Mjete kriptografike për mbrojtjen e informacionit. Mekanizmat e sigurisë së informacionit

12.08.2019 Programet

Mbrojtja e informacionit kriptografik - mbrojtjen e informacionit me anë të transformimit të tij kriptografik.

Aktualisht ekzistojnë teknika kriptografike bazë për të siguruar vërtetimin e besueshëm të palëve në shkëmbimin e informacionit, mbrojtjen.

TE mjetet e mbrojtjes së informacionit kriptografik(CIPF) përfshin harduerin, softuerin dhe harduerin dhe softuerin që zbatojnë algoritme kriptografike për transformimin e informacionit në mënyrë që:

Mbrojtja e informacionit gjatë përpunimit, ruajtjes dhe transmetimit të tij;

Sigurimi i besueshmërisë dhe integritetit të informacionit (përfshirë përdorimin e algoritmeve të nënshkrimit dixhital) gjatë përpunimit, ruajtjes dhe transmetimit të tij;

Gjenerimi i informacionit të përdorur për të identifikuar dhe vërtetuar subjektet, përdoruesit dhe pajisjet;

Gjenerimi i informacionit të përdorur për të mbrojtur elementët autentikues të AS të mbrojtura gjatë gjenerimit, ruajtjes, përpunimit dhe transmetimit të tyre.

Teknikat kriptografike përfshijnë enkriptimi dhe kodimi i informacionit... Ekzistojnë dy metoda kryesore të kriptimit: simetrik dhe asimetrik. Në të parën, i njëjti çelës (i mbajtur sekret) përdoret si për kriptim ashtu edhe për deshifrimin e të dhënave.

Janë zhvilluar metoda shumë efektive (të shpejta dhe të besueshme) të kriptimit simetrik. Ekziston gjithashtu një standard kombëtar për metoda të tilla - GOST 28147-89 "Sistemet e përpunimit të informacionit. Mbrojtja kriptografike. Algoritmi për transformimin kriptografik ".

Metodat asimetrike përdorin dy çelësa. Njëra prej tyre, e paklasifikuar (mund të publikohet së bashku me informacione të tjera publike rreth përdoruesit), përdoret për kriptim, tjetra (sekret, e njohur vetëm për marrësin) - për deshifrim. Më e popullarizuara nga asimetrike është metoda RSA, e bazuar në operacionet në numrat kryesorë të mëdhenj (100-shifror) dhe produktet e tyre.

Metodat kriptografike ju lejojnë të kontrolloni në mënyrë të besueshme integritetin e të dy pjesëve individuale të të dhënave dhe grupeve të tyre (siç është rrjedha e mesazheve); të përcaktojë vërtetësinë e burimit të të dhënave; për të garantuar pamundësinë e refuzimit të veprimeve të kryera ("mospranimi").

Kontrolli i integritetit kriptografik bazohet në dy koncepte:

Nënshkrimi elektronik (ES).

Një funksion hash është një transformim i të dhënave i vështirë për t'u kthyer (funksion me një drejtim), zakonisht i zbatuar me anë të enkriptimit simetrik të lidhjes së bllokut. Rezultati i enkriptimit të bllokut të fundit (në varësi të të gjitha të mëparshmeve) është rezultat i funksionit hash.

Kriptografia si një mjet për mbrojtjen (mbylljen) e informacionit po bëhet gjithnjë e më i rëndësishëm në aktivitetet tregtare.

Për të transformuar informacionin, përdoren mjete të ndryshme të kriptimit: mjetet e kriptimit të dokumenteve, duke përfshirë ato portative, mjetet e kriptimit të të folurit (komunikimet telefonike dhe radio), mjetet e kriptimit të mesazheve telegrafike dhe transmetimit të të dhënave.

Për mbrojtjen e sekreteve tregtare në tregjet ndërkombëtare dhe vendase ofrohen pajisje të ndryshme teknike dhe komplete të pajisjeve profesionale të enkriptimit dhe kriptombrojtjes për komunikimet telefonike dhe radio, korrespondencë biznesi etj.

Scramblers dhe maskers janë bërë të përhapura, duke zëvendësuar sinjalin e të folurit me transmetimin dixhital të të dhënave. Prodhohen mjete mbrojtëse për teletipe, telekse dhe fakse. Për këto qëllime, përdoren enkriptorët, të bërë në formën e pajisjeve të veçanta, në formën e bashkëngjitjeve në pajisje ose të integruara në dizajnin e telefonave, modemëve të faksit dhe pajisjeve të tjera të komunikimit (stacionet radio dhe të tjera). Për të siguruar saktësinë e mesazheve elektronike të transmetuara, nënshkrimet dixhitale elektronike përdoren gjerësisht.

Konfidencialiteti i informacionit karakterizohet nga tregues të tillë në dukje të kundërt si disponueshmëria dhe sekreti. Metodat për të vënë informacionin në dispozicion të përdoruesve janë diskutuar në seksionin 9.4.1. Në këtë seksion, ne do të shqyrtojmë mënyrat për të siguruar fshehtësinë e informacionit. Kjo veti e informacionit karakterizohet nga shkalla e maskimit të informacionit dhe pasqyron aftësinë e tij për t'i rezistuar zbulimit të kuptimit të grupeve të informacionit, përcaktimit të strukturës së grupit të informacionit të ruajtur ose bartësit (sinjalit bartës) të grupit të informacionit të transmetuar dhe vërtetimit të faktit të transmetimi i grupit të informacionit përmes kanaleve të komunikimit. Në këtë rast, kriteret e optimalitetit janë, si rregull,:

minimizimi i gjasave për të kapërcyer ("thyer") mbrojtjen;

maksimizimi i kohës së pritshme të sigurt përpara "prishjes" së nënsistemit të mbrojtjes;

minimizimi i humbjeve totale nga "hakimi" i mbrojtjes dhe kostot e zhvillimit dhe funksionimit të elementeve përkatës të nënsistemit të kontrollit dhe mbrojtjes së informacionit, etj.

Në përgjithësi, konfidencialiteti i informacionit midis abonentëve mund të sigurohet në një nga tre mënyrat:

krijoni një kanal komunikimi absolutisht të besueshëm midis pajtimtarëve të paarritshëm për të tjerët;

përdorni një kanal komunikimi publik, por fshehni vetë faktin e transferimit të informacionit;

përdorni një kanal komunikimi publik, por transmetoni informacionin përmes tij në një formë të transformuar dhe ai duhet të transformohet në mënyrë që vetëm adresuesi të mund ta rivendosë atë.

Opsioni i parë është praktikisht i parealizueshëm për shkak të kostove të larta materiale për krijimin e një kanali të tillë midis abonentëve të largët.

Një nga mënyrat për të siguruar konfidencialitetin e transferimit të informacionit është steganografi... Aktualisht, ai përfaqëson një nga drejtimet premtuese për sigurimin e konfidencialitetit të informacionit të ruajtur ose të transmetuar në sistemet kompjuterike duke maskuar informacionin e klasifikuar në skedarë të hapur, kryesisht në multimedia.

Ai është i angazhuar në zhvillimin e metodave për transformimin (kriptimin) e informacionit për ta mbrojtur atë nga përdoruesit e paligjshëm. kriptografia.

Kriptografia (nganjëherë përdoret termi kriptologji) është një fushë e njohurive që studion kriptografinë (kriptografinë) dhe metodat e zbulimit të saj (kriptanaliza). Kriptografia konsiderohet një degë e matematikës.

Deri vonë, të gjitha kërkimet në këtë fushë ishin mbyllur vetëm, por vitet e fundit, gjithnjë e më shumë botime në shtypin e hapur kanë filluar të shfaqen. Pjesërisht, zbutja e fshehtësisë është për faktin se është bërë e pamundur fshehja e sasisë së grumbulluar të informacionit. Nga ana tjetër, kriptografia përdoret gjithnjë e më shumë në industritë civile, gjë që kërkon zbulim.

9.6.1. Parimet e kriptografisë. Qëllimi i një sistemi kriptografik është të kriptojë një tekst burimor kuptimplotë (i quajtur edhe tekst i qartë), duke rezultuar në një tekst shifror plotësisht të pakuptimtë (shifrtekst, kriptogram). Marrësi i synuar duhet të jetë në gjendje të deshifrojë (ata thonë gjithashtu "decrypt") këtë tekst të shifruar, duke rikuperuar kështu tekstin e thjeshtë përkatës. Në këtë rast, kundërshtari (i quajtur edhe kriptanalist) nuk duhet të jetë në gjendje të zbulojë tekstin origjinal. Ekziston një ndryshim i rëndësishëm midis deshifrimit (deshifrimit) dhe zbulimit të tekstit të shifruar.

Quhen metoda kriptografike dhe mënyra të transformimit të informacionit shifrat... Zbulimi i një kriptosistemi (shifror) është rezultat i punës së një kriptoanalisti, duke çuar në mundësinë e zbulimit efektiv të çdo teksti të thjeshtë të koduar me ndihmën e këtij kriptosistemi. Shkalla e paaftësisë së një kriptosistemi për të zbuluar quhet forca e tij.

Çështja e besueshmërisë së sistemeve të sigurisë së informacionit është shumë komplekse. Fakti është se nuk ka teste të besueshme për t'u siguruar që informacioni mbrohet mjaftueshëm i besueshëm. Së pari, kriptografia ka veçorinë se shpesh duhen disa rend të madhësisë më shumë para për të "thyer" një shifër sesa për ta krijuar atë. Për rrjedhojë, testimi i një sistemi mbrojtjeje kriptografike nuk është gjithmonë i mundur. Së dyti, përpjekjet e përsëritura të pasuksesshme për të kapërcyer mbrojtjen nuk do të thotë aspak se përpjekja tjetër nuk do të jetë e suksesshme. Nuk përjashtohet rasti kur profesionistët luftuan për shifrën për një kohë të gjatë, por pa sukses, dhe një i sapoardhur aplikoi një qasje jo standarde - dhe shifra ishte e lehtë për të.

Si rezultat i vërtetueshmërisë kaq të dobët të besueshmërisë së mjeteve të sigurisë së informacionit, ka shumë produkte në treg, besueshmëria e të cilave nuk mund të gjykohet me besueshmëri. Natyrisht, zhvilluesit e tyre lavdërojnë punën e tyre në çdo mënyrë, por ata nuk mund të provojnë cilësinë e saj, dhe shpesh kjo është e pamundur në parim. Si rregull, paprovueshmëria e besueshmërisë shoqërohet edhe nga fakti se algoritmi i enkriptimit mbahet sekret.

Në shikim të parë, sekreti i algoritmit shërben si një garanci shtesë për besueshmërinë e shifrës. Ky është një argument që synon amatorët. Në fakt, pasi një algoritëm njihet nga zhvilluesit, ai nuk mund të konsiderohet më sekret, përveç nëse përdoruesi dhe zhvilluesi janë i njëjti person. Për më tepër, nëse, për shkak të paaftësisë ose gabimeve të zhvilluesit, algoritmi rezulton i paqëndrueshëm, sekreti i tij nuk do të lejojë ekspertë të pavarur ta kontrollojnë atë. Paqëndrueshmëria e algoritmit do të zbulohet vetëm kur ai tashmë është hakuar, ose madje nuk gjendet fare, sepse armiku nuk po nxiton të mburret për sukseset e tij.

Prandaj, kriptografi duhet të udhëhiqet nga rregulli i formuluar fillimisht nga holandezi O. Kerkhoffs: forca e shifrës duhet të përcaktohet vetëm nga fshehtësia e çelësit. Me fjalë të tjera, rregulli i O. Kerckhoffs është që i gjithë mekanizmi i enkriptimit, përveç vlerës së çelësit sekret, apriori konsiderohet i njohur për armikun.

Një tjetër gjë është se një metodë e mbrojtjes së informacionit është e mundur (në mënyrë rigoroze, jo e lidhur me kriptografinë), kur nuk është algoritmi i enkriptimit që fshihet, por vetë fakti që mesazhi përmban informacion të koduar (të fshehur në të). Është më e saktë të quhet një teknikë e tillë maskim informacioni. Do të diskutohet veçmas.

Historia e kriptografisë daton disa mijëra vjet. Nevoja për të fshehur atë që ishte shkruar tek një person u shfaq pothuajse menjëherë, sapo mësoi të shkruante. Një shembull i njohur historik i një kriptosistemi është i ashtuquajturi shifror i Cezarit, i cili është zëvendësimi i thjeshtë i secilës shkronjë të tekstit të thjeshtë me shkronjën e tretë të alfabetit pas tij (me vizë ciklike kur është e nevojshme). Për shembull, A u zëvendësua nga D,B në E,Z në C.

Pavarësisht përparimeve të rëndësishme në matematikë gjatë shekujve që kanë kaluar që nga koha e Cezarit, kriptografia nuk bëri hapa të rëndësishëm përpara deri në mesin e shekullit të 20-të. Kishte një qasje amatore, spekulative, joshkencore.

Për shembull, në shekullin XX, profesionistët përdorën gjerësisht shifrat "libër", në të cilat çdo botim i shtypur masiv përdorej si çelës. Eshtë e panevojshme të thuhet se sa lehtë u zbuluan shifra të tilla! Sigurisht, nga pikëpamja teorike, shifra e "librit" duket mjaft e besueshme, pasi grupi i tij është i pamundur të zgjidhet me dorë. Sidoqoftë, informacioni më i vogël a priori e ngushton ndjeshëm këtë zgjedhje.

Nga rruga, në lidhje me informacionin a priori. Gjatë Luftës së Madhe Patriotike, siç e dini, Bashkimi Sovjetik i kushtoi vëmendje të konsiderueshme organizimit të lëvizjes partizane. Pothuajse çdo detashment pas linjave të armikut kishte një stacion radio, si dhe një lloj komunikimi me "kontinentin". Shifrat që kishin partizanët ishin jashtëzakonisht të paqëndrueshme - deshifruesit gjermanë i deshifruan ato mjaft shpejt. Dhe kjo, siç e dini, rezultoi në disfata luftarake dhe humbje. Guerilët u treguan dinak dhe të shkathët edhe në këtë fushë. Truku ishte jashtëzakonisht i thjeshtë. Në tekstin origjinal të mesazhit, janë bërë një numër i madh gabimesh gramatikore, p.sh., shkruanin: "Dërgoni tre shkallë me ton". Me deshifrimin e saktë, gjithçka ishte e qartë për një person rus. Por kriptanalistët e armikut ishin të pafuqishëm përpara një teknike të tillë: duke parë opsionet e mundshme, ata hasën në kombinimin "tnk", i cili ishte i pamundur për gjuhën ruse, dhe e hodhën poshtë këtë opsion si të pasaktë me vetëdije.

Ky truk në dukje i gatimit në shtëpi është në fakt shumë efektiv dhe përdoret shpesh edhe tani. Sekuencat e rastësishme të karaktereve zëvendësohen në tekstin origjinal të mesazhit për të ngatërruar programet kriptanalitike me forcë brutale ose për të ndryshuar modelet statistikore të kodit të shifrimit, i cili gjithashtu mund të sigurojë informacion të dobishëm për armikun. Por në përgjithësi, mund të themi se kriptografia e paraluftës ishte jashtëzakonisht e dobët dhe nuk mund të pretendonte të ishte një shkencë serioze.

Megjithatë, domosdoshmëria e ashpër ushtarake i detyroi shkencëtarët shpejt të merren me problemet e kriptografisë dhe kriptanalizës. Një nga përparimet e para të rëndësishme në këtë fushë ishte makina shkrimi gjermane Enigma, e cila në fakt ishte një kodues dhe dekoder mekanik me një qëndrueshmëri mjaft të lartë.

Në të njëjtën kohë, gjatë Luftës së Dytë Botërore, u shfaqën shërbimet e para profesionale të deshifrimit. Më i famshmi prej tyre është Bletchley Park, një degë e shërbimit të inteligjencës britanike MI5.

9.6.2. Llojet e shifrave. Të gjitha metodat e kriptimit mund të ndahen në dy grupe: shifrat e çelësit sekret dhe shifrat e çelësit publik. Të parët karakterizohen nga prania e disa informacioneve (çelës sekret), posedimi i të cilit bën të mundur si enkriptimin ashtu edhe dekriptimin e mesazheve. Prandaj, ato quhen edhe si me një çelës. Shifrat e çelësit publik kërkojnë dy çelësa për të deshifruar mesazhet. Këto shifra quhen edhe shifra me dy çelësa.

Rregulli i kriptimit nuk mund të jetë arbitrar. Duhet të jetë e tillë që të jetë e mundur të rikuperohet pa mëdyshje një mesazh i hapur nga teksti i koduar duke përdorur rregullin e deshifrimit. Rregullat e kriptimit të të njëjtit lloj mund të kombinohen në klasa. Brenda klasës, rregullat ndryshojnë ndërmjet tyre nga vlerat e disa parametrave, të cilët mund të jenë një numër, një tabelë, etj. Në kriptografi, zakonisht quhet vlera specifike e një parametri të tillë Celës.

Në thelb, çelësi zgjedh një rregull të veçantë kriptimi nga një klasë e caktuar rregullash. Kjo lejon, së pari, kur përdorni pajisje speciale për enkriptim, të ndryshoni vlerën e parametrave të pajisjes në mënyrë që mesazhi i koduar të mos mund të deshifrohet edhe nga persona që kanë saktësisht të njëjtën pajisje, por nuk e dinë vlerën e parametrit të zgjedhur, dhe së dyti, ju lejon të ndryshoni rregullin e enkriptimit në kohën e duhur, pasi përdorimi i përsëritur i të njëjtit rregull të kriptimit për tekstet e thjeshta krijon parakushtet për marrjen e mesazheve të hapura nga ato të enkriptuara.

Duke përdorur konceptin e një çelësi, procesi i enkriptimit mund të përshkruhet si një raport:

ku A- mesazh i hapur; B- mesazh i koduar; f- rregulli i enkriptimit; α - çelësi i zgjedhur, i njohur për dërguesin dhe adresuesin.

Për çdo çelës α konvertimi i shifrës duhet të jetë i kthyeshëm, domethënë duhet të ketë një transformim të kundërt , e cila për çelësin e zgjedhur α identifikon në mënyrë unike një mesazh të hapur A me mesazh të koduar B:

(9.0)

Një grup transformimesh dhe grupi i çelësave që përputhen quhet shifror... Ndër të gjitha shifrat, mund të dallohen dy klasa të mëdha: shifrat zëvendësuese dhe shifrat e ndërrimit. Aktualisht, pajisjet elektronike të enkriptimit përdoren gjerësisht për të mbrojtur informacionin në sistemet e automatizuara. Një karakteristikë e rëndësishme e pajisjeve të tilla nuk është vetëm forca e shifrës së zbatuar, por edhe shpejtësia e lartë e procesit të kriptimit dhe deshifrimit.

Ndonjëherë dy koncepte ngatërrohen: enkriptimi dhe kodimi... Ndryshe nga kriptimi, për të cilin duhet të dini shifrën dhe çelësin sekret, nuk ka asgjë sekrete gjatë kriptimit, ka vetëm një zëvendësim të caktuar të shkronjave ose fjalëve me simbole të paracaktuara. Metodat e kodimit synojnë jo fshehjen e një mesazhi të hapur, por paraqitjen e tij në një formë më të përshtatshme për transmetim përmes mjeteve teknike të komunikimit, për të zvogëluar gjatësinë e mesazhit, për të mbrojtur shtrembërimet, etj.

Shifrat sekrete të çelësave... Ky lloj shifrimi nënkupton praninë e disa informacioneve (çelës), posedimi i të cilit lejon si enkriptimin ashtu edhe dekriptimin e mesazhit.

Nga njëra anë, një skemë e tillë ka disavantazhet që, përveç një kanali të hapur për transmetimin e një kodi shifror, është e nevojshme të ketë edhe një kanal sekret për transmetimin e një çelësi; për më tepër, nëse rrjedh informacion për një çelës, ai është e pamundur të vërtetohet se nga cili prej dy korrespondentëve ka ndodhur rrjedhja.

Nga ana tjetër, midis shifrave të këtij grupi të veçantë, ekziston e vetmja skemë e enkriptimit në botë që zotëron forcë absolute teorike. Të gjithë të tjerët mund të deshifrohen të paktën në parim. Një skemë e tillë është kriptimi i zakonshëm (për shembull, operacioni XOR) me një çelës, gjatësia e të cilit është e barabartë me gjatësinë e mesazhit. Në këtë rast, çelësi duhet të përdoret vetëm një herë. Çdo përpjekje për të deshifruar një mesazh të tillë është e padobishme, edhe nëse ka informacion apriori për tekstin e mesazhit. Duke zgjedhur një çelës, mund të merrni çdo mesazh si rezultat.

Shifrat e çelësit publik... Ky lloj shifrimi nënkupton praninë e dy çelësave - publik dhe privat; njëri përdoret për të enkriptuar, tjetri për të deshifruar mesazhet. Çelësi publik publikohet - vihet në vëmendje të të gjithëve, ndërsa çelësi sekret mbahet nga pronari i tij dhe është garanci e fshehtësisë së mesazheve. Thelbi i metodës është se ajo që është e koduar me një çelës sekret mund të deshifrohet vetëm me një publik dhe anasjelltas. Këta çelësa gjenerohen në çifte dhe kanë një korrespondencë një-me-një me njëri-tjetrin. Për më tepër, është e pamundur të llogaritet tjetri nga një çelës.

Një tipar karakteristik i shifrave të këtij lloji, i cili i dallon në mënyrë të favorshme nga shifrat me çelës sekret, është se çelësin sekret këtu e di vetëm një person, ndërsa në skemën e parë duhet të jetë i njohur për të paktën dy persona. Kjo jep përparësitë e mëposhtme:

nuk kërkohet asnjë kanal i sigurt për të dërguar çelësin sekret;

i gjithë komunikimi kryhet përmes një kanali të hapur;

prania e një kopje të vetme të çelësit zvogëlon mundësinë e humbjes së tij dhe bën të mundur vendosjen e përgjegjësisë së qartë personale për ruajtjen e sekretit;

prania e dy çelësave lejon që ky sistem kriptimi të përdoret në dy mënyra - komunikim sekret dhe nënshkrim dixhital.

Shembulli më i thjeshtë i algoritmeve të konsideruara të enkriptimit është algoritmi RSA. Të gjithë algoritmet e tjera të kësaj klase ndryshojnë nga ajo jo thelbësisht. Mund të themi se, në përgjithësi, RSA është i vetmi algoritëm i çelësit publik.

9.6.3. Algoritmi RSA. RSA (emërtuar sipas autorëve të tij - Rivest, Shamir dhe Alderman) është një algoritëm i çelësit publik si për kriptim ashtu edhe për vërtetim (nënshkrimi dixhital). Ky algoritëm u zhvillua në vitin 1977 dhe bazohet në zbërthimin e numrave të plotë të mëdhenj në faktorët kryesorë (faktorizimi).

RSA është një algoritëm shumë i ngadaltë. Në krahasim, në nivelin e softuerit, DES është të paktën 100 herë më i shpejtë se RSA; në harduer - nga 1,000-10,000 herë, në varësi të zbatimit.

Algoritmi RSA është si më poshtë. Merr dy numra të thjeshtë shumë të mëdhenj fq dhe q... I vendosur n si rezultat i shumëzimit fq në q(n=fq q). Përzgjidhet një numër i plotë i rastësishëm d coprime me m, ku
... Një numër i tillë përcaktohet e, çfarë
... Le të thërrasim çelësin publik e dhe n, dhe çelësi sekret janë numrat d dhe n.

Tani, për të enkriptuar të dhënat duke përdorur një çelës të njohur ( e,n), duhet të bëni sa më poshtë:

ndani tekstin e koduar në blloqe, secila prej të cilave mund të përfaqësohet si një numër M(i)=0,1,…,n-1;

enkriptoj tekstin e trajtuar si një sekuencë numrash M(i) sipas formulës C(i)=(M(i)) mod n;

për të deshifruar këto të dhëna duke përdorur çelësin sekret ( d,n), është e nevojshme të kryhen llogaritjet e mëposhtme M(i)=(C(i)) mod n.

Rezultati do të jetë një grup numrash M(i), të cilat përfaqësojnë tekstin origjinal.

Shembull. Le të shqyrtojmë aplikimin e metodës RSA për të enkriptuar mesazhin: "kompjuter". Për thjeshtësi, ne do të përdorim numra shumë të vegjël (në praktikë, përdoren numra shumë më të mëdhenj - nga 200 e lart).

Le të zgjedhim fq= 3 dhe q= 11. Ne përcaktojmë n= 3 × 11 = 33.

Gjej ( fq-1) × ( q-1) = 20. Prandaj, si d zgjidhni çdo numër që është në të njëjtën kohë me 20, për shembull d=3.

Le të zgjedhim një numër e... Si numër i tillë, mund të merret çdo numër për të cilin relacioni ( e× 3) mod 20 = 1, për shembull, 7.

Le të paraqesim mesazhin e koduar si një sekuencë numrash të plotë në rangun 1 ... 32. Le të përfaqësohet shkronja "E" me numrin 30, shkronja "B" me numrin 3 dhe shkronja "M" me numrin 13. Më pas mesazhi origjinal mund të përfaqësohet si një sekuencë numrash (30 03 13 ).

Le ta kodojmë mesazhin duke përdorur çelësin (7.33).

C1 = (307) mod 33 = 21870000000 mod 33 = 24,

C2 = (37) mod 33 = 2187 mod 33 = 9,

C3 = (137) mod 33 = 62748517 mod 33 = 7.

Kështu, mesazhi i koduar duket si (24 09 07).

Le të zgjidhim problemin e anasjelltë. Le të deshifrojmë mesazhin (24 09 07), të marrë si rezultat i kriptimit duke përdorur një çelës të njohur, bazuar në çelësin sekret (3.33):

М1 = (24 3) mod 33 = 13824 mod 33 = 30,

M2 = (9 3) mod 33 = 739 mod 33 = 9,

М3 = (7 3) mod33 = 343 mod33 = 13 .

Kështu, si rezultat i deshifrimit të mesazhit, u mor mesazhi origjinal "kompjuter".

Fuqia kriptografike e algoritmit RSA bazohet në supozimin se është jashtëzakonisht e vështirë të përcaktohet çelësi sekret nga ai i njohur, pasi për këtë është e nevojshme të zgjidhet problemi i ekzistencës së pjesëtuesve të numrave të plotë. Ky problem është NP-i plotë dhe, si pasojë e këtij fakti, aktualisht nuk pranon një zgjidhje efektive (polinomike). Për më tepër, vetë çështja e ekzistencës së algoritmeve efikase për zgjidhjen e problemeve NP-komplete është ende e hapur. Në këtë drejtim, për numrat që përbëhen nga 200 shifra (dhe janë këta numra që rekomandohen të përdoren), metodat tradicionale kërkojnë një numër të madh operacionesh (rreth 1023).

Algoritmi RSA (Figura 9.2) është patentuar në SHBA. Përdorimi i tij nga persona të tjerë nuk lejohet (nëse gjatësia e çelësit është më shumë se 56 bit). Vërtetë, vlefshmëria e një themelimi të tillë mund të vihet në pikëpyetje: si mund të patentohet eksponentimi i zakonshëm? Megjithatë, RSA mbrohet nga ligjet për të drejtat e autorit.

Oriz. 9.2. Skema e enkriptimit

Një mesazh i koduar me çelësin publik të një pajtimtari mund të deshifrohet vetëm nga ai vetë, pasi vetëm ai ka çelësin sekret. Kështu, për të dërguar një mesazh privat, duhet të merrni çelësin publik të marrësit dhe të kriptoni mesazhin në të. Pas kësaj, as ju vetë nuk do të jeni në gjendje ta deshifroni atë.

9.6.4. Nënshkrimi elektronik. Kur veprojmë anasjelltas, domethënë, kodojmë një mesazh duke përdorur një çelës sekret, atëherë kushdo mund ta deshifrojë atë (duke marrë çelësin tuaj publik). Por vetë fakti që mesazhi ishte i koduar me çelësin tuaj privat konfirmon se ai erdhi nga ju - i vetmi pronar i çelësit sekret në botë. Kjo mënyrë e përdorimit të algoritmit quhet nënshkrim dixhital.

Nga pikëpamja e teknologjisë, një nënshkrim elektronik dixhital është një mjet softuer-kriptografik (d.m.th., i koduar siç duhet) që ju lejon të konfirmoni se nënshkrimi në një dokument elektronik të caktuar është vendosur nga autori i tij, dhe jo nga ndonjë person tjetër. . Një nënshkrim elektronik dixhital është një grup karakteresh të krijuara sipas një algoritmi të përcaktuar nga GOST R 34.0-94 dhe GOST R 34.-94. Në të njëjtën kohë, një nënshkrim elektronik dixhital ju lejon të siguroheni që informacioni i nënshkruar me metodën e nënshkrimit elektronik dixhital nuk është ndryshuar gjatë transferimit dhe është nënshkruar nga dërguesi saktësisht në formën në të cilën e keni marrë.

Procesi i nënshkrimit elektronik të një dokumenti (Fig. 9.3) është mjaft i thjeshtë: grupi i informacionit që duhet të nënshkruhet përpunohet nga softuer special duke përdorur të ashtuquajturin çelës privat. Më pas grupi i koduar dërgohet me e-mail dhe, pas marrjes, verifikohet me çelësin publik përkatës. Çelësi publik ju lejon të kontrolloni sigurinë e grupit dhe të verifikoni vërtetësinë e nënshkrimit elektronik dixhital të dërguesit. Kjo teknologji besohet të jetë 100% rezistente ndaj ndërhyrjeve.

Oriz. 9.3. Diagrami i procesit të nënshkrimit elektronik të një dokumenti

Çelësi sekret (kodi) mbahet nga çdo person që ka autoritetin për të nënshkruar dhe mund të ruhet në një disketë ose kartë inteligjente. Çelësi publik përdoret nga marrësit e dokumentit për të verifikuar vërtetësinë e nënshkrimit elektronik dixhital. Duke përdorur një nënshkrim elektronik dixhital, mund të nënshkruani skedarë individualë ose fragmente të bazave të të dhënave.

Në rastin e fundit, softueri që zbaton nënshkrimin elektronik dixhital duhet të jetë i integruar në sistemet e automatizuara të aplikuara.

Sipas ligjit të ri, procedura për certifikimin e nënshkrimeve dixhitale elektronike dhe vetë certifikimit të nënshkrimit është e rregulluar qartë.

Kjo do të thotë që organi i autorizuar qeveritar duhet të konfirmojë se ky apo ai softuer për gjenerimin e një nënshkrimi elektronik dixhital prodhon me të vërtetë (ose verifikon) vetëm një nënshkrim dixhital elektronik dhe asgjë tjetër; që programet përkatëse të mos përmbajnë viruse, të mos shkarkojnë informacione nga kontraktorët, të mos përmbajnë gabime dhe të garantojnë kundër hakimit. Vetë vërtetimi i nënshkrimit do të thotë që organizata përkatëse - autoriteti certifikues - konfirmon që ky çelës i përket këtij personi të veçantë.

Ju mund të nënshkruani dokumente pa certifikatën e specifikuar, por në rast gjykimi, do të jetë e vështirë të provoni ndonjë gjë. Në këtë rast, certifikata është e pazëvendësueshme, pasi vetë nënshkrimi nuk përmban të dhëna për pronarin e saj.

Për shembull, një qytetar A dhe qytetari V lidhi një marrëveshje në shumën prej 10,000 rubla dhe vërtetoi marrëveshjen me EDS-në e tyre. Qytetar A nuk e përmbushi detyrimin e tij. Qytetar i ofenduar V, i cili është mësuar të veprojë në kuadrin e fushës ligjore, i drejtohet gjykatës, ku vërtetohet vërtetësia e nënshkrimit (përputhja e çelësit publik me atë privat). Megjithatë, qytetari A deklaron se çelësi privat nuk është aspak i tij. Në rast të një precedenti të tillë me nënshkrim të zakonshëm, bëhet një ekzaminim grafologjik, por në rastin e një EDS, nevojitet një palë ose dokument i tretë me të cilin mund të konfirmohet se firma i përket vërtet këtij personi. Për këtë është një certifikatë me çelës publik.

Sot, një nga mjetet softuerike më të njohura që zbaton funksionet kryesore të një nënshkrimi elektronik dixhital janë sistemet Verba dhe CryptoPRO CSP.

9.6.5. Funksioni hash. Siç tregohet më lart, një shifër e çelësit publik mund të përdoret në dy mënyra: enkriptim dhe nënshkrim dixhital. Në rastin e dytë, nuk ka kuptim të kriptoni të gjithë tekstin (të dhënat) duke përdorur një çelës sekret. Teksti lihet i hapur dhe një "kontroll" i caktuar i këtij teksti është i koduar, si rezultat i të cilit formohet një bllok i të dhënave, i cili është një nënshkrim dixhital, i cili shtohet në fund të tekstit ose i bashkëngjitet në një skedar të veçantë.

"Kontrolli" i lartpërmendur i të dhënave, i cili është "nënshkruar" në vend të të gjithë tekstit, duhet të llogaritet nga i gjithë teksti në mënyrë që një ndryshim në çdo shkronjë të pasqyrohet në të. Së dyti, funksioni i specifikuar duhet të jetë i njëanshëm, domethënë i llogaritshëm vetëm "në një drejtim". Kjo është e nevojshme në mënyrë që armiku të mos mund të ndryshojë qëllimisht tekstin, duke e përshtatur atë me nënshkrimin dixhital ekzistues.

Ky funksion quhet Funksioni hash, i cili, si kriptoalgoritmet, i nënshtrohet standardizimit dhe certifikimit. Në vendin tonë, ai rregullohet nga GOST R-3411. Funksioni hash- një funksion që has një grup të dhënash duke hartuar vlerat nga një grup (shumë) i madh vlerash në një grup (në mënyrë domethënëse) më të vogël vlerash. Përveç nënshkrimeve dixhitale, funksionet hash përdoren në aplikacione të tjera. Për shembull, kur shkëmbeni mesazhe midis kompjuterëve të largët, kur kërkohet vërtetimi i përdoruesit, mund të përdoret një metodë e bazuar në një funksion hash.

Le Kodi hash krijuar nga funksioni N:

ku Mështë një mesazh me gjatësi arbitrare dhe hështë një kod hash me gjatësi fikse.

Merrni parasysh kërkesat që duhet të plotësojë një funksion hash në mënyrë që të përdoret si vërtetues i mesazheve. Le të hedhim një vështrim në një shembull shumë të thjeshtë të funksionit hash. Më pas do të analizojmë disa qasje për ndërtimin e një funksioni hash.

Funksioni hash N që përdoren për të vërtetuar mesazhet duhet të kenë karakteristikat e mëposhtme:

N(M) duhet të aplikohet në një bllok të dhënash të çdo gjatësie;

N(M) krijoni një dalje me gjatësi fikse;

N(M) është relativisht e lehtë (në kohë polinomiale) e llogaritur për çdo vlerë M;

për çdo vlerë të dhënë të kodit hash h e pamundur për të gjetur M sikurse N(M) =h;

për çdo të dhënë X kompjuterikisht e pamundur për t'u gjetur y≠x, çfarë H(y) =H(x);

është llogaritëse e pamundur të gjesh një çift arbitrar ( X,y) sikurse H(y) =H(x).

Tre vetitë e para kërkojnë që funksioni hash të gjenerojë një kod hash për çdo mesazh.

Vetia e katërt përcakton kërkesën e funksionit hash me një drejtim: është e lehtë të krijosh një kod hash nga një mesazh i caktuar, por është e pamundur të rikuperosh një mesazh nga një kod hash i caktuar. Kjo veçori është e rëndësishme nëse vërtetimi hash përfshin një vlerë sekrete. Vetë vlera sekrete mund të mos dërgohet, megjithatë, nëse funksioni hash nuk është i njëanshëm, kundërshtari mund të zbulojë lehtësisht vlerën sekrete si më poshtë.

Vetia e pestë siguron që nuk mund të gjendet asnjë mesazh tjetër, vlera e hash-it të të cilit përputhet me vlerën hash të këtij mesazhi. Kjo parandalon ngacmimin e vërtetuesit kur përdoret një kod hash i koduar. Në këtë rast, kundërshtari mund të lexojë mesazhin dhe, për rrjedhojë, të gjenerojë kodin e tij hash. Por duke qenë se kundërshtari nuk zotëron çelësin sekret, ai nuk mund ta ndryshojë mesazhin në mënyrë që marrësi të mos e zbulojë atë. Nëse kjo veçori nuk plotësohet, sulmuesi mund të kryejë sekuencën e mëposhtme të veprimeve: të përgjojë mesazhin dhe kodin hash të tij të enkriptuar, të llogarisë kodin hash të mesazhit, të krijojë një mesazh alternativ me të njëjtin kod hash, të zëvendësojë mesazhin origjinal me një të rremë. . Meqenëse kodet hash të këtyre mesazheve janë të njëjta, marrësi nuk do të zbulojë mashtrimin.

Një funksion hash që plotëson pesë vetitë e para quhet thjeshtë ose i dobët funksion hash. Nëse, përveç kësaj, plotësohet vetia e gjashtë, atëherë thirret një funksion i tillë të fortë funksion hash. Vetia e gjashtë mbron kundër një klase sulmesh të njohura si sulmi i ditëlindjes.

Të gjitha funksionet hash kryhen si më poshtë. Një vlerë hyrëse (mesazh, skedar, etj.) trajtohet si një sekuencë n-blloqe bit. Vlera e hyrjes përpunohet në mënyrë sekuenciale bllok pas blloku dhe krijohet m- vlera e bitit të kodit hash.

Një nga shembujt më të thjeshtë të një funksioni hash është XOR bit i çdo blloku:

ME i = b i 1 XOR b i2 XOR. ... ... XOR b ik ,

ku ME i – i biti i th i kodit hash, i = 1, …, n;

k- numri n- blloqe hyrëse të biteve;

b ij –i th pak në j blloku th.

Rezultati është një kod hash i gjatësisë n i njohur si mbikontroll gjatësor. Kjo është efektive për dështimet e rastësishme për të kontrolluar integritetin e të dhënave.

9.6.6. DES DHE GOST-28147. DES (Data Encryption Standard) është një algoritëm çelësi simetrik, d.m.th. një çelës përdoret si për enkriptimin ashtu edhe për deshifrimin e mesazheve. Zhvilluar nga IBM dhe miratuar nga qeveria amerikane në 1977 si standardi zyrtar për mbrojtjen e sekreteve joqeveritare.

DES ka blloqe 64-bitësh, bazohet në ndërrimin e të dhënave 16-fish, përdor një çelës 56-bit për kriptim. Ka disa mënyra DES, të tilla si Libri i Kodit Elektronik (ECB) dhe Zinxhirimi i Blloqeve të Shifrorëve (CBC). 56 bit janë 8 karaktere ASCII shtatë-bitësh, d.m.th. fjalëkalimi nuk mund të jetë më shumë se 8 shkronja. Nëse, përveç kësaj, përdoren vetëm shkronja dhe numra, atëherë numri i opsioneve të mundshme do të jetë dukshëm më i vogël se maksimumi i mundshëm 256.

Një nga hapat e algoritmit DES... Blloku i të dhënave hyrëse përgjysmohet nga e majta ( L") dhe e drejta ( R") pjesë. Pas kësaj, grupi i daljes formohet në mënyrë që ana e tij e majtë L "" përfaqësohet nga ana e djathtë R" hyrje, dhe e djathta R "" formuar si një shumë L" dhe R" Operacionet XOR. Më tej, grupi i daljes është i koduar me ndërrim dhe zëvendësim. Mund të siguroheni që të gjitha operacionet e kryera mund të kthehen mbrapsht dhe deshifrimi të kryhet në një numër operacionesh që varen në mënyrë lineare nga madhësia e bllokut. Algoritmi është paraqitur në mënyrë skematike në Fig. 9.4.

Oriz. 9.4. Diagrami i algoritmit DES

Pas disa transformimeve të tilla, ne mund të supozojmë se çdo bit i bllokut të shifrimit në dalje mund të varet nga çdo bit i mesazhit.

Në Rusi, ekziston një analog i algoritmit DES, i cili funksionon në të njëjtin parim të një çelësi sekret. GOST 28147 u zhvillua 12 vjet më vonë se DES dhe ka një shkallë më të lartë mbrojtjeje. Karakteristikat e tyre krahasuese janë paraqitur në tabelë. 9.3.

Tabela 9.3

9.6.7. Steganografia. Steganografia- Kjo është një metodë e organizimit të një lidhjeje, e cila në fakt fsheh vetë ekzistencën e një lidhjeje. Ndryshe nga kriptografia, ku armiku mund të përcaktojë me saktësi nëse mesazhi i transmetuar është tekst shifror, metodat e steganografisë lejojnë futjen e mesazheve sekrete në mesazhe të padëmshme në mënyrë që të jetë e pamundur të dyshohet për ekzistencën e një mesazhi sekret të ngulitur.

Fjala "steganografi" në përkthim nga greqishtja fjalë për fjalë do të thotë "shkrim i fshehtë" (steganos - sekret, sekret; grafia - regjistrim). Ai përfshin një larmi të madhe komunikimesh sekrete, të tilla si bojë e padukshme, fotomikrografë, rregullim konvencional të shenjave, kanale sekrete dhe mjete komunikimi në frekuenca lundruese, etj.

Steganografia zë vendin e vet në siguri: ajo nuk zëvendëson, por plotëson kriptografinë. Fshehja e një mesazhi me metoda steganografie redukton ndjeshëm mundësinë e zbulimit të vetë faktit të transmetimit të një mesazhi. Dhe nëse ky mesazh është gjithashtu i koduar, atëherë ai ka një nivel më shumë, shtesë, mbrojtjeje.

Aktualisht, në lidhje me zhvillimin e shpejtë të teknologjisë kompjuterike dhe kanaleve të reja të transmetimit të informacionit, janë shfaqur metoda të reja steganografike, të cilat bazohen në veçoritë e paraqitjes së informacionit në skedarët kompjuterikë, rrjetet kompjuterike etj. Kjo na jep mundësinë të flasim për formimin e një drejtimi të ri - steganografi kompjuterike ...

Përkundër faktit se steganografia si një metodë për fshehjen e të dhënave sekrete është e njohur për mijëra vjet, steganografia kompjuterike është një drejtim i ri dhe në zhvillim.

Sistemi Steganografik ose stegosistemi- një grup mjetesh dhe metodash që përdoren për të formuar një kanal të fshehtë të transmetimit të informacionit.

Kur ndërtoni një stegosistem, duhet të merren parasysh dispozitat e mëposhtme:

Armiku ka një kuptim të plotë të sistemit steganografik dhe detajet e zbatimit të tij. I vetmi informacion që mbetet i panjohur për një kundërshtar të mundshëm është çelësi, me ndihmën e të cilit vetëm mbajtësi i tij mund të vërtetojë faktin e pranisë dhe përmbajtjes së mesazhit të fshehur.

Nëse kundërshtari mëson disi për ekzistencën e një mesazhi të fshehur, kjo nuk duhet ta lejojë atë të nxjerrë mesazhe të ngjashme në të dhëna të tjera për sa kohë që çelësi mbahet sekret.

Një kundërshtar i mundshëm duhet të privohet nga çdo avantazh teknik ose ndonjë avantazh tjetër në njohjen ose zbulimin e përmbajtjes së mesazheve sekrete.

Modeli i përgjithësuar i stegosistemit është paraqitur në Fig. 9.5.

Oriz. 9.5. Modeli i përgjithësuar i stegosistemit

Si të dhëna mund të përdoret çdo informacion: tekst, mesazh, imazh, etj.

Në rastin e përgjithshëm, këshillohet të përdorni fjalën "mesazh", pasi një mesazh mund të jetë ose tekst ose imazh, ose, për shembull, të dhëna audio. Në vijim, ne do të përdorim termin mesazh për të treguar informacionin e fshehur.

Enë- çdo informacion i krijuar për të fshehur mesazhe sekrete.

Stegkey ose thjesht një çelës - një çelës sekret i nevojshëm për të fshehur informacionin. Në varësi të numrit të niveleve të mbrojtjes (për shembull, futja e një mesazhi të koduar paraprakisht) në stegosistem, mund të ketë një ose disa çelësa stego.

Për analogji me kriptografinë, stegosistemet mund të ndahen në dy lloje sipas llojit të stegkey:

me një çelës sekret;

me një çelës publik.

Në një stegosistem me një çelës sekret, përdoret një çelës, i cili duhet të përcaktohet ose para fillimit të shkëmbimit të mesazheve sekrete, ose të transmetohet përmes një kanali të sigurt.

Një stegosistem me çelës publik përdor çelësa të ndryshëm për të futur dhe marrë një mesazh, të cilët ndryshojnë në atë mënyrë që është e pamundur të llogaritet një çelës nga tjetri. Prandaj, një çelës (publik) mund të transferohet lirisht në një kanal komunikimi të pasigurt. Përveç kësaj, kjo skemë funksionon mirë me mosbesim të ndërsjellë midis dërguesit dhe marrësit.

Aktualisht, është e mundur të dallohen tre drejtimet e aplikimeve të steganografisë të lidhura ngushtë me njëra-tjetrën dhe që kanë të njëjtat rrënjë: fshehja e të dhënave(mesazhe), filigranë dixhitale dhe titujt kryesorë.

Fshehja e të dhënave të ngulitura, të cilat në shumicën e rasteve kanë një vëllim të madh, i bëjnë kërkesa serioze kontejnerit: madhësia e kontejnerit duhet të jetë disa herë më e madhe se madhësia e të dhënave të ngulitura.

Filigranë dixhitale përdoren për të mbrojtur të drejtat e autorit ose pronësinë në imazhe dixhitale, fotografi ose vepra të tjera të dixhitalizuara të artit. Kërkesat kryesore për të dhëna të tilla të ngulitura janë besueshmëria dhe qëndrueshmëria. Filigranët dixhitalë janë të vegjël, megjithatë, duke pasur parasysh kërkesat e mësipërme, përdoren metoda më të sofistikuara për t'i futur ato sesa për të futur vetëm mesazhe ose tituj.

Titujt Përdoren kryesisht për shënimin e imazheve në depo të mëdha elektronike (biblioteka) të imazheve dixhitale, skedarëve audio dhe video. Në këtë rast, metodat steganografike përdoren jo vetëm për të futur kokën identifikuese, por edhe për atribute të tjera individuale të skedarit. Titujt e integruar kanë përmasa të vogla dhe kërkesat për to janë minimale: titujt duhet të sjellin shtrembërime të vogla dhe të jenë rezistente ndaj transformimeve gjeometrike bazë.

Kriptografia kompjuterike bazohet në disa parime:

Mesazhi mund të dërgohet duke përdorur kodimin e zhurmës. Do të jetë e vështirë të zbulohet në prani të zhurmës së harduerit në linjën telefonike ose kabllot e rrjetit.

Mesazhi mund të vendoset në zbrazëtirat e skedarëve ose diskut pa humbur funksionalitetin e tyre. Skedarët e ekzekutueshëm kanë një strukturë me shumë segmente të kodit të ekzekutueshëm; një tufë bajtësh mund të futen midis zbrazëtirave të segmenteve. Kështu fsheh trupin e tij virusi WinCIH. Një skedar gjithmonë zë një numër të plotë grupimesh në disk, kështu që gjatësitë fizike dhe logjike të skedarëve rrallë përputhen. Në këtë interval, ju gjithashtu mund të shkruani diçka. Mund të formatoni një pjesë të ndërmjetme në një disk dhe të vendosni një mesazh në të. Ekziston një mënyrë më e lehtë, e cila është që në fund të një rreshti HTML ose skedari teksti, mund të shtoni një numër të caktuar hapësirash që mbajnë ngarkesë informacioni.

Shqisat njerëzore nuk janë në gjendje të dallojnë ndryshimet e vogla në ngjyrë, imazh ose zë. Kjo vlen për të dhënat që përmbajnë informacion të tepërt. Për shembull, audio 16-bit ose imazhe 24-bit. Ndryshimi i vlerave të bitit për ngjyrën e një piksel nuk do të ndryshojë dukshëm ngjyrën. Kjo përfshin gjithashtu metodën e shkronjave të fshehura. Në skicat e shkronjave bëhen shtrembërime delikate, të cilat do të mbajnë një ngarkesë semantike. Në një dokument të Microsoft Word, mund të futni karaktere të ngjashme që përmbajnë një mesazh të fshehur.

Më i përhapuri dhe një nga produktet më të mira të softuerit të steganografisë është S-Tools (statusi pa pagesë). Kjo ju lejon të fshehni çdo skedar në skedarët GIF, BMP dhe WAV. Kryen të dhëna të rregullueshme të ngjeshjes (arkivimit). Për më tepër, ai kryen kriptim duke përdorur algoritmet MCD, DES, triple-DES, IDEA (opsionale). Skedari grafik mbetet pa ndryshime të dukshme, ndryshojnë vetëm nuancat. Tingulli gjithashtu mbetet i pandryshuar. Edhe nëse lindin dyshime, është e pamundur të vërtetohet fakti i përdorimit të S-Tools pa e ditur fjalëkalimin.

9.6.8. Çertifikimi dhe standardizimi i kriptosistemeve. Të gjitha shtetet i kushtojnë vëmendje çështjeve të kriptografisë. Ka përpjekje të vazhdueshme për të vendosur kufizime, ndalime dhe kufizime të tjera në prodhimin, përdorimin dhe eksportin e mjeteve kriptografike. Për shembull, në Rusi, importi dhe eksporti i mjeteve të sigurisë së informacionit, në veçanti i mjeteve kriptografike, licencohet në përputhje me Dekretin e Presidentit të Federatës Ruse, datë 3 Prill 1995 Nr. 334 dhe dekretin e Qeverisë së Federata Ruse Nr. 331, datë 15 Prill 1994.

Siç u përmend tashmë, një kriptosistem nuk mund të konsiderohet i besueshëm nëse algoritmi i funksionimit të tij nuk dihet plotësisht. Vetëm duke ditur algoritmin mund të kontrolloni nëse mbrojtja është e qëndrueshme. Sidoqoftë, vetëm një specialist mund ta kontrollojë këtë, dhe madje edhe atëherë një kontroll i tillë shpesh është aq i ndërlikuar sa është ekonomikisht i papërshtatshëm. Si mundet një përdorues i zakonshëm që nuk njeh matematikë të sigurohet për besueshmërinë e kriptosistemit, të cilin i ofrohet të përdorë?

Për një laik, prova e besueshmërisë mund të jetë mendimi i ekspertëve kompetentë të pavarur. Kështu lindi sistemi i certifikimit. Të gjitha sistemet e sigurisë së informacionit i nënshtrohen, në mënyrë që ndërmarrjet dhe institucionet t'i përdorin zyrtarisht ato. Nuk është e ndaluar përdorimi i sistemeve të pacertifikuara, por në këtë rast ju merrni përsipër të gjithë rrezikun që nuk do të jetë mjaftueshëm i besueshëm ose do të ketë "dyert e pasme". Por për të shitur produkte të sigurisë së informacionit, certifikimi është i nevojshëm. Dispozita të tilla janë të vlefshme në Rusi dhe në shumicën e vendeve.

Organi ynë i vetëm i autorizuar për të kryer certifikimin është Agjencia Federale për Komunikimet dhe Informacionin Qeveritar nën Presidentin e Federatës Ruse (FAPSI). Ky organ i qaset çështjeve të certifikimit me shumë kujdes. Shumë pak zhvillime të firmave të palëve të treta ishin në gjendje të merrnin certifikatën FAPSI.

Përveç kësaj, FAPSI licencon aktivitetet e ndërmarrjeve që lidhen me zhvillimin, prodhimin, shitjen dhe funksionimin e mjeteve të kriptimit, si dhe mjetet teknike të sigurta të ruajtjes, përpunimit dhe transmetimit të informacionit, ofrimin e shërbimeve në fushën e kriptimit të informacionit (Dekret i Presidentit i Federatës Ruse të datës 03.04.95 Nr masa për të respektuar sundimin e ligjit në zhvillimin e prodhimit, shitjes dhe funksionimit të mjeteve të kriptimit, si dhe ofrimin e shërbimeve në fushën e kriptimit të informacionit "; dhe Ligji i Federata Ruse "Për Organet Federale të Komunikimeve dhe Informacionit të Qeverisë").

Për certifikim, një parakusht është respektimi i standardeve në zhvillimin e sistemeve të sigurisë së informacionit. Standardet shërbejnë për një funksion të ngjashëm. Ato lejojnë, pa kryer kërkime komplekse, të shtrenjta dhe madje jo gjithmonë të mundshme, të keni besim se algoritmi i dhënë siguron mbrojtje të një shkalle të mjaftueshme besueshmërie.

9.6.9. Arkivat e koduara. Shumë aplikacione softuerike përfshijnë një funksion enkriptimi. Le të japim shembuj të disa mjeteve softuerike me aftësi kriptimi.

Programet e arkivimit (për shembull, WinZip) kanë mundësinë për të enkriptuar informacionin e arkivuar. Mund të përdoret për informacione jo shumë të rëndësishme. Së pari, metodat e kriptimit të përdorura atje nuk janë shumë të besueshme (i nënshtrohen kufizimeve zyrtare të eksportit), dhe së dyti, ato nuk përshkruhen në detaje. E gjithë kjo nuk na lejon të llogarisim seriozisht në një mbrojtje të tillë. Arkivat me fjalëkalim mund të përdoren vetëm për përdorues "të rregullt" ose informacione jo kritike.

Në disa sajte në internet, mund të gjeni programe për të hapur arkiva të koduara. Për shembull, një arkiv ZIP mund të hapet në një kompjuter të mirë brenda pak minutash dhe nuk kërkohen kualifikime të veçanta nga përdoruesi.

Shënim. Programe për gjetjen e fjalëkalimeve: Ultra Zip Password Cracker 1.00 - Program i shpejtë për gjetjen e fjalëkalimeve për arkivat e enkriptuara. Ndërfaqja ruse / angleze. Fitoni "95/98 / NT. (Zhvilluesi -" m53group "). Rimëkëmbja e avancuar e fjalëkalimit ZIP 2.2 - Një program i fuqishëm për gjetjen e fjalëkalimeve në arkivat ZIP. Shpejtësia e lartë, ndërfaqe grafike, funksione shtesë. OS: Windows95 / 98 / NT. Zhvillimi kompania - "Elcom Ltd.", shareware.

Kriptimi në MS Word dhe MS Excel... Microsoft ka përfshirë disa pamje të mbrojtjes së kriptove në produktet e tij. Por kjo mbrojtje është shumë e brishtë. Për më tepër, algoritmi i kriptimit nuk përshkruhet, gjë që është një tregues i pabesueshmërisë. Përveç kësaj, ka prova që Microsoft lë një "derë të pasme" në algoritmet e kriptove të përdorura. Nëse keni nevojë të deshifroni një skedar, fjalëkalimi i të cilit është humbur, mund të kontaktoni kompaninë. Me kërkesë zyrtare, me arsye të mjaftueshme, ata deshifrojnë skedarët MS Word dhe MS Excel. Nga rruga, disa shitës të tjerë softuerësh e bëjnë këtë gjithashtu.

Disqe të koduar (drejtori)... Kriptimi është një metodë mjaft e besueshme për të mbrojtur informacionin në një hard disk. Sidoqoftë, nëse sasia e informacionit që duhet të mbyllet nuk kufizohet në dy ose tre skedarë, atëherë është mjaft e vështirë të punohet me të: çdo herë që skedarët do të duhet të deshifrohen, dhe pas redaktimit, ato do të kodohen përsëri. Në të njëjtën kohë, kopjet rezervë të skedarëve që krijojnë shumë redaktues mund të mbeten në disk. Prandaj, është i përshtatshëm për të përdorur programe (drivers) speciale që enkriptojnë dhe deshifrojnë automatikisht të gjitha informacionet kur shkruhet në disk dhe lexohet nga disku.

Si përfundim, vërejmë se një politikë sigurie përkufizohet si një grup vendimesh menaxheriale të dokumentuara që synojnë mbrojtjen e informacionit dhe burimeve shoqëruese. Gjatë zhvillimit dhe zbatimit të tij, këshillohet që të udhëhiqeni nga parimet themelore të mëposhtme:

Pamundësia për të anashkaluar pajisjet mbrojtëse... Të gjitha rrjedhat e informacionit drejt dhe nga rrjeti i mbrojtur duhet të kalojnë përmes mjeteve të mbrojtjes. Nuk duhet të ketë hyrje sekrete modem ose linja testimi që anashkalojnë mbrojtjen.

Forcimi i hallkës më të dobët... Besueshmëria e çdo mbrojtjeje përcaktohet nga lidhja më e dobët, pasi sulmuesit e hakojnë atë. Shpesh lidhja më e dobët nuk është një kompjuter apo një program, por një person, dhe më pas problemi i sigurimit të sigurisë së informacionit bëhet jo-teknik në natyrë.

Pamundësia për të kaluar në një gjendje të pasigurt... Parimi i pamundësisë së kalimit në një gjendje të pasigurt do të thotë që në çdo rrethanë, përfshirë atë jonormale, pajisja mbrojtëse ose përmbush plotësisht funksionet e saj ose bllokon plotësisht aksesin.

Minimizimi i privilegjeve... Parimi i minimizimit të privilegjeve dikton që t'u jepni përdoruesve dhe administratorëve vetëm ato të drejta aksesi që u nevojiten atyre për të kryer detyrat e tyre zyrtare.

Ndarja e detyrave... Parimi i ndarjes së detyrave supozon një shpërndarje të tillë rolesh dhe përgjegjësish në të cilën një person nuk mund të prishë një proces që është kritik për organizatën.

Eshalon i mbrojtjes... Parimi i ndarjes së mbrojtjes parashikon të mos mbështetet në një linjë mbrojtëse. Një mbrojtje e shtresuar mund të paktën të vonojë një sulmues dhe ta bëjë shumë më të vështirë kryerjen e veprimeve me qëllim të keq pa u vënë re.

Një shumëllojshmëri e pajisjeve mbrojtëse... Parimi i një shumëllojshmërie pajisjesh mbrojtëse rekomandon organizimin e linjave mbrojtëse të natyrës së ndryshme në mënyrë që një sulmues potencial t'i kërkohet të zotërojë një sërë aftësish, nëse është e mundur, të papajtueshme.

Thjeshtësia dhe menaxhueshmëria e sistemit të informacionit... Parimi i thjeshtësisë dhe menaxhueshmërisë thotë se vetëm në një sistem të thjeshtë dhe të menaxhueshëm mund të kontrolloni konsistencën e konfigurimit të komponentëve të ndryshëm dhe të kryeni administrim të centralizuar.

Sigurimi i mbështetjes universale për masat e sigurisë... Parimi i mbështetjes universale për masat e sigurisë është joteknik. Nëse përdoruesit dhe/ose administratorët e sistemit e konsiderojnë sigurinë e informacionit si diçka të tepërt ose armiqësore, atëherë një mënyrë sigurie nuk mund të krijohet qëllimisht. Që në fillim duhet të parashikohen një sërë masash që synojnë sigurimin e besnikërisë së personelit, për trajnime të vazhdueshme teorike dhe praktike.

Nga pikëpamja e sigurisë së informacionit, çelësat kriptografikë janë të dhëna kritike. Nëse më parë, për të grabitur një kompani, keqbërësit duhej të hynin në territorin e saj, të hapnin ambiente dhe kasaforta, tani mjafton të vidhni një token me një çelës kriptografik dhe të bëni një transferim përmes sistemit të Internetit Klient-Bank. Themeli i garantimit të sigurisë duke përdorur sistemet e mbrojtjes së informacionit kriptografik (CIPS) është ruajtja e konfidencialitetit të çelësave kriptografikë.

Si e siguroni konfidencialitetin e diçkaje që nuk e dini se ekziston? Për të vendosur një shenjë me një çelës në kasafortë, duhet të dini për ekzistencën e tokenit dhe kasafortës. Sado paradoksale që tingëllon, shumë pak kompani kanë një ide për numrin e saktë të dokumenteve kryesore që përdorin. Kjo mund të ndodhë për një sërë arsyesh, për shembull, nënvlerësimi i kërcënimeve të sigurisë së informacionit, mungesa e proceseve të mirëpërcaktuara të biznesit, kualifikimet e pamjaftueshme të personelit në çështjet e sigurisë, etj. Kjo detyrë zakonisht mbahet mend pas incidenteve të tilla si ky.

Ky artikull do të përshkruajë hapin e parë drejt përmirësimit të sigurisë së informacionit duke përdorur mjete kriptografike, ose më saktë, ne do të shqyrtojmë një nga qasjet për auditimin e mjeteve të mbrojtjes së informacionit kriptografik dhe çelësave kripto. Rrëfimi do të kryhet për llogari të një specialisti të sigurisë së informacionit, ndërkohë që do të supozojmë se puna po kryhet nga e para.

Termat dhe Përkufizimet

Në fillim të artikullit, për të mos trembur lexuesin e papërgatitur me përkufizime komplekse, kemi përdorur gjerësisht termat çelës kriptografik ose kriptoçel, tani është koha që të përmirësojmë aparatin tonë konceptual dhe ta përputhim atë me legjislacionin aktual. Ky është një hap shumë i rëndësishëm pasi do të strukturojë në mënyrë efektive informacionin e marrë nga auditimi.

Çelësi kriptografik (kriptoçelës)- një grup të dhënash që lejon zgjedhjen e një transformimi specifik kriptografik nga të gjitha të mundshmet në një sistem të caktuar kriptografik (përkufizim nga "udhëzimet rozë - Urdhri i FAPSI Nr. 152, datë 13 qershor 2001, në vijim referuar si FAPSI 152) .
Informacion kyç- një grup i organizuar posaçërisht çelësash kripto të krijuar për të zbatuar mbrojtjen kriptografike të informacionit brenda një periudhe të caktuar [FAPSI 152].
Ju mund të kuptoni ndryshimin themelor midis një çelësi kripto dhe informacionit kryesor duke përdorur shembullin e mëposhtëm. Kur organizohet HTTPS, krijohet një çift çelësash publik dhe privat dhe merret një certifikatë nga çelësi publik dhe informacion shtesë. Pra, në këtë skemë, kombinimi i një certifikate dhe një çelësi privat formojnë informacionin kryesor, dhe secili prej tyre individualisht është një çelës kripto. Këtu mund të udhëhiqeni nga rregulli i thjeshtë i mëposhtëm - përdoruesit fundorë, kur punojnë me mjetet e mbrojtjes së të dhënave kriptografike, përdorin informacionin kryesor, dhe çelësat kripto zakonisht përdorin mjetet e mbrojtjes së të dhënave kriptografike brenda vetes. Në të njëjtën kohë, është e rëndësishme të kuptohet se informacioni kryesor mund të përbëhet nga një çelës kripto.
Dokumentet kryesore- dokumente elektronike në çdo media, si dhe dokumente në media letre që përmbajnë informacion kyç me akses të kufizuar për transformimin kriptografik të informacionit duke përdorur algoritme për transformimin kriptografik të informacionit (çelës kriptografik) në mjete kriptimi (kriptografike). (përkufizim nga Vendimi i Qeverisë nr. 313, datë 16.04.2012, në vijim - PP-313)
Me fjalë të thjeshta, një dokument kyç është informacioni kryesor i regjistruar në një medium. Kur analizoni informacionin kryesor dhe dokumentet kryesore, është e nevojshme të nënvizoni atë që përdoret (d.m.th., përdoret për transformime kriptografike - kriptim, nënshkrim elektronik, etj.) Informacioni kryesor, dhe dokumentet kryesore që e përmbajnë atë u transferohen punonjësve.
Mjetet e mbrojtjes së informacionit kriptografik (CIPF)- mjetet e kriptimit, mjetet e mbrojtjes imituese, mjetet e nënshkrimit elektronik, mjetet e kodimit, mjetet e prodhimit të dokumenteve kyçe, dokumentet kyçe, mjetet e enkriptimit harduer (kriptografik), mjetet softuerike dhe harduerike të enkriptimit (kriptografike). [PP-313]
Kur analizoni këtë përkufizim, mund të gjeni në të praninë e termit dokumente kyçe. Afati është dhënë në Dekretin e Qeverisë dhe ne nuk kemi të drejtë ta ndryshojmë. Në të njëjtën kohë, përshkrimi i mëtejshëm do të bëhet mbi bazën se vetëm mjetet e kryerjes së transformimeve kriptografike do të lidhen me CIPF). Kjo qasje do të thjeshtojë auditimin, por në të njëjtën kohë nuk do të ndikojë në cilësinë e tij, pasi ne ende do të marrim parasysh dokumentet kryesore, por në seksionin tonë dhe me metodat tona.

Metodologjia e auditimit dhe rezultatet e pritura

Karakteristikat kryesore të metodologjisë së auditimit të propozuar në këtë artikull janë postulatet që:

asnjë punonjës i vetëm i kompanisë nuk mund t'i përgjigjet me saktësi pyetjeve të bëra gjatë auditimit;
Burimet ekzistuese të të dhënave (listat, regjistrat, etj.) janë të pasakta ose të strukturuara dobët.

Prandaj, metodologjia e propozuar në artikull është një lloj miningu i të dhënave, gjatë së cilës të njëjtat të dhëna do të nxirren nga burime të ndryshme, dhe më pas do të krahasohen, strukturohen dhe rafinohen.

Këtu janë varësitë kryesore që do të na ndihmojnë me këtë:

Nëse ekziston një mjet për mbrojtjen e informacionit kriptografik, atëherë ka edhe informacion kyç.
Nëse ka një rrjedhë dokumenti elektronik (përfshirë palët dhe rregullatorët), atëherë ka shumë të ngjarë që ai përdor një nënshkrim elektronik dhe, si rezultat, mjetet e mbrojtjes së informacionit kriptografik dhe informacionin kryesor.
Rrjedha elektronike e dokumenteve në këtë kontekst duhet të kuptohet gjerësisht, domethënë, do të përfshijë si shkëmbimin e drejtpërdrejtë të dokumenteve elektronike me rëndësi ligjore, ashtu edhe paraqitjen e raporteve, si dhe punën në sistemet e pagesave ose tregtimit, e kështu me radhë. Lista dhe format e menaxhimit të dokumenteve elektronike përcaktohen nga proceset e biznesit të kompanisë, si dhe nga legjislacioni aktual.
Nëse një punonjës është i përfshirë në menaxhimin e dokumenteve elektronike, atëherë ka shumë të ngjarë që ai ka dokumente kryesore.
Kur organizoni rrjedhën elektronike të dokumenteve me palët, zakonisht lëshohen dokumente (urdhra) organizative dhe administrative për emërimin e personave përgjegjës.
Nëse informacioni transmetohet përmes Internetit (ose rrjeteve të tjera publike), atëherë ka shumë të ngjarë që ai është i koduar. Kjo vlen kryesisht për VPN dhe sisteme të ndryshme të aksesit në distancë.
Nëse në trafikun e rrjetit gjenden protokolle që transmetojnë trafikun në një formë të koduar, atëherë përdoren mjetet e mbrojtjes së informacionit kriptografik dhe informacioni kryesor.
Nëse do të bëheshin marrëveshje me palët e angazhuara në: furnizimin e produkteve të sigurisë së informacionit, pajisjeve të telekomunikacionit, ofrimin e shërbimeve për transferimin e fryrjes, shërbimet e qendrave të certifikimit, atëherë me këtë ndërveprim mund të bliheshin mjete për mbrojtjen e informacionit kriptografik ose dokumente kyçe.
Dokumentet kryesore mund të jenë ose në media të tjetërsueshme (disketa, disqe flash, argumente, ...), ose të regjistruara brenda kompjuterëve dhe mjeteve të mbrojtjes së informacionit kriptografik të harduerit.
Kur përdorni mjete virtualizimi, dokumentet kryesore mund të ruhen si brenda makinave virtuale, ashtu edhe të montohen në makina virtuale duke përdorur një hipervizor.
Mjetet e mbrojtjes së informacionit kriptografik të harduerit mund të instalohen në dhomat e serverëve dhe të mos jenë të disponueshëm për analiza në rrjet.
Disa sisteme elektronike të menaxhimit të dokumenteve mund të jenë joaktive ose joaktive, por në të njëjtën kohë përmbajnë informacion kyç aktiv dhe mjete për mbrojtjen e informacionit kriptografik.
Dokumentacioni i brendshëm rregullator, organizativ dhe administrativ mund të përmbajë informacion në lidhje me sistemet e menaxhimit të dokumenteve elektronike, CIPF dhe dokumentet kryesore.

Për nxjerrjen e informacionit parësor, ne do të:

interviston punonjësit;
të analizojë dokumentacionin e kompanisë, duke përfshirë dokumentet e brendshme rregullatore dhe administrative, si dhe urdhërpagesat dalëse;
të kryejë një analizë vizuale të dhomave të serverëve dhe kabineteve të komunikimit;
kryerja e analizave teknike të përmbajtjes së stacioneve të automatizuara të punës (AWS), serverëve dhe mjeteve të virtualizimit.

Ne do të formulojmë masa specifike më vonë, por tani për tani do të shqyrtojmë të dhënat përfundimtare që duhet të marrim si rezultat i auditimit:

Lista e SKZI:

Modeli CIPF... Për shembull, CIPF Crypto CSP 3.9, ose OpenSSL 1.0.1
Identifikuesi i shembullit CIPF... Për shembull, numri serial, licenca (ose regjistrimi sipas PKZ-2005) SKZI
Informacion në lidhje me certifikatën e FSB të Rusisë për CIPF, duke përfshirë numrin dhe datat e fillimit dhe mbarimit të vlefshmërisë.
Informacion në lidhje me vendin e funksionimit të SKZI... Për shembull, emri i kompjuterit në të cilin është instaluar softueri SKZI, ose emri i mjeteve teknike ose ambienteve ku është instaluar hardueri SKZI.

Ky informacion do të lejojë:

Menaxhoni dobësitë në sistemet e mbrojtjes së informacionit kriptografik, domethënë zbuloni dhe rregulloni shpejt ato.
Monitoroni periudhën e vlefshmërisë së certifikatave për mjetet e mbrojtjes së informacionit kriptografik, si dhe kontrolloni nëse një mjet i certifikuar i mbrojtjes së informacionit kriptografik përdoret në përputhje me rregullat e përcaktuara nga dokumentacioni apo jo.
Planifikoni koston e mbrojtjes së informacionit kriptografik, duke ditur se sa është tashmë në funksion dhe sa më shumë fonde të konsoliduara janë në dispozicion.
Gjeneroni raportim rregullator.

Lista e informacionit kryesor:

Për secilin element të listës, ne regjistrojmë të dhënat e mëposhtme:

Emri ose identifikuesi i informacionit kyç... Për shembull, "Çelësi ES i kualifikuar. Numri serial i certifikatës është 31: 2D: AF ", dhe identifikuesi duhet të zgjidhet në atë mënyrë që të jetë e mundur të gjendet çelësi me të. Për shembull, autoritetet e certifikimit, kur dërgojnë njoftime, zakonisht identifikojnë çelësat me numrat e certifikatës.
Qendra kryesore e kontrollit të sistemit (CMC) lëshuesi i këtij informacioni kyç. Kjo mund të jetë organizata që ka lëshuar çelësin, për shembull, një autoritet certifikimi.
Individual, në emër të të cilit është lëshuar informacioni kyç. Ky informacion mund të merret nga fushat CN të certifikatave X.509
Formati kryesor i informacionit... Për shembull, CryptoPRO CIPF, Verba-OW CIPF, X.509, etj. (ose me fjalë të tjera, për përdorim me të cilin CIPF synohet ky informacion kyç).
Caktimi i informacionit kryesor... Për shembull, "Pjesëmarrja në ankande në faqen e Sberbank AST", "Nënshkrimi elektronik i kualifikuar për paraqitjen e raporteve", etj. Nga pikëpamja teknike, në këtë fushë, mund të rregulloni kufizimet e fiksuara nga fushat e zgjeruara të përdorimit të çelësit dhe certifikatat e tjera X.509.
Fillimi dhe mbarimi i vlefshmërisë së informacionit kyç.
Procedura e ribotimit të informacionit kyç... Kjo do të thotë, njohuri se çfarë të bëni dhe si të ribotoni informacionin kryesor. Së paku, këshillohet që të regjistrohen kontaktet e zyrtarëve të QKM-së që kanë dhënë informacionin kyç.
Lista e sistemeve të informacionit, shërbimeve ose proceseve të biznesit brenda të cilave përdoret informacioni kryesor... Për shembull, "Sistemi i shërbimeve bankare në distancë Internet Client-Bank".

Ky informacion do të lejojë:

Ndiqni datat e skadimit të informacionit kryesor.
Ribotoni shpejt informacionin kryesor nëse është e nevojshme. Kjo mund të jetë e nevojshme si për ribotimet e planifikuara ashtu edhe për ato të paplanifikuara.
Blloko përdorimin e informacionit kyç, pas shkarkimit të një punonjësi, të cilit i është dhënë.
Hetoni incidentet e sigurisë së informacionit duke iu përgjigjur pyetjeve: "Kush i kishte çelësat për të bërë pagesat?" dhe etj.

Lista e dokumenteve kryesore:

Për secilin element të listës, ne regjistrojmë të dhënat e mëposhtme:

Informacion kyç të përfshira në dokumentin kyç.
Transportuesi kryesor i informacionit, në të cilën regjistrohet informacioni kryesor.
Fytyra përgjegjës për sigurinë e dokumentit kyç dhe konfidencialitetin e informacionit kyç që përmbahet në të.

Ky informacion do të lejojë:

Rilëshimi i informacionit kyç në rastet e: largimit nga puna të punonjësve që kanë dokumente kyçe, si dhe në rast kompromisi të medias.
Siguroni konfidencialitetin e informacionit kryesor duke bërë një inventar të transportuesve që e përmbajnë atë.

Plani i auditimit

Tani është koha për të shqyrtuar veçoritë praktike të auditimit. Le ta bëjmë këtë duke përdorur shembullin e një organizate krediti dhe financiare, ose me fjalë të tjera, duke përdorur shembullin e një banke. Ky shembull nuk u zgjodh rastësisht. Bankat përdorin një numër mjaft të madh të sistemeve të ndryshme të mbrojtjes kriptografike që përfshihen në një numër të madh procesesh biznesi, dhe përveç kësaj, pothuajse të gjitha bankat janë të licencuara nga FSB e Rusisë në kriptografi. Më tej në artikull do të prezantohet një plan auditimi për mjetet e mbrojtjes së informacionit kriptografik dhe çelësat kriptografikë në lidhje me Bankën. Në të njëjtën kohë, ky plan mund të merret si bazë kur kryhet një auditim i pothuajse çdo kompanie. Për lehtësinë e perceptimit, plani ndahet në faza, të cilat, nga ana tjetër, janë palosur në spoliers.

Faza 1. Mbledhja e të dhënave nga departamentet e infrastrukturës së kompanisë

№	Veprimi
Burimi - të gjithë punonjësit e kompanisë
1	Ne dërgojmë një postë të korporatës për të gjithë punonjësit e kompanisë me një kërkesë për të informuar shërbimin e sigurisë së informacionit për të gjithë çelësat kriptografikë që ata përdorin	Ne marrim email, në bazë të të cilave formojmë një listë të informacioneve kryesore dhe një listë të dokumenteve kryesore
Burimi - Shef i Shërbimit të Teknologjisë së Informacionit
1	Ne kërkojmë një listë të informacioneve kryesore dhe dokumenteve kryesore	Me njëfarë probabiliteti, Shërbimi i IT-së i ruan dokumente të tilla, ne do t'i përdorim ato për të formuar dhe sqaruar listat e informacionit kryesor, dokumentet kryesore dhe mjetet e mbrojtjes së informacionit kriptografik
2	Kërkimi i një liste të burimeve të informacionit kriptografik
3	Kërkojmë regjistrin e softuerit të instaluar në serverë dhe stacione pune	Në këtë regjistër, ne jemi duke kërkuar për mjete kriptografike softuerike dhe përbërësit e tyre. Për shembull, CryptoPRO CSP, Verba-OW, Signal-COM CSP, Signature, PGP, ruToken, eToken, KritoARM, etj. Mbi bazën e këtyre të dhënave, ne formojmë një listë të mjeteve të mbrojtjes së informacionit kriptografik.
4	Ne kërkojmë një listë të punonjësve (ndoshta mbështetje teknike) që ndihmojnë përdoruesit të përdorin mjetet e mbrojtjes së informacionit kriptografik dhe të rishfaqin informacionin kryesor.	Ne u kërkojmë këtyre personave të njëjtin informacion si administratorët e sistemit
Burimi - Administratorët e Sistemit të Shërbimit të Teknologjisë së Informacionit
1	Ne kërkojmë një listë të portave të brendshme të kriptove (VIPNET, Kontinenti, S-terra, etj.)	Në rastet kur kompania nuk zbaton procese të rregullta biznesi të menaxhimit të TI-së dhe sigurisë së informacionit, pyetje të tilla mund t'i ndihmojnë administratorët e sistemit të kujtojnë ekzistencën e një pajisjeje ose softueri të caktuar. Ne e përdorim këtë informacion për të marrë një listë të mjeteve të mbrojtjes së informacionit kriptografik.
2	Ne po kërkojmë një listë të mjeteve të mbrojtjes së informacionit kriptografik të softuerit vendas (mjetet e mbrojtjes së informacionit kriptografik MagPro CryptoPacket, VIPNET CSP, CryptonDisk, SecretDisk, ...)
3	Ne kërkojmë një listë të ruterave që zbatojnë VPN për: a) komunikimet ndërmjet zyrave të shoqërisë; b) ndërveprimin me kontraktorët dhe partnerët.
4	Ne kërkojmë një listë të shërbimeve të informacionit të publikuara në internet (të aksesueshme nga Interneti). Ato mund të përfshijnë: a) emaili i korporatës; b) sistemet e mesazheve të çastit; c) faqet e internetit të korporatave; d) shërbimet për shkëmbimin e informacionit me partnerët dhe kontraktorët (ekstranet); e) sistemet bankare në distancë (nëse shoqëria është Bankë); f) sistemet e aksesit në distancë në rrjetin e shoqërisë. Për të kontrolluar plotësinë e informacionit të dhënë, ne e kontrollojmë atë në përputhje me listën e rregullave të Portforwarding për muret e zjarrit kufitar.	Duke analizuar informacionin e marrë, me një probabilitet të lartë, mund të gjeni përdorimin e mjeteve të mbrojtjes së informacionit kriptografik dhe çelësave kripto. Ne përdorim të dhënat e marra për të formuar një listë të mjeteve të mbrojtjes së informacionit kriptografik dhe informacionit kryesor.
5	Ne kërkojmë një listë të sistemeve të informacionit të përdorura për raportim (Taxcom, Kontur, etj.)	Këto sisteme përdorin çelësat e një nënshkrimi elektronik të kualifikuar dhe SKZI. Nëpërmjet kësaj liste, ne formojmë një listë të mjeteve të mbrojtjes së të dhënave kriptografike, një listë të informacioneve kryesore dhe gjithashtu zbulojmë punonjësit që përdorin këto sisteme për të formuar një listë të dokumenteve kryesore.
6	Ne kërkojmë një listë të sistemeve të brendshme të menaxhimit të dokumenteve elektronike (Lotus, DIRECTUM, 1C: Menaxhimi i dokumenteve, etj.), si dhe një listë të përdoruesve të tyre.	Në kuadrin e sistemeve të brendshme të menaxhimit të dokumenteve elektronike, mund të hasen çelësa të nënshkrimit elektronik. Bazuar në informacionin e marrë, ne formojmë një listë të informacioneve kryesore dhe një listë të dokumenteve kryesore.
7	Ne kërkojmë një listë të qendrave të brendshme të certifikimit.	Fondet e përdorura për organizimin e qendrave të certifikimit regjistrohen në listën e mjeteve të mbrojtjes së informacionit kriptografik. Në të ardhmen, ne do të analizojmë përmbajtjen e bazave të të dhënave të qendrave të certifikimit për të identifikuar informacionin kryesor.
8	Ne kërkojmë informacion në lidhje me përdorimin e teknologjive: IEEE 802.1x, WiFiWPA2 Enterprise dhe sistemet e mbikëqyrjes video IP	Në rastin e përdorimit të këtyre teknologjive, ne mund të gjejmë dokumente kyçe në pajisjet e përfshira.
Burimi - Shefi i Burimeve Njerëzore
1	Ju lutemi përshkruani procesin e punësimit dhe shkarkimit të punonjësve. Ne fokusohemi në pyetjen se kush i merr dokumentet kryesore nga largimi i punëtorëve	Ne analizojmë dokumentet (fletët e anashkalimit) për praninë e sistemeve të informacionit në të cilat mund të përdoret sistemi i mbrojtjes së informacionit kriptografik.

Faza 2. Mbledhja e të dhënave nga njësitë e biznesit të kompanisë (në shembullin e Bankës)

№	Veprimi	Rezultati dhe përdorimi i pritshëm
Burimi - Shefi i Shërbimit të Zgjidhjes (Marrëdhëniet me Korrespondencën)
1	Ju lutemi jepni një skemë për organizimin e ndërveprimit me sistemin e pagesave të Bankës së Rusisë. Në veçanti, kjo do të jetë e rëndësishme për bankat që kanë një rrjet të zhvilluar të degëve, në të cilat degët mund të lidhin Bankën Qendrore me sistemin e pagesave drejtpërdrejt.	Bazuar në të dhënat e marra, ne përcaktojmë vendndodhjen e portave të pagesave (AWP KBR, UTA) dhe listën e përdoruesve të përfshirë. Ne përdorim informacionin e marrë për të formuar një listë të mjeteve të mbrojtjes së informacionit kriptografik, informacionit kryesor dhe dokumenteve kryesore.
2	Ne kërkojmë një listë të bankave me të cilat janë krijuar marrëdhënie të drejtpërdrejta korrespondente dhe gjithashtu kërkojmë të tregojmë se kush është i përfshirë në kryerjen e transfertave dhe çfarë mjetesh teknike përdoren.
3	Ne kërkojmë një listë të sistemeve të pagesave në të cilat Banka merr pjesë (SWIFT, VISA, MasterCard, NSPK, etj.), si dhe vendndodhjen e terminaleve për komunikim.	E njëjta gjë si për sistemin e pagesave të Bankës së Rusisë
Burimi - Përgjegjës i Divizionit përgjegjës për ofrimin e shërbimeve bankare në distancë
1	Ne po kërkojmë një listë të sistemeve bankare në distancë.	Në këto sisteme, ne analizojmë përdorimin e mjeteve të mbrojtjes së informacionit kriptografik dhe informacionit kryesor. Bazuar në të dhënat e marra, ne formojmë një listë të mjeteve të mbrojtjes së informacionit kriptografik dhe informacionit kryesor dhe dokumenteve kryesore.
Burimi - Përgjegjës i departamentit përgjegjës për funksionimin e përpunimit të kartave të pagesave
1	Pyetni regjistrin HSM	Bazuar në informacionin e marrë, ne formojmë një listë të mjeteve të mbrojtjes së informacionit kriptografik, informacionit kryesor dhe dokumenteve kryesore.
2	Duke kërkuar listën e oficerëve të sigurisë
4	Kërkimi i informacionit rreth komponentëve LMK HSM
5	Ne kërkojmë informacion në lidhje me organizimin e sistemeve të tilla si 3D-Secure dhe organizimin e personalizimit të kartave të pagesave
Burimi - Drejtuesit e departamenteve që kryejnë funksione të thesarit dhe depozitimit
1	Lista e bankave me të cilat janë krijuar marrëdhënie korrespondente dhe të cilat marrin pjesë në kreditimin ndërbankar.	Ne përdorim informacionin e marrë për të sqaruar të dhënat e marra më parë nga shërbimi i shlyerjes, si dhe për të regjistruar informacione në lidhje me ndërveprimin me shkëmbimet dhe depozituesit. Bazuar në informacionin e marrë, ne formojmë një listë të mjeteve të mbrojtjes së informacionit kriptografik dhe informacionit kryesor.
2	Lista e bursave dhe depozituesve të specializuar me të cilët punon Banka
Burimi - Drejtuesit e shërbimeve të monitorimit financiar dhe departamenteve përgjegjës për paraqitjen e raporteve në Bankën e Rusisë
1	Ne kërkojmë informacion se si ata dërgojnë informacion dhe marrin informacion nga Banka Qendrore. Lista e personave të përfshirë dhe mjeteve teknike.	Ndërveprimi i informacionit me Bankën e Rusisë rregullohet rreptësisht nga dokumentet përkatëse, për shembull, 2332-U, 321-I dhe shumë të tjerë, ne kontrollojmë përputhjen me këto dokumente dhe formojmë listat e mjeteve të mbrojtjes së informacionit kriptografik, informacionin kryesor dhe dokumentet kryesore.
Burimi - Kryekontabilist dhe kontabilistë që paguajnë fatura për nevojat e brendshme të bankës
1	Kërkojmë informacion mbi mënyrën e përgatitjes dhe paraqitjes së raporteve pranë inspektorateve tatimore dhe Bankës së Rusisë	Ne sqarojmë informacionin e marrë më parë
2	Ne kërkojmë një regjistër të dokumenteve të pagesave për të paguar për nevojat e brendshme të bankës	Në këtë regjistër, ne do të kërkojmë dokumente ku: 1) Qendrat e certifikimit, operatorët e specializuar të telekomit, prodhuesit e mjeteve të mbrojtjes së informacionit kriptografik, furnizuesit e pajisjeve të telekomunikacionit tregohen si marrës të pagesave. Emrat e këtyre kompanive mund të merren nga Regjistri i sistemeve të certifikuara të mbrojtjes së informacionit kriptografik të FSB të Rusisë, lista e qendrave të certifikimit të akredituar të Ministrisë së Telekomit dhe Komunikimeve Massive dhe burime të tjera. 2) si deshifrim i pagesës janë të pranishme fjalët: "CIPF", "nënshkrim", "token", "çelës", "BKI" etj.
Burimi - Drejtuesit e borxheve të prapambetura dhe menaxhimit të rrezikut
1	Ne kërkojmë një listë të zyrave të kreditit dhe agjencive të grumbullimit me të cilat punon Banka.	Së bashku me shërbimin e IT, analizojmë të dhënat e marra për të sqaruar organizimin e rrjedhës së dokumenteve elektronike, mbi bazën e të cilave sqarojmë listat e mjeteve të mbrojtjes së informacionit kriptografik, informacionin kryesor dhe dokumentet kryesore.
Burimi - Drejtuesit e Shërbimeve të Menaxhimit të Dokumenteve, Kontrollit të Brendshëm dhe Auditimit të Brendshëm
1	Ne kërkojmë një regjistër të dokumenteve të brendshme organizative dhe administrative (urdhra).	Në këto dokumente, ne kërkojmë dokumente që lidhen me mbrojtjen e informacionit kriptografik. Për ta bërë këtë, analizojmë praninë e fjalëve kyçe "siguri", "personi përgjegjës", "administrator", "nënshkrimi elektronik", "ES", "EDS", "EDO", "ASP", "SKZI" dhe derivatet e tyre. Më pas identifikojmë listën e punonjësve të Bankës të regjistruar në këto dokumente. Ne kryejmë intervista me punonjësit mbi temën e përdorimit të tyre të mjeteve kripto. Ne pasqyrojmë informacionin e marrë në listat e mjeteve të mbrojtjes së informacionit kriptografik, informacionin kryesor dhe dokumentet kryesore.
2	Ne kërkojmë lista të kontratave me palët	Ne po përpiqemi të identifikojmë marrëveshjet për menaxhimin elektronik të dokumenteve, si dhe marrëveshjet me kompanitë që ofrojnë mjete të sigurisë së informacionit ose ofrojnë shërbime në këtë fushë, si dhe kompani që ofrojnë shërbime të qendrave të certifikimit dhe shërbime për paraqitjen e raporteve nëpërmjet internetit.
3	Ne analizojmë teknologjinë e ruajtjes së dokumenteve të ditës në formë elektronike	Gjatë zbatimit të ruajtjes së dokumenteve të ditës në formë elektronike, kërkohen mjete për mbrojtjen e informacionit kriptografik

Faza 3. Auditimi teknik

№	Veprimi	Rezultati dhe përdorimi i pritshëm
1	Ne kryejmë një inventar teknik të softuerit të instaluar në kompjuter. Për këtë përdorim: · Aftësitë analitike të sistemeve të mbrojtjes antivirus të korporatës (për shembull, Kaspersky Anti-Virus mund të ndërtojë një regjistër të tillë). · Skriptet WMI për sondazhet e kompjuterëve Windows; · Mundësitë e menaxherëve të paketave për sondazhe * nix system; · Softuer i specializuar për inventar.	Midis softuerit të instaluar, ne jemi duke kërkuar për softuerin SKZI, drejtuesit për harduerin SKZI dhe transportuesit kryesorë. Në bazë të informacionit të marrë, ne përditësojmë listën e CIPF-ve.
2	Ne kërkojmë për dokumente kyçe në serverë dhe stacione pune. Për këtë · Logon-scripts anketojnë AWP në domenin për praninë e certifikatave me çelësa privatë në profilet e përdoruesve dhe profilet kompjuterike. Në të gjithë kompjuterët, serverët e skedarëve, hipervizorët, kërkojmë skedarë me ekstensionet: crt, cer, key, pfx, p12, pem, pse, jks, etj. · Në hipervizorët e sistemeve të virtualizimit, ne jemi duke kërkuar për disqe të montuara dhe imazhe diskete.	Shumë shpesh, dokumentet kryesore paraqiten në formën e kontejnerëve të çelësave të skedarëve, si dhe kontejnerëve të ruajtur në regjistrat e kompjuterëve që përdorin Windows. Ne regjistrojmë dokumentet kryesore të gjetura në listën e dokumenteve kryesore, dhe informacionin kryesor që përmbahet në to në listën e informacionit kryesor.
3	Ne analizojmë përmbajtjen e bazave të të dhënave të qendrave të certifikimit	Bazat e të dhënave të autoriteteve të certifikimit zakonisht përmbajnë informacion në lidhje me certifikatat e lëshuara nga këto autoritete. Ne futim informacionin e marrë në listën e informacionit kryesor dhe listën e dokumenteve kryesore.
4	Ne kryejmë një inspektim vizual të dhomave të serverëve dhe dollapëve të instalimeve elektrike, kërkojmë mjetet e mbrojtjes së informacionit kriptografik dhe transportuesit e çelësave të harduerit (tokenat, disqet e diskut)	Në disa raste, është e pamundur të kryhet një inventar i mjeteve të mbrojtjes së informacionit kriptografik dhe dokumenteve kryesore në rrjet. Sistemet mund të jenë në segmente të izoluara të rrjetit ose të mos kenë fare lidhje rrjeti. Për ta bërë këtë, ne kryejmë një inspektim vizual, në rezultatet e të cilit duhet të përcaktohen emrat dhe qëllimi i të gjitha pajisjeve të paraqitura në dhomat e serverit. Ne futim informacionin e marrë në listën e mjeteve të mbrojtjes së informacionit kriptografik dhe dokumenteve kryesore.
5	Ne analizojmë trafikun e rrjetit në mënyrë që të identifikojmë rrjedhat e informacionit duke përdorur shkëmbimin e koduar	Protokollet e koduara - HTTPS, SSH, etj. do të na lejojnë të identifikojmë nyjet e rrjetit në të cilat kryhen transformimet kriptografike, dhe si rezultat, të përmbajnë mjete për mbrojtjen e informacionit kriptografik dhe dokumente kyçe.

konkluzioni

Në këtë artikull, ne shqyrtuam teorinë dhe praktikën e auditimit të mjeteve të mbrojtjes së informacionit kriptografik dhe çelësave kripto. Siç e keni parë, kjo procedurë është mjaft e ndërlikuar dhe kërkon kohë, por nëse trajtohet siç duhet, është mjaft e realizueshme. Shpresojmë që ky artikull t'ju ndihmojë në jetën reale. Faleminderit për vëmendjen tuaj, presim komentet tuaja.

Etiketa:

skzy
kriptografia
nënshkrim elektronik
auditimit
menaxhimi

Shto etiketa

Termat dhe Përkufizimet

Çelësi kriptografik (kriptoçelës)- një grup të dhënash që lejon zgjedhjen e një transformimi specifik kriptografik nga të gjitha të mundshmet në një sistem të caktuar kriptografik (përkufizim nga "udhëzimet rozë - Urdhri i FAPSI Nr. 152, datë 13 qershor 2001, në vijim referuar si FAPSI 152) .
Informacion kyç- një grup i organizuar posaçërisht çelësash kripto të krijuar për të zbatuar mbrojtjen kriptografike të informacionit brenda një periudhe të caktuar [FAPSI 152].
Ju mund të kuptoni ndryshimin themelor midis një çelësi kripto dhe informacionit kryesor duke përdorur shembullin e mëposhtëm. Kur organizohet HTTPS, krijohet një çift çelësash publik dhe privat dhe merret një certifikatë nga çelësi publik dhe informacion shtesë. Pra, në këtë skemë, kombinimi i një certifikate dhe një çelësi privat formojnë informacionin kryesor, dhe secili prej tyre individualisht është një çelës kripto. Këtu mund të udhëhiqeni nga rregulli i thjeshtë i mëposhtëm - përdoruesit fundorë, kur punojnë me mjetet e mbrojtjes së të dhënave kriptografike, përdorin informacionin kryesor, dhe çelësat kripto zakonisht përdorin mjetet e mbrojtjes së të dhënave kriptografike brenda vetes. Në të njëjtën kohë, është e rëndësishme të kuptohet se informacioni kryesor mund të përbëhet nga një çelës kripto.
Dokumentet kryesore- dokumente elektronike në çdo media, si dhe dokumente në media letre që përmbajnë informacion kyç me akses të kufizuar për transformimin kriptografik të informacionit duke përdorur algoritme për transformimin kriptografik të informacionit (çelës kriptografik) në mjete kriptimi (kriptografike). (përkufizim nga Vendimi i Qeverisë nr. 313, datë 16.04.2012, në vijim - PP-313)
Me fjalë të thjeshta, një dokument kyç është informacioni kryesor i regjistruar në një medium. Kur analizoni informacionin kryesor dhe dokumentet kryesore, është e nevojshme të nënvizoni atë që përdoret (d.m.th., përdoret për transformime kriptografike - kriptim, nënshkrim elektronik, etj.) Informacioni kryesor, dhe dokumentet kryesore që e përmbajnë atë u transferohen punonjësve.
Mjetet e mbrojtjes së informacionit kriptografik (CIPF)- mjetet e kriptimit, mjetet e mbrojtjes imituese, mjetet e nënshkrimit elektronik, mjetet e kodimit, mjetet e prodhimit të dokumenteve kyçe, dokumentet kyçe, mjetet e enkriptimit harduer (kriptografik), mjetet softuerike dhe harduerike të enkriptimit (kriptografike). [PP-313]
Kur analizoni këtë përkufizim, mund të gjeni në të praninë e termit dokumente kyçe. Afati është dhënë në Dekretin e Qeverisë dhe ne nuk kemi të drejtë ta ndryshojmë. Në të njëjtën kohë, përshkrimi i mëtejshëm do të bëhet mbi bazën se vetëm mjetet e kryerjes së transformimeve kriptografike do të lidhen me CIPF). Kjo qasje do të thjeshtojë auditimin, por në të njëjtën kohë nuk do të ndikojë në cilësinë e tij, pasi ne ende do të marrim parasysh dokumentet kryesore, por në seksionin tonë dhe me metodat tona.

Metodologjia e auditimit dhe rezultatet e pritura

Karakteristikat kryesore të metodologjisë së auditimit të propozuar në këtë artikull janë postulatet që:

asnjë punonjës i vetëm i kompanisë nuk mund t'i përgjigjet me saktësi pyetjeve të bëra gjatë auditimit;
Burimet ekzistuese të të dhënave (listat, regjistrat, etj.) janë të pasakta ose të strukturuara dobët.

Këtu janë varësitë kryesore që do të na ndihmojnë me këtë:

Nëse ekziston një mjet për mbrojtjen e informacionit kriptografik, atëherë ka edhe informacion kyç.
Nëse ka një rrjedhë dokumenti elektronik (përfshirë palët dhe rregullatorët), atëherë ka shumë të ngjarë që ai përdor një nënshkrim elektronik dhe, si rezultat, mjetet e mbrojtjes së informacionit kriptografik dhe informacionin kryesor.
Rrjedha elektronike e dokumenteve në këtë kontekst duhet të kuptohet gjerësisht, domethënë, do të përfshijë si shkëmbimin e drejtpërdrejtë të dokumenteve elektronike me rëndësi ligjore, ashtu edhe paraqitjen e raporteve, si dhe punën në sistemet e pagesave ose tregtimit, e kështu me radhë. Lista dhe format e menaxhimit të dokumenteve elektronike përcaktohen nga proceset e biznesit të kompanisë, si dhe nga legjislacioni aktual.
Nëse një punonjës është i përfshirë në menaxhimin e dokumenteve elektronike, atëherë ka shumë të ngjarë që ai ka dokumente kryesore.
Kur organizoni rrjedhën elektronike të dokumenteve me palët, zakonisht lëshohen dokumente (urdhra) organizative dhe administrative për emërimin e personave përgjegjës.
Nëse informacioni transmetohet përmes Internetit (ose rrjeteve të tjera publike), atëherë ka shumë të ngjarë që ai është i koduar. Kjo vlen kryesisht për VPN dhe sisteme të ndryshme të aksesit në distancë.
Nëse në trafikun e rrjetit gjenden protokolle që transmetojnë trafikun në një formë të koduar, atëherë përdoren mjetet e mbrojtjes së informacionit kriptografik dhe informacioni kryesor.
Nëse do të bëheshin marrëveshje me palët e angazhuara në: furnizimin e produkteve të sigurisë së informacionit, pajisjeve të telekomunikacionit, ofrimin e shërbimeve për transferimin e fryrjes, shërbimet e qendrave të certifikimit, atëherë me këtë ndërveprim mund të bliheshin mjete për mbrojtjen e informacionit kriptografik ose dokumente kyçe.
Dokumentet kryesore mund të jenë ose në media të tjetërsueshme (disketa, disqe flash, argumente, ...), ose të regjistruara brenda kompjuterëve dhe mjeteve të mbrojtjes së informacionit kriptografik të harduerit.
Kur përdorni mjete virtualizimi, dokumentet kryesore mund të ruhen si brenda makinave virtuale, ashtu edhe të montohen në makina virtuale duke përdorur një hipervizor.
Mjetet e mbrojtjes së informacionit kriptografik të harduerit mund të instalohen në dhomat e serverëve dhe të mos jenë të disponueshëm për analiza në rrjet.
Disa sisteme elektronike të menaxhimit të dokumenteve mund të jenë joaktive ose joaktive, por në të njëjtën kohë përmbajnë informacion kyç aktiv dhe mjete për mbrojtjen e informacionit kriptografik.
Dokumentacioni i brendshëm rregullator, organizativ dhe administrativ mund të përmbajë informacion në lidhje me sistemet e menaxhimit të dokumenteve elektronike, CIPF dhe dokumentet kryesore.

Për nxjerrjen e informacionit parësor, ne do të:

interviston punonjësit;
të analizojë dokumentacionin e kompanisë, duke përfshirë dokumentet e brendshme rregullatore dhe administrative, si dhe urdhërpagesat dalëse;
të kryejë një analizë vizuale të dhomave të serverëve dhe kabineteve të komunikimit;
kryerja e analizave teknike të përmbajtjes së stacioneve të automatizuara të punës (AWS), serverëve dhe mjeteve të virtualizimit.

Ne do të formulojmë masa specifike më vonë, por tani për tani do të shqyrtojmë të dhënat përfundimtare që duhet të marrim si rezultat i auditimit:

Lista e SKZI:

Modeli CIPF... Për shembull, CIPF Crypto CSP 3.9, ose OpenSSL 1.0.1
Identifikuesi i shembullit CIPF... Për shembull, numri serial, licenca (ose regjistrimi sipas PKZ-2005) SKZI
Informacion në lidhje me certifikatën e FSB të Rusisë për CIPF, duke përfshirë numrin dhe datat e fillimit dhe mbarimit të vlefshmërisë.
Informacion në lidhje me vendin e funksionimit të SKZI... Për shembull, emri i kompjuterit në të cilin është instaluar softueri SKZI, ose emri i mjeteve teknike ose ambienteve ku është instaluar hardueri SKZI.

Ky informacion do të lejojë:

Menaxhoni dobësitë në sistemet e mbrojtjes së informacionit kriptografik, domethënë zbuloni dhe rregulloni shpejt ato.
Monitoroni periudhën e vlefshmërisë së certifikatave për mjetet e mbrojtjes së informacionit kriptografik, si dhe kontrolloni nëse një mjet i certifikuar i mbrojtjes së informacionit kriptografik përdoret në përputhje me rregullat e përcaktuara nga dokumentacioni apo jo.
Planifikoni koston e mbrojtjes së informacionit kriptografik, duke ditur se sa është tashmë në funksion dhe sa më shumë fonde të konsoliduara janë në dispozicion.
Gjeneroni raportim rregullator.

Lista e informacionit kryesor:

Për secilin element të listës, ne regjistrojmë të dhënat e mëposhtme:

Emri ose identifikuesi i informacionit kyç... Për shembull, "Çelësi ES i kualifikuar. Numri serial i certifikatës është 31: 2D: AF ", dhe identifikuesi duhet të zgjidhet në atë mënyrë që të jetë e mundur të gjendet çelësi me të. Për shembull, autoritetet e certifikimit, kur dërgojnë njoftime, zakonisht identifikojnë çelësat me numrat e certifikatës.
Qendra kryesore e kontrollit të sistemit (CMC) lëshuesi i këtij informacioni kyç. Kjo mund të jetë organizata që ka lëshuar çelësin, për shembull, një autoritet certifikimi.
Individual, në emër të të cilit është lëshuar informacioni kyç. Ky informacion mund të merret nga fushat CN të certifikatave X.509
Formati kryesor i informacionit... Për shembull, CryptoPRO CIPF, Verba-OW CIPF, X.509, etj. (ose me fjalë të tjera, për përdorim me të cilin CIPF synohet ky informacion kyç).
Caktimi i informacionit kryesor... Për shembull, "Pjesëmarrja në ankande në faqen e Sberbank AST", "Nënshkrimi elektronik i kualifikuar për paraqitjen e raporteve", etj. Nga pikëpamja teknike, në këtë fushë, mund të rregulloni kufizimet e fiksuara nga fushat e zgjeruara të përdorimit të çelësit dhe certifikatat e tjera X.509.
Fillimi dhe mbarimi i vlefshmërisë së informacionit kyç.
Procedura e ribotimit të informacionit kyç... Kjo do të thotë, njohuri se çfarë të bëni dhe si të ribotoni informacionin kryesor. Së paku, këshillohet që të regjistrohen kontaktet e zyrtarëve të QKM-së që kanë dhënë informacionin kyç.
Lista e sistemeve të informacionit, shërbimeve ose proceseve të biznesit brenda të cilave përdoret informacioni kryesor... Për shembull, "Sistemi i shërbimeve bankare në distancë Internet Client-Bank".

Ky informacion do të lejojë:

Ndiqni datat e skadimit të informacionit kryesor.
Ribotoni shpejt informacionin kryesor nëse është e nevojshme. Kjo mund të jetë e nevojshme si për ribotimet e planifikuara ashtu edhe për ato të paplanifikuara.
Blloko përdorimin e informacionit kyç, pas shkarkimit të një punonjësi, të cilit i është dhënë.
Hetoni incidentet e sigurisë së informacionit duke iu përgjigjur pyetjeve: "Kush i kishte çelësat për të bërë pagesat?" dhe etj.

Lista e dokumenteve kryesore:

Për secilin element të listës, ne regjistrojmë të dhënat e mëposhtme:

Informacion kyç të përfshira në dokumentin kyç.
Transportuesi kryesor i informacionit, në të cilën regjistrohet informacioni kryesor.
Fytyra përgjegjës për sigurinë e dokumentit kyç dhe konfidencialitetin e informacionit kyç që përmbahet në të.

Ky informacion do të lejojë:

Rilëshimi i informacionit kyç në rastet e: largimit nga puna të punonjësve që kanë dokumente kyçe, si dhe në rast kompromisi të medias.
Siguroni konfidencialitetin e informacionit kryesor duke bërë një inventar të transportuesve që e përmbajnë atë.

Plani i auditimit

Faza 1. Mbledhja e të dhënave nga departamentet e infrastrukturës së kompanisë

№	Veprimi
Burimi - të gjithë punonjësit e kompanisë
1	Ne dërgojmë një postë të korporatës për të gjithë punonjësit e kompanisë me një kërkesë për të informuar shërbimin e sigurisë së informacionit për të gjithë çelësat kriptografikë që ata përdorin	Ne marrim email, në bazë të të cilave formojmë një listë të informacioneve kryesore dhe një listë të dokumenteve kryesore
Burimi - Shef i Shërbimit të Teknologjisë së Informacionit
1	Ne kërkojmë një listë të informacioneve kryesore dhe dokumenteve kryesore	Me njëfarë probabiliteti, Shërbimi i IT-së i ruan dokumente të tilla, ne do t'i përdorim ato për të formuar dhe sqaruar listat e informacionit kryesor, dokumentet kryesore dhe mjetet e mbrojtjes së informacionit kriptografik
2	Kërkimi i një liste të burimeve të informacionit kriptografik
3	Kërkojmë regjistrin e softuerit të instaluar në serverë dhe stacione pune	Në këtë regjistër, ne jemi duke kërkuar për mjete kriptografike softuerike dhe përbërësit e tyre. Për shembull, CryptoPRO CSP, Verba-OW, Signal-COM CSP, Signature, PGP, ruToken, eToken, KritoARM, etj. Mbi bazën e këtyre të dhënave, ne formojmë një listë të mjeteve të mbrojtjes së informacionit kriptografik.
4	Ne kërkojmë një listë të punonjësve (ndoshta mbështetje teknike) që ndihmojnë përdoruesit të përdorin mjetet e mbrojtjes së informacionit kriptografik dhe të rishfaqin informacionin kryesor.	Ne u kërkojmë këtyre personave të njëjtin informacion si administratorët e sistemit
Burimi - Administratorët e Sistemit të Shërbimit të Teknologjisë së Informacionit
1	Ne kërkojmë një listë të portave të brendshme të kriptove (VIPNET, Kontinenti, S-terra, etj.)	Në rastet kur kompania nuk zbaton procese të rregullta biznesi të menaxhimit të TI-së dhe sigurisë së informacionit, pyetje të tilla mund t'i ndihmojnë administratorët e sistemit të kujtojnë ekzistencën e një pajisjeje ose softueri të caktuar. Ne e përdorim këtë informacion për të marrë një listë të mjeteve të mbrojtjes së informacionit kriptografik.
2	Ne po kërkojmë një listë të mjeteve të mbrojtjes së informacionit kriptografik të softuerit vendas (mjetet e mbrojtjes së informacionit kriptografik MagPro CryptoPacket, VIPNET CSP, CryptonDisk, SecretDisk, ...)
3	Ne kërkojmë një listë të ruterave që zbatojnë VPN për: a) komunikimet ndërmjet zyrave të shoqërisë; b) ndërveprimin me kontraktorët dhe partnerët.
4	Ne kërkojmë një listë të shërbimeve të informacionit të publikuara në internet (të aksesueshme nga Interneti). Ato mund të përfshijnë: a) emaili i korporatës; b) sistemet e mesazheve të çastit; c) faqet e internetit të korporatave; d) shërbimet për shkëmbimin e informacionit me partnerët dhe kontraktorët (ekstranet); e) sistemet bankare në distancë (nëse shoqëria është Bankë); f) sistemet e aksesit në distancë në rrjetin e shoqërisë. Për të kontrolluar plotësinë e informacionit të dhënë, ne e kontrollojmë atë në përputhje me listën e rregullave të Portforwarding për muret e zjarrit kufitar.	Duke analizuar informacionin e marrë, me një probabilitet të lartë, mund të gjeni përdorimin e mjeteve të mbrojtjes së informacionit kriptografik dhe çelësave kripto. Ne përdorim të dhënat e marra për të formuar një listë të mjeteve të mbrojtjes së informacionit kriptografik dhe informacionit kryesor.
5	Ne kërkojmë një listë të sistemeve të informacionit të përdorura për raportim (Taxcom, Kontur, etj.)	Këto sisteme përdorin çelësat e një nënshkrimi elektronik të kualifikuar dhe SKZI. Nëpërmjet kësaj liste, ne formojmë një listë të mjeteve të mbrojtjes së të dhënave kriptografike, një listë të informacioneve kryesore dhe gjithashtu zbulojmë punonjësit që përdorin këto sisteme për të formuar një listë të dokumenteve kryesore.
6	Ne kërkojmë një listë të sistemeve të brendshme të menaxhimit të dokumenteve elektronike (Lotus, DIRECTUM, 1C: Menaxhimi i dokumenteve, etj.), si dhe një listë të përdoruesve të tyre.	Në kuadrin e sistemeve të brendshme të menaxhimit të dokumenteve elektronike, mund të hasen çelësa të nënshkrimit elektronik. Bazuar në informacionin e marrë, ne formojmë një listë të informacioneve kryesore dhe një listë të dokumenteve kryesore.
7	Ne kërkojmë një listë të qendrave të brendshme të certifikimit.	Fondet e përdorura për organizimin e qendrave të certifikimit regjistrohen në listën e mjeteve të mbrojtjes së informacionit kriptografik. Në të ardhmen, ne do të analizojmë përmbajtjen e bazave të të dhënave të qendrave të certifikimit për të identifikuar informacionin kryesor.
8	Ne kërkojmë informacion në lidhje me përdorimin e teknologjive: IEEE 802.1x, WiFiWPA2 Enterprise dhe sistemet e mbikëqyrjes video IP	Në rastin e përdorimit të këtyre teknologjive, ne mund të gjejmë dokumente kyçe në pajisjet e përfshira.
Burimi - Shefi i Burimeve Njerëzore
1	Ju lutemi përshkruani procesin e punësimit dhe shkarkimit të punonjësve. Ne fokusohemi në pyetjen se kush i merr dokumentet kryesore nga largimi i punëtorëve	Ne analizojmë dokumentet (fletët e anashkalimit) për praninë e sistemeve të informacionit në të cilat mund të përdoret sistemi i mbrojtjes së informacionit kriptografik.

Faza 2. Mbledhja e të dhënave nga njësitë e biznesit të kompanisë (në shembullin e Bankës)

№	Veprimi	Rezultati dhe përdorimi i pritshëm
Burimi - Shefi i Shërbimit të Zgjidhjes (Marrëdhëniet me Korrespondencën)
1	Ju lutemi jepni një skemë për organizimin e ndërveprimit me sistemin e pagesave të Bankës së Rusisë. Në veçanti, kjo do të jetë e rëndësishme për bankat që kanë një rrjet të zhvilluar të degëve, në të cilat degët mund të lidhin Bankën Qendrore me sistemin e pagesave drejtpërdrejt.	Bazuar në të dhënat e marra, ne përcaktojmë vendndodhjen e portave të pagesave (AWP KBR, UTA) dhe listën e përdoruesve të përfshirë. Ne përdorim informacionin e marrë për të formuar një listë të mjeteve të mbrojtjes së informacionit kriptografik, informacionit kryesor dhe dokumenteve kryesore.
2	Ne kërkojmë një listë të bankave me të cilat janë krijuar marrëdhënie të drejtpërdrejta korrespondente dhe gjithashtu kërkojmë të tregojmë se kush është i përfshirë në kryerjen e transfertave dhe çfarë mjetesh teknike përdoren.
3	Ne kërkojmë një listë të sistemeve të pagesave në të cilat Banka merr pjesë (SWIFT, VISA, MasterCard, NSPK, etj.), si dhe vendndodhjen e terminaleve për komunikim.	E njëjta gjë si për sistemin e pagesave të Bankës së Rusisë
Burimi - Përgjegjës i Divizionit përgjegjës për ofrimin e shërbimeve bankare në distancë
1	Ne po kërkojmë një listë të sistemeve bankare në distancë.	Në këto sisteme, ne analizojmë përdorimin e mjeteve të mbrojtjes së informacionit kriptografik dhe informacionit kryesor. Bazuar në të dhënat e marra, ne formojmë një listë të mjeteve të mbrojtjes së informacionit kriptografik dhe informacionit kryesor dhe dokumenteve kryesore.
Burimi - Përgjegjës i departamentit përgjegjës për funksionimin e përpunimit të kartave të pagesave
1	Pyetni regjistrin HSM	Bazuar në informacionin e marrë, ne formojmë një listë të mjeteve të mbrojtjes së informacionit kriptografik, informacionit kryesor dhe dokumenteve kryesore.
2	Duke kërkuar listën e oficerëve të sigurisë
4	Kërkimi i informacionit rreth komponentëve LMK HSM
5	Ne kërkojmë informacion në lidhje me organizimin e sistemeve të tilla si 3D-Secure dhe organizimin e personalizimit të kartave të pagesave
Burimi - Drejtuesit e departamenteve që kryejnë funksione të thesarit dhe depozitimit
1	Lista e bankave me të cilat janë krijuar marrëdhënie korrespondente dhe të cilat marrin pjesë në kreditimin ndërbankar.	Ne përdorim informacionin e marrë për të sqaruar të dhënat e marra më parë nga shërbimi i shlyerjes, si dhe për të regjistruar informacione në lidhje me ndërveprimin me shkëmbimet dhe depozituesit. Bazuar në informacionin e marrë, ne formojmë një listë të mjeteve të mbrojtjes së informacionit kriptografik dhe informacionit kryesor.
2	Lista e bursave dhe depozituesve të specializuar me të cilët punon Banka
Burimi - Drejtuesit e shërbimeve të monitorimit financiar dhe departamenteve përgjegjës për paraqitjen e raporteve në Bankën e Rusisë
1	Ne kërkojmë informacion se si ata dërgojnë informacion dhe marrin informacion nga Banka Qendrore. Lista e personave të përfshirë dhe mjeteve teknike.	Ndërveprimi i informacionit me Bankën e Rusisë rregullohet rreptësisht nga dokumentet përkatëse, për shembull, 2332-U, 321-I dhe shumë të tjerë, ne kontrollojmë përputhjen me këto dokumente dhe formojmë listat e mjeteve të mbrojtjes së informacionit kriptografik, informacionin kryesor dhe dokumentet kryesore.
Burimi - Kryekontabilist dhe kontabilistë që paguajnë fatura për nevojat e brendshme të bankës
1	Kërkojmë informacion mbi mënyrën e përgatitjes dhe paraqitjes së raporteve pranë inspektorateve tatimore dhe Bankës së Rusisë	Ne sqarojmë informacionin e marrë më parë
2	Ne kërkojmë një regjistër të dokumenteve të pagesave për të paguar për nevojat e brendshme të bankës	Në këtë regjistër, ne do të kërkojmë dokumente ku: 1) Qendrat e certifikimit, operatorët e specializuar të telekomit, prodhuesit e mjeteve të mbrojtjes së informacionit kriptografik, furnizuesit e pajisjeve të telekomunikacionit tregohen si marrës të pagesave. Emrat e këtyre kompanive mund të merren nga Regjistri i sistemeve të certifikuara të mbrojtjes së informacionit kriptografik të FSB të Rusisë, lista e qendrave të certifikimit të akredituar të Ministrisë së Telekomit dhe Komunikimeve Massive dhe burime të tjera. 2) si deshifrim i pagesës janë të pranishme fjalët: "CIPF", "nënshkrim", "token", "çelës", "BKI" etj.
Burimi - Drejtuesit e borxheve të prapambetura dhe menaxhimit të rrezikut
1	Ne kërkojmë një listë të zyrave të kreditit dhe agjencive të grumbullimit me të cilat punon Banka.	Së bashku me shërbimin e IT, analizojmë të dhënat e marra për të sqaruar organizimin e rrjedhës së dokumenteve elektronike, mbi bazën e të cilave sqarojmë listat e mjeteve të mbrojtjes së informacionit kriptografik, informacionin kryesor dhe dokumentet kryesore.
Burimi - Drejtuesit e Shërbimeve të Menaxhimit të Dokumenteve, Kontrollit të Brendshëm dhe Auditimit të Brendshëm
1	Ne kërkojmë një regjistër të dokumenteve të brendshme organizative dhe administrative (urdhra).	Në këto dokumente, ne kërkojmë dokumente që lidhen me mbrojtjen e informacionit kriptografik. Për ta bërë këtë, analizojmë praninë e fjalëve kyçe "siguri", "personi përgjegjës", "administrator", "nënshkrimi elektronik", "ES", "EDS", "EDO", "ASP", "SKZI" dhe derivatet e tyre. Më pas identifikojmë listën e punonjësve të Bankës të regjistruar në këto dokumente. Ne kryejmë intervista me punonjësit mbi temën e përdorimit të tyre të mjeteve kripto. Ne pasqyrojmë informacionin e marrë në listat e mjeteve të mbrojtjes së informacionit kriptografik, informacionin kryesor dhe dokumentet kryesore.
2	Ne kërkojmë lista të kontratave me palët	Ne po përpiqemi të identifikojmë marrëveshjet për menaxhimin elektronik të dokumenteve, si dhe marrëveshjet me kompanitë që ofrojnë mjete të sigurisë së informacionit ose ofrojnë shërbime në këtë fushë, si dhe kompani që ofrojnë shërbime të qendrave të certifikimit dhe shërbime për paraqitjen e raporteve nëpërmjet internetit.
3	Ne analizojmë teknologjinë e ruajtjes së dokumenteve të ditës në formë elektronike	Gjatë zbatimit të ruajtjes së dokumenteve të ditës në formë elektronike, kërkohen mjete për mbrojtjen e informacionit kriptografik

Faza 3. Auditimi teknik

№	Veprimi	Rezultati dhe përdorimi i pritshëm
1	Ne kryejmë një inventar teknik të softuerit të instaluar në kompjuter. Për këtë përdorim: · Aftësitë analitike të sistemeve të mbrojtjes antivirus të korporatës (për shembull, Kaspersky Anti-Virus mund të ndërtojë një regjistër të tillë). · Skriptet WMI për sondazhet e kompjuterëve Windows; · Mundësitë e menaxherëve të paketave për sondazhe * nix system; · Softuer i specializuar për inventar.	Midis softuerit të instaluar, ne jemi duke kërkuar për softuerin SKZI, drejtuesit për harduerin SKZI dhe transportuesit kryesorë. Në bazë të informacionit të marrë, ne përditësojmë listën e CIPF-ve.
2	Ne kërkojmë për dokumente kyçe në serverë dhe stacione pune. Për këtë · Logon-scripts anketojnë AWP në domenin për praninë e certifikatave me çelësa privatë në profilet e përdoruesve dhe profilet kompjuterike. Në të gjithë kompjuterët, serverët e skedarëve, hipervizorët, kërkojmë skedarë me ekstensionet: crt, cer, key, pfx, p12, pem, pse, jks, etj. · Në hipervizorët e sistemeve të virtualizimit, ne jemi duke kërkuar për disqe të montuara dhe imazhe diskete.	Shumë shpesh, dokumentet kryesore paraqiten në formën e kontejnerëve të çelësave të skedarëve, si dhe kontejnerëve të ruajtur në regjistrat e kompjuterëve që përdorin Windows. Ne regjistrojmë dokumentet kryesore të gjetura në listën e dokumenteve kryesore, dhe informacionin kryesor që përmbahet në to në listën e informacionit kryesor.
3	Ne analizojmë përmbajtjen e bazave të të dhënave të qendrave të certifikimit	Bazat e të dhënave të autoriteteve të certifikimit zakonisht përmbajnë informacion në lidhje me certifikatat e lëshuara nga këto autoritete. Ne futim informacionin e marrë në listën e informacionit kryesor dhe listën e dokumenteve kryesore.
4	Ne kryejmë një inspektim vizual të dhomave të serverëve dhe dollapëve të instalimeve elektrike, kërkojmë mjetet e mbrojtjes së informacionit kriptografik dhe transportuesit e çelësave të harduerit (tokenat, disqet e diskut)	Në disa raste, është e pamundur të kryhet një inventar i mjeteve të mbrojtjes së informacionit kriptografik dhe dokumenteve kryesore në rrjet. Sistemet mund të jenë në segmente të izoluara të rrjetit ose të mos kenë fare lidhje rrjeti. Për ta bërë këtë, ne kryejmë një inspektim vizual, në rezultatet e të cilit duhet të përcaktohen emrat dhe qëllimi i të gjitha pajisjeve të paraqitura në dhomat e serverit. Ne futim informacionin e marrë në listën e mjeteve të mbrojtjes së informacionit kriptografik dhe dokumenteve kryesore.
5	Ne analizojmë trafikun e rrjetit në mënyrë që të identifikojmë rrjedhat e informacionit duke përdorur shkëmbimin e koduar	Protokollet e koduara - HTTPS, SSH, etj. do të na lejojnë të identifikojmë nyjet e rrjetit në të cilat kryhen transformimet kriptografike, dhe si rezultat, të përmbajnë mjete për mbrojtjen e informacionit kriptografik dhe dokumente kyçe.

konkluzioni

Etiketa: Shto etiketa

Mjete kriptografike për mbrojtjen e informacionit. Mekanizmat e sigurisë së informacionit

Termat dhe Përkufizimet

Metodologjia e auditimit dhe rezultatet e pritura

Plani i auditimit

konkluzioni

Termat dhe Përkufizimet

Metodologjia e auditimit dhe rezultatet e pritura

Plani i auditimit

konkluzioni

Artikujt kryesorë të lidhur