Skzi - çfarë është? mjetet e mbrojtjes kriptografike të informacionit. Mjetet e mbrojtjes së informacionit kriptografik: llojet dhe aplikimi

18.08.2019 Hekuri

Nga pikëpamja e sigurisë së informacionit, çelësat kriptografikë janë të dhëna kritike. Nëse më parë, për të grabitur një kompani, sulmuesit duhej të hynin në territorin e saj, të hapnin ambiente dhe kasaforta, tani mjafton të vidhni një token me një çelës kriptografik dhe të bëni një transferim përmes sistemit Internet Client-Bank. Themeli për garantimin e sigurisë me ndihmën e sistemeve të mbrojtjes së informacionit kriptografik (CIPF) është ruajtja e konfidencialitetit të çelësave kriptografikë.

Dhe si të sigurohet konfidencialiteti i asaj që nuk e dini se ekziston? Për të vendosur tokenin me çelësin në kasafortë, duhet të dini për ekzistencën e tokenit dhe kasafortës. Sado paradoksale që tingëllon, shumë pak kompani kanë një ide për numrin e saktë të dokumenteve kryesore që përdorin. Kjo mund të ndodhë për një sërë arsyesh, të tilla si nënvlerësimi i kërcënimeve të sigurisë së informacionit, mungesa e proceseve të vendosura të biznesit, kualifikimet e pamjaftueshme të stafit në çështjet e sigurisë, etj. Ata zakonisht e kujtojnë këtë detyrë pas incidenteve, si ky.

Ky artikull do të përshkruajë hapin e parë drejt përmirësimit të mbrojtjes së informacionit duke përdorur mjete kriptografike, ose më saktë, ne do të shqyrtojmë një nga qasjet për kryerjen e një auditimi të mjeteve të mbrojtjes së informacionit kriptografik dhe çelësave kripto. Rrëfimi do të kryhet për llogari të një specialisti të sigurisë së informacionit, ndërkohë që do të supozojmë se puna kryhet nga e para.

Termat dhe Përkufizimet

Në fillim të artikullit, për të mos trembur lexuesin e papërgatitur me përkufizime komplekse, kemi përdorur gjerësisht termat çelës kriptografik ose kriptoçel, tani është koha që të përmirësojmë aparatin tonë konceptual dhe ta përputhim atë me legjislacionin aktual. Ky është një hap shumë i rëndësishëm, pasi do të strukturojë në mënyrë efektive informacionin e marrë nga rezultatet e auditimit.

Çelësi kriptografik (çelës kripto)- një grup të dhënash që siguron zgjedhjen e një transformimi specifik kriptografik nga të gjitha të mundshmet në një sistem të caktuar kriptografik (përkufizimi nga "udhëzimi rozë - Urdhri FAPSI Nr. 152 i 13 qershorit 2001, në vijim - FAPSI 152).
Informacion kyç- një grup i organizuar posaçërisht çelësash kripto, të krijuar për të kryer mbrojtjen kriptografike të informacionit për një periudhë të caktuar [FAPSI 152].
Ju mund të kuptoni ndryshimin themelor midis një çelësi kripto dhe informacionit kryesor duke përdorur shembullin e mëposhtëm. Kur organizoni HTTPS, krijohet një çift çelësash publik dhe privat dhe merret një certifikatë nga çelësi publik dhe informacion shtesë. Pra, në këtë skemë, kombinimi i një certifikate dhe një çelësi privat formojnë informacionin kryesor, dhe secili prej tyre individualisht është një çelës kripto. Këtu mund të udhëhiqeni nga rregulli i mëposhtëm i thjeshtë - kur punoni me CIPF, përdoruesit fundorë përdorin informacionin kryesor dhe çelësat e kriptove zakonisht përdorin CIPF brenda vetes. Në të njëjtën kohë, është e rëndësishme të kuptohet se informacioni kryesor mund të përbëhet nga një çelës kripto.
Dokumentet kryesore- dokumente elektronike në çdo media, si dhe dokumente letre që përmbajnë informacion kyç me akses të kufizuar për transformimin kriptografik të informacionit duke përdorur algoritme për transformimin kriptografik të informacionit (çelës kriptografik) në mjete kriptimi (kriptografike). (përcaktim nga Dekreti i Qeverisë Nr. 313 i datës 16 Prill 2012, në vijim i referuar si PP-313)
Me fjalë të thjeshta, një dokument kyç është informacioni kryesor i regjistruar në një medium. Kur analizoni informacionin kryesor dhe dokumentet kryesore, duhet të theksohet se informacioni kryesor shfrytëzohet (d.m.th., përdoret për transformime kriptografike - kriptim, nënshkrim elektronik, etj.), Dhe dokumentet kryesore që e përmbajnë atë u transferohen punonjësve.
Mjetet e mbrojtjes së informacionit kriptografik (CIPF)- mjetet e kriptimit, mjetet e mbrojtjes imituese, mjetet e nënshkrimit elektronik, mjetet e kodimit, mjetet e prodhimit të dokumenteve kyçe, dokumentet kyçe, mjetet e enkriptimit harduer (kriptografik), mjetet softuerike dhe harduerike të enkriptimit (kriptografike). [PP-313]
Kur analizohet ky përkufizim, është e mundur të zbulohet prania e termit dokumente kyçe në të. Afati është dhënë në Dekretin e Qeverisë dhe ne nuk kemi të drejtë ta ndryshojmë. Në të njëjtën kohë, përshkrimi i mëtejshëm do të bazohet në supozimin se vetëm mjetet e zbatimit të transformimeve kriptografike do t'i referohen CIPF-së. Kjo qasje do të thjeshtojë auditimin, por në të njëjtën kohë nuk do të ndikojë në cilësinë e tij, pasi ne ende do të marrim parasysh dokumentet kryesore, por në seksionin tonë dhe me metodat tona.

Metodologjia e auditimit dhe rezultatet e pritura

Karakteristikat kryesore të metodologjisë së auditimit të propozuar në këtë artikull janë postulatet që:

asnjë punonjës i kompanisë nuk mund t'i përgjigjet me saktësi pyetjeve të bëra gjatë auditimit;
Burimet ekzistuese të të dhënave (listat, regjistrat, etj.) nuk janë të sakta ose të strukturuara dobët.

Prandaj, metodologjia e propozuar në artikull është një lloj miningu i të dhënave, gjatë së cilës të njëjtat të dhëna do të nxirren nga burime të ndryshme, dhe më pas do të krahasohen, strukturohen dhe rafinohen.

Këtu janë varësitë kryesore që do të na ndihmojnë me këtë:

Nëse ka CIPF, atëherë ka informacion kyç.
Nëse ka një rrjedhë elektronike të dokumenteve (përfshirë palët dhe rregullatorët), atëherë ka shumë të ngjarë që ai përdor një nënshkrim elektronik dhe, si rezultat, CIPF dhe informacionin kryesor.
Menaxhimi i dokumenteve elektronike në këtë kontekst duhet të kuptohet gjerësisht, domethënë, ai do të përfshijë si shkëmbimin e drejtpërdrejtë të dokumenteve elektronike me rëndësi ligjore, ashtu edhe raportimin, dhe punën në sistemet e pagesave ose tregtimit, etj. Lista dhe format e menaxhimit të dokumenteve elektronike përcaktohen nga proceset e biznesit të kompanisë, si dhe nga legjislacioni aktual.
Nëse një punonjës është i përfshirë në menaxhimin e dokumenteve elektronike, atëherë ka shumë të ngjarë që ai ka dokumente kryesore.
Kur organizoni menaxhimin elektronik të dokumenteve me palët, dokumentet (urdhrat) organizative dhe administrative zakonisht lëshohen për emërimin e personave përgjegjës.
Nëse informacioni transmetohet përmes Internetit (ose rrjeteve të tjera publike), atëherë ka shumë të ngjarë që ai është i koduar. Para së gjithash, kjo ka të bëjë me VPN dhe sisteme të ndryshme të aksesit në distancë.
Nëse në trafikun e rrjetit gjenden protokolle që transmetojnë trafik të koduar, atëherë aplikohen CIPF dhe informacioni kryesor.
Nëse do të bëheshin marrëveshje me palët e përfshira në: furnizimin e mjeteve të sigurisë së informacionit, pajisjeve të telekomunikacionit, ofrimin e shërbimeve për transferimin e fryrjes, shërbimet e qendrave të certifikimit, atëherë gjatë këtij ndërveprimi mund të bliheshin CIPF ose dokumente kyçe.
Dokumentet kryesore mund të jenë si në media të tjetërsueshme (floppies, flash drives, tokens, ...), ashtu edhe të regjistruara brenda kompjuterëve dhe harduerit CIPF.
Kur përdorni mjete virtualizimi, dokumentet kryesore mund të ruhen si brenda makinave virtuale, ashtu edhe të montohen në makina virtuale duke përdorur një hipervizor.
Hardware CIPF mund të instalohet në dhomat e serverëve dhe të mos jetë i disponueshëm për analiza në rrjet.
Disa sisteme elektronike të menaxhimit të dokumenteve mund të jenë në formë joaktive ose joaktive, por në të njëjtën kohë përmbajnë informacion kyç aktiv dhe CIPF.
Dokumentacioni i brendshëm rregullator, organizativ dhe administrativ mund të përmbajë informacion në lidhje me sistemet e menaxhimit të dokumenteve elektronike, CIPF dhe dokumentet kryesore.

Për të nxjerrë informacionin parësor, ne do të:

interviston punonjësit;
të analizojë dokumentacionin e kompanisë, duke përfshirë dokumentet e brendshme rregullatore dhe administrative, si dhe urdhërpagesat dalëse;
të kryejë një analizë vizuale të dhomave të serverëve dhe kabineteve të komunikimit;
të kryejë analiza teknike të përmbajtjes së stacioneve të automatizuara të punës (AWP), serverëve dhe mjeteve të virtualizimit.

Ne do të formulojmë masa specifike më vonë, por tani për tani do të shqyrtojmë të dhënat përfundimtare që duhet të marrim si rezultat i auditimit:

Lista e SKZI:

Modeli SKZI. Për shembull, CIPF Crypto CSP 3.9, ose OpenSSL 1.0.1
Identifikuesi i shembullit CIPF. Për shembull, numri serial, licenca (ose regjistrimi sipas PKZ-2005) i CIPF
Informacion në lidhje me certifikatën e FSB të Rusisë për CIPF, duke përfshirë numrin dhe datat e fillimit dhe mbarimit të periudhave të vlefshmërisë.
Informacion rreth vendit të funksionimit të CIPF. Për shembull, emri i kompjuterit në të cilin është instaluar softueri CIPF, ose emri i harduerit ose ambienteve ku është instaluar hardueri CIPF.

Ky informacion do të lejojë:

Menaxhoni dobësitë në CIPF, domethënë zbuloni dhe rregulloni shpejt ato.
Gjurmo vlefshmërinë e certifikatave për CIPF, dhe gjithashtu kontrolloni nëse CIPF i certifikuar përdoret në përputhje me rregullat e përcaktuara nga dokumentacioni apo jo.
Planifikoni kostot e CIPF, duke ditur se sa është tashmë në funksion dhe sa më shumë fonde të konsoliduara janë në dispozicion.
Gjeneroni raportim rregullator.

Lista e informacionit kryesor:

Për secilin element të listës, ne rregullojmë të dhënat e mëposhtme:

Emri ose identifikuesi i informacionit kyç. Për shembull, "Çelësi i një ES të kualifikuar. Numri serial i certifikatës është 31:2D:AF”, ndërsa identifikuesi duhet të zgjidhet në atë mënyrë që të mund të përdoret për të gjetur çelësin. Për shembull, CA-të, kur dërgojnë njoftime, zakonisht identifikojnë çelësat me numrat e certifikatës.
Qendra kryesore e kontrollit të sistemit (TSUKS) që ka nxjerrë këtë informacion kyç. Kjo mund të jetë një organizatë që ka lëshuar çelësin, për shembull, një autoritet certifikimi.
Individual në emër të të cilit lëshohet informacioni kyç. Ky informacion mund të nxirret nga fushat CN të certifikatave X.509
Formati i informacionit kyç. Për shembull, CIPF CryptoPRO, CIPF Verba-OW, X.509, etj. (ose me fjalë të tjera, për përdorim me të cilin CIPF synohet ky informacion kyç).
Qëllimi i informacionit kryesor. Për shembull, "Pjesëmarrja në tregtimin në faqen e Sberbank AST", "Nënshkrimi elektronik i kualifikuar për raportim", etj. Nga pikëpamja e teknologjisë, në këtë fushë, mund të rregulloni kufizimet në fushat fikse të përdorimit të zgjatur të çelësit dhe certifikatat e tjera X.509.
Fillimi dhe përfundimi i periudhave të vlefshmërisë së informacionit kryesor.
Procedura për rilëshimin e informacionit kryesor. Kjo do të thotë, njohuri se çfarë duhet të bëni dhe si, kur ribotoni informacionin kryesor. Së paku, është e dëshirueshme të regjistrohen kontaktet e zyrtarëve të KKKK-së që kanë nxjerrë informacionin kryesor.
Lista e sistemeve të informacionit, shërbimeve ose proceseve të biznesit brenda të cilave përdoret informacioni kryesor. Për shembull, "Sistemi i shërbimit bankar në distancë Internet Client-Bank".

Ky informacion do të lejojë:

Ndiqni datat e skadimit të informacionit kryesor.
Nëse është e nevojshme, ribotoni shpejt informacionin kryesor. Kjo mund të jetë e nevojshme si për ribotimet e planifikuara ashtu edhe për ato të paplanifikuara.
Blloko përdorimin e informacionit kyç, pas shkarkimit të punonjësit për të cilin është lëshuar.
Hetoni incidentet e sigurisë së informacionit duke iu përgjigjur pyetjeve: "Kush i kishte çelësat për të bërë pagesat?" dhe etj.

Lista e dokumenteve kryesore:

Për secilin element të listës, ne rregullojmë të dhënat e mëposhtme:

Informacion kyç Të përfshira në dokumentin kyç.
Bartës i informacionit kyç që përmban informacionin kryesor.
Fytyra përgjegjës për sigurinë e dokumentit kyç dhe konfidencialitetin e informacionit kyç që përmbahet në të.

Ky informacion do të lejojë:

Rilëshimi i informacionit kyç në rastet e: largimit nga puna të punonjësve që posedojnë dokumente kyçe, si dhe në rast kompromisi mediatik.
Siguroni konfidencialitetin e informacionit kryesor duke inventarizuar mediat që e përmbajnë atë.

Plani i auditimit

Është koha për të shqyrtuar veçoritë praktike të auditimit. Le ta bëjmë këtë në shembullin e një institucioni financiar ose, me fjalë të tjera, në shembullin e një banke. Ky shembull nuk u zgjodh rastësisht. Bankat përdorin një numër mjaft të madh të sistemeve të larmishme të mbrojtjes kriptografike që përfshihen në një numër të madh procesesh biznesi, dhe përveç kësaj, pothuajse të gjitha bankat janë të Licencuara të FSB të Rusisë për kriptografi. Më tej në artikull do të prezantohet një plan auditimi për CIPF dhe kriptoçelësat, në lidhje me Bankën. Në të njëjtën kohë, ky plan mund të merret si bazë për auditimin e pothuajse çdo kompanie. Për lehtësinë e perceptimit, plani ndahet në faza, të cilat, nga ana tjetër, janë palosur në spoilerë.

Faza 1. Mbledhja e të dhënave nga departamentet e infrastrukturës së kompanisë

№	Veprimi
Burimi - të gjithë punonjësit e kompanisë
1	Ne bëjmë një listë postimesh të korporatës për të gjithë punonjësit e kompanisë me një kërkesë për të informuar shërbimin e sigurisë së informacionit për të gjithë çelësat kriptografikë që ata përdorin	Ne marrim email, në bazë të të cilave formojmë një listë të informacioneve kryesore dhe një listë të dokumenteve kryesore
Burimi - Shef i Shërbimit të Teknologjisë së Informacionit
1	Ne kërkojmë një listë të informacioneve kryesore dhe dokumenteve kryesore	Me një farë probabiliteti, Shërbimi i TI-së ruan dokumente të tilla, ne do t'i përdorim ato për të formuar dhe sqaruar listat e informacionit kryesor, dokumentet kryesore dhe CIPF
2	Ne kërkojmë një listë të CIPF
3	Ne kërkojmë regjistrin e softuerit të instaluar në serverë dhe stacione pune	Në këtë regjistër, ne jemi duke kërkuar për mjete softuerike për mbrojtjen e informacionit kriptografik dhe përbërësit e tyre. Për shembull, CryptoPRO CSP, Verba-OW, Signal-COM CSP, Signature, PGP, ruToken, eToken, CritoARM, etj. Bazuar në këto të dhëna, ne formojmë një listë të mjeteve të mbrojtjes së informacionit kriptografik.
4	Ne kërkojmë një listë të punonjësve (ndoshta mbështetje teknike) që ndihmojnë përdoruesit të përdorin CIPF dhe të ribotojnë informacionin kryesor.	Ne kërkojmë nga këta persona të njëjtin informacion si nga administratorët e sistemit
Burimi - Administratorët e sistemit të Shërbimit të Teknologjisë së Informacionit
1	Ne kërkojmë një listë të portave të brendshme të kriptove (VIPNET, Kontinenti, S-terra, etj.)	Në rastet kur kompania nuk ka zbatuar rregullisht procese biznesi të menaxhimit të TI-së dhe sigurisë së informacionit, pyetje të tilla mund t'i ndihmojnë administratorët e sistemit të kujtojnë ekzistencën e një pajisjeje ose softueri të caktuar. Ne e përdorim këtë informacion për të marrë një listë të CIPF.
2	Ne kërkojmë një listë të softuerit vendas CIPF (CIPF MagPro CryptoPacket, VIPNET CSP, CryptonDisk, SecretDisk, ...)
3	Ne kërkojmë një listë të ruterave që zbatojnë VPN për: a) komunikimet e zyrave të shoqërisë; b) ndërveprimin me kontraktorët dhe partnerët.
4	Ne kërkojmë një listë të shërbimeve të informacionit të publikuara në internet (të aksesueshme nga Interneti). Ato mund të përfshijnë: a) emaili i korporatës; b) sistemet e mesazheve të çastit; c) faqet e internetit të korporatave; d) shërbimet për shkëmbimin e informacionit me partnerët dhe kontraktorët (ekstranet); e) sistemet bankare në distancë (nëse shoqëria është Bankë); f) sistemet për akses në distancë në rrjetin e shoqërisë. Për të kontrolluar plotësinë e informacionit të dhënë, ne i krahasojmë ato me listën e rregullave të Portforwarding të mureve të zjarrit në skaj.	Duke analizuar informacionin e marrë, me një probabilitet të lartë, mund të gjeni përdorimin e mjeteve të mbrojtjes së informacionit kriptografik dhe çelësave kripto. Ne përdorim të dhënat e marra për të formuar një listë të mjeteve të mbrojtjes së informacionit kriptografik dhe informacionit kryesor.
5	Ne kërkojmë një listë të sistemeve të informacionit të përdorura për raportim (Takskom, Kontur, etj.)	Këto sisteme përdorin çelësa të kualifikuar të nënshkrimit elektronik dhe CIPF. Nëpërmjet kësaj liste, ne formojmë një listë të mjeteve të mbrojtjes së informacionit kriptografik, një listë të informacioneve kryesore dhe gjithashtu njohim punonjësit që përdorin këto sisteme për të formuar një listë të dokumenteve kryesore.
6	Ne kërkojmë një listë të sistemeve të menaxhimit të brendshëm elektronik të dokumenteve (Lotus, DIRECTUM, 1C: Document Management, etj.), si dhe një listë të përdoruesve të tyre.	Në kuadrin e sistemeve të brendshme të menaxhimit të dokumenteve elektronike, mund të ndodhin çelësa të nënshkrimit elektronik. Bazuar në informacionin e marrë, ne formojmë një listë të informacioneve kryesore dhe një listë të dokumenteve kryesore.
7	Ne kërkojmë një listë të qendrave të brendshme të certifikimit.	Mjetet e përdorura për organizimin e qendrave të certifikimit regjistrohen në listën e CIPF. Në të ardhmen, ne do të analizojmë përmbajtjen e bazave të të dhënave të qendrave të certifikimit për të identifikuar informacionin kryesor.
8	Ne kërkojmë informacion në lidhje me përdorimin e teknologjive: IEEE 802.1x, WiFiWPA2 Enterprise dhe sistemet e mbikëqyrjes video IP	Në rastin e përdorimit të këtyre teknologjive, ne mund të gjejmë dokumente kyçe në pajisjet e përfshira.
Burimi - Shefi i Burimeve Njerëzore
1	Ju lutemi përshkruani procesin e punësimit dhe shkarkimit të punonjësve. Duke u ndalur në pyetjen se kush i merr dokumentet kryesore nga punonjësit që largohen	Ne analizojmë dokumente (fletë anashkaluese) për praninë e sistemeve të informacionit në të cilat mund të përdoret CIPF.

Faza 2. Mbledhja e të dhënave nga njësitë e biznesit të kompanisë (në shembullin e Bankës)

№	Veprimi	Rezultati i pritshëm dhe përdorimi i tij
Burimi - Shefi i Shërbimit të Zgjidhjes (Marrëdhëniet me Korrespondencën)
1	Ju lutemi jepni një skemë për organizimin e ndërveprimit me sistemin e pagesave të Bankës së Rusisë. Në veçanti, kjo do të jetë e rëndësishme për bankat që kanë një rrjet të zhvilluar të degëve, në të cilat degët mund të lidhin Bankën Qendrore drejtpërdrejt me sistemin e pagesave.	Bazuar në të dhënat e marra, ne përcaktojmë vendndodhjen e portave të pagesave (ARM KBR, UTA) dhe listën e përdoruesve të përfshirë. Ne përdorim informacionin e marrë për të formuar një listë të CIPF, informacionit kryesor dhe dokumenteve kryesore.
2	Ne kërkojmë një listë të bankave me të cilat janë krijuar marrëdhënie të drejtpërdrejta korrespondente, si dhe na kërkojmë të tregojmë se kush është i përfshirë në transferta dhe çfarë mjetesh teknike përdoren.
3	Ne kërkojmë një listë të sistemeve të pagesave në të cilat Banka merr pjesë (SWIFT, VISA, MasterCard, NSPK, etj.), si dhe vendndodhjen e terminaleve për komunikim.	Në mënyrë të ngjashme, si për sistemin e pagesave të Bankës së Rusisë
Burimi - Përgjegjës i divizionit përgjegjës për ofrimin e shërbimeve bankare në distancë
1	Ne kërkojmë një listë të sistemeve bankare në distancë.	Në këto sisteme, ne analizojmë përdorimin e CIPF dhe informacionit kryesor. Bazuar në të dhënat e marra, ne formojmë një listë të mjeteve të mbrojtjes së informacionit kriptografik dhe informacionit kryesor dhe dokumenteve kryesore.
Burimi - Përgjegjës i departamentit përgjegjës për funksionimin e përpunimit të kartave të pagesave
1	Pyetja në Regjistrin HSM	Bazuar në informacionin e marrë, ne formojmë një listë të CIPF, informacionit kryesor dhe dokumenteve kryesore.
2	Kërkimi i një Regjistri të Oficerëve të Sigurisë
4	Kërkimi i informacionit rreth komponentëve LMK HSM
5	Ne kërkojmë informacion në lidhje me organizimin e sistemeve të tilla si 3D-Secure dhe organizimin e personalizimit të kartave të pagesave
Burimi - Drejtuesit e departamenteve që kryejnë funksionet e thesarit dhe të depozituesit
1	Lista e bankave me të cilat janë krijuar marrëdhënie korrespondente dhe të cilat marrin pjesë në kreditimin ndërbankar.	Ne përdorim informacionin e marrë për të sqaruar të dhënat e marra më parë nga shërbimi i shlyerjes, dhe gjithashtu regjistrojmë informacione mbi ndërveprimin me shkëmbimet dhe depozituesit. Bazuar në informacionin e marrë, ne formojmë një listë të mjeteve të mbrojtjes së informacionit kriptografik dhe informacionit kryesor.
2	Lista e bursave dhe depozituesve të specializuar me të cilët punon Banka
Burimi - Drejtuesit e shërbimeve të monitorimit financiar dhe departamenteve përgjegjës për raportimin në Bankën e Rusisë
1	Ne kërkojmë informacion se si ata dërgojnë informacion dhe marrin informacion nga Banka Qendrore. Lista e personave të përfshirë dhe mjeteve teknike.	Ndërveprimi i informacionit me Bankën e Rusisë rregullohet rreptësisht nga dokumentet përkatëse, për shembull, 2332-U, 321-I dhe shumë të tjerë, ne kontrollojmë përputhjen me këto dokumente dhe formojmë listat e CIPF, informacionin kryesor dhe dokumentet kryesore.
Burimi - Kryekontabiliteti dhe stafi kontabël i përfshirë në pagimin e faturave për nevoja të brendshme bankare
1	Ne kërkojmë informacion se si bëhet përgatitja dhe dorëzimi i raporteve pranë inspektorateve tatimore dhe Bankës së Rusisë	Përsos informacionin e marrë më parë
2	Ne kërkojmë një regjistër të dokumenteve të pagesave për të paguar për nevojat brenda bankës	Në këtë regjistër, ne do të kërkojmë dokumente ku: 1) qendrat e certifikimit, operatorët e specializuar të telekomit, prodhuesit CIPF, furnizuesit e pajisjeve të telekomunikacionit tregohen si marrës të pagesave. Emrat e këtyre kompanive mund të merren nga Regjistri i CIPF i Certifikuar i FSB të Rusisë, lista e qendrave të certifikimit të akredituara të Ministrisë së Telekomit dhe Komunikimeve Masive dhe burime të tjera. 2) si dekriptim i pagesës janë fjalët: “CIPF”, “nënshkrim”, “token”, “çelës”, “BKI” etj.
Burimi - Drejtuesit e Detyrimeve të Papaguara dhe Menaxhimit të Riskut
1	Ne kërkojmë një listë të zyrave të kreditit dhe agjencive të grumbullimit me të cilat punon Banka.	Së bashku me shërbimin e IT, ne analizojmë të dhënat e marra për të sqaruar organizimin e menaxhimit të dokumenteve elektronike, mbi bazën e të cilave përsosim listat e mjeteve të mbrojtjes së informacionit kriptografik, informacionin kryesor dhe dokumentet kryesore.
Burimi - Drejtuesit e shërbimeve të menaxhimit të dokumenteve, kontrollit të brendshëm dhe auditimit të brendshëm
1	Ne kërkojmë një regjistër të dokumenteve të brendshme organizative dhe administrative (urdhra).	Në këto dokumente ne kërkojmë dokumente që lidhen me CIPF. Për ta bërë këtë, analizojmë praninë e fjalëve kyçe "siguri", "personi përgjegjës", "administrator", "nënshkrimi elektronik", "ES", "EDS", "EDO", "ASP", "CIPF" dhe të tyre. derivatet. Pas kësaj, ne identifikojmë listën e punonjësve të Bankës të regjistruar në këto dokumente. Ne kryejmë intervista me punonjësit mbi temën e përdorimit të mjeteve kriptografike. Ne pasqyrojmë informacionin e marrë në listat e CIPF, informacionin kryesor dhe dokumentet kryesore.
2	Ne kërkojmë listat e kontratave me kontraktorët	Ne po përpiqemi të identifikojmë marrëveshjet për menaxhimin elektronik të dokumenteve, si dhe marrëveshjet me kompanitë e angazhuara në furnizimin e mjeteve të sigurisë së informacionit ose që ofrojnë shërbime në këtë fushë, si dhe kompanitë që ofrojnë shërbime të qendrave të certifikimit dhe shërbime raportimi nëpërmjet internetit.
3	Ne analizojmë teknologjinë e ruajtjes së dokumenteve të ditës në formë elektronike	Gjatë zbatimit të ruajtjes së dokumenteve të ditës në formë elektronike, CIPF është i detyrueshëm

Faza 3. Auditimi teknik

№	Veprimi	Rezultati i pritshëm dhe përdorimi i tij
1	Ne kryejmë një inventar teknik të softuerit të instaluar në kompjuter. Për këtë përdorim: · Aftësitë analitike të sistemeve të mbrojtjes antivirus të korporatës (për shembull, Kaspersky Anti-Virus mund të ndërtojë një regjistër të tillë). · Skriptet WMI për kompjuterët e anketimit me Windows; · Mundësitë e menaxherëve të paketave për të marrë në pyetje sistemet *nix; Softuer i specializuar për inventar.	Në mesin e softuerit të instaluar, ne jemi në kërkim të softuerit CIPF, drejtuesit për harduerin CIPF dhe mediave kryesore. Bazuar në informacionin e marrë, ne përditësojmë listën e CIPF.
2	Ne kërkojmë dokumente kyçe në serverë dhe stacione pune. Për këtë · Duke përdorur skriptet Logon, ne kërkojmë stacionin e punës në domen për praninë e certifikatave me çelësa privatë në profilet e përdoruesve dhe profilet e kompjuterit. Në të gjithë kompjuterët, serverët e skedarëve, hipervizorët, kërkojmë skedarë me shtesa: crt, cer, key, pfx, p12, pem, pse, jks etj. · Në hipervizorët e sistemeve të virtualizimit, ne jemi duke kërkuar për disqe të montuara dhe imazhe të disketës.	Shumë shpesh, dokumentet kryesore paraqiten në formën e kontejnerëve të çelësave të skedarëve, si dhe kontejnerëve të ruajtur në regjistrat e kompjuterëve që përdorin Windows. Ne rregullojmë dokumentet kryesore të gjetura në listën e dokumenteve kryesore dhe informacionin kryesor që përmbahet në to në listën e informacionit kryesor.
3	Ne analizojmë përmbajtjen e bazave të të dhënave të qendrave të certifikimit	Bazat e të dhënave të autoritetit certifikues zakonisht përmbajnë informacion në lidhje me certifikatat e lëshuara nga këto autoritete. Informacioni i marrë futet në listën e informacionit kryesor dhe në listën e dokumenteve kryesore.
4	Ne kryejmë një inspektim vizual të dhomave të serverëve dhe dollapëve të instalimeve elektrike, ne jemi në kërkim të mbrojtjes së informacionit kriptografik dhe mbajtësve të çelësave të harduerit (tokenat, disqet e diskut)	Në disa raste, është e pamundur të bëhet inventarizimi i CIPF dhe dokumenteve kryesore në rrjet. Sistemet mund të vendosen në segmente të izoluara të rrjetit ose të mos kenë fare lidhje rrjeti. Për ta bërë këtë, ne kryejmë një inspektim vizual, rezultatet e të cilit duhet të përcaktojnë emrat dhe qëllimin e të gjitha pajisjeve të paraqitura në dhomat e serverit. Informacioni i marrë futet në listën e CIPF dhe dokumenteve kryesore.
5	Ne analizojmë trafikun e rrjetit në mënyrë që të identifikojmë rrjedhat e informacionit duke përdorur shkëmbimin e koduar	Protokollet e koduara - HTTPS, SSH, etj. do të na lejojnë të identifikojmë nyjet e rrjetit në të cilat kryhen transformimet kriptografike, dhe si rezultat, përmbajnë CIPF dhe dokumente kyçe.

konkluzioni

Në këtë artikull, ne shqyrtuam teorinë dhe praktikën e auditimit të mjeteve të mbrojtjes së informacionit kriptografik dhe çelësave kripto. Siç mund ta shihni, kjo procedurë është mjaft e ndërlikuar dhe kërkon shumë kohë, por nëse trajtohet siç duhet, është mjaft e realizueshme. Shpresojmë që ky artikull t'ju ndihmojë në jetën reale. Faleminderit për vëmendjen tuaj, presim komentet tuaja

Etiketa:

skzi
kriptografia
nënshkrim elektronik
auditimit
menaxhimi

Shto etiketa

Konfidencialiteti i informacionit karakterizohet nga tregues të tillë në dukje të kundërt si aksesueshmëria dhe fshehtësia. Teknikat për vënien e informacionit në dispozicion të përdoruesve janë diskutuar në seksionin 9.4.1. Në këtë seksion, ne do të shqyrtojmë mënyrat për të siguruar fshehtësinë e informacionit. Kjo veti e informacionit karakterizohet nga shkalla e maskimit të informacionit dhe pasqyron aftësinë e tij për t'i rezistuar zbulimit të kuptimit të grupeve të informacionit, duke përcaktuar strukturën e grupit të informacionit të ruajtur ose bartësin (sinjalin bartës) të grupit të informacionit të transmetuar dhe vendosjen e fakti i transmetimit të grupit të informacionit përmes kanaleve të komunikimit. Kriteret e optimalitetit në këtë rast, si rregull, janë:

minimizimi i probabilitetit të tejkalimit ("hakimit") të mbrojtjes;

maksimizimi i kohës së pritshme të sigurt përpara “prishjes” së nënsistemit të mbrojtjes;

minimizimi i humbjeve totale nga "hakimi" i mbrojtjes dhe kostove për zhvillimin dhe funksionimin e elementeve përkatës të nënsistemit të kontrollit dhe mbrojtjes së informacionit, etj.

Në përgjithësi, konfidencialiteti i informacionit ndërmjet abonentëve mund të sigurohet në një nga tre mënyrat:

krijoni një kanal komunikimi absolutisht të besueshëm midis abonentëve, të paarritshëm për të tjerët;

përdorni një kanal komunikimi publik, por fshehni vetë faktin e transferimit të informacionit;

përdorni një kanal komunikimi publik, por transmetoni informacionin përmes tij në një formë të transformuar dhe ai duhet të konvertohet në mënyrë që vetëm adresuesi të mund ta rivendosë atë.

Opsioni i parë është praktikisht i parealizueshëm për shkak të kostove të larta materiale për krijimin e një kanali të tillë midis abonentëve të largët.

Një nga mënyrat për të siguruar konfidencialitetin e transferimit të informacionit është steganografi. Aktualisht, ai përfaqëson një nga fushat premtuese për sigurimin e konfidencialitetit të informacionit të ruajtur ose të transmetuar në sistemet kompjuterike duke maskuar informacionin konfidencial në skedarë të hapur, kryesisht në ato multimediale.

Është angazhuar zhvillimi i metodave për konvertimin (kriptimin) e informacionit për ta mbrojtur atë nga përdoruesit e paligjshëm kriptografia.

Kriptografia (nganjëherë përdoret termi kriptologji) është një fushë njohurish që studion shkrimin sekret (kriptografinë) dhe metodat për zbulimin e tij (kriptanaliza). Kriptografia konsiderohet një degë e matematikës.

Deri vonë, të gjitha kërkimet në këtë fushë ishin mbyllur vetëm, por vitet e fundit, gjithnjë e më shumë botime në shtypin e hapur filluan të shfaqen. Një pjesë e zbutjes së fshehtësisë është për faktin se është bërë e pamundur fshehja e sasisë së grumbulluar të informacionit. Nga ana tjetër, kriptografia përdoret gjithnjë e më shumë në industritë civile, gjë që kërkon zbulimin e informacionit.

9.6.1. Parimet e kriptografisë. Qëllimi i një sistemi kriptografik është të kodojë tekstin e thjeshtë kuptimplotë (i quajtur edhe tekst i thjeshtë), duke rezultuar në një tekst shifror (shifrtekst, kriptogram) që duket krejtësisht i pakuptimtë. Marrësi i synuar duhet të jetë në gjendje të deshifrojë (i quajtur edhe "dekript") këtë tekst të shifruar, duke rikthyer kështu tekstin e tij të thjeshtë përkatës. Në këtë rast, kundërshtari (i quajtur edhe kriptanalist) nuk duhet të jetë në gjendje të zbulojë tekstin burimor. Ekziston një ndryshim i rëndësishëm midis deshifrimit (deshifrimit) dhe deshifrimit të një teksti të koduar.

Quhen metoda kriptografike dhe mënyra të konvertimit të informacionit shifrat. Zbulimi i një kriptosistemi (shifror) është rezultat i punës së një kriptoanalisti, duke çuar në mundësinë e zbulimit efektiv të çdo teksti të thjeshtë të koduar me këtë kriptosistem. Shkalla e paaftësisë së një kriptosistemi për t'u thyer quhet forca e tij.

Çështja e besueshmërisë së sistemeve të sigurisë së informacionit është shumë komplekse. Fakti është se nuk ka teste të besueshme për t'u siguruar që informacioni mbrohet mjaftueshëm me besueshmëri. Së pari, kriptografia ka veçorinë që shpesh është e nevojshme të shpenzohen disa rend të madhësisë më shumë para për të "hapur" një shifër sesa për ta krijuar atë. Për rrjedhojë, testimi i sistemit të kriptombrojtjes nuk është gjithmonë i mundur. Së dyti, përpjekjet e përsëritura të pasuksesshme për të kapërcyer mbrojtjen nuk do të thotë aspak se përpjekja tjetër nuk do të jetë e suksesshme. Nuk përjashtohet rasti kur profesionistët luftuan për një kohë të gjatë, por pa sukses, mbi shifrën, dhe një fillestar i caktuar aplikoi një qasje jo standarde - dhe shifra iu dha lehtësisht.

Si rezultat i vërtetueshmërisë kaq të dobët të besueshmërisë së mjeteve të sigurisë së informacionit, ka shumë produkte në treg, besueshmëria e të cilave nuk mund të gjykohet me besueshmëri. Natyrisht, zhvilluesit e tyre lavdërojnë punën e tyre në çdo mënyrë, por ata nuk mund të provojnë cilësinë e saj, dhe shpesh kjo është e pamundur në parim. Si rregull, paprovueshmëria e besueshmërisë shoqërohet edhe nga fakti se algoritmi i enkriptimit mbahet sekret.

Në pamje të parë, sekreti i algoritmit shërben si një siguri shtesë e shifrës. Ky është një argument që synon amatorët. Në fakt, nëse algoritmi është i njohur për zhvilluesit, ai nuk mund të konsiderohet më sekret, përveç nëse përdoruesi dhe zhvilluesi janë i njëjti person. Për më tepër, nëse një algoritëm rezulton i paqëndrueshëm për shkak të paaftësisë ose gabimeve të zhvilluesit, sekreti i tij nuk do të lejojë që ai të verifikohet nga ekspertë të pavarur. Paqëndrueshmëria e algoritmit do të zbulohet vetëm kur ai tashmë është hakuar, ose madje nuk është zbuluar fare, sepse armiku nuk po nxiton të mburret për sukseset e tij.

Prandaj, një kriptograf duhet të udhëhiqet nga rregulli i formuluar fillimisht nga holandezi O. Kerkgoffs: siguria e një shifre duhet të përcaktohet vetëm nga fshehtësia e çelësit. Me fjalë të tjera, rregulli i O. Kerckhoffs është që i gjithë mekanizmi i enkriptimit, përveç vlerës së çelësit sekret, konsiderohet apriori i njohur për kundërshtarin.

Një tjetër gjë është se një metodë e mbrojtjes së informacionit është e mundur (në mënyrë rigoroze, që nuk lidhet me kriptografinë), kur nuk fshihet algoritmi i enkriptimit, por vetë fakti që mesazhi përmban informacion të koduar (të fshehur në të). Kjo teknikë quhet më saktë maskimi i informacionit. Do të konsiderohet veçmas.

Historia e kriptografisë daton disa mijëra vjet. Nevoja për të fshehur atë që ishte shkruar tek një person u shfaq pothuajse menjëherë, sapo mësoi të shkruante. Një shembull i njohur historik i një kriptosistemi është i ashtuquajturi shifror i Cezarit, i cili është një zëvendësim i thjeshtë i secilës shkronjë të tekstit të thjeshtë me shkronjën e tretë të alfabetit pas tij (me mbështjellje kur është e nevojshme). Për shembull, A u zëvendësua nga D,B në E,Z në C.

Pavarësisht përparimeve të rëndësishme në matematikë gjatë shekujve që kanë kaluar që nga koha e Cezarit, kriptografia nuk bëri hapa të rëndësishëm përpara deri në mesin e shekullit të 20-të. Kishte një qasje amatore, spekulative, joshkencore.

Për shembull, në shekullin e 20-të, shifrat "libër" u përdorën gjerësisht nga profesionistët, në të cilat çdo botim i shtypur masiv përdorej si çelës. Eshtë e panevojshme të thuhet se sa lehtë u zbuluan shifra të tilla! Sigurisht, nga pikëpamja teorike, shifra e "librit" duket mjaft e besueshme, pasi është e pamundur të renditësh me dorë grupin e tij. Sidoqoftë, informacioni më i vogël a priori e ngushton ndjeshëm këtë zgjedhje.

Nga rruga, në lidhje me informacionin a priori. Gjatë Luftës së Madhe Patriotike, siç dihet, Bashkimi Sovjetik i kushtoi vëmendje të konsiderueshme organizimit të lëvizjes partizane. Pothuajse çdo detashment pas linjave të armikut kishte një stacion radio, si dhe një ose një tjetër komunikim me "kontinentin". Shifrat që kishin partizanët ishin jashtëzakonisht të paqëndrueshme - deshifruesit gjermanë i deshifruan ato mjaft shpejt. Dhe kjo, siç e dini, rezultoi në disfata luftarake dhe humbje. Partizanët dolën dinakë dhe shpikës edhe në këtë fushë. Pritja ishte jashtëzakonisht e thjeshtë. Në tekstin origjinal të mesazhit, u bënë një numër i madh gabimesh gramatikore, për shembull, ata shkruan: "Kemi kaluar tre trena me tanke". Me deshifrimin e saktë për një person rus, gjithçka ishte e qartë. Por kriptanalistët e armikut ishin të pafuqishëm para një teknike të tillë: duke kaluar nëpër opsionet e mundshme, ata takuan kombinimin "tnk" që ishte i pamundur për gjuhën ruse dhe e hodhën poshtë këtë opsion si dukshëm të pasaktë.

Kjo teknikë në dukje e rritur në shtëpi është në fakt shumë efektive dhe përdoret shpesh edhe tani. Sekuencat e rastësishme të karaktereve zëvendësohen në tekstin burimor të mesazhit në mënyrë që të ngatërrojnë programet kriptanalitike me forcë brutale ose të ndryshojnë modelet statistikore të tekstit të koduar, të cilat gjithashtu mund të ofrojnë informacion të dobishëm për kundërshtarin. Por në përgjithësi, ende mund të thuhet se kriptografia e paraluftës ishte jashtëzakonisht e dobët dhe nuk mund të pretendonte titullin e një shkence serioze.

Megjithatë, domosdoshmëria e rëndë ushtarake i detyroi shkencëtarët shpejt të merren me problemet e kriptografisë dhe kriptanalizës. Një nga arritjet e para të rëndësishme në këtë fushë ishte makina shkrimi gjermane Enigma, e cila në fakt ishte një kodues dhe dekoder mekanik me një rezistencë mjaft të lartë.

Më pas, gjatë Luftës së Dytë Botërore, u shfaqën shërbimet e para profesionale të deshifrimit. Më i famshmi prej tyre është Bletchley Park, një divizion i shërbimit të inteligjencës britanike MI5.

9.6.2. Llojet e shifrave. Të gjitha metodat e kriptimit mund të ndahen në dy grupe: shifrat e çelësit sekret dhe shifrat e çelësit publik. Të parët karakterizohen nga prania e disa informacioneve (çelës sekret), posedimi i të cilit bën të mundur si enkriptimin ashtu edhe dekriptimin e mesazheve. Prandaj, ato quhen edhe me një çelës. Shifrat e çelësit publik nënkuptojnë praninë e dy çelësave - për të deshifruar mesazhet. Këto shifra quhen edhe shifra me dy çelësa.

Rregulli i kriptimit nuk mund të jetë arbitrar. Duhet të jetë i tillë që teksti i koduar duke përdorur rregullin e deshifrimit të mund të rivendosë në mënyrë unike mesazhin e hapur. Rregullat e enkriptimit të të njëjtit lloj mund të grupohen në klasa. Brenda klasës, rregullat ndryshojnë nga njëra-tjetra nga vlerat e disa parametrave, që mund të jenë një numër, një tabelë, etj. Në kriptografi, vlera specifike e një parametri të tillë zakonisht referohet si Celës.

Në thelb, çelësi zgjedh një rregull të veçantë kriptimi nga një klasë e caktuar rregullash. Kjo lejon, së pari, kur përdorni pajisje speciale për enkriptim, të ndryshoni vlerën e parametrave të pajisjes në mënyrë që mesazhi i koduar të mos mund të deshifrohet edhe nga persona që kanë saktësisht të njëjtën pajisje, por nuk e dinë vlerën e parametrit të zgjedhur, dhe së dyti, ju lejon të ndryshoni rregullin e enkriptimit në kohën e duhur, pasi përdorimi i përsëritur i të njëjtit rregull të kriptimit për tekstet e thjeshta krijon parakushtet për marrjen e mesazheve të hapura duke përdorur ato të koduara.

Duke përdorur konceptin e një çelësi, procesi i enkriptimit mund të përshkruhet si një lidhje:

ku A– mesazh i hapur; B– mesazh i koduar; f– rregulli i enkriptimit; α – çelësi i zgjedhur, i njohur për dërguesin dhe adresuesin.

Për çdo çelës α konvertimi i shifrës duhet të jetë i kthyeshëm, domethënë duhet të ketë një transformim invers , e cila, me çelësin e zgjedhur α identifikon në mënyrë unike një mesazh të hapur A me mesazh të koduar B:

(9.0)

Një grup transformimesh dhe quhet grupi i çelësave me të cilët korrespondojnë shifror. Ndër të gjitha shifrat, mund të dallohen dy klasa të mëdha: shifrat e zëvendësimit dhe shifrat e ndërrimit. Aktualisht, pajisjet elektronike të enkriptimit përdoren gjerësisht për të mbrojtur informacionin në sistemet e automatizuara. Një karakteristikë e rëndësishme e pajisjeve të tilla nuk është vetëm forca e shifrës së zbatuar, por edhe shpejtësia e lartë e procesit të kriptimit dhe deshifrimit.

Ndonjëherë të dy konceptet ngatërrohen: enkriptimi dhe kodimi. Ndryshe nga kriptimi, i cili kërkon njohjen e kodit dhe çelësit sekret, nuk ka asgjë sekrete në kodim, ekziston vetëm një zëvendësim i caktuar i shkronjave ose fjalëve për karaktere të paracaktuara. Metodat e kodimit nuk synojnë fshehjen e mesazhit të hapur, por paraqitjen e tij në një formë më të përshtatshme për transmetim përmes mjeteve teknike të komunikimit, për të zvogëluar gjatësinë e mesazhit, për të mbrojtur shtrembërimet, etj.

Shifrat sekrete të çelësave. Ky lloj shifrimi nënkupton praninë e disa informacioneve (çelës), posedimi i të cilit lejon si enkriptimin ashtu edhe deshifrimin e mesazhit.

Nga njëra anë, një skemë e tillë ka disavantazhet që, përveç kanalit të hapur për transmetimin e tekstit të shifruar, është e nevojshme të ketë edhe një kanal sekret për transmetimin e çelësit; përveç kësaj, nëse rrjedh informacion për çelësin, ai është e pamundur të vërtetohet se nga cili prej dy korrespondentëve ka ndodhur rrjedhja.

Nga ana tjetër, midis shifrave të këtij grupi të veçantë, ekziston e vetmja skemë e enkriptimit në botë që ka stabilitet teorik absolut. Të gjithë të tjerët mund të deshifrohen të paktën në parim. Një skemë e tillë është një kriptim normal (për shembull, operacioni XOR) me një çelës, gjatësia e të cilit është e barabartë me gjatësinë e mesazhit. Çelësi duhet të përdoret vetëm një herë. Çdo përpjekje për të deshifruar një mesazh të tillë është e padobishme, edhe nëse ka informacion apriori për tekstin e mesazhit. Duke zgjedhur çelësin, si rezultat mund të merrni çdo mesazh.

Shifrat e çelësit publik. Ky lloj shifrimi nënkupton praninë e dy çelësave - publik dhe privat; njëri përdoret për të enkriptuar dhe tjetri për të deshifruar mesazhet. Çelësi publik publikohet - vihet në vëmendje të të gjithëve, ndërsa çelësi sekret mbahet nga pronari i tij dhe është çelësi i fshehtësisë së mesazheve. Thelbi i metodës është se ajo që është e koduar me çelësin sekret mund të deshifrohet vetëm me çelësin publik dhe anasjelltas. Këta çelësa gjenerohen në çifte dhe kanë një korrespondencë një-me-një me njëri-tjetrin. Për më tepër, është e pamundur të llogaritet një tjetër nga një çelës.

Një tipar karakteristik i shifrave të këtij lloji, që i dallon në mënyrë të favorshme nga shifrat me çelës sekret, është se çelësin sekret këtu e di vetëm një person, ndërsa në skemën e parë duhet ta dinë të paktën dy. Kjo siguron përfitimet e mëposhtme:

nuk kërkohet asnjë kanal i sigurt për të dërguar çelësin sekret;

i gjithë komunikimi kryhet në një kanal të hapur;

prania e një kopje të vetme të çelësit zvogëlon mundësinë e humbjes së tij dhe ju lejon të vendosni një përgjegjësi të qartë personale për ruajtjen e sekretit;

prania e dy çelësave ju lejon të përdorni këtë sistem të kriptimit në dy mënyra - komunikim sekret dhe nënshkrim dixhital.

Shembulli më i thjeshtë i algoritmeve të enkriptimit në shqyrtim është algoritmi RSA. Të gjithë algoritmet e tjera të kësaj klase ndryshojnë nga ajo në mënyrë joparimore. Mund të themi se, në përgjithësi, RSA është i vetmi algoritëm i çelësit publik.

9.6.3. Algoritmi R.S.A. RSA (emërtuar sipas autorëve Rivest, Shamir dhe Alderman) është një algoritëm i çelësit publik i krijuar si për kriptim ashtu edhe për vërtetim (nënshkrimi dixhital). Ky algoritëm u zhvillua në vitin 1977 dhe bazohet në zbërthimin e numrave të plotë të mëdhenj në faktorët kryesorë (faktorizimi).

RSA është një algoritëm shumë i ngadaltë. Për krahasim, në nivelin e softuerit, DES është të paktën 100 herë më i shpejtë se RSA; në harduer - 1000-10000 herë, në varësi të zbatimit.

Algoritmi RSA është si më poshtë. Merrni dy numra të thjeshtë shumë të mëdhenj fq dhe q. I vendosur n si rezultat i shumëzimit fq në q(n=fq q). Zgjidh një numër të plotë të rastësishëm d, coprime me m, ku
. Ky numër është i përcaktuar e, çfarë
. Le ta quajmë çelës publik. e dhe n, dhe çelësi sekret janë numrat d dhe n.

Tani, për të enkriptuar të dhënat me një çelës të njohur ( e,n), bëni sa më poshtë:

ndani tekstin e shifruar në blloqe, secila prej të cilave mund të përfaqësohet si një numër M(i)=0,1,…,n-1;

enkriptoj tekstin e trajtuar si një sekuencë numrash M(i) sipas formulës C(i)=(M(i)) mod n;

për të deshifruar këto të dhëna duke përdorur çelësin sekret ( d,n), është e nevojshme të kryhen llogaritjet e mëposhtme M(i)=(C(i)) mod n.

Rezultati do të jetë një grup numrash M(i) që përfaqësojnë tekstin origjinal.

Shembull. Merrni parasysh përdorimin e metodës RSA për të enkriptuar mesazhin: "kompjuter". Për thjeshtësi, ne do të përdorim numra shumë të vegjël (në praktikë, përdoren numra shumë më të mëdhenj - nga 200 e lart).

Le të zgjedhim fq=3 dhe q=11. Le të përcaktojmë n=3×11=33.

Le të gjejmë ( fq-1)×( q-1)=20. Prandaj, si d zgjidhni çdo numër që është relativisht i thjeshtë me 20, për shembull d=3.

Zgjidhni një numër e. Si numër i tillë, mund të merret çdo numër për të cilin relacioni ( e×3) mod 20=1, p.sh. 7.

Le të paraqesim mesazhin e koduar si një sekuencë numrash të plotë në rangun 1…32. Le të përfaqësohet shkronja "E" me numrin 30, shkronja "B" me numrin 3 dhe shkronja "M" me numrin 13. Më pas mesazhi origjinal mund të përfaqësohet si një sekuencë numrash (30 03 13 ).

Le ta kodojmë mesazhin duke përdorur çelësin (7,33).

С1=(307) mod 33=21870000000 mod 33=24,

C2=(37) mod 33=2187 mod 33=9,

C3=(137) mod 33=62748517 mod 33=7.

Kështu, mesazhi i koduar duket si (24 09 07).

Le të zgjidhim problemin e kundërt. Le të deshifrojmë mesazhin (24 09 07), të marrë si rezultat i kriptimit me një çelës të njohur, bazuar në çelësin sekret (3.33):

М1=(24 3) mod 33=13824 mod 33=30,

М2=(9 3) mod 33=739 mod 33=9,

М3=(7 3)mod33=343mod33=13 .

Kështu, si rezultat i deshifrimit të mesazhit, është marrë mesazhi origjinal "kompjuter".

Fuqia kriptografike e algoritmit RSA bazohet në supozimin se është jashtëzakonisht e vështirë të përcaktohet çelësi sekret nga ai i njohur, pasi për këtë është e nevojshme të zgjidhet problemi i ekzistencës së pjesëtuesve të numrave të plotë. Ky problem është NP-komplet dhe, si pasojë e këtij fakti, aktualisht nuk pranon një zgjidhje efikase (polinomike). Për më tepër, vetë çështja e ekzistencës së algoritmeve efikase për zgjidhjen e problemeve NP-komplete është ende e hapur. Në këtë drejtim, për numrat që përbëhen nga 200 shifra (domethënë, numra të tillë rekomandohen të përdoren), metodat tradicionale kërkojnë një numër të madh operacionesh (rreth 1023).

Algoritmi RSA (Fig. 9.2) është i patentuar në SHBA. Përdorimi i tij nga persona të tjerë nuk lejohet (kur gjatësia e çelësit është mbi 56 bit). Vërtetë, vlefshmëria e një themelimi të tillë mund të vihet në pikëpyetje: si mund të patentohet eksponentimi i zakonshëm? Megjithatë, RSA mbrohet nga ligjet e të drejtave të autorit.

Oriz. 9.2. Skema e enkriptimit

Një mesazh i koduar duke përdorur çelësin publik të një pajtimtari mund të deshifrohet vetëm prej tij, pasi vetëm ai ka çelësin sekret. Kështu, për të dërguar një mesazh privat, duhet të merrni çelësin publik të marrësit dhe të kriptoni mesazhin me të. Pas kësaj, as ju vetë nuk do të jeni në gjendje ta deshifroni atë.

9.6.4. Nënshkrimi elektronik. Kur bëjmë të kundërtën, pra, e kodojmë mesazhin duke përdorur çelësin sekret, atëherë çdokush mund ta deshifrojë atë (duke marrë çelësin tuaj publik). Por vetë fakti që mesazhi ishte i koduar me çelësin tuaj sekret konfirmon se ai erdhi nga ju, i vetmi pronar i çelësit sekret në botë. Kjo mënyrë e përdorimit të algoritmit quhet nënshkrim dixhital.

Nga pikëpamja e teknologjisë, një nënshkrim elektronik dixhital është një mjet softuer-kriptografik (d.m.th., i koduar në mënyrë të përshtatshme) që ju lejon të konfirmoni se nënshkrimi në një dokument elektronik të caktuar është vendosur nga autori i tij, dhe jo nga ndonjë person tjetër. . Një nënshkrim elektronik dixhital është një grup karakteresh të krijuara sipas algoritmit të përcaktuar nga GOST R 34.0-94 dhe GOST R 34.-94. Në të njëjtën kohë, një nënshkrim elektronik dixhital ju lejon të siguroheni që informacioni i nënshkruar me metodën e nënshkrimit elektronik dixhital nuk është ndryshuar gjatë procesit të transferimit dhe është nënshkruar nga dërguesi saktësisht në formën në të cilën e keni marrë.

Procesi i nënshkrimit elektronik të një dokumenti (Fig. 9.3) është mjaft i thjeshtë: grupi i informacionit që do të nënshkruhet përpunohet nga një softuer special duke përdorur të ashtuquajturin çelës privat. Më pas, grupi i koduar dërgohet me e-mail dhe, pas marrjes, verifikohet nga çelësi publik përkatës. Çelësi publik ju lejon të kontrolloni integritetin e grupit dhe të verifikoni vërtetësinë e nënshkrimit elektronik dixhital të dërguesit. Besohet se kjo teknologji ka mbrojtje 100% kundër hakimit.

Oriz. 9.3. Skema e procesit të nënshkrimit elektronik të një dokumenti

Një çelës sekret (kod) është i disponueshëm për çdo ent që ka të drejtë të nënshkruajë dhe mund të ruhet në një disketë ose kartë inteligjente. Çelësi publik përdoret nga marrësit e dokumentit për të verifikuar vërtetësinë e nënshkrimit elektronik dixhital. Duke përdorur një nënshkrim elektronik dixhital, mund të nënshkruani skedarë individualë ose fragmente të bazave të të dhënave.

Në rastin e fundit, softueri që zbaton një nënshkrim elektronik dixhital duhet të përfshihet në sistemet e automatizuara të aplikuara.

Sipas ligjit të ri, procedura për certifikimin e mjeteve të nënshkrimit elektronik dixhital dhe vetë certifikimit të nënshkrimit është e rregulluar qartë.

Kjo do të thotë që një organ qeveritar i pajisur me kompetencat e duhura duhet të konfirmojë se një softuer i caktuar për gjenerimin e një nënshkrimi elektronik dixhital gjeneron me të vërtetë (ose verifikon) vetëm një nënshkrim elektronik dixhital dhe asgjë tjetër; që programet përkatëse të mos përmbajnë viruse, të mos shkarkojnë informacione nga palët, të mos përmbajnë "bugs" dhe të garantojnë kundër hakimit. Vërtetimi i nënshkrimit në vetvete do të thotë që organizata përkatëse - qendra e certifikimit - konfirmon që ky çelës i përket këtij personi të veçantë.

Ju mund të nënshkruani dokumente pa certifikatën e specifikuar, por në rast të një padie, do të jetë e vështirë të provoni ndonjë gjë. Në këtë rast, certifikata është e domosdoshme, pasi vetë nënshkrimi nuk përmban të dhëna për pronarin e saj.

Për shembull, një qytetar A dhe qytetari V lidhi një marrëveshje për shumën prej 10,000 rubla dhe vërtetoi marrëveshjen me EDS-në e tyre. Qytetar A nuk e përmbushi detyrimin e tij. qytetar i ofenduar V, i mësuar të veprojë brenda kuadrit ligjor, i drejtohet gjykatës, ku vërtetohet vërtetësia e nënshkrimit (përputhja e çelësit publik me atë privat). Megjithatë, qytetari A deklaron se çelësi privat nuk është aspak i tij. Nëse një precedent i tillë ndodh me një nënshkrim të rregullt, bëhet një ekzaminim me shkrim dore, ndërsa në rastin e një EDS, duhet një palë e tretë ose një dokument që të vërtetojë se firma i përket vërtet këtij personi. Për këtë është një certifikatë me çelës publik.

Sot, një nga mjetet softuerike më të njohura që zbaton funksionet kryesore të një nënshkrimi elektronik dixhital janë sistemet Verba dhe CryptoPRO CSP.

9.6.5. Funksioni HASH. Siç tregohet më lart, një shifër e çelësit publik mund të përdoret në dy mënyra: enkriptim dhe nënshkrim dixhital. Në rastin e dytë, nuk ka kuptim të kriptoni të gjithë tekstin (të dhënat) duke përdorur një çelës sekret. Teksti lihet i hapur dhe një "kontroll" i caktuar i këtij teksti është i koduar, si rezultat i të cilit formohet një bllok i të dhënave, i cili është një nënshkrim dixhital që shtohet në fund të tekstit ose i bashkëngjitet në një të veçantë. dosje.

"Kontrolli" i përmendur i të dhënave, i cili është "nënshkruar" në vend të të gjithë tekstit, duhet të llogaritet nga i gjithë teksti në mënyrë që një ndryshim në çdo shkronjë të pasqyrohet në të. Së dyti, funksioni i specifikuar duhet të jetë i njëanshëm, domethënë i llogaritshëm vetëm "në një drejtim". Kjo është e nevojshme në mënyrë që kundërshtari të mos mund të ndryshojë qëllimisht tekstin, duke e përshtatur atë me nënshkrimin dixhital ekzistues.

Një funksion i tillë quhet funksion hash, i cili, si kriptalgoritmet, i nënshtrohet standardizimit dhe certifikimit. Në vendin tonë, ai rregullohet nga GOST R-3411. funksion hash– një funksion që has një grup të dhënash duke hartuar vlerat nga një grup (shumë) i madh vlerash në një grup (thelbësisht) më të vogël vlerash. Përveç nënshkrimit dixhital, funksionet hash përdoren në aplikacione të tjera. Për shembull, kur shkëmbeni mesazhe midis kompjuterëve të largët, kur kërkohet vërtetimi i përdoruesit, mund të përdoret një metodë e bazuar në një funksion hash.

Le Kodi hash krijuar nga funksioni H:

ku Mështë një mesazh me gjatësi arbitrare dhe hështë një kod hash me gjatësi fikse.

Merrni parasysh kërkesat që duhet të plotësojë një funksion hash në mënyrë që të përdoret si vërtetues i mesazheve. Konsideroni një shembull shumë të thjeshtë të funksionit hash. Më pas do të analizojmë disa qasje për ndërtimin e një funksioni hash.

funksion hash H, e cila përdoret për të vërtetuar mesazhet, duhet të ketë vetitë e mëposhtme:

H(M) duhet të aplikohet në një bllok të dhënash të çdo gjatësie;

H(M) krijoni një dalje me gjatësi fikse;

H(M) është relativisht e lehtë (në kohë polinomiale) për t'u llogaritur për çdo vlerë M;

për çdo vlerë të dhënë të kodit hash h e pamundur për të gjetur M sikurse H(M) =h;

për çdo të dhënë X kompjuterikisht e pamundur për t'u gjetur y≠x, çfarë H(y) =H(x);

është llogaritëse e pamundur të gjesh një çift arbitrar ( X,y) sikurse H(y) =H(x).

Tre vetitë e para kërkojnë që funksioni hash të gjenerojë një kod hash për çdo mesazh.

Vetia e katërt përcakton kërkesën e një funksioni hash me një drejtim: është e lehtë të krijosh një kod hash nga një mesazh i caktuar, por është e pamundur të rikuperosh një mesazh nga një kod hash i caktuar. Kjo veçori është e rëndësishme nëse vërtetimi hash përfshin një vlerë sekrete. Vetë vlera sekrete mund të mos dërgohet, megjithatë, nëse funksioni hash nuk është i njëanshëm, kundërshtari mund të zbulojë lehtësisht vlerën sekrete si më poshtë.

Vetia e pestë siguron që nuk është e mundur të gjesh një mesazh tjetër, vlera hash e të cilit përputhet me vlerën hash të mesazhit të dhënë. Kjo parandalon që autentifikuesi të mashtrohet kur përdoret një hash i koduar. Në këtë rast, kundërshtari mund të lexojë mesazhin dhe për këtë arsye të gjenerojë kodin e tij hash. Por duke qenë se kundërshtari nuk zotëron çelësin sekret, ai nuk mund ta ndryshojë mesazhin pa e zbuluar atë nga marrësi. Nëse kjo veçori nuk plotësohet, sulmuesi mund të kryejë sekuencën e mëposhtme të veprimeve: të përgjojë mesazhin dhe kodin hash të tij të koduar, të llogarisë kodin hash të mesazhit, të krijojë një mesazh alternativ me të njëjtin kod hash, të zëvendësojë mesazhin origjinal me një e rreme. Meqenëse kodet hash të këtyre mesazheve përputhen, marrësi nuk do të zbulojë mashtrimin.

Një funksion hash që plotëson pesë vetitë e para quhet thjeshtë ose i dobët funksion hash. Nëse, përveç kësaj, plotësohet vetia e gjashtë, atëherë thirret një funksion i tillë të fortë funksion hash. Vetia e gjashtë mbron kundër një klase sulmesh të njohura si sulme të ditëlindjes.

Të gjitha funksionet hash kryhen si më poshtë. Një vlerë hyrëse (mesazh, skedar, etj.) trajtohet si një sekuencë n-blloqe bit. Vlera hyrëse përpunohet në mënyrë sekuenciale bllok pas blloku, dhe a m- vlera bit e kodit hash.

Një nga shembujt më të thjeshtë të një funksioni hash është XOR bit i çdo blloku:

ME i = b i 1XOR b i2 XOR. . . XOR b ik ,

ku ME i – i- biti i tretë i kodit hash, i = 1, …, n;

k- numri n-blloqe hyrëse të biteve;

b ij –i th pak në j-bllok.

Rezultati është një kod hash i gjatësisë n, i njohur si mbikontroll gjatësor. Kjo është efektive për dështimet e rastësishme për të kontrolluar integritetin e të dhënave.

9.6.6. DES dhe GOST-28147. DES (Data Encryption Standard) është një algoritëm çelësi simetrik, d.m.th. një çelës përdoret si për enkriptimin ashtu edhe për deshifrimin e mesazheve. Zhvilluar nga IBM dhe miratuar nga qeveria amerikane në 1977 si një standard zyrtar për mbrojtjen e informacionit që nuk është sekret shtetëror.

DES ka blloqe prej 64 bitësh, bazohet në një ndryshim 16-fish të të dhënave, përdor një çelës 56-bit për enkriptim. Ekzistojnë disa mënyra të DES, të tilla si Libri i Kodit Elektronik (ECB) dhe Zinxhirimi i Blloqeve Shifrore (CBC). 56 bit janë 8 karaktere ASCII shtatë-bitësh, d.m.th. fjalëkalimi nuk mund të jetë më shumë se 8 shkronja. Nëse, përveç kësaj, përdoren vetëm shkronja dhe numra, atëherë numri i opsioneve të mundshme do të jetë dukshëm më i vogël se maksimumi i mundshëm 256.

Një nga hapat e algoritmit DES. Blloku i të dhënave hyrëse përgjysmohet nga e majta ( L") dhe e drejta ( R") pjesë. Pas kësaj, grupi i daljes formohet në mënyrë që ana e tij e majtë L"" përfaqësohet nga ana e djathtë R" hyrje, dhe e djathta R"" formuar si një shumë L" dhe R" Operacionet XOR. Më pas, grupi i daljes kodohet me ndërrim me zëvendësim. Mund të verifikohet që të gjitha operacionet e kryera mund të kthehen mbrapsht dhe deshifrimi kryhet në një numër operacionesh që varen në mënyrë lineare nga madhësia e bllokut. Skematikisht, algoritmi është paraqitur në fig. 9.4.

Oriz. 9.4. Diagrami i algoritmit DES

Pas disa transformimeve të tilla, mund të konsiderohet se çdo bit i bllokut të shifrimit në dalje mund të varet nga çdo bit i mesazhit.

Në Rusi, ekziston një analog i algoritmit DES, i cili funksionon në të njëjtin parim të një çelësi sekret. GOST 28147 u zhvillua 12 vjet më vonë se DES dhe ka një shkallë më të lartë mbrojtjeje. Karakteristikat e tyre krahasuese janë paraqitur në tabelë. 9.3.

Tabela 9.3

9.6.7. Steganografia. Steganografia- kjo është një metodë e organizimit të komunikimit, e cila në fakt fsheh vetë ekzistencën e një lidhjeje. Ndryshe nga kriptografia, ku një kundërshtar mund të përcaktojë me saktësi nëse një mesazh i transmetuar është tekst shifror, teknikat e steganografisë lejojnë që mesazhet sekrete të futen në mesazhe të padëmshme, në mënyrë që të mos dyshohet për ekzistencën e një mesazhi sekret të ngulitur.

Fjala "steganografi" në greqisht do të thotë fjalë për fjalë "shkrim i fshehtë" (steganos - sekret, mister; grafia - regjistrim). Ai përfshin një larmi të madhe mjetesh sekrete komunikimi, të tilla si bojë e padukshme, mikrofotografi, rregullim të kushtëzuar të shenjave, kanale sekrete dhe mjete komunikimi në frekuenca lundruese, etj.

Steganografia zë vendin e saj në siguri: ajo nuk zëvendëson, por plotëson kriptografinë. Fshehja e një mesazhi me metoda steganografie redukton ndjeshëm mundësinë e zbulimit të vetë faktit të një mesazhi që transmetohet. Dhe nëse ky mesazh është gjithashtu i koduar, atëherë ai ka një nivel më shumë, shtesë, mbrojtjeje.

Aktualisht, për shkak të zhvillimit të shpejtë të teknologjisë kompjuterike dhe kanaleve të reja të transmetimit të informacionit, janë shfaqur metoda të reja steganografike, të cilat bazohen në veçoritë e paraqitjes së informacionit në skedarët kompjuterikë, rrjetet kompjuterike etj. Kjo na jep mundësinë të flasim për formimi i një drejtimi të ri - steganografi kompjuterike.

Pavarësisht se steganografia si një mënyrë për të fshehur të dhënat sekrete është e njohur për mijëra vjet, steganografia kompjuterike është një fushë e re dhe në zhvillim.

Sistemi Steganografik ose stegosistemi- një grup mjetesh dhe metodash që përdoren për të formuar një kanal të fshehtë për transmetimin e informacionit.

Kur ndërtoni një stegosistem, duhet të merren parasysh dispozitat e mëposhtme:

Kundërshtari ka një kuptim të plotë të sistemit steganografik dhe detajet e zbatimit të tij. I vetmi informacion që mbetet i panjohur për një kundërshtar të mundshëm është çelësi, me ndihmën e të cilit vetëm mbajtësi i tij mund të përcaktojë praninë dhe përmbajtjen e mesazhit të fshehur.

Nëse kundërshtari bëhet disi i vetëdijshëm për faktin e ekzistencës së një mesazhi të fshehur, kjo nuk duhet ta lejojë atë të nxjerrë mesazhe të ngjashme në të dhëna të tjera për sa kohë që çelësi mbahet sekret.

Një kundërshtar i mundshëm duhet të privohet nga çdo avantazh teknik ose ndonjë avantazh tjetër në njohjen ose zbulimin e përmbajtjes së mesazheve sekrete.

Modeli i përgjithësuar i stegosistemit është paraqitur në fig. 9.5.

Oriz. 9.5. Modeli i përgjithësuar i Stegosistemit

Si të dhëna mund të përdoret çdo informacion: tekst, mesazh, imazh, etj.

Në rastin e përgjithshëm, këshillohet të përdorni fjalën "mesazh", pasi një mesazh mund të jetë ose tekst ose imazh, ose, për shembull, të dhëna audio. Në atë që vijon, ne do të përdorim termin mesazh për të përcaktuar informacionin e fshehur.

Enë– çdo informacion që synon të fshehë mesazhe sekrete.

Stegokey ose thjesht një çelës - një çelës sekret i nevojshëm për të fshehur informacionin. Në varësi të numrit të niveleve të mbrojtjes (për shembull, futja e një mesazhi të koduar paraprakisht), një stegosistem mund të ketë një ose më shumë stegokeys.

Për analogji me kriptografinë, sipas llojit të stegokeys, stegosistemet mund të ndahen në dy lloje:

me një çelës sekret;

me çelës publik.

Një stegosistem me një çelës sekret përdor një çelës, i cili duhet të përcaktohet ose përpara shkëmbimit të mesazheve sekrete, ose të transmetohet përmes një kanali të sigurt.

Në një stegosistem me çelës publik, çelësa të ndryshëm përdoren për futjen dhe marrjen e një mesazhi, të cilët ndryshojnë në atë mënyrë që është e pamundur të nxirret një çelës nga tjetri duke përdorur llogaritjet. Prandaj, një çelës (publik) mund të transmetohet lirisht në një kanal komunikimi të pasigurt. Për më tepër, kjo skemë funksionon mirë me mosbesimin e ndërsjellë të dërguesit dhe marrësit.

Aktualisht, mund të dallohen tre të lidhura ngushtë dhe me të njëjtat rrënjë drejtime të aplikimit të steganografisë: fshehja e të dhënave(mesazhe), filigranë dixhitale dhe titujt kryesorë.

Fshehja e të dhënave të ngulitura, të cilat në shumicën e rasteve janë të mëdha, imponojnë kërkesa serioze për kontejnerin: madhësia e kontejnerit duhet të jetë disa herë më e madhe se madhësia e të dhënave të ngulitura.

Filigranë dixhitale përdoren për të mbrojtur të drejtat e autorit ose pronësinë në imazhe dixhitale, fotografi ose vepra të tjera të dixhitalizuara të artit. Kërkesat kryesore për të dhëna të tilla të ngulitura janë besueshmëria dhe rezistenca ndaj shtrembërimit. Filigranët dixhitalë janë në përmasa të vogla, megjithatë, duke pasur parasysh kërkesat e mësipërme, përdoren metoda më të sofistikuara për t'i futur ato sesa për të futur mesazhe ose tituj të thjeshtë.

Titujt përdoren kryesisht për shënimin e imazheve në depo të mëdha elektronike (biblioteka) të imazheve dixhitale, skedarëve audio dhe video. Në këtë rast, metodat steganografike përdoren jo vetëm për të futur një kokë identifikuese, por edhe për veçori të tjera individuale të skedarit. Titujt e integruar kanë një vëllim të vogël dhe kërkesat për to janë minimale: titujt duhet të paraqesin shtrembërime të vogla dhe të jenë rezistente ndaj transformimeve gjeometrike bazë.

Kriptografia kompjuterike bazohet në disa parime:

Mesazhi mund të dërgohet duke përdorur kodimin e zhurmës. Do të jetë e vështirë të përcaktohet në sfondin e zhurmës së harduerit në linjën telefonike ose kabllot e rrjetit.

Mesazhi mund të vendoset në zbrazëtirat e skedarëve ose diskut pa humbur funksionalitetin e tyre. Skedarët e ekzekutueshëm kanë një strukturë me shumë segmente të kodit të ekzekutueshëm; ju mund të futni një grup bajtësh midis zbrazëtirave të segmentit. Kështu fsheh trupin e tij virusi WinCIH. Një skedar gjithmonë zë një numër të plotë grupesh në disk, kështu që gjatësitë fizike dhe logjike të një skedari rrallë përputhen. Ju gjithashtu mund të shkruani diçka në këtë interval. Mund të formatoni një pjesë të ndërmjetme në një disk dhe të vendosni një mesazh në të. Ekziston një mënyrë më e lehtë, e cila konsiston në faktin se një numër i caktuar hapësirash mund të shtohen në fund të një rreshti HTML ose një skedari teksti, duke mbajtur një ngarkesë informacioni.

Shqisat njerëzore nuk janë në gjendje të dallojnë ndryshimet e vogla në ngjyrë, imazh ose zë. Kjo vlen për të dhënat që përmbajnë informacion të tepërt. Për shembull, audio 16-bit ose imazh 24-bit. Ndryshimi i vlerave të pjesëve përgjegjëse për ngjyrën e një piksel nuk do të çojë në një ndryshim të dukshëm në ngjyrë. Kjo përfshin gjithashtu metodën e shkronjave të fshehura. Në skicat e shkronjave bëhen shtrembërime delikate, të cilat do të mbajnë një ngarkesë semantike. Ju mund të futni karaktere të ngjashme në një dokument Microsoft Word që përmbajnë një mesazh të fshehur.

Më e zakonshme dhe një nga produktet softuerike më të mira për steganografi është S-Tools (statusi pa pagesë). Kjo ju lejon të fshehni çdo skedar në skedarët GIF, BMP dhe WAV. Kryen kompresim (arkivim) të kontrolluar të të dhënave. Përveç kësaj, ai kryen kriptim duke përdorur algoritmet MCD, DES, triple-DES, IDEA (opsionale). Skedari grafik mbetet pa ndryshime të dukshme, ndryshojnë vetëm nuancat. Tingulli gjithashtu mbetet i pandryshuar. Edhe nëse lindin dyshime, është e pamundur të vërtetohet fakti i përdorimit të S-Tools pa e ditur fjalëkalimin.

9.6.8. Certifikimi dhe standardizimi i kriptosistemeve. Të gjitha shtetet i kushtojnë vëmendje çështjeve të kriptografisë. Ka përpjekje të vazhdueshme për të vendosur një lloj kornize, ndalime dhe kufizime të tjera në prodhimin, përdorimin dhe eksportin e mjeteve kriptografike. Për shembull, në Rusi, importi dhe eksporti i mjeteve të sigurisë së informacionit, në veçanti mjeteve kriptografike, licencohet në përputhje me Dekretin e Presidentit të Federatës Ruse të datës 3 Prill 1995 Nr. 334 dhe Dekretin e Qeverisë së Federata Ruse e 15 Prillit 1994 Nr. 331.

Siç u përmend tashmë, një kriptosistem nuk mund të konsiderohet i besueshëm nëse algoritmi i funksionimit të tij nuk dihet plotësisht. Vetëm duke ditur algoritmin, mund të kontrolloni nëse mbrojtja është e qëndrueshme. Megjithatë, vetëm një specialist mund ta kontrollojë këtë, dhe madje edhe atëherë një kontroll i tillë është shpesh aq i ndërlikuar sa nuk është ekonomikisht i realizueshëm. Si mund të bindet një përdorues i zakonshëm që nuk njeh matematikë për besueshmërinë e kriptosistemit që i ofrohet të përdorë?

Për një jo-specialist, mendimi i ekspertëve kompetentë të pavarur mund të shërbejë si dëshmi e besueshmërisë. Nga këtu erdhi sistemi i certifikimit. Të gjitha sistemet e sigurisë së informacionit i nënshtrohen asaj në mënyrë që ndërmarrjet dhe institucionet t'i përdorin ato zyrtarisht. Përdorimi i sistemeve të pacertifikuara nuk është i ndaluar, por në këtë rast ju merrni përsipër të gjithë rrezikun që nuk do të jetë mjaftueshëm i besueshëm ose do të ketë "backdoors". Por për të shitur mjetet e sigurisë së informacionit, certifikimi është i nevojshëm. Dispozita të tilla janë të vlefshme në Rusi dhe në shumicën e vendeve.

Organi ynë i vetëm i autorizuar për të kryer certifikimin është Agjencia Federale për Komunikimet dhe Informacionin Qeveritar nën Presidentin e Federatës Ruse (FAPSI). Ky organ i qaset çështjeve të certifikimit me shumë kujdes. Shumë pak zhvillime të palëve të treta mundën të merrnin certifikatën FAPSI.

Për më tepër, FAPSI licencon aktivitetet e ndërmarrjeve që lidhen me zhvillimin, prodhimin, shitjen dhe funksionimin e mjeteve të kriptimit, si dhe mjetet teknike të sigurta të ruajtjes, përpunimit dhe transmetimit të informacionit, ofrimin e shërbimeve në fushën e kriptimit të informacionit (Dekret i Presidentit i Federatës Ruse, datë 03.04.95 Nr. 334 "Për masat në përputhje me ligjin në fushën e zhvillimit të prodhimit, shitjes dhe funksionimit të mjeteve të kriptimit, si dhe ofrimit të shërbimeve në fushën e kriptimit të informacionit"; dhe Ligji i Federatës Ruse "Për organet e komunikimit dhe informacionit të qeverisë federale").

Për certifikim, një parakusht është respektimi i standardeve në zhvillimin e sistemeve të sigurisë së informacionit. Standardet kryejnë një funksion të ngjashëm. Ato lejojnë, pa kryer studime komplekse, të shtrenjta dhe madje jo gjithmonë të mundshme, të keni besim se një algoritëm i caktuar siguron mbrojtje të një shkalle të mjaftueshme besueshmërie.

9.6.9. Arkivat e koduara. Shumë programe aplikimi përfshijnë një veçori enkriptimi. Le të japim shembuj të disa mjeteve softuerike që kanë aftësi enkriptimi.

Programet e arkivimit (për shembull, WinZip) kanë mundësinë e enkriptimit të informacionit të arkivuar. Mund të përdoret për informacione jo shumë të rëndësishme. Së pari, metodat e kriptimit të përdorura atje nuk janë shumë të besueshme (i nënshtrohen kufizimeve zyrtare të eksportit), dhe së dyti, ato nuk përshkruhen në detaje. E gjithë kjo nuk ju lejon të mbështeteni seriozisht në një mbrojtje të tillë. Arkivat e fjalëkalimeve mund të përdoren vetëm për përdorues "të rregullt" ose informacione jo kritike.

Në disa faqe në internet mund të gjeni programe për hapjen e arkivave të koduara. Për shembull, një arkiv ZIP mund të hapet në një kompjuter të mirë brenda pak minutash dhe nuk kërkohen aftësi të veçanta nga përdoruesi.

Shënim. Password Crackers: Ultra Zip Password Cracker 1.00 - Një thyes i shpejtë fjalëkalimi për arkivat e koduar. Ndërfaqja ruse / angleze. Win "95/98 / NT. (Zhvilluesi - "m53group"). Rimëkëmbja e avancuar e fjalëkalimit ZIP 2.2 - Një program i fuqishëm për gjetjen e fjalëkalimeve për arkivat ZIP. Shpejtësi e lartë, ndërfaqe grafike, funksione shtesë. OS: Windows95 / 98 / NT. Firma -zhvilluesi - "ElcomLtd.",shareware.

Kriptimi në MS Word dhe MS Excel. Microsoft ka përfshirë një lloj mbrojtjeje kripto në produktet e tij. Por kjo mbrojtje është shumë e paqëndrueshme. Për më tepër, algoritmi i kriptimit nuk përshkruhet, gjë që është një tregues i pabesueshmërisë. Përveç kësaj, ka prova që Microsoft lë një "derë të pasme" në algoritmet e kriptove të përdorura. Nëse keni nevojë të deshifroni një skedar, fjalëkalimi i të cilit është humbur, mund të kontaktoni kompaninë. Me një kërkesë zyrtare, me arsye të mirë, ata deshifrojnë skedarët MS Word dhe MS Excel. Pra, meqë ra fjala, bëni disa shitës të tjerë softuerësh.

Disqe të koduar (katalogë). Kriptimi është një metodë mjaft e besueshme për të mbrojtur informacionin në një hard disk. Sidoqoftë, nëse sasia e informacionit që duhet të mbyllet nuk kufizohet në dy ose tre skedarë, atëherë është mjaft e vështirë të punosh me të: çdo herë që do t'ju duhet të deshifroni skedarët dhe pas redaktimit, kriptoni ato përsëri. Në të njëjtën kohë, kopjet e sigurisë të skedarëve që krijojnë shumë redaktues mund të mbeten në disk. Prandaj, është i përshtatshëm për të përdorur programe (drivers) speciale që enkriptojnë dhe deshifrojnë automatikisht të gjitha informacionet kur shkruhet në disk dhe lexohet nga disku.

Si përfundim, vërejmë se politika e sigurisë përkufizohet si një grup vendimesh të dokumentuara të menaxhimit që synojnë mbrojtjen e informacionit dhe burimeve që lidhen me të. Gjatë zhvillimit dhe zbatimit të tij, këshillohet që të udhëhiqeni nga parimet themelore të mëposhtme:

Pamundësia për të anashkaluar pajisjet mbrojtëse. I gjithë informacioni që rrjedh brenda dhe jashtë rrjetit të mbrojtur duhet të kalojë përmes mbrojtjeve. Nuk duhet të ketë hyrje sekrete modem ose linja testimi që anashkalojnë sigurinë.

Forcimi i hallkës më të dobët. Besueshmëria e çdo mbrojtjeje përcaktohet nga lidhja më e dobët, pasi sulmuesit e thyejnë atë. Shpesh lidhja më e dobët nuk është një kompjuter apo program, por një person, dhe më pas problemi i sigurimit të sigurisë së informacionit bëhet jo-teknik.

Pamundësia për të kaluar në një gjendje të pasigurt. Parimi i pamundësisë së kalimit në një gjendje të pasigurt nënkupton që në çdo rrethanë, përfshirë ato jonormale, mjeti mbrojtës ose kryen plotësisht funksionet e tij ose bllokon plotësisht hyrjen.

Minimizimi i privilegjeve. Parimi i privilegjit më të vogël dikton që përdoruesve dhe administratorëve duhet t'u jepen vetëm ato të drejta aksesi që u nevojiten për të kryer detyrat e tyre.

Ndarja e detyrave. Parimi i ndarjes së detyrave nënkupton një shpërndarje të tillë të roleve dhe përgjegjësive, në të cilën një person nuk mund të prishë një proces që është kritik për organizatën.

Mbrojtje me shtresa. Parimi i shtresimit të mbrojtjes parashikon që të mos mbështeteni në një linjë mbrojtëse. Mbrojtja në thellësi mund të paktën të vonojë një ndërhyrës dhe ta bëjë shumë më të vështirë kryerjen e veprimeve me qëllim të keq pa u vënë re.

Një shumëllojshmëri e pajisjeve mbrojtëse. Parimi i një sërë mjetesh mbrojtëse rekomandon organizimin e linjave mbrojtëse të natyrave të ndryshme, në mënyrë që një sulmues i mundshëm të kërkohet të zotërojë një sërë aftësish, nëse është e mundur, të papajtueshme.

Thjeshtësia dhe menaxhueshmëria e sistemit të informacionit. Parimi i thjeshtësisë dhe menaxhueshmërisë thotë se vetëm në një sistem të thjeshtë dhe të menaxhueshëm mund të kontrolloni konsistencën e konfigurimit të komponentëve të ndryshëm dhe të zbatoni administrimin e centralizuar.

Sigurimi i mbështetjes universale për masat e sigurisë. Parimi i mbështetjes universale për masat e sigurisë është joteknik. Nëse përdoruesit dhe/ose administratorët e sistemit e konsiderojnë sigurinë e informacionit si diçka të tepërt ose armiqësore, atëherë sigurisht që nuk do të jetë e mundur të krijohet një mënyrë sigurie. Që në fillim duhet të parashikohen një sërë masash që synojnë sigurimin e besnikërisë së personelit, trajnimin e vazhdueshëm teorik dhe praktik.

Në këtë artikull, do të mësoni se çfarë është CIPF dhe pse është e nevojshme. Ky përkufizim i referohet kriptografisë - mbrojtjes dhe ruajtjes së të dhënave. Mbrojtja e informacionit në formë elektronike mund të bëhet në çdo mënyrë - edhe duke shkëputur kompjuterin nga rrjeti dhe duke instaluar roje të armatosura me qen pranë tij. Por është shumë më e lehtë për ta bërë këtë duke përdorur mjetet e mbrojtjes kriptografike. Le të shohim se çfarë është dhe si zbatohet në praktikë.

Qëllimet kryesore të kriptografisë

Deshifrimi CIPF tingëllon si një "sistem i mbrojtjes së informacionit kriptografik". Në kriptografi, kanali i transmetimit të informacionit mund të jetë plotësisht i aksesueshëm për sulmuesit. Por të gjitha të dhënat janë konfidenciale dhe të koduara shumë mirë. Prandaj, pavarësisht hapjes së kanaleve, sulmuesit nuk mund të marrin informacion.

Mjetet moderne të CIPF përbëhen nga një kompleks softuer-kompjuterik. Me ndihmën e tij, informacioni mbrohet nga parametrat më të rëndësishëm, të cilët do t'i shqyrtojmë më tej.

Konfidencialiteti

Është e pamundur të lexosh informacionin nëse nuk ka të drejta aksesi në të. Çfarë është CIPF dhe si i kripton të dhënat? Komponenti kryesor i sistemit është çelësi elektronik. Është një kombinim i shkronjave dhe numrave. Vetëm kur futni këtë çelës, mund të arrini në seksionin e dëshiruar në të cilin është instaluar mbrojtja.

Integriteti dhe vërtetimi

Ky është një parametër i rëndësishëm që përcakton mundësinë e modifikimit të paautorizuar të të dhënave. Nëse nuk ka çelës, atëherë informacioni nuk mund të modifikohet ose fshihet.

Autentifikimi është një procedurë për verifikimin e autenticitetit të informacionit që regjistrohet në një medium kyç. Çelësi duhet të korrespondojë me makinën në të cilën informacioni është duke u deshifruar.

Autorësia

Ky është një konfirmim i veprimeve të përdoruesit dhe pamundësia e refuzimit të tyre. Lloji më i zakonshëm i konfirmimit është EDS (nënshkrimi dixhital elektronik). Ai përmban dy algoritme - njëri krijon një nënshkrim, i dyti e verifikon atë.

Ju lutemi vini re se të gjitha transaksionet që kryhen me nënshkrime elektronike përpunohen nga qendra të certifikuara (të pavarura). Për këtë arsye është e pamundur të falsifikohet autorësia.

Algoritmet bazë të enkriptimit të të dhënave

Deri më sot, janë shpërndarë shumë certifikata të mbrojtjes së informacionit kriptografik, përdoren çelësa të ndryshëm për kriptim - simetrikë dhe asimetrikë. Dhe gjatësia e çelësave është e mjaftueshme për të siguruar kompleksitetin e nevojshëm kriptografik.

Algoritmet më të njohura që përdoren në kriptombrojtje:

Çelësi simetrik - DES, AES, RC4, rusisht Р-28147.89.
Me funksione hash - për shembull, SHA-1/2, MD4/5/6, R-34.11.94.
Çelësi asimetrik - RSA.

Shumë vende kanë standardet e tyre për algoritmet e kriptimit. Për shembull, në Shtetet e Bashkuara, përdoret enkriptimi i modifikuar AES, çelësi mund të jetë nga 128 në 256 bit.

Federata Ruse ka algoritmin e vet - R-34.10.2001 dhe R-28147.89, i cili përdor një çelës 256-bit. Ju lutemi vini re se ka elementë në sistemet kombëtare kriptografike që janë të ndaluar të eksportohen në vende të tjera. Të gjitha aktivitetet që lidhen me zhvillimin e CIPF kërkojnë licencim të detyrueshëm.

Mbrojtja e kriptove të harduerit

Kur instaloni tahografi CIPF, mund të siguroni mbrojtje maksimale të informacionit të ruajtur në pajisje. E gjithë kjo zbatohet si në nivelin e softuerit ashtu edhe në atë të harduerit.

Lloji harduer i mbrojtjes së informacionit kriptografik nënkupton pajisje që përmbajnë programe speciale që ofrojnë kriptim të besueshëm të të dhënave. Gjithashtu, me ndihmën e tyre, informacioni ruhet, regjistrohet dhe transmetohet.

Pajisja e enkriptimit është bërë në formën e një koduesi të lidhur me portat USB. Ka edhe pajisje që janë të instaluara në pllakat amë të PC. Edhe çelsat e specializuar dhe kartat e rrjetit të mbrojtura me kripto mund të përdoren për të punuar me të dhëna.

Llojet e harduerit të CIPF instalohen mjaft shpejt dhe janë në gjendje të shkëmbejnë informacion me shpejtësi të lartë. Por disavantazhi është kostoja mjaft e lartë, si dhe mundësia e kufizuar e modernizimit.

Mbrojtja e kriptove softuerike

Ky është një grup programesh që ju lejon të kriptoni informacionin e ruajtur në media të ndryshme (disqe flash, disqe të ngurtë dhe optikë, etj.). Gjithashtu, nëse ekziston një licencë për këtë lloj CIPF, është e mundur të kriptoni të dhënat kur ato transmetohen përmes Internetit (për shembull, përmes postës elektronike ose bisedës).

Ka një numër të madh programesh për mbrojtje, madje ka edhe falas - këto përfshijnë DiskCryptor. Lloji i softuerit të CIPF janë gjithashtu rrjetet virtuale që lejojnë shkëmbimin e informacionit "nëpër internet". Këto janë të njohura për shumë rrjete VPN. Ky lloj mbrojtjeje përfshin gjithashtu protokollin HTTP, i cili mbështet enkriptimin SSL dhe HTTPS.

Softueri CIPF përdoret më së shumti kur punoni në internet, si dhe në kompjuterët e shtëpisë. Me fjalë të tjera, vetëm në ato zona ku nuk ka kërkesa serioze për stabilitetin dhe funksionalitetin e sistemit.

Lloji hardware-software i kriptombrojtjes

Tani e dini se çfarë është CIPF, si funksionon dhe ku përdoret. Është gjithashtu e nevojshme të veçohet një lloj - softueri dhe hardueri, i cili përmban të gjitha vetitë më të mira të të dy llojeve të sistemeve. Kjo metodë e përpunimit të informacionit është deri tani më e besueshme dhe më e sigurta. Për më tepër, një përdorues mund të identifikohet në mënyra të ndryshme - si harduer (duke instaluar një flash drive ose floppy disk) dhe standard (duke futur një çift hyrje / fjalëkalim).

Sistemet softuerike dhe harduerike mbështesin të gjitha algoritmet e enkriptimit që ekzistojnë sot. Ju lutemi vini re se instalimi i CIPF duhet të kryhet vetëm nga personeli i kualifikuar i zhvilluesit të kompleksit. Është e qartë se një CIPF i tillë nuk duhet të instalohet në kompjuterë që nuk përpunojnë informacione konfidenciale.

Dëgjoni... a mundeni, për përfitimin tonë të përbashkët, çdo letër që mbërrin në postën tuaj, hyrëse dhe dalëse, e dini, ta printoni pak dhe të lexoni: a përmban ndonjë raport apo thjesht korrespondencë... .

N.V. Gogol "Inspektor"

Idealisht, vetëm dy persona duhet të jenë në gjendje të lexojnë një letër konfidenciale: dërguesi dhe ai të cilit i drejtohet.Formulimi i një gjëje kaq të thjeshtë në dukje ishte pikënisja e sistemeve të kriptombrojtjes. Zhvillimi i matematikës i dha shtysë zhvillimit të sistemeve të tilla.

Tashmë në shekujt XVII-XVIII, shifrat në Rusi ishin mjaft të sofistikuara dhe rezistente ndaj thyerjes. Shumë matematikanë rusë punuan në krijimin ose përmirësimin e sistemeve të kriptimit dhe në të njëjtën kohë u përpoqën të merrnin çelësat e shifrave të sistemeve të tjera. Aktualisht, mund të vërehen disa sisteme ruse të enkriptimit, si Lexicon Verba, Secret Net, DALLAS LOCK, Secret Disk, familja e produkteve Accord etj. Ne do të flasim për to. Do të njiheni gjithashtu me softuerin dhe harduerin kryesor- komplekset e kriptombrojtjes së softuerit, mësoni për aftësitë, pikat e forta dhe të dobëta të tyre. Shpresojmë që ky artikull t'ju ndihmojë të zgjidhni një sistem mbrojtjeje kriptografike.

Prezantimi

Jeni të shqetësuar se informacionet e rëndësishme nga kompjuteri juaj mund të bien në duar të gabuara? Ky informacion mund të përdoret nga konkurrentët, autoritetet rregullatore dhe thjesht keqbërësit. Natyrisht, veprime të tilla mund t'ju sjellin dëme të konsiderueshme. Çfarë duhet bërë? Për të mbrojtur informacionin tuaj nga të huajt, duhet të instaloni një nga programet e enkriptimit të të dhënave. Rishikimi ynë i kushtohet analizës së sistemeve të enkriptimit për sistemet desktop. Duhet të theksohet se përdorimi i sistemeve të huaja të enkriptimit në Rusi është shumë i kufizuar për një sërë arsyesh, kështu që organizatat qeveritare dhe kompanitë e mëdha vendase janë të detyruara të përdorin zhvillimet ruse. Megjithatë, kompanitë e mesme dhe të vogla, si dhe individët, ndonjëherë preferojnë sisteme të huaja.

Për ata që nuk janë iniciuar, kriptimi i informacionit duket si një magji e zezë. Në të vërtetë, kriptimi i mesazheve për të fshehur përmbajtjen e tyre nga të huajt është një problem kompleks matematikor. Për më tepër, shifra duhet të zgjidhet në atë mënyrë që të jetë praktikisht e pamundur hapja e tij pa çelës, dhe shpejt dhe lehtë me çelës. Shumë kompani dhe organizata e kanë shumë të vështirë të bëjnë zgjedhjen më të mirë kur instalojnë softuerin e enkriptimit. Çështja ndërlikohet më tej nga fakti se nuk ekzistojnë kompjuterë absolutisht të sigurt dhe sisteme enkriptimi absolutisht të besueshëm. Sidoqoftë, ka ende mënyra të mjaftueshme me të cilat mund të zmbrapsni pothuajse të gjitha përpjekjet për të zbuluar informacionin e koduar.

Çfarë kanë brenda programet e enkriptimit

Programet e enkriptimit ndryshojnë nga njëri-tjetri në algoritmin e enkriptimit. Pasi skedari të jetë i koduar, mund ta shkruani në një disketë, ta dërgoni me e-mail ose ta vendosni në një server në rrjetin tuaj lokal. Marrësi i enkriptimit tuaj duhet të ketë të njëjtin program enkriptimi për të lexuar përmbajtjen e skedarit.

Nëse dëshironi të dërgoni një mesazh të koduar për shumë përdorues në të njëjtën kohë, atëherë informacioni juaj për secilin marrës mund të kodohet me çelësin e tij ose me një çelës të përbashkët për të gjithë përdoruesit (përfshirë autorin e mesazhit).

Kriptosistemi përdor një kod sekret për ta kthyer informacionin tuaj në një grup karakteresh të pakuptimta, pseudo të rastësishme. Me një algoritëm të mirë të kriptimit, është pothuajse e pamundur të deshifrosh një mesazh pa ditur kodin sekret të përdorur për ta enkriptuar atë. Algoritme të tilla quhen algoritme kyçe simetrike sepse i njëjti çelës përdoret për të kriptuar dhe deshifruar informacionin.

Për të mbrojtur të dhënat tuaja, programi i enkriptimit krijon një çelës sekret bazuar në fjalëkalimin tuaj. Thjesht duhet të vendosni një fjalëkalim të gjatë që askush nuk mund ta marrë me mend. Megjithatë, nëse dëshironi që dikush tjetër ta lexojë skedarin, do t'ju duhet t'i tregoni atij personi çelësin sekret (ose fjalëkalimin ku bazohet). Ju mund të jeni i sigurt se edhe një algoritëm i thjeshtë kriptimi do të mbrojë të dhënat tuaja nga një përdorues i zakonshëm, të themi, nga një koleg pune. Megjithatë, profesionistët kanë një sërë mënyrash për të deshifruar një mesazh pa e ditur kodin sekret.

Pa njohuri të veçanta, nuk do të jeni në gjendje të kontrolloni në mënyrë të pavarur se sa i besueshëm është algoritmi juaj i kriptimit. Por ju mund të mbështeteni në mendimin e profesionistëve. Disa algoritme enkriptimi, të tilla si Triple DES (Standardi i Enkriptimit të të Dhënave) i janë nënshtruar vitesh testimi. Sipas rezultateve të testit, ky algoritëm e ka provuar veten mirë dhe kriptografët besojnë se mund t'i besohet. Shumica e algoritmeve të reja gjithashtu studiohen me kujdes dhe rezultatet janë publikuar në literaturën e specializuar.

Nëse algoritmi i programit nuk është shqyrtuar dhe diskutuar hapur nga profesionistë, nëse nuk ka certifikata dhe dokumente të tjera zyrtare, kjo është një arsye për të dyshuar në besueshmërinë e tij dhe për të refuzuar përdorimin e një programi të tillë.

Një lloj tjetër i sistemeve të enkriptimit janë sistemet me çelës publik. Që një sistem i tillë të funksionojë, nuk ka nevojë t'i tregoni adresuesit çelësin sekret (ose fjalëkalimin në bazë të të cilit është krijuar). Këto sisteme enkriptimi gjenerojnë dy çelësa dixhitalë për secilin përdorues: njëri përdoret për të kriptuar të dhënat, tjetri për dekriptimin e tyre. Çelësi i parë (i quajtur çelësi publik) mund të bëhet publik, ndërsa çelësi i dytë mbahet i fshehtë. Pas kësaj, çdokush mund të enkriptojë informacionin duke përdorur çelësin publik, dhe vetëm ata që kanë çelësin sekret përkatës mund ta deshifrojnë atë.

Disa programe enkriptimi përmbajnë një tjetër mjet të rëndësishëm mbrojtjeje - një nënshkrim dixhital. Një nënshkrim dixhital vërteton se skedari nuk është modifikuar që kur është nënshkruar dhe i jep marrësit informacione se kush e ka nënshkruar saktësisht skedarin. Algoritmi për krijimin e një nënshkrimi dixhital bazohet në llogaritjen e një shume kontrolli - e ashtuquajtura shuma e hash-it, ose digesti i mesazheve. Algoritmet e aplikuara garantojnë se është e pamundur të merren dy skedarë të ndryshëm, shumat e hash-it të të cilëve do të përputheshin.

Kur marrësi merr një skedar të nënshkruar në mënyrë dixhitale, programi i tij i enkriptimit rillogarit shumën hash për atë skedar. Më pas, marrësi përdor çelësin publik të publikuar nga dërguesi për të rikuperuar nënshkrimin dixhital. Nëse rezultati përputhet me vlerën e llogaritur për skedarin, atëherë marrësi mund të jetë i sigurt se teksti i mesazhit nuk është ndryshuar (nëse kjo do të kishte ndodhur, shuma e hash-it do të kishte qenë e ndryshme), dhe nënshkrimi i përket një personi që ka akses në çelësin sekret të dërguesit.

Mbrojtja e informacioneve të rëndësishme ose të ndjeshme kërkon më shumë sesa thjesht një program të mirë kriptimi. Ju duhet të merrni një sërë masash për të garantuar sigurinë e informacionit. Nëse fjalëkalimi juaj është i dobët (ekspertët rekomandojnë ta vendosni në tetë ose më shumë karaktere) ose nëse një kopje e pakriptuar e informacionit konfidencial ruhet në kompjuterin tuaj, atëherë edhe sistemi më i mirë i enkriptimit do të jetë i pafuqishëm në këtë rast.

Sistemi Leksikon-Fjalë

Sistemi Lexicon-Verba është një mjet për organizimin e menaxhimit të sigurt elektronik të dokumenteve si brenda rrjetit të korporatës ashtu edhe ndërmjet organizatave të ndryshme. "Lexicon-Verba" përdor dy modifikime të sistemit të kriptografisë: sistemi "Verba-W" është i destinuar për organet shtetërore (mbrojtja e informacionit konfidencial, në veçanti chipboard; çelësat e nënshkrimit janë të hapur, çelësat e enkriptimit janë të mbyllur), "Verba Sistemi -OW" është për organizata tregtare (mbrojtja e sekreteve tregtare; çelësat e nënshkrimit dhe enkriptimit janë të hapur).

Ekzistojnë mjaft standarde globale të kriptimit, por vetëm një pjesë e vogël e tyre janë të certifikuara nga Agjencia Federale për Komunikimet dhe Informacionin e Qeverisë (FAPSI), gjë që e bën të pamundur përdorimin e zgjidhjeve jo të certifikuara në Rusi. Sistemi Verba-W ka një certifikatë FAPSI nr. SF / 114-0176. Sistemi Verba-OW - Certifikata FAPSI Nr. SF / 114-0174.

"Lexicon-Verba" siguron kriptim dhe nënshkrim dixhital në përputhje me kërkesat e GOST 28147-89 "Sistemet e përpunimit të informacionit. Mbrojtja kriptografike" dhe GOST R34.10-94 "Teknologjia e informacionit. Mbrojtja kriptografike e informacionit. Procedurat për zhvillimin dhe verifikimin e një nënshkrimi elektronik dixhital bazuar në një algoritëm kriptografik asimetrik.

Programi është i certifikuar nga Komisioni Teknik Shtetëror nën Presidentin e Federatës Ruse. Në korrik pritet të marrë një certifikatë nga Ministria e Mbrojtjes Ruse.

Mbrojtja kriptografike e sistemit bazohet në metodën e kriptimit me çelës publik. Çdo çelës që identifikon një përdorues përbëhet nga dy pjesë: një çelës publik dhe një çelës privat. Çelësi publik shpërndahet lirisht dhe përdoret për të enkriptuar informacionin e përdoruesit. Për të deshifruar një dokument, personi që e ka koduar atë duhet të ketë çelësin tuaj publik dhe t'ju identifikojë se keni akses në dokument kur e kriptoni atë.

Për të deshifruar një dokument, duhet të përdorni çelësin privat. Çelësi privat përbëhet nga dy pjesë, njëra prej të cilave ruhet në një kartë inteligjente ose memorie me prekje dhe tjetra ruhet në hard diskun e kompjuterit tuaj. Kështu, as humbja e një karte smart dhe as aksesi i paautorizuar në një kompjuter nuk e bën të mundur, individualisht, deshifrimin e dokumenteve.

Seti fillestar i çelësave, i cili përfshin informacion të plotë për çelësat publikë dhe privatë të përdoruesit, krijohet në një vend pune të pajisur posaçërisht të sigurt. Një floppy disk me informacionin kryesor përdoret vetëm në fazën e përgatitjes së vendit të punës së përdoruesit.

Sistemi Lexicon-Verba mund të përdoret në kuadrin e dy sistemeve kryesore për organizimin e menaxhimit të sigurt të dokumenteve:

si një zgjidhje e pavarur. Nëse organizata ka një rrjet lokal, sistemi mund të instalohet jo në të gjithë kompjuterët, por vetëm në ata që kërkojnë të punojnë me dokumente konfidenciale. Kjo do të thotë se brenda rrjetit të korporatës ekziston një nënrrjet për shkëmbimin e informacionit të klasifikuar. Në të njëjtën kohë, pjesëmarrësit në pjesën e mbyllur të sistemit mund të shkëmbejnë dokumente të hapura me punonjës të tjerë;
si pjesë e rrjedhës së punës. Lexicon-Verba ka ndërfaqe standarde për lidhjen e funksioneve të jashtme për hapjen, ruajtjen, mbylljen dhe dërgimin e dokumenteve, gjë që e bën të lehtë integrimin e këtij sistemi si në sistemet ekzistuese ashtu edhe në ato të sapo zhvilluara të menaxhimit të dokumenteve.

Duhet të theksohet se vetitë e sistemit Lexicon-Verba e bëjnë atë jo vetëm një mjet për të siguruar mbrojtjen e informacionit kundër ndërhyrjeve të jashtme, por edhe një mjet për të rritur konfidencialitetin brenda korporatës dhe aksesin ndaj ndarjes.

Një nga burimet shtesë të rëndësishme për rritjen e nivelit të kontrollit të sigurisë së informacionit është aftësia për të mbajtur një "regjistër ngjarjesh" për çdo dokument. Veçoria e rregullimit të historisë së dokumenteve mund të aktivizohet ose çaktivizohet vetëm kur sistemi është i instaluar; kur aktivizohet, ky regjistër do të mbahet pavarësisht nga dëshira e përdoruesit.

Avantazhi kryesor dhe tipari dallues i sistemit është zbatimi i thjeshtë dhe intuitiv i funksioneve të sigurisë së informacionit duke ruajtur mjedisin e punës së përdoruesit, tradicional për përpunuesit e tekstit.

Njësia e kriptografisë kryen kriptim, si dhe instalimin dhe heqjen e një nënshkrimi elektronik dixhital (EDS) të dokumenteve.

Funksionet ndihmëse të bllokut - shkarkimi i një çelësi sekret, eksportimi dhe importimi i çelësave publikë, vendosja dhe mbajtja e një drejtorie të çelësave të pajtimtarëve të sistemit.

Kështu, secili prej atyre që kanë akses në dokument mund të vendosë vetëm nënshkrimin e tij, por të heqë ndonjë nga ato të vendosura më parë.

Kjo pasqyron rendin e pranuar të punës së zyrës, kur, me kalimin e miratimit, dokumenti mund t'i nënshtrohet rishikimeve në faza të ndryshme, por pas kësaj dokumenti duhet të miratohet sërish.

Nëse përpiqeni të bëni ndryshime në dokument me mjete të tjera përveç "Lexicon-Verba", EDS është dëmtuar, si rezultat, mbishkrimi "Dëmtuar" do të shfaqet në fushën "Statusi i nënshkrimit".

Zyrë

Me rritjen e numrit të përdoruesve të sistemit, futja e çdo çelësi publik në çdo kompjuter bëhet e vështirë. Prandaj, për të organizuar punën e zyrës, organizohet administrimi i centralizuar i drejtorisë së çelësit publik. Kjo bëhet në mënyrën e mëposhtme:

1) "Lexicon-Verba" është instaluar në kompjuterin e administratorit në modalitetin lokal. Kjo krijon një direktori të çelësave publikë, në të cilën administratori shton çdo çelës të përdorur në zyrë;

2) në të gjithë kompjuterët e tjerë sistemi është i instaluar në modalitetin e rrjetit. Ky modalitet përdor direktorinë e çelësit publik të vendosur në kompjuterin e administratorit;

3) çdo përdorues i ri i shtuar nga administratori në drejtori bëhet "i dukshëm" për të gjithë përdoruesit e lidhur me drejtorinë. Që nga ai moment, ata marrin mundësinë për t'i transferuar atij dokumente të koduara.

Administrimi i drejtorisë bëhet i centralizuar, por kjo nuk ndikon në nivelin e sigurisë së sistemit, pasi sigurimi i aksesit në çelësat publik është një lloj "njohjeje" e përdoruesve, por nuk jep akses në asnjë dokument. Që një përdorues të jetë në gjendje të deshifrojë një dokument, çelësi i tij publik jo vetëm që duhet të jetë në drejtori, por gjithashtu duhet të renditet në mënyrë eksplicite se ka akses në dokument.

Detyrat kryesore të mbrojtjes së informacionit gjatë ruajtjes, përpunimit dhe transmetimit të tij nëpërmjet kanaleve të komunikimit dhe në media të ndryshme, të zgjidhura me ndihmën e CIPF, janë: 1.

Sigurimi i fshehtësisë (konfidencialitetit) të informacionit. 2.

Sigurimi i integritetit të informacionit. 3.

Vërtetimi i informacionit (dokumenteve). Për të zgjidhur këto probleme, është e nevojshme të zbatohen sa vijon

proceset: 1.

Zbatimi i funksioneve aktuale të sigurisë së informacionit, duke përfshirë:

enkriptim/deshifrim; krijimi/verifikimi i EDS; krijimi/testimi i inserteve mock. 2.

Monitorimi i gjendjes dhe menaxhimi i funksionimit të mjeteve të KPI (në sistem):

kontrolli i statusit: zbulimi dhe regjistrimi i rasteve të shkeljes së funksionimit të mjeteve të KPI, tentativave për akses të paautorizuar, rastet e komprometimit të çelësave;

menaxhimi i funksionimit: marrja e masave në rast të devijimeve të listuara nga funksionimi normal i mjeteve të KPI. 3.

Kryerja e mirëmbajtjes së objekteve të KZI-së: zbatimi i menaxhimit kyç;

ekzekutimin e procedurave në lidhje me lidhjen e abonentëve të rinj të rrjetit dhe/ose përjashtimin e abonentëve në pension; eliminimi i mangësive të identifikuara të CIPF; vënia në punë e versioneve të reja të softuerit CIPF;

modernizimi dhe zëvendësimi i mjeteve teknike të CIPF me mjete më të avancuara dhe/ose zëvendësimi i mjeteve, burimi i të cilave është shteruar.

Menaxhimi i çelësave është një nga funksionet më të rëndësishme të mbrojtjes së informacionit kriptografik dhe konsiston në zbatimin e funksioneve kryesore të mëposhtme:

gjenerimi i çelësave: përcakton një mekanizëm për gjenerimin e çelësave ose çifteve të çelësave me garanci për cilësitë e tyre kriptografike;

Shpërndarja e çelësit: përcakton mekanizmin me të cilin çelësat u dorëzohen abonentëve në mënyrë të besueshme dhe të sigurt;

Mbajtja e çelësit: përcakton mekanizmin me të cilin çelësat ruhen në mënyrë të sigurt dhe të sigurt për përdorim në të ardhmen;

rikuperimi i çelësit: përcakton mekanizmin për rikuperimin e njërit prej çelësave (zëvendësimi me një çelës të ri);

shkatërrimi i çelësit: përcakton mekanizmin me të cilin çelësat e vjetëruar shkatërrohen në mënyrë të sigurt;

arkivi i çelësave: një mekanizëm me anë të të cilit çelësat mund të ruhen në mënyrë të sigurt për rikuperim të mëvonshëm të noterizuar në situata konflikti.

Në përgjithësi, për të zbatuar funksionet e listuara të mbrojtjes së informacionit kriptografik, është e nevojshme të krijohet një sistem i mbrojtjes së informacionit kriptografik që kombinon mjetet aktuale të CSI, personelin e shërbimit, ambientet, pajisjet e zyrës, dokumentacionin e ndryshëm (teknik, rregullator), etj.

Siç është përmendur tashmë, për të marrë garanci për mbrojtjen e informacionit, është e nevojshme të përdoren mjete të certifikuara të KPI.

Aktualisht, më e përhapura është çështja e mbrojtjes së informacionit konfidencial. Për të zgjidhur këtë problem, nën kujdesin e FAPSI, është zhvilluar një grup i plotë funksional i mbrojtjes kriptografike të informacionit konfidencial, i cili lejon zgjidhjen e detyrave të listuara të mbrojtjes së informacionit për një gamë të gjerë aplikimesh dhe kushtesh përdorimi.

Ky kompleks bazohet në bërthamat kriptografike "Verba" (sistemi i çelësave asimetrik) dhe "Verba-O" (sistemi i çelësave simetrik). Këto kriptocore ofrojnë procedura të kriptimit të të dhënave në përputhje me kërkesat e GOST 28147-89 "Sistemet e përpunimit të informacionit. Mbrojtja kriptografike" dhe nënshkrimet dixhitale në përputhje me kërkesat e GOST R34.10-94 "Teknologjia e informacionit. Mbrojtja e informacionit kriptografik. Procedurat për gjenerimin dhe verifikimin e nënshkrimit elektronik dixhital bazuar në një algoritëm kriptografik asimetrik”.

Mjetet e përfshira në kompleksin CIPF ju lejojnë të mbroni dokumentet elektronike dhe flukset e informacionit duke përdorur mekanizma të certifikuar të kriptimit dhe nënshkrimit elektronik në pothuajse të gjitha teknologjitë moderne të informacionit, duke përfshirë sa vijon: përdorimi i CIPF në modalitetin offline;

shkëmbim i sigurt informacioni në modalitetin off-line; shkëmbim i sigurt informacioni në modalitetin on-line; heterogjene të mbrojtura, d.m.th. shkëmbimi i përzier i informacionit.

Për të zgjidhur çështjet sistematike të përdorimit të mjeteve të mbrojtjes së informacionit kriptografik, nën udhëheqjen e DA Starovoitov, u zhvillua teknologjia komplekse e mbrojtjes së informacionit kriptografik Vityaz, e cila siguron mbrojtjen e të dhënave kriptografike në të gjitha pjesët e sistemit menjëherë: jo vetëm në kanalet e komunikimit dhe nyjet e sistemit, por edhe direkt në vendet e punës së përdoruesit në procesin e krijimit të një dokumenti, kur vetë dokumenti është i mbrojtur.

Për më tepër, në kuadrin e teknologjisë së përgjithshme Vityaz, për përdoruesit ofrohet një teknologji e thjeshtuar, lehtësisht e aksesueshme për futjen e mjeteve të licencuara të mbrojtjes së informacionit kriptografik në sisteme të ndryshme aplikimi, gjë që e bën gamën e përdorimit të këtyre burimeve të informacionit kriptografik shumë të gjerë.

Më poshtë është një përshkrim i mjeteve dhe metodave të mbrojtjes për secilën nga mënyrat e listuara.

Përdorimi i CIPF jashtë linje.

Kur punoni në mënyrë autonome me CIPF, mund të zbatohen llojet e mëposhtme të mbrojtjes së informacionit kriptografik: krijimi i një dokumenti të mbrojtur; mbrojtja e skedarëve;

krijimi i një sistemi të sigurt skedarësh; krijimi i një disku të sigurt logjik. Me kërkesë të përdoruesit, mund të zbatohen llojet e mëposhtme të mbrojtjes kriptografike të dokumenteve (skedarëve):

kriptimi i një dokumenti (skedari), i cili e bën përmbajtjen e tij të paarritshme si gjatë ruajtjes së një dokumenti (skedari) ashtu edhe kur ai transmetohet nëpërmjet kanaleve të komunikimit ose me korrier;

zhvillimi i një imituesi insert, i cili siguron kontroll mbi integritetin e dokumentit (skedarit);

formimi i një EDS, i cili siguron kontrollin e integritetit të dokumentit (skedarit) dhe vërtetimin e personit që ka nënshkruar dokumentin (skedarin).

Si rezultat, dokumenti (skedari) i mbrojtur kthehet në një skedar të koduar që përmban, nëse është e nevojshme, një EDS. Nënshkrimi dixhital, në varësi të organizimit të procesit të përpunimit të informacionit, mund të përfaqësohet edhe nga një skedar i ndarë nga dokumenti i nënshkruar. Më tej, ky skedar mund të nxirret në një disketë ose në një mjet tjetër, për t'u dorëzuar me korrier, ose të dërgohet me ndonjë email të disponueshëm, për shembull, nëpërmjet internetit.

Prandaj, me marrjen e një skedari të koduar me postë elektronike ose në një ose një medium tjetër, veprimet e mbrojtjes kriptografike të kryera kryhen në rend të kundërt (deshifrimi, verifikimi i futjes së imitimit, verifikimi i nënshkrimit dixhital).

Mjetet e mëposhtme të certifikuara mund të përdoren për të kryer punë autonome me CIPF:

redaktori i tekstit "Lexicon-Verba", i zbatuar në bazë të CIPF "Verba-O" dhe CIPF "Verba";

Kompleksi softuer CIPF "Autonomous Workplace" i implementuar në bazë të CIPF "Verba" dhe "Verba-O" për Windows 95/98/NT;

drejtuesi i diskut kriptografik PTS "DiskGuard".

Procesori i mbrojtur i tekstit "Lexicon-Verba".

Sistemi Lexicon-Verba është një redaktues teksti me funksione të plota me mbështetje për enkriptimin e dokumenteve dhe nënshkrimin dixhital elektronik. Për të mbrojtur dokumentet, ai përdor sistemet kriptografike Verba dhe Verba-O. Veçantia e këtij produkti qëndron në faktin se funksionet e kriptimit dhe nënshkrimit të tekstit përfshihen thjesht në funksionet e një redaktuesi modern të tekstit. Kriptimi dhe nënshkrimi i dokumentit në këtë rast kthehet nga procese speciale në veprime thjesht standarde kur punoni me një dokument.

Në të njëjtën kohë, sistemi Lexicon-Verba duket si një redaktues i rregullt teksti. Opsionet e formatimit të tekstit përfshijnë personalizimin e plotë të shkronjave dhe paragrafëve të dokumentit; tabela dhe lista; fundore, fusnota, shirita anësor; përdorimi i stileve dhe shumë veçorive të tjera të një redaktuesi teksti që plotëson kërkesat moderne. "Lexicon-Verba" ju lejon të krijoni dhe modifikoni dokumente në formatet Lexicon, RTF, MS Word 6/95/97, MS Write.

Vend pune autonome.

CIPF "Autonomous Workplace" zbatohet në bazë të CIPF "Verba" dhe "Verba-O" për Windows 95/98/NT dhe lejon përdoruesin të kryejë funksionet e mëposhtme në modalitetin interaktiv:

enkriptimi / deshifrimi i skedarëve në çelësa; kriptimi / deshifrimi i skedarëve me një fjalëkalim; vendosjen/heqjen/verifikimin e nënshkrimeve dixhitale elektronike (EDS) nën dosje;

kontrollimi i skedarëve të koduar;

Vendosja EDS + enkriptimi (në një veprim) të skedarëve; deshifrimi + heqja e EDS (me një veprim) nën skedarë;

llogaritja e skedarit hash.

CIPF "Vend pune Autonome" këshillohet të përdoret për punën e përditshme të punonjësve që duhet të ofrojnë:

transferimi i informacionit konfidencial në formë elektronike me korrier ose korrier;

dërgimi i informacionit konfidencial përmes një rrjeti publik, duke përfshirë internetin;

mbrojtje kundër aksesit të paautorizuar në informacionin konfidencial në kompjuterët personalë të punonjësve.

Skzi - çfarë është? mjetet e mbrojtjes kriptografike të informacionit. Mjetet e mbrojtjes së informacionit kriptografik: llojet dhe aplikimi

Termat dhe Përkufizimet

Metodologjia e auditimit dhe rezultatet e pritura

Plani i auditimit

konkluzioni

Qëllimet kryesore të kriptografisë

Konfidencialiteti

Integriteti dhe vërtetimi

Autorësia

Algoritmet bazë të enkriptimit të të dhënave

Mbrojtja e kriptove të harduerit

Mbrojtja e kriptove softuerike

Lloji hardware-software i kriptombrojtjes

Prezantimi

Çfarë kanë brenda programet e enkriptimit

Sistemi Leksikon-Fjalë

Zyrë

Artikujt kryesorë të lidhur