënat e marra, ne përcaktojmë vendndodhjen e portave të pagesave (AWP KBR, UTA) dhe listën e përdoruesve të përfshirë. Ne përdorim informacionin e marrë për të formuar një listë të mjeteve të mbrojtjes së informacionit kriptografik, informacionit kryesor dhe dokumenteve kryesore. |
| 2 | Ne kërkojmë një listë të bankave me të cilat janë krijuar marrëdhënie të drejtpërdrejta korrespondente, dhe gjithashtu kërkojmë të tregojmë se kush është i përfshirë në kryerjen e transfertave dhe çfarë mjete teknike përdoren. | |
| 3 | Ne kërkojmë një listë të sistemeve të pagesave në të cilat Banka merr pjesë (SWIFT, VISA, MasterCard, NSPK, etj.), si dhe vendndodhjen e terminaleve për komunikim. | Në mënyrë të ngjashme si për sistemi i pagesave Banka e Rusisë |
| Burimi - Përgjegjës i Divizionit përgjegjës për ofrimin e shërbimeve bankare në distancë | ||
| 1 | Ne po kërkojmë një listë të sistemeve bankare në distancë. | Në këto sisteme, ne analizojmë përdorimin e mjeteve të mbrojtjes së informacionit kriptografik dhe informacionit kryesor. Bazuar në të dhënat e marra, ne formojmë një listë të mjeteve të mbrojtjes së informacionit kriptografik dhe informacionit kryesor dhe dokumenteve kryesore. |
| Burimi - Përgjegjës i departamentit përgjegjës për funksionimin e përpunimit të kartave të pagesave | ||
| 1 | Pyetni regjistrin HSM | Bazuar në informacionin e marrë, ne formojmë një listë të mjeteve të mbrojtjes së informacionit kriptografik, informacionit kryesor dhe dokumenteve kryesore. |
| 2 | Duke kërkuar listën e oficerëve të sigurisë | |
| 4 | Kërkimi i informacionit rreth komponentëve LMK HSM | |
| 5 | Ne kërkojmë informacion në lidhje me organizimin e sistemeve të tilla si 3D-Secure dhe organizimin e personalizimit të kartave të pagesave | |
| Burimi - Drejtuesit e departamenteve që kryejnë funksione të thesarit dhe depozitimit | ||
| 1 | Lista e bankave me të cilat janë krijuar marrëdhënie korrespondente dhe të cilat marrin pjesë në kreditimin ndërbankar. | Ne përdorim informacionin e marrë për të sqaruar të dhënat e marra më parë nga shërbimi i shlyerjes, si dhe për të regjistruar informacione në lidhje me ndërveprimin me shkëmbimet dhe depozituesit. Bazuar në informacionin e marrë, ne formojmë një listë të mjeteve të mbrojtjes së informacionit kriptografik dhe informacionit kryesor. |
| 2 | Lista e bursave dhe depozituesve të specializuar me të cilët punon Banka | |
| Burimi - Drejtuesit e shërbimeve të monitorimit financiar dhe departamenteve përgjegjës për paraqitjen e raporteve në Bankën e Rusisë | ||
| 1 | Ne kërkojmë informacion se si ata dërgojnë informacion dhe marrin informacion nga Banka Qendrore. Lista e personave të përfshirë dhe mjeteve teknike. | Ndërveprimi i informacionit me Bankën e Rusisë rregullohet rreptësisht nga dokumentet përkatëse, për shembull, 2332-U, 321-I dhe shumë të tjerë, ne kontrollojmë përputhjen me këto dokumente dhe formojmë listat e mjeteve të mbrojtjes së informacionit kriptografik, informacionin kryesor dhe dokumentet kryesore. |
| Burimi - Kryekontabilist dhe kontabilistë që paguajnë fatura për nevojat e brendshme të bankës | ||
| 1 | Kërkojmë informacion mbi mënyrën e përgatitjes dhe paraqitjes së raporteve pranë inspektorateve tatimore dhe Bankës së Rusisë | Ne sqarojmë informacionin e marrë më parë |
| 2 | Ne kërkojmë një regjistër të dokumenteve të pagesave për të paguar për nevojat e brendshme të bankës | Në këtë regjistër, ne do të kërkojmë dokumente ku: 1) Qendrat e certifikimit, operatorët e specializuar të telekomit, prodhuesit e mjeteve të mbrojtjes së informacionit kriptografik, furnizuesit e pajisjeve të telekomunikacionit tregohen si marrës të pagesave. Emrat e këtyre kompanive mund të merren nga Regjistri i sistemeve të certifikuara të mbrojtjes së informacionit kriptografik të FSB të Rusisë, lista e qendrave të certifikimit të akredituar të Ministrisë së Telekomit dhe Komunikimeve Massive dhe burime të tjera. 2) si deshifrim i pagesës janë të pranishme fjalët: "CIPF", "nënshkrim", "token", "çelës", "BKI" etj. |
| Burimi - Drejtuesit e Detyrimeve të Papaguara dhe Menaxhimit të Riskut | ||
| 1 | Duke kërkuar një listë të zyrave historitë e kreditit dhe agjencitë e grumbullimit me të cilat punon Banka. | Së bashku me shërbimin e IT analizojmë të dhënat e marra për të sqaruar organizimin e menaxhimit të dokumenteve elektronike, mbi bazën e të cilave sqarojmë listat e mjeteve të mbrojtjes së informacionit kriptografik, informacionin kryesor dhe dokumentet kryesore. |
| Burimi - Drejtuesit e Shërbimeve të Menaxhimit të Dokumenteve, Kontrollit të Brendshëm dhe Auditimit të Brendshëm | ||
| 1 | Ne kërkojmë një regjistër të dokumenteve të brendshme organizative dhe administrative (urdhra). | Në këto dokumente, ne kërkojmë dokumente që lidhen me mbrojtjen e informacionit kriptografik. Për ta bërë këtë, analizojmë praninë e fjalëve kyçe "siguri", "personi përgjegjës", "administrator", "nënshkrimi elektronik", "ES", "EDS", "EDO", "ASP", "SKZI" dhe të tyre derivatet. Më pas identifikojmë listën e punonjësve të Bankës të regjistruar në këto dokumente. Ne kryejmë intervista me punonjësit mbi temën e përdorimit të tyre të mjeteve kripto. Ne pasqyrojmë informacionin e marrë në listat e mjeteve të mbrojtjes së informacionit kriptografik, informacionin kryesor dhe dokumentet kryesore. |
| 2 | Ne kërkojmë lista të kontratave me palët | Ne po përpiqemi të identifikojmë marrëveshjet për menaxhimin elektronik të dokumenteve, si dhe marrëveshjet me kompanitë që ofrojnë mjete të sigurisë së informacionit ose ofrojnë shërbime në këtë fushë, si dhe kompani që ofrojnë shërbime të qendrave të certifikimit dhe shërbime për paraqitjen e raporteve nëpërmjet internetit. |
| 3 | Ne analizojmë teknologjinë e ruajtjes së dokumenteve të ditës në formë elektronike | Gjatë zbatimit të ruajtjes së dokumenteve të ditës në formë elektronike, kërkohen mjete për mbrojtjen e informacionit kriptografik |
Faza 3. Auditimi teknik
| № | Veprimi | Rezultati dhe përdorimi i pritshëm |
| 1 | Ne kryejmë një inventar teknik të softuerit të instaluar në kompjuter. Për këtë përdorim: Aftësitë analitike sistemet e korporatave mbrojtje antivirus (për shembull, Kaspersky Anti-Virus mund të krijojë një regjistër të tillë). · Skriptet WMI për sondazhet e kompjuterëve Windows; · Mundësitë e menaxherëve të paketave për sondazhe * nix system; · Softuer i specializuar për inventar. |
Midis softuerit të instaluar, ne jemi duke kërkuar për softuerin SKZI, drejtuesit për harduerin SKZI dhe transportuesit kryesorë. Në bazë të informacionit të marrë, ne përditësojmë listën e CIPF-ve. |
| 2 | Ne kërkojmë dokumente kyçe në serverë dhe stacione pune. Për këtë · Logon-scripts anketojnë AWP në domenin për praninë e certifikatave me çelësa privatë në profilet e përdoruesve dhe profilet kompjuterike. Në të gjithë kompjuterët, serverët e skedarëve, hipervizorët, kërkojmë skedarë me ekstensionet: crt, cer, key, pfx, p12, pem, pse, jks, etj. · Në hipervizorët e sistemeve të virtualizimit, ne jemi duke kërkuar për disqe të montuara dhe imazhe diskete. |
Shumë shpesh, dokumentet kryesore paraqiten në formën e kontejnerëve të çelësave të skedarëve, si dhe kontejnerëve të ruajtur në regjistrat e kompjuterëve që përdorin Windows. Ne regjistrojmë dokumentet kryesore të gjetura në listën e dokumenteve kryesore, dhe informacionin kryesor që përmbahet në to në listën e informacionit kryesor. |
| 3 | Ne analizojmë përmbajtjen e bazave të të dhënave të qendrave të certifikimit | Bazat e të dhënave të autoriteteve të certifikimit zakonisht përmbajnë informacion në lidhje me certifikatat e lëshuara nga këto autoritete. Ne futim informacionin e marrë në listën e informacionit kryesor dhe listën e dokumenteve kryesore. |
| 4 | Ne kryejmë një inspektim vizual të dhomave të serverëve dhe dollapëve të instalimeve elektrike, kërkojmë mjetet e mbrojtjes së informacionit kriptografik dhe transportuesit e çelësave të harduerit (tokenat, disqet e diskut) | Në disa raste, është e pamundur të kryhet një inventar i mjeteve të mbrojtjes së informacionit kriptografik dhe dokumenteve kryesore në rrjet. Sistemet mund të jenë në segmente të izoluara të rrjetit ose të mos kenë fare lidhje rrjeti. Për ta bërë këtë, ne kryejmë një inspektim vizual, në rezultatet e të cilit duhet të përcaktohen emrat dhe qëllimi i të gjitha pajisjeve të paraqitura në dhomat e serverit. Ne futim informacionin e marrë në listën e mjeteve të mbrojtjes së informacionit kriptografik dhe dokumenteve kryesore. |
| 5 | Ne bëjmë analizën trafiku i rrjetit, për të identifikuar rrjedhat e informacionit duke përdorur shkëmbimin e koduar | Protokollet e koduara - HTTPS, SSH, etj. do të na lejojnë të identifikojmë nyjet e rrjetit në të cilat kryhen transformimet kriptografike, dhe si rezultat, të përmbajnë mjete për mbrojtjen e informacionit kriptografik dhe dokumente kyçe. |
konkluzioni
Në këtë artikull, ne shqyrtuam teorinë dhe praktikën e auditimit të mjeteve të mbrojtjes së informacionit kriptografik dhe çelësave kripto. Siç e keni parë, kjo procedurë është mjaft e ndërlikuar dhe kërkon kohë, por nëse trajtohet siç duhet, është mjaft e realizueshme. Shpresojmë që ky artikull t'ju ndihmojë jeta reale... Faleminderit për vëmendjen tuaj, presim komentet tuaja.Etiketa:
- skzy
- kriptografia
- nënshkrim elektronik
- auditimit
- menaxhimi
