Криптографические операторы. Средства криптографической защиты информации (скзи)

Определение 1

Криптографическая защита информации – это механизм защиты посредством шифрования данных для обеспечения информационной безопасности общества.

Криптографические методы защиты информации активно используются в современной жизни для хранения, обработки и передачи информации по сетям связи и на различных носителях.

Сущность и цели криптографической защиты информации

Сегодня самым надежным способом шифрования при передаче информационных данных на большие расстояния является именно криптографическая защита информации.

Криптография – это наука, изучающая и описывающая модели информационной безопасности (далее – ИБ) данных. Она позволяет разрешить многие проблемы, что присущи информационной безопасности сети: конфиденциальность, аутентификация, контроль и целостность взаимодействующих участников.

Определение 2

Шифрование – это преобразование информационных данных в форму, которая будет не читабельной для программных комплексов и человека без ключа шифрования-расшифровки. Благодаря криптографическим методам защиты информации обеспечиваются средства информационной безопасности, поэтому они являются основной частью концепции ИБ.

Замечание 1

Ключевой целью криптографической защиты информации является обеспечение конфиденциальности и защиты информационных данных компьютерных сетей в процессе передачи ее по сети между пользователями системы.

Защита конфиденциальной информации, которая основана на криптографической защите, зашифровывает информационные данные посредством обратимых преобразований, каждое из которых описывается ключом и порядком, что определяет очередность их применения.

Важным компонентом криптографической защиты информации является ключ, отвечающий за выбор преобразования и порядок его реализации.

Определение 3

Ключ – это определенная последовательность символов, которая настраивает шифрующий и дешифрующий алгоритм системы криптозащиты информации. Каждое преобразование определяется ключом, задающим криптографический алгоритм, который обеспечивает безопасность информационной системы и информации в целом.

Каждый алгоритм криптозащиты информации работает в разных режимах, которые обладают, как рядом преимуществ, так и рядом недостатков, что влияют на надежность информационной безопасности государства и средства ИБ.

Средства и методы криптографической защиты информации

К основным средствам криптозащиты информации можно отнести программные, аппаратные и программно-аппаратные средства, которые реализуют криптографические алгоритмы информации с целью:

  • защиты информационных данных при их обработке, использовании и передаче;
  • обеспечения целостности и достоверности обеспечения информации при ее хранении, обработке и передаче (в том числе с применением алгоритмов цифровой подписи);
  • выработки информации, которая используется для аутентификации и идентификации субъектов, пользователей и устройств;
  • выработки информации, которая используется для защиты аутентифицирующих элементов при их хранении, выработке, обработке и передаче.

В настоящее время криптографические методы защиты информации для обеспечения надежной аутентификации сторон информационного обмена являются базовыми. Они предусматривают шифрование и кодирование информации.

Различают два основных метода криптографической защиты информации:

  • симметричный, в котором один и тот же ключ, что хранится в секрете, применяется и для шифровки, и для расшифровки данных;
  • ассиметричный.

Кроме этого существуют весьма эффективные методы симметричного шифрования – быстрый и надежный. На подобные методы в Российской Федерации предусмотрен государственный стандарт «Системы обработки информации. Криптографическая защита информации. Алгоритм криптографического преобразования» - ГОСТ 28147-89.

В ассиметричных методах криптографической защиты информации используются два ключа:

  1. Несекретный, который может публиковаться вместе с другими сведениями о пользователе, что являются открытыми. Этот ключ применяется для шифрования.
  2. Секретный, который известен только получателю, используется для расшифровки.

Из ассиметричных наиболее известным методом криптографической защиты информации является метод RSA, который основан на операциях с большими (100-значными) простыми числами, а также их произведениями.

Благодаря применению криптографических методов можно надежно контролировать целостность отдельных порций информационных данных и их наборов, гарантировать невозможность отказаться от совершенных действий, а также определять подлинность источников данных.

Основу криптографического контроля целостности составляют два понятия:

  1. Электронная подпись.
  2. Хэш-функция.

Определение 4

Хэш-функция – это одностороння функция или преобразование данных, которое сложно обратить, реализуемое средствами симметричного шифрования посредством связывания блоков. Результат шифрования последнего блока, который зависит от всех предыдущих, и служит результатом хэш-функции.

В коммерческой деятельности криптографическая защита информации приобретает все большее значение. Для того чтобы преобразовать информацию, используются разнообразные шифровальные средства: средства шифрования документации (в том числе для портативного исполнения), средства шифрования телефонных разговоров и радиопереговоров, а также средства шифрования передачи данных и телеграфных сообщений.

Для того чтобы защитить коммерческую тайну на отечественном и международном рынке, используются комплекты профессиональной аппаратуры шифрования и технические устройства криптозащиты телефонных и радиопереговоров, а также деловой переписки.

Кроме этого широкое распространение получили также маскираторы и скремблеры, которые заменяют речевой сигнал цифровой передачей данных. Производятся криптографические средства защиты факсов, телексов и телетайпов. Для этих же целей применяются и шифраторы, которые выполняются в виде приставок к аппаратам, в виде отдельных устройств, а также в виде устройств, которые встраиваются в конструкцию факс-модемов, телефонов и других аппаратов связи. Электронная цифровая подпись широкое применяется для того, чтобы обеспечить достоверность передаваемых электронных сообщений.

Криптографическая защита информации в РФ решает вопрос целостности посредством добавления определенной контрольной суммы или проверочной комбинации для того, чтобы вычислить целостность данных. Модель информационной безопасности является криптографической, то есть она зависит от ключа. По оценкам информационной безопасности, которая основана на криптографии, зависимость вероятности прочтения данных от секретного ключа является самым надежным инструментом и даже используется в системах государственной информационной безопасности.

К средствам криптографической защиты информации (СКЗИ) относятся аппаратные, программно-аппаратные и программные средства, реализующие криптографические алгоритмы преобразования информации с целью:

Защиты информации при ее обработке, хранении и передаче по транспортной среде АС;

Обеспечения достоверности и целостности информации (в том числе с использованием алгоритмов цифровой подписи) при ее обработке, хранении и передаче по транспортной среде АС;

Выработки информации, используемой для идентификации и аутентификации субъектов, пользователей и устройств;

Выработки информации, используемой для защиты аутентифицирующих элементов защищенной АС при их выработке, хранении, обработке и передаче.

Предполагается, что СКЗИ используются в некоторой АС (в ряде источников - информационно-телекоммуникационной системе или сети связи), совместно с механизмами реализации и гарантирования политики безопасности.

Криптографическое преобразование обладает рядом существенных особенностей:

В СКЗИ реализован некоторый алгоритм преобразования информации (шифрование, электронная цифровая подпись, контроль целостности)

Входные и выходные аргументы криптографического преобразования присутствуют в АС в некоторой материальной форме (объекты АС)

СКЗИ для работы использует некоторую конфиденциальную информацию (ключи)

Алгоритм криптографического преобразования реализован в виде некоторого материального объекта, взаимодействующего с окружающей средой (в том числе с субъектами и объектами защищенной АС).

Таким образом, роль СКЗИ в защищённой АС - преобразование объектов. В каждом конкретном случае указанное преобразование имеет особенности. Так, процедура зашифрования использует как входные параметры объект - открытый текст и объект - ключ, результатом преобразования является объект - шифрованный текст; наоборот, процедура расшифрования использует как входные параметры шифрованный текст и ключ; процедура простановки цифровой подписи использует как входные параметры объект - сообщение и объект - секретный ключ подписи, результатом работы цифровой подписи является объект - подпись, как правило, интегрированный в объект - сообщение. Можно говорить о том, что СКЗИ производит защиту объектов на семантическом уровне. В то же время объекты - параметры криптографического преобразования являются полноценными объектами АС и могут быть объектами некоторой политики безопасности (например, ключи шифрования могут и должны быть защищены от НСД, открытые ключи для проверки цифровой подписиот изменений). Итак, СКЗИ в составе защищенных АС имеют конкретную реализацию - это может быть отдельное специализированное устройство, встраиваемое в компьютер, либо специализированная программа. Существенно важными являются следующие моменты:

СКЗИ обменивается информацией с внешней средой, а именно: в него вводятся ключи, открытый текст при шифровании

СКЗИ в случае аппаратной реализации использует элементную базу ограниченной надежности (т.е. в деталях, составляющих СКЗИ, возможны неисправности или отказы)

СКЗИ в случае программной реализации выполняется на процессоре ограниченной надежности и в программной среде, содержащей посторонние программы, которые могут повлиять на различные этапы его работы

СКЗИ хранится на материальном носителе (в случае программной реализации) и может быть при хранении преднамеренно или случайно искажено

СКЗИ взаимодействует с внешней средой косвенным образом (питается от электросети, излучает электромагнитные поля)

СКЗИ изготавливает или/и использует человек, могущий допустить ошибки (преднамеренные или случайные) при разработке и эксплуатации

Существующие средства защиты данных в телекоммуникационных сетях можно разделить на две группы по принципу построения ключевой системы и системы аутентификации. К первой группе отнесем средства, использующие для построения ключевой системы и системы аутентификации симметричные криптоалгоритмы, ко второй - асимметричные.

Проведем сравнительный анализ этих систем. Готовое к передаче информационное сообщение, первоначально открытое и незащищенное, зашифровывается и тем самым преобразуется в шифрограмму, т. е. в закрытые текст или графическое изображение документа. В таком виде сообщение передается по каналу связи, даже и не защищенному. Санкционированный пользователь после получения сообщения дешифрует его (т. е. раскрывает) посредством обратного преобразования криптограммы, вследствие чего получается исходный, открытый вид сообщения, доступный для восприятия санкционированным пользователям. Методу преобразования в криптографической системе соответствует использование специального алгоритма. Действие такого алгоритма запускается уникальным числом (последовательностью бит), обычно называемым шифрующим ключом.

Для большинства систем схема генератора ключа может представлять собой набор инструкций и команд либо узел аппаратуры, либо компьютерную программу, либо все это вместе, но в любом случае процесс шифрования (дешифрования) реализуется только этим специальным ключом. Чтобы обмен зашифрованными данными проходил успешно, как отправителю, так и получателю, необходимо знать правильную ключевую установку и хранить ее в тайне. Стойкость любой системы закрытой связи определяется степенью секретности используемого в ней ключа. Тем не менее, этот ключ должен быть известен другим пользователям сети, чтобы они могли свободно обмениваться зашифрованными сообщениями. В этом смысле криптографические системы также помогают решить проблему аутентификации (установления подлинности) принятой информации. Взломщик в случае перехвата сообщения будет иметь дело только с зашифрованным текстом, а истинный получатель, принимая сообщения, закрытые известным ему и отправителю ключом, будет надежно защищен от возможной дезинформации. Кроме того, существует возможность шифрования информации и более простым способом - с использованием генератора псевдослучайных чисел. Использование генератора псевдослучайных чисел заключается в генерации гаммы шифра с помощью генератора псевдослучайных чисел при определенном ключе и наложении полученной гаммы на открытые данные обратимым способом. Этот метод криптографической защиты реализуется достаточно легко и обеспечивает довольно высокую скорость шифрования, однако недостаточно стоек к дешифрованию.

Для классической криптографии характерно использование одной секретной единицы - ключа, который позволяет отправителю зашифровать сообщение, а получателю расшифровать его. В случае шифрования данных, хранимых на магнитных или иных носителях информации, ключ позволяет зашифровать информацию при записи на носитель и расшифровать при чтении с него.

«Организационно-правовые методы информационной безопасности»

Основные нормативные руководящие документы, касающиеся государственной тайны, нормативно-справочные документы

На сегодняшний день в нашей стране создана стабильная законодательная основа в области защиты информации. Основополагающим законом можно назвать Федеральный закон РФ «О информации, информационных технологиях и о защите информации». «Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации».Так же Закон устанавливает обязанности обладателей информации и операторов информационных систем.

Что касается «кодифицированного» регулирования обеспечения информационной безопасности, то нормы Кодекса об административных правонарушениях РФ и Уголовного кодекса РФ, так же содержат необходимые статьи. В ст. 13.12 КоАП РФ говориться о нарушении правил защиты информации. Так же ст. 13.13, предусматривающая наказание за незаконную деятельность в области защиты информации. И ст. 13.14. в которой предусматривается наказание за разглашение информации с ограниченным доступом. Статья 183. УК РФ предусматривает наказание за незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну.

Федеральным законом «Об информации, информатизации и защите информации» определено, что государственные информационные ресурсы Российской Федерации являются открытыми и общедоступными. Исключение составляет документированная информация, отнесенная законом к категории ограниченного доступа.

Понятие государственной тайны определено в Законе «О государственной тайне» как «защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации». Таким образом, исходя из баланса интересов государства, общества и граждан, область применения Закона ограничена определенными видами деятельности: военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной.

Закон определил, что основным критерием является принадлежность засекречиваемых сведений государству.

Закон также закрепил создание ряда органов в области защиты государственной тайны, в частности, межведомственной комиссии по защите государственной тайны, ввел институт должностных лиц, наделенных полномочиями по отнесению сведений к государственной тайне, с одновременным возложением на них персональной ответственности за деятельность по защите государственной тайны в сфере их ведения.

Общая организация и координация работ в стране по защите информации, обрабатываемой техническими средствами, осуществляется коллегиальным органом – Федеральной службой по техническому и экспортному контролю (ФСТЭК) России при Президенте Российской Федерации, которая осуществляет контроль за обеспечением в органах государственного управления и на предприятиях, ведущих работы по оборонной и другой секретной тематики.

Назначение и задачи в сфере обеспечения информационной безопасности на уровне государства

Государственная политика обеспечения информационной безопасности Российской Федерации определяет основные направления деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации в этой области, порядок закрепления их обязанностей по защите интересов Российской Федерации в информационной сфере в рамках направлений их деятельности и базируется на соблюдении баланса интересов личности, общества и государства в информационной сфере. Государственная политика обеспечения информационной безопасности Российской Федерации основывается на следующих основных принципах: соблюдение Конституции Российской Федерации, законодательства Российской Федерации, общепризнанных принципов и норм международного права при осуществлении деятельности по обеспечению информационной безопасности Российской Федерации; открытость в реализации функций федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и общественных объединений, предусматривающая информирование общества об их деятельности с учетом ограничений, установленных законодательством Российской Федерации; правовое равенство всех участников процесса информационного взаимодействия вне зависимости от их политического, социального и экономического статуса, основывающееся на конституционном праве граждан на свободный поиск, получение, передачу, производство и распространение информации любым законным способом; приоритетное развитие отечественных современных информационных и телекоммуникационных технологий, производство технических и программных средств, способных обеспечить совершенствование национальных телекоммуникационных сетей, их подключение к глобальным информационным сетям в целях соблюдения жизненно важных интересов Российской Федерации.

Государство в процессе реализации своих функций по обеспечению информационной безопасности Российской Федерации: проводит объективный и всесторонний анализ и прогнозирование угроз информационной безопасности Российской Федерации, разрабатывает меры по ее обеспечению; организует работу законодательных (представительных) и исполнительных органов государственной власти Российской Федерации по реализации комплекса мер, направленных на предотвращение, отражение и нейтрализацию угроз информационной безопасности Российской Федерации; поддерживает деятельность общественных объединений, направленную на объективное информирование населения о социально значимых явлениях общественной жизни, защиту общества от искаженной и недостоверной информации; осуществляет контроль за разработкой, созданием, развитием, использованием, экспортом и импортом средств защиты информации посредством их сертификации и лицензирования деятельности в области защиты информации; проводит необходимую протекционистскую политику в отношении производителей средств информатизации и защиты информации на территории Российской Федерации и принимает меры по защите внутреннего рынка от проникновения на него некачественных средств информатизации и информационных продуктов; способствует предоставлению физическим и юридическим лицам доступа к мировым информационным ресурсам, глобальным информационным сетям; формулирует и реализует государственную информационную политику России; организует разработку федеральной программы обеспечения информационной безопасности Российской Федерации, объединяющей усилия государственных и негосударственных организаций в данной области; способствует интернационализации глобальных информационных сетей и систем, а также вхождению России в мировое информационное сообщество на условиях равноправного партнерства.

Совершенствование правовых механизмов регулирования общественных отношений, возникающих в информационной сфере, является приоритетным направлением государственной политики в области обеспечения информационной безопасности Российской Федерации.

Это предполагает: оценку эффективности применения действующих законодательных и иных нормативных правовых актов в информационной сфере и выработку программы их совершенствования; создание организационно-правовых механизмов обеспечения информационной безопасности; определение правового статуса всех субъектов отношений в информационной сфере, включая пользователей информационных и телекоммуникационных систем, и установление их ответственности за соблюдение законодательства Российской Федерации в данной сфере; создание системы сбора и анализа данных об источниках угроз информационной безопасности Российской Федерации, а также о последствиях их осуществления; разработку нормативных правовых актов, определяющих организацию следствия и процедуру судебного разбирательства по фактам противоправных действий в информационной сфере, а также порядок ликвидации последствий этих противоправных действий; разработку составов правонарушений с учетом специфики уголовной, гражданской, административной, дисциплинарной ответственности и включение соответствующих правовых норм в уголовный, гражданский, административный и трудовой кодексы, в законодательство Российской Федерации о государственной службе; совершенствование системы подготовки кадров, используемых в области обеспечения информационной безопасности Российской Федерации.

Правовое обеспечение информационной безопасности Российской Федерации должно базироваться, прежде всего, на соблюдении принципов законности, баланса интересов граждан, общества и государства в информационной сфере. Соблюдение принципа законности требует от федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации при решении возникающих в информационной сфере конфликтов неукоснительно руководствоваться законодательными и иными нормативными правовыми актами, регулирующими отношения в этой сфере. Соблюдение принципа баланса интересов граждан, общества и государства в информационной сфере предполагает законодательное закрепление приоритета этих интересов в различных областях жизнедеятельности общества, а также использование форм общественного контроля деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации. Реализация гарантий конституционных прав и свобод человека и гражданина, касающихся деятельности в информационной сфере, является важнейшей задачей государства в области информационной безопасности. Разработка механизмов правового обеспечения информационной безопасности Российской Федерации включает в себя мероприятия по информатизации правовой сферы в целом. В целях выявления и согласования интересов федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и других субъектов отношений в информационной сфере, выработки необходимых решений государство поддерживает формирование общественных советов, комитетов и комиссий с широким представительством общественных объединений и содействует организации их эффективной работы.

Особенности сертификации и стандартизации криптографических услуг

Практически во всех странах, обладающих развитыми криптографическими технологиями, разработка СКЗИ относится к сфере государственного регулирования. Государственное регулирование включает, как правило, лицензирование деятельности, связанной с разработкой и эксплуатацией криптографических средств, сертификацию СКЗИ и стандартизацию алгоритмов криптографических преобразований.

Лицензированию подлежат следующие виды деятельности: разработка, производство, проведение сертификационных испытаний, реализация, эксплуатация шифровальных средств, предназначенных для криптографической защиты информации, содержащей сведения, составляющие государственную или иную охраняемую законом тайну, при ее обработке, хранении и передаче по каналам связи, а также предоставление услуг в области шифрования этой информации; разработка, производство, проведение сертификационных испытаний, эксплуатация систем и комплексов телекоммуникаций высших органов государственной власти Российской Федерации; разработка, производство, проведение сертификационных испытаний, реализация, эксплуатация закрытых систем и комплексов телекоммуникаций органов власти субъектов Российской Федерации, центральных органов федеральной исполнительной власти, организаций, предприятий, банков и иных учреждений, расположенных на территории Российской Федерации, независимо от их ведомственной принадлежности и форм собственности (далее - закрытых систем и комплексов телекоммуникаций), предназначенных для передачи информации, составляющей государственную или иную охраняемую законом тайну; проведение сертификационных испытаний, реализация и эксплуатация шифровальных средств, закрытых систем и комплексов телекоммуникаций, предназначенных для обработки информации, не содержащей сведений, составляющих государственную или иную охраняемую законом тайну, при ее обработке, хранении и передаче по каналам связи, а также предоставление услуг в области шифрования этой информации

К шифровальным средствам относятся: реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, обеспечивающие безопасность информации при ее обработке, хранении и передаче по каналам связи, включая шифровальную технику; реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства защиты от несанкционированного доступа к информации при ее обработке и хранении; реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства защиты от навязывания ложной информации, включая средства имитозащиты и "цифровой подписи"; аппаратные, аппаратно-программные и программные средства для изготовления ключевых документов к шифровальным средствам независимо от вида носителя ключевой информации.

К закрытым системам и комплексам телекоммуникаций относятся системы и комплексы телекоммуникаций, в которых обеспечивается защита информации с использованием шифровальных средств, защищенного оборудования и организационных мер.

Дополнительно лицензированию подлежат следующие виды деятельности: эксплуатация шифровальных средств и/или средств цифровой подписи, а также шифровальных средств для защиты электронных платежей с использованием пластиковых кредитных карточек и смарт – карт; оказание услуг по защите (шифрованию) информации; монтаж, установка, наладка шифровальных средств и/или средств цифровой подписи, шифровальных средств для защиты электронных платежей с использованием пластиковых кредитных карточек и смарт – карт; разработка шифровальных средств и/или средств цифровой подписи, шифровальных средств для защиты электронных платежей с использованием пластиковых кредитных карточек и смарт-карт

Порядок сертификации СКЗИ установлен "Системой сертификации средств криптографической защиты информации РОСС.Р11.0001.030001 Госстандарта России.

Стандартизация алгоритмов криптографических преобразований включает всесторонние исследования и публикацию в виде стандартов элементов криптографических процедур с целью использования разработчиками СКЗИ апробированных криптографически стойких преобразований, обеспечения возможности совместной работы различных СКЗИ, а также возможности тестирования и проверки соответствия реализации СКЗИ заданному стандартом алгоритму. В России приняты следующие стандарты - алгоритм криптографического преобразования 28147-89, алгоритмы хеширования, простановки и проверки цифровой подписи Р34.10.94 и Р34.11.94. Из зарубежных стандартов широко известны и применяются алгоритмы шифрования DES, RC2, RC4, алгоритмы хеширования МD2, МD4 и МD5, алгоритмы простановки и проверки цифровой подписи DSS и RSA.

Законодательная база информационной безопасности

Основные понятия, требования, методы и средства проектирования и оценки системы информационной безопасности для информационных систем (ИС) отражены в следующих основополагающих документах:

"Оранжевая книга" Национального центра защиты компьютеров

"Гармонизированные критерии Европейских стран (ITSEC)";

Концепция защиты от НСД Госкомиссии при Президенте РФ.

Концепция информационной безопасности

Концепция безопасности разрабатываемой системы – "это набор законов, правил и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию. В частности, правила определяют, в каких случаях пользователь имеет право оперировать с определенными наборами данных. Чем надежнее система, тем строже и многообразнее должна быть концепция безопасности. В зависимости от сформулированной концепции можно выбирать конкретные механизмы, обеспечивающие безопасность системы. Концепция безопасности – это активный компонент защиты, включающий в себя анализ возможных угроз и выбор мер противодействия".

Концепция безопасности разрабатываемой системы согласно "Оранжевой книге" должна включать в себя следующие элементы:

Произвольное управление доступом;

Безопасность повторного использования объектов;

Метки безопасности;

Принудительное управление доступом.

Рассмотрим содержание перечисленных элементов.

Произвольное управление доступом – это метод ограничения доступа к объектам, основанный на учете личности субъекта или группы, в которую субъект входит. Произвольность управления состоит в том, что некоторое лицо (обычно владелец объекта) может по своему усмотрению давать другим субъектам или отбирать у них права доступа к объекту.

Главное достоинство произвольного управления доступом – гибкость, главные недостатки – рассредоточенность управления и сложность централизованного контроля, а также оторванность прав доступа от данных, что позволяет копировать секретную информацию в общедоступные файлы.

Безопасность повторного использования объектов – важное на практике дополнение средств управления доступом, предохраняющее от случайного или преднамеренного извлечения секретной информации из "мусора". Безопасность повторного использования должна гарантироваться для областей оперативной памяти (в частности, для буферов с образами экрана, расшифрованными паролями и т.п.), для дисковых блоков и магнитных носителей в целом.

Метки безопасности ассоциируются с субъектами и объектами для реализации принудительного управления доступом. Метка субъекта описывает его благонадежность, метка объекта – степень закрытости содержащейся в нем информации. Согласно "Оранжевой книге" метки безопасности состоят из двух частей – уровня секретности и списка категорий. Главная проблема, которую необходимо решать в связи с метками, – это обеспечение их целостности. Во-первых, не должно быть непомеченных субъектов и объектов, иначе в меточной безопасности появятся легко используемые бреши. Во-вторых, при любых операциях с данными метки должны оставаться правильными. Одним из средств обеспечения целостности меток безопасности является разделение устройств на многоуровневые и одноуровневые. На многоуровневых устройствах может храниться информация разного уровня секретности (точнее, лежащая в определенном диапазоне уровней). Одноуровневое устройство можно рассматривать как вырожденный случай многоуровневого, когда допустимый диапазон состоит из одного уровня. Зная уровень устройства, система может решить, допустимо ли записывать на него информацию с определенной меткой.

Принудительное управление доступом основано на сопоставлении меток безопасности субъекта и объекта. Этот способ управления доступом называется принудительным, поскольку он не зависит от воли субъектов (даже системных администраторов). Принудительное управление доступом реализовано во многих вариантах операционных систем и СУБД, отличающихся повышенными мерами безопасности.

Криптография (от древне-греч. κρυπτος – скрытый и γραϕω – пишу) – наука о методах обеспечения конфиденциальности и аутентичности информации.

Криптография представляет собой совокупность методов преобразования данных, направленных на то, чтобы сделать эти данные бесполезными для злоумышленника. Такие преобразования позволяют решить два главных вопроса, касающихся безопасности информации:

  • защиту конфиденциальности;
  • защиту целостности.

Проблемы защиты конфиденциальности и целостности информации тесно связаны между собой, поэтому методы решения одной из них часто применимы для решения другой.

Известны различные подходы к классификации методов криптографического преобразования информации. По виду воздействия на исходную информацию методы криптографического преобразования информации могут быть разделены на четыре группы:

Отправитель генерирует открытый текст исходного сообщения М , которое должно быть передано законному получателю по незащищённому каналу. За каналом следит перехватчик с целью перехватить и раскрыть передаваемое сообщение. Для того чтобы перехватчик не смог узнать содержание сообщения М , отправитель шифрует его с помощью обратимого преобразования Ек и получает шифртекст (или криптограмму) С=Ек(М) , который отправляет получателю.

Законный получатель, приняв шифртекст С , расшифровывает его с помощью обратного преобразования Dк(С) и получает исходное сообщение в виде открытого текста М .

Преобразование Ек выбирается из семейства криптографических преобразований, называемых криптоалгоритмами. Параметр, с помощью которого выбирается отдельное преобразование, называется криптографическим ключом К .

Криптосистема имеет разные варианты реализации: набор инструкций, аппаратные средства, комплекс программ, которые позволяют зашифровать открытый текст и расшифровать шифртекст различными способами, один из которых выбирается с помощью конкретного ключа К .

Преобразование шифрования может быть симметричным и асимметричным относительно преобразования расшифрования. Это важное свойство определяет два класса криптосистем:

  • симметричные (одноключевые) криптосистемы;
  • асимметричные (двухключевые) криптосистемы (с открытым ключом).

Симметричное шифрование

Симметричное шифрование, которое часто называют шифрованием с помощью секретных ключей, в основном используется для обеспечения конфиденциальности данных. Для того чтобы обеспечить конфиденциальность данных, пользователи должны совместно выбрать единый математический алгоритм, который будет использоваться для шифрования и расшифровки данных. Кроме того, им нужно выбрать общий (секретный) ключ, который будет использоваться с принятым ими алгоритмом шифрования/дешифрования, т.е. один и тот же ключ используется и для зашифрования, и для расшифрования (слово "симметричный" означает одинаковый для обеих сторон).

Пример симметричного шифрования показан на рис. 2.2 .

Сегодня широко используются такие алгоритмы шифрования, как Data Encryption Standard (DES), 3DES (или "тройной DES") и International Data Encryption Algorithm (IDEA). Эти алгоритмы шифруют сообщения блоками по 64 бита. Если объем сообщения превышает 64 бита (как это обычно и бывает), необходимо разбить его на блоки по 64 бита в каждом, а затем каким-то образом свести их воедино. Такое объединение, как правило, происходит одним из следующих четырех методов:

  • электронной кодовой книги (Electronic Code Book, ECB);
  • цепочки зашифрованных блоков (Cipher Block Changing, CBC);
  • x-битовой зашифрованной обратной связи (Cipher FeedBack, CFB-x);
  • выходной обратной связи (Output FeedBack, OFB).

Triple DES (3DES) – симметричный блочный шифр, созданный на основе алгоритма DES, с целью устранения главного недостатка последнего – малой длины ключа (56 бит), который может быть взломан методом полного перебора ключа. Скорость работы 3DES в 3 раза ниже, чем у DES, но криптостойкость намного выше. Время, требуемое для криптоанализа 3DES, может быть намного больше, чем время, нужное для вскрытия DES.

Алгоритм AES (Advanced Encryption Standard), также известный как Rijndael – симметричный алгоритм блочного шифрования – шифрует сообщения блоками по 128 бит, использует ключ 128/192/256 бит.

Шифрование с помощью секретного ключа часто используется для поддержки конфиденциальности данных и очень эффективно реализуется с помощью неизменяемых "вшитых" программ (firmware). Этот метод можно использовать для аутентификации и поддержания целостности данных.

С методом симметричного шифрования связаны следующие проблемы:

  • необходимо часто менять секретные ключи, поскольку всегда существует риск их случайного раскрытия (компрометации);
  • достаточно сложно обеспечить безопасность секретных ключей при их генерировании, распространении и хранении.

Средства криптографической защиты информации применяются для защиты личных или секретных сведений, передающихся по линиям связи. Чтобы сохранить конфиденциальность данных, рекомендуется пройти авторизацию, аутентификацию сторон при помощи протоколов TLS, IPSec, обеспечить безопасность электронной подписи и самого канала связи.

Компания ISBC предлагает эффективные решения под брендом , касающиеся применения безопасных хранилищ для важной информации, электронной подписи, охраны доступа при использовании систем контроля. С нами сотрудничают крупнейшие государственные организации, включая ФНС России, ведущие производители средств криптографической защиты информации и разработчики программного обеспечения, удостоверяющие центры, работающие в разных регионах России.

СКЗИ: виды, применение

При использовании СКЗИ применяются следующие методы:

  1. Авторизация данных, обеспечение криптозащиты их юридической значимости в процессе передачи, хранения. Для этого используются алгоритмы формирования электронного ключа, его проверки в соответствии с указанным регламентом.
  2. Криптографическая защита личной или секретной информации, контроль над ее целостностью. Применение ассиметричного шифрования, имитозащита (исключение вероятности подмены данных).
  3. Криптографическая защита прикладного, системного программного обеспечения. Обеспечение контроля над несанкционированными изменениями, некорректной работой.
  4. Управление основными элементами системы согласно установленному регламенту.
  5. Аутентификация сторон, которые обмениваются данными.
  6. Криптографическая защита передачи информации с применением протокола TLS.
  7. Использование средств криптографической защиты IP-соединений путем использования ESP, IKE, AH.

Полное описание применения средств криптографической защиты информации содержится в профильных документах.

Решения СКЗИ

В процессе обеспечения информационной безопасности СКЗИ применяют нижеперечисленные методы:

  1. Аутентификация в приложениях осуществляется благодаря Blitz Identity Provider. Сервер аутентификации позволяет, используя единую учетную запись, управлять подключенными ресурсами любых типов (приложения Native, Web, Desktop), обеспечивает строгую проверку подлинности пользователи при помощи токена, смарт-карты.
  2. В момент установления связи опознание сторон обеспечивается благодаря электронной подписи. Inter-PRO обеспечивает защиту HTTP-трафика, возможность редактирования, контроля цифровой подписи онлайн.
  3. Средства для криптографической защиты, применяемые для конфиденциальности цифрового документооборота, также используют электронную подпись. Для работы с электронным ключом в формате веб-приложения применяется плагин Blitz Smart Card Plugin.
  4. Применение криптографических средств защиты позволяет исключить внедрение закладных устройств и вредоносного ПО, модификацию системы.

Классификация СКЗИ

Средства, используемые для криптографической защиты открытой информации в разных системах, обеспечения конфиденциальности в открытых сетях, нацелены на защиту целостности данных. Важно, что применение подобных инструментов для хранения государственной тайны запрещено законодательством, но вполне подходит для обеспечения сохранности персональных сведений.

Средства, используемые для криптографической защиты информации, классифицируются в зависимости от вероятной угрозы, оценки вероятного способа взлома системы. Они зависят от наличия недокументированных возможностей или несоответствия заявленным характеристикам, которые могут содержать:

  1. системное ПО;
  2. прикладное ПО;
  3. прочие недостатки носителя информации.

Программная защита представлена комплексом решений, предназначенных для шифрования сообщений, размещенных на разных носителях информации. Такими носителями информации могут быть карты памяти, флешки или жесткие диски. Самые простые из них можно найти в открытом доступе. К программной криптозащите можно отнести виртуальные сети, предназначенные для обмена сообщениями, работающими «поверх Интернета», например, VPN, расширения, имеющие протокол HTTP, поддерживающие расширения для шифрования HTTPS, SSL. Протоколы, используемые для обмена сведениями, применяются для создания интернет-приложений, в IP-телефонии.

Программную криптозащиту удобно использовать на домашних компьютерах, для серфинга по сети Интернет, в других областях, где не предъявляются высокие требования к функциональности, надежности системы. Или, как при использовании сети интернет, требуется создание большого количества различных защищенных соединений.


Системы аппаратной криптозащиты

Средства аппаратной криптографической защиты представляют собой физические приборы, связанные с системой передачи данных, обеспечивающие шифрование, запись, передачу сведений. Аппараты могут представлять собой персональные устройства или выглядеть в качестве:

  • USB-шифраторов, флеш-дисков.

Используя эти устройства можно построить идеально защищенные компьютерные сети.

Средства аппаратной криптозащиты легко устанавливаются, выдают высокую скорость отклика. Информация, необходимая для обеспечения высокого уровня криптографической защиты, размещается в памяти устройства. Она может быть считана контактным или бесконтактным способом.

При использовании СКЗИ, выпускаемых под брендом ESMART, вы получите эффективные технологии, осуществляющие эффективную криптографическую защиту в режимах онлайн или оффлайн, аутентификацию пользователя при помощи токенов, смарт-карт или биометрических данных. Сочетание аппаратных методов с программными решениями позволяет получить самый высокий уровень защиты при небольших затратах времени, сил в процессе обмена информацией.


Важной особенностью продуктовой линейки средств криптографической защиты ESMART® является наличие единственного в своем роде продукта – , основанного на отечественной микросхеме MIK 51 от ПАО «Микрон», с помощью которого можно эффективно решить многие проблемы, связанные с безопасностью и защитой данных. Он представляет собой СКЗИ с аппаратной поддержкой российских криптографических алгоритмов ГОСТ на базе отечественной микросхемы.

СКЗИ ESMART® Token ГОСТ выпускается в виде смарт-карт и токенов. Разработка компании ESMART сертифицирована ФСБ России по классам КС1/КС2/КС3. Сертификат №СФ/124-3668 удостоверяет, что СКЗИ ESMART Token ГОСТ, соответствует требованиям ФСБ России к шифровальным (криптографическим) средствам класса КС1/КС2/КС3, требованиям к средствам электронной подписи, утвержденным приказом ФСБ №796 и может использоваться для криптографической защиты информации, не содержащий сведений, составляющих государственную тайну. Извещение АБПН.1-2018 допускает использовать ГОСТ Р 34.10-2001 в СКЗИ ESMART Token ГОСТ в течении срока действия сертификата в связи переносом сроков перехода на ГОСТ Р 34.10-2012 до 1 января 2020 года. Также ESMART® Token ГОСТ может использоваться для генерации ключей, формирования и проверки электронной подписи, строгой многофакторной аутентификации пользователей и др.

Компания ESMART предлагает приобрести современные СКЗИ по лучшим ценам от производителя. Наш инженерный R&D центр и производство расположены в Зеленограде. Использование чипов российского производства позволяет предложить лучшие максимально конкурентоспособные цены на средства криптографической защиты информации для государственных проектов, предприятий и организаций.

СКЗИ (средство криптографической защиты информации) - это программа или устройство, которое шифрует документы и генерирует электронную подпись (ЭП). Все операции производятся с помощью ключа электронной подписи, который невозможно подобрать вручную, так как он представляет собой сложный набор символов. Тем самым обеспечивается надежная защита информации.

Как работает СКЗИ

  1. Отправитель создает документ
  2. При помощи СКЗИ и закрытого ключа ЭП добавляет файл подписи, зашифровывает документ и объединяет все в файл, который отправляется получателю
  3. Файл передается получателю
  4. Получатель расшифровывает документ, используя СКЗИ и закрытый ключ своей электронной подписи
  5. Получатель проверяет целостность ЭП, убеждаясь, что в документ не вносились изменения

Виды СКЗИ для электронной подписи

Есть два вида средств криптографической защиты информации: устанавливаемые отдельно и встроенные в носитель.

СКЗИ, устанавливаемое отдельно - это программа, которая устанавливается на любое компьютерное устройство. Такие СКЗИ используются повсеместно, но имеют один недостаток: жесткую привязку к одному рабочему месту. Вы сможете работать с любым количеством электронных подписей, но только на том компьютере или ноутбуке, на котором установлена СКЗИ. Чтобы работать на разных компьютерах, придется для каждого покупать дополнительную лицензию.

При работе с электронными подписями в качестве устанавливаемого СКЗИ чаще всего используется криптопровайдер КриптоПро CSP . Программа работает в Windows, Unix и других операционных системах, поддерживает отечественные стандарты безопасности ГОСТ Р 34.11-2012 и ГОСТ Р 34.10-2012.

Реже используются другие СКЗИ:

  1. Signal-COM CSP
  2. LISSI-CSP
  3. VipNet CSP

Все перечисленные СКЗИ сертифицированы ФСБ и ФСТЭК, соответствуют стандартам безопасности, принятым в России. Для полноценной работы также требуют покупки лицензии.

СКЗИ, встроенные в носитель , представляют собой «вшитые» в устройство средства шифрования, которые запрограммированы на самостоятельную работу. Они удобны своей самодостаточностью. Все необходимое для того, чтобы подписать договор или отчет, уже есть на самом носителе. Не надо покупать лицензии и устанавливать дополнительное ПО. Достаточно компьютера или ноутбука с выходом в интернет. Шифрование и расшифровка данных производятся внутри носителя. К носителям со встроенным СКЗИ относятся Рутокен ЭЦП, Рутокен ЭЦП 2.0 и JaCarta SE.



Эта статья также доступна на следующих языках: Тайский
  • Next

    Огромное Вам СПАСИБО за очень полезную информацию в статье. Очень понятно все изложено. Чувствуется, что проделана большая работа по анализу работы магазина eBay

    • Спасибо вам и другим постоянным читателям моего блога. Без вас у меня не было бы достаточной мотивации, чтобы посвящать много времени ведению этого сайта. У меня мозги так устроены: люблю копнуть вглубь, систематизировать разрозненные данные, пробовать то, что раньше до меня никто не делал, либо не смотрел под таким углом зрения. Жаль, что только нашим соотечественникам из-за кризиса в России отнюдь не до шоппинга на eBay. Покупают на Алиэкспрессе из Китая, так как там в разы дешевле товары (часто в ущерб качеству). Но онлайн-аукционы eBay, Amazon, ETSY легко дадут китайцам фору по ассортименту брендовых вещей, винтажных вещей, ручной работы и разных этнических товаров.

      • Next

        В ваших статьях ценно именно ваше личное отношение и анализ темы. Вы этот блог не бросайте, я сюда часто заглядываю. Нас таких много должно быть. Мне на эл. почту пришло недавно предложение о том, что научат торговать на Амазоне и eBay. И я вспомнила про ваши подробные статьи об этих торг. площ. Перечитала все заново и сделала вывод, что курсы- это лохотрон. Сама на eBay еще ничего не покупала. Я не из России , а из Казахстана (г. Алматы). Но нам тоже лишних трат пока не надо. Желаю вам удачи и берегите себя в азиатских краях.

  • Еще приятно, что попытки eBay по руссификации интерфейса для пользователей из России и стран СНГ, начали приносить плоды. Ведь подавляющая часть граждан стран бывшего СССР не сильна познаниями иностранных языков. Английский язык знают не более 5% населения. Среди молодежи — побольше. Поэтому хотя бы интерфейс на русском языке — это большая помощь для онлайн-шоппинга на этой торговой площадке. Ебей не пошел по пути китайского собрата Алиэкспресс, где совершается машинный (очень корявый и непонятный, местами вызывающий смех) перевод описания товаров. Надеюсь, что на более продвинутом этапе развития искусственного интеллекта станет реальностью качественный машинный перевод с любого языка на любой за считанные доли секунды. Пока имеем вот что (профиль одного из продавцов на ебей с русским интерфейсом, но англоязычным описанием):
    https://uploads.disquscdn.com/images/7a52c9a89108b922159a4fad35de0ab0bee0c8804b9731f56d8a1dc659655d60.png