Dispozitiv de încărcare 

Ce este protecția cripto. Skzy - ce este? mijloace de protecție a informațiilor criptografice. Tipuri de semnătură electronică

Mecanisme de criptare a datelor de asigurat securitatea informatiei societatea este protecția informațiilor criptografice prin criptare criptografică.

Metodele criptografice de protecție a informațiilor sunt utilizate pentru procesarea, stocarea și transmiterea informațiilor pe medii și prin rețele de comunicații.

Protecția criptografică a informațiilor la transmiterea datelor pe distanțe lungi este singura metodă fiabilă de criptare.

Criptografia este o știință care studiază și descrie modelul de securitate a datelor. Criptografia oferă soluții la multe probleme de securitate a informațiilor din rețea: autentificare, confidențialitate, integritate și control al participanților care interacționează.

Termenul „criptare” înseamnă conversia datelor într-o formă care nu poate fi citită pentru oameni și pentru sistemele software fără o cheie de criptare-decriptare. Metodele criptografice de securitate a informațiilor oferă mijloace de securitate a informațiilor, deci face parte din conceptul de securitate a informațiilor.

Obiectivele securității informațiilor se rezumă în cele din urmă la asigurarea confidențialității informațiilor și protejarea informațiilor în sisteme informaticeîn procesul de transmitere a informaţiilor prin reţea între utilizatorii sistemului.

Protecția confidențialității, bazată pe securitatea informațiilor criptografice, criptează datele folosind o familie de transformări reversibile, fiecare dintre acestea fiind descrisă de un parametru numit „cheie” și o ordine care determină ordinea în care este aplicată fiecare transformare.

Cea mai importantă componentă a metodei criptografice de protecție a informațiilor este cheia, care este responsabilă de selectarea transformării și a ordinii de execuție a acesteia. O cheie este o anumită secvență de simboluri care configurează algoritmul de criptare și decriptare a unui sistem de protecție a informațiilor criptografice. Fiecare astfel de transformare este determinată în mod unic de o cheie care definește un algoritm criptografic care asigură protecția informațiilor și securitatea informațiilor sistemului informațional.

Același algoritm pentru protecția informațiilor criptografice poate funcționa în moduri diferite, fiecare dintre ele având anumite avantaje și dezavantaje care afectează fiabilitatea instrumentelor rusești de securitate și securitate a informațiilor.

Metodologia criptografiei simetrice sau secrete.

În această metodologie mijloace tehnice protecția informațiilor, criptarea și decriptarea, destinatarul și expeditorul folosesc aceeași cheie, convenită anterior înainte de a utiliza protecția informațiilor de inginerie criptografică.

În cazul în care cheia nu a fost compromisă, autorul mesajului va fi autentificat automat în timpul procesului de decriptare, întrucât doar el are cheia pentru a decripta mesajul.

Astfel, programele de protejare a informațiilor prin criptografie presupun că expeditorul și destinatarul mesajului sunt singurele persoane care pot cunoaște cheia, iar compromisul acesteia va afecta interacțiunea doar a acestor doi utilizatori ai sistemului informațional.

Problema protecției informațiilor organizaționale în acest caz va fi relevantă pentru orice criptosistem care încearcă să atingă obiectivul de protecție a informațiilor sau de securitate a informațiilor pe Internet, deoarece cheile simetrice trebuie distribuite între utilizatori în siguranță, adică este necesar ca informațiile protectie in retele de calculatoare unde se predau cheile era la un nivel înalt.

Orice algoritm de criptare simetric pentru un criptosistem în mod programatic hardware securitatea informațiilor folosește chei scurte și criptează foarte rapid, în ciuda unor volume mari de date, ceea ce satisface scopul securității informațiilor.

Instrumentele de protecție a informațiilor computerizate bazate pe criptosistem trebuie să utilizeze sisteme de gestionare a cheilor simetrice în următoarea ordine:

· Munca de securitate a informațiilor începe cu faptul că securitatea informațiilor mai întâi creează, distribuie și stochează o cheie simetrică pentru securitatea informațiilor organizaționale;

· În continuare, specialistul în securitatea informațiilor sau expeditorul sistemului de securitate a informațiilor în rețelele de calculatoare creează o semnătură electronică folosind funcția hash a textului și adăugând textului șirul hash rezultat, care trebuie transmis în siguranță către organizația de securitate a informațiilor;

· Conform doctrinei securității informațiilor, expeditorul folosește un algoritm rapid de criptare simetrică într-un instrument de securitate a informațiilor criptografice împreună cu o cheie simetrică a pachetului de mesaje și o semnătură electronică care autentifică utilizatorul sistemului de criptare al instrumentului de securitate a informațiilor criptografice ;

· Un mesaj criptat poate fi transmis în siguranță chiar și prin canale de comunicare nesecurizate, deși este mai bine să faceți acest lucru ca parte a activității de securitate a informațiilor. Dar cheia simetrică trebuie transmisă (conform doctrinei securității informațiilor) prin canale de comunicare în cadrul instrumentelor software și hardware de securitate a informațiilor;

· În sistemul de securitate a informațiilor, de-a lungul istoriei securității informațiilor, conform doctrinei securității informațiilor, destinatarul folosește și un algoritm simetric pentru a decripta pachetul și aceeași cheie simetrică, ceea ce face posibilă restabilirea textului originalului. mesajul și decriptarea semnăturii electronice a expeditorului în sistemul de securitate a informațiilor;

· În sistemul de securitate a informațiilor, destinatarul trebuie acum să separe semnătura electronică de textul mesajului;

· Acum destinatarul compară semnăturile electronice primite anterior și acum pentru a verifica integritatea mesajului și absența datelor distorsionate din acesta, ceea ce în domeniul securității informațiilor se numește integritatea transmiterii datelor.

Metodologie deschisă asimetrică de securitate a informațiilor.

Cunoscând istoria securității informațiilor, puteți înțelege că în această metodologie, cheile de criptare și de decriptare sunt diferite, deși sunt create împreună. Într-un astfel de sistem de securitate a informațiilor, o cheie este distribuită public, iar cealaltă este transmisă în secret, deoarece odată ce datele sunt criptate cu o cheie, acestea pot fi decriptate doar cu alta.

Toate instrumentele de securitate a informațiilor criptografice asimetrice sunt ținta atacurilor unui atacator care operează în domeniul securității informațiilor prin chei direct de forțare brută. Prin urmare, într-o astfel de securitate a informațiilor personale sau a securității psihologice a informațiilor, cheile lungi sunt folosite pentru a face procesul de căutare a cheilor un proces atât de lung, încât piratarea sistemului de securitate a informațiilor va pierde orice semnificație.

Nu este absolut niciun secret, chiar și pentru cei care fac securitatea informațiilor de bază, că pentru a evita încetineala algoritmilor de criptare asimetrică, se creează o cheie simetrică temporară pentru fiecare mesaj, iar apoi numai aceasta este criptată cu algoritmi asimetrici.

Sistemele de securitate psihologică a informațiilor și de securitate a informațiilor personale utilizează următoarea procedură pentru utilizarea cheilor asimetrice:

· În domeniul securității informațiilor, cheile publice asimetrice sunt create și distribuite public. În sistemul de securitate a informațiilor personale, cheia secretă asimetrică este trimisă proprietarului său, iar cheia publică asimetrică este stocată în baza de date și administrată de centrul emitent de certificate al sistemului de securitate a informațiilor, care este controlat de un specialist în securitatea informațiilor. Apoi, securitatea informațiilor, care nu poate fi descărcată gratuit nicăieri, implică faptul că ambii utilizatori trebuie să aibă încredere că un astfel de sistem de securitate a informațiilor creează, administrează și distribuie în siguranță chei care sunt folosite de întreaga organizație de securitate a informațiilor. Mai mult decât atât, dacă în fiecare etapă a securității informațiilor, conform bazelor securității informațiilor, fiecare pas este efectuat de persoane diferite, atunci destinatarul mesajului secret trebuie să creadă că creatorul cheilor le-a distrus copia și nu le-a furnizat. chei pentru oricine altcineva, astfel încât oricine am putea încă descărca protecția informațiilor transmise în sistemul de securitate a informațiilor. Așa procedează orice specialist în securitatea informațiilor.

· În plus, elementele de bază ale securității informațiilor prevăd crearea unei semnături electronice a textului, iar valoarea rezultată este criptată cu un algoritm asimetric. Apoi, toate aceleași elemente de bază ale securității informațiilor presupun că cheia secretă a expeditorului este stocată într-un șir de caractere și se adaugă textului care va fi transmis în sistemul de securitate și securitate a informațiilor, deoarece o semnătură electronică în securitatea informațiilor și securitatea informațiilor poate crea o semnătură electronică!

· Sistemele și instrumentele de securitate a informațiilor rezolvă apoi problema transferului cheii de sesiune către destinatar.

· În continuare, în sistemul de securitate a informațiilor, expeditorul trebuie să primească cheia publică asimetrică a centrului emitent de certificate al organizației și tehnologia de securitate a informațiilor. În această organizație și tehnologie de securitate a informațiilor, interceptarea cererilor necriptate pentru o cheie publică este cel mai frecvent atac al hackerilor. De aceea, în organizarea și tehnologia de securitate a informațiilor se poate implementa un sistem de certificate care confirmă autenticitatea unei chei publice.

Astfel, algoritmii de criptare presupun folosirea cheilor, ceea ce permite protejarea 100% a datelor de la acei utilizatori care nu cunosc cheia.

Protecția informațiilor în rețele locale și tehnologiile de securitate a informațiilor, împreună cu confidențialitatea, sunt necesare pentru a asigura integritatea stocării informațiilor. Adică, protecția informațiilor în rețelele locale trebuie să transmită datele în așa fel încât datele să rămână neschimbate în timpul transmiterii și stocării.

Pentru ca securitatea informației să asigure integritatea stocării și transmiterii datelor, este necesară dezvoltarea unor instrumente care să detecteze eventualele distorsiuni ale datelor sursă, pentru care se adaugă redundanță informațiilor sursă.

Securitatea informațiilor în Rusia cu criptografie rezolvă problema integrității prin adăugarea unui fel de sumă de control sau combinație de verificare pentru a calcula integritatea datelor. Astfel, din nou modelul de securitate a informațiilor este criptografic - dependent de cheie. Conform evaluărilor de securitate a informațiilor bazate pe criptografie, dependența capacității de a citi datele de pe cheia secretă este instrumentul cel mai fiabil și este folosit chiar și în sistemele de securitate a informațiilor de stat.

De regulă, un audit al securității informațiilor unei întreprinderi, de exemplu, securitatea informațiilor băncilor, acordă o atenție deosebită probabilității de a impune cu succes informații distorsionate, iar protecția informațiilor criptografice ne permite să reducem această probabilitate la un nivel neglijabil. . Un astfel de serviciu de securitate a informațiilor numește această probabilitate o măsură a rezistenței la imitare a unui cifr sau a capacității datelor criptate de a rezista unui atac al unui cracker.

Protejarea informațiilor de viruși sau sisteme de securitate informatii economice trebuie să suporte în mod necesar autentificarea utilizatorului pentru a identifica utilizatorul reglementat al sistemului și pentru a preveni intrarea unui atacator în sistem.

Verificarea și confirmarea autenticității datelor utilizatorului în toate domeniile de interacțiune informațională este o problemă componentă importantă a asigurării fiabilității oricărei informații primite și a sistemului de securitate a informațiilor la nivelul întreprinderii.

Securitatea informațională a băncilor este deosebit de acută atunci când vine vorba de problema neîncrederii părților care interacționează între ele, unde conceptul de securitate a informațiilor a unui SI include nu numai o amenințare externă din partea unei terțe părți, ci și o amenințare la adresa securității informațiilor ( prelegeri) de la utilizatori.

Semnatura digitala

protecția securității informațiilor neautorizată

Uneori, utilizatorii IS doresc să renunțe la obligațiile acceptate anterior și să încerce să modifice datele sau documentele create anterior. Doctrina de securitate a informațiilor a Federației Ruse ia în considerare acest lucru și suprimă astfel de încercări.

Protejarea informațiilor confidențiale folosind o singură cheie este imposibilă într-o situație în care un utilizator nu are încredere în altul, deoarece expeditorul poate apoi nega că mesajul a fost transmis. Mai mult, în ciuda protecției informațiilor confidențiale, un al doilea utilizator poate modifica datele și poate atribui autoritatea unui alt utilizator al sistemului. Desigur, indiferent de ce protectie software informații sau protecția informațiilor tehnice, adevărul nu poate fi stabilit în această dispută.

O semnătură digitală într-un astfel de sistem de protecție a informațiilor din sistemele informatice este un panaceu pentru problema autorului. Protejarea informațiilor în sistemele informatice cu semnătură digitală conține 2 algoritmi: pentru calcularea semnăturii și pentru verificarea acesteia. Primul algoritm poate fi executat doar de autor, iar al doilea este în acces public astfel încât oricine să poată verifica în orice moment corectitudinea semnăturii digitale.

Termenul „criptografie” provine din cuvintele grecești antice „ascuns” și „scrie”. Expresia exprimă scopul principal al criptografiei - protecția și păstrarea secretelor informațiilor transmise. Protecția informațiilor poate avea loc în diferite moduri. De exemplu, prin limitarea accesului fizic la date, ascunderea canalului de transmisie, crearea dificultăților fizice în conectarea la liniile de comunicație etc.

Scopul criptografiei

Spre deosebire de metodele tradiționale de scriere secretă, criptografia presupune accesibilitatea deplină a canalului de transmisie pentru atacatori și asigură confidențialitatea și autenticitatea informațiilor folosind algoritmi de criptare care fac informațiile inaccesibile citirii din exterior. Sistem modern Protecția informațiilor criptografice (CIPF) este un sistem informatic software și hardware care asigură protecția informațiilor conform următorilor parametri de bază.

  • Confidențialitate- imposibilitatea citirii informațiilor de către persoanele care nu au drepturi de acces corespunzătoare. Componenta principală a asigurării confidențialității în CIPF este cheia, care este o combinație alfanumerică unică pentru accesul utilizatorului la un anumit bloc CIPF.
  • Integritate- imposibilitatea modificărilor neautorizate, cum ar fi editarea și ștergerea informațiilor. Pentru a face acest lucru, la informațiile originale se adaugă redundanță sub forma unei combinații de verificare, calculată folosind un algoritm criptografic și în funcție de cheie. Astfel, fără a cunoaște cheia, adăugarea sau modificarea informațiilor devine imposibilă.
  • Autentificare- confirmarea autenticității informațiilor și a părților care le transmit și le primesc. Informațiile transmise prin canalele de comunicare trebuie să fie autentificate în mod unic prin conținut, momentul creării și transmiterii, sursă și destinatar. Trebuie amintit că sursa amenințărilor poate fi nu numai atacatorul, ci și părțile implicate în schimbul de informații cu o încredere reciprocă insuficientă. A preveni situatii similare CIPF folosește un sistem de marcaje temporale pentru a preveni trimiterea repetată sau inversă a informațiilor și modificarea ordinii de apariție a acestora.

  • Paternitatea- confirmarea și imposibilitatea de a refuza acțiunile efectuate de utilizatorul informațiilor. Cea mai comună metodă de autentificare este sistemul EDS format din doi algoritmi: pentru crearea unei semnături și pentru verificarea acesteia. Când lucrați intens cu ECC, se recomandă utilizarea centrelor de certificare software pentru a crea și gestiona semnăturile. Astfel de centre pot fi implementate ca instrument CIPF care este complet independent de structura internă. Ce înseamnă asta pentru organizație? Aceasta înseamnă că toate tranzacțiile sunt procesate de organizații independente certificate și falsificarea dreptului de autor este aproape imposibilă.

Algoritmi de criptare

În prezent, printre CIPF predomină algoritmii de criptare deschise care utilizează chei simetrice și asimetrice cu o lungime suficientă pentru a oferi complexitatea criptografică necesară. Cei mai des întâlniți algoritmi:

  • chei simetrice - rusă R-28147.89, AES, DES, RC4;
  • chei asimetrice - RSA;
  • folosind funcții hash - R-34.11.94, MD4/5/6, SHA-1/2.

Multe țări au propriile lor standardele nationaleÎn SUA, se utilizează un algoritm AES modificat cu o lungime a cheii de 128-256 de biți, iar în Federația Rusă, algoritmul de semnătură electronică R-34.10.2001 și algoritmul criptografic bloc R-28147.89 cu o cheie de 256 de biți. Unele elemente ale sistemelor criptografice naționale sunt interzise pentru export în afara țării, activitățile de dezvoltare a CIPF necesită licențiere.

Sisteme hardware de protecție criptografică

Hardware CIPF este dispozitive fizice, care conține software pentru criptarea, înregistrarea și transmiterea informațiilor. Dispozitivele de criptare pot fi realizate sub formă de dispozitive personale, cum ar fi criptoare ruToken USB și unități flash IronKey, carduri de expansiune pentru calculatoare personale, switch-uri și routere de rețea specializate, pe baza cărora este posibilă construirea de rețele de computere complet securizate.

Sistemele hardware de protecție a informațiilor criptografice sunt instalate rapid și funcționează cu acestea de mare viteză. Dezavantaje - mare, în comparație cu software și hardware-software CIPF, cost și oportunități limitate modernizare.

De asemenea, în categoria hardware sunt incluse unitățile CIPF încorporate în diferite dispozitive de înregistrare și transmitere a datelor care necesită criptare și restricție de acces la informații. Astfel de dispozitive includ turometre auto, înregistrarea parametrilor vehiculelor, a unor tipuri de echipamente medicale etc. Pentru funcționarea completă a unor astfel de sisteme, este necesară activarea separată a modulului CIPF de către specialiștii furnizorului.

Sisteme software de protecție criptografică

Software CIPF este un pachet software special pentru criptarea datelor de pe medii de stocare (hard și flash drive, carduri de memorie, CD/DVD) și atunci când sunt transmise prin Internet ( e-mailuri, fișiere în atașamente, chat-uri protejate etc.). Există destul de multe programe, inclusiv gratuite, de exemplu, DiskCryptor. Software-ul CIPF poate include, de asemenea, protejat rețele virtuale schimbul de informații care operează „pe deasupra Internetului” (VPN), o extensie a protocolului Internet HTTP cu suport pentru criptarea HTTPS și SSL - un protocol de transfer de informații criptografice utilizat pe scară largă în sistemele de telefonie IP și aplicațiile Internet.

Sistemele software de protecție a informațiilor criptografice sunt utilizate în principal pe Internet, pe computerele de acasă și în alte domenii în care cerințele pentru funcționalitatea și stabilitatea sistemului nu sunt foarte mari. Sau cum este cazul Internetului, când trebuie să creați mai multe conexiuni sigure diferite în același timp.

Protecție criptografică software și hardware

Combine cele mai bune calități hardware și sisteme software CIPF. Acesta este cel mai fiabil și funcțional mod de a crea sisteme și rețele de date sigure. Sunt acceptate toate opțiunile de identificare a utilizatorului, atât hardware (unitate USB sau smart card), cât și „tradiționale” - login și parolă. Sistemele software și hardware de protecție a informațiilor criptografice acceptă toate algoritmi moderni criptare, au o gamă largă de funcții pentru crearea fluxului de documente securizat bazat pe semnături digitale, toate certificatele guvernamentale necesare. Instalarea CIPF este realizată de personal calificat pentru dezvoltatori.

Compania „CRYPTO-PRO”

Unul dintre liderii pieței criptografice rusești. Compania dezvoltă o gamă completă de programe de protecție a informațiilor folosind semnături digitale bazate pe algoritmi criptografici internaționali și ruși.

Programele companiei sunt utilizate în managementul documentelor electronice comerciale și organizatii guvernamentale, pentru depunerea raportărilor contabile și fiscale, în diverse programe de oraș și buget etc. Compania a eliberat peste 3 milioane de licențe pentru programul CryptoPRO CSP și 700 de licențe pentru centrele de certificare. Crypto-PRO oferă dezvoltatorilor interfețe pentru încorporarea elementelor de protecție criptografică în propriile lor și oferă o gamă completă de servicii de consultanță pentru crearea CIPF.

Furnizorul criptografic CryptoPro

La dezvoltarea CIPF CSP CryptoProîncorporat în sala de operație a fost folosit sistem Windows arhitectură criptografică Furnizori de servicii criptografice. Arhitectura vă permite să conectați module independente suplimentare care implementează algoritmii de criptare necesari. Cu ajutorul modulelor care funcționează prin funcțiile CryptoAPI, protecția criptografică poate fi implementată atât de software, cât și de hardware CIPF.

Purtători de chei

Pot fi utilizate diferite tipuri de chei private:

  • carduri inteligente și cititoare;
  • încuietori și cititoare electronice care funcționează cu dispozitive Touch Memory;
  • diverse chei USB și unități USB detașabile;
  • fișiere de sistem Registrul Windows, Solaris, Linux.

Funcții criptoprovider

CIPF CryptoPro CSP este pe deplin certificat de FAPSI și poate fi utilizat pentru:

2. Confidențialitatea, autenticitatea și integritatea completă a datelor utilizând protecția prin criptare și simulare în conformitate cu standardele rusești de criptare și Protocolul TLS.

3. Verificări și controale de integritate codul programului pentru a preveni modificarea și accesul neautorizat.

4. Crearea reglementărilor de protecție a sistemului.

Instrumentele de protecție a informațiilor criptografice, sau pe scurt CIPF, sunt utilizate pentru a asigura o protecție completă a datelor transmise prin liniile de comunicație. Pentru a face acest lucru, este necesar să respectați autorizarea și protecția semnatura electronica, autentificarea părților care comunică folosind protocoalele TLS și IPSec, precum și protecția canalului de comunicație propriu-zis, dacă este necesar.

În Rusia folosiți mijloace criptografice Protecția informațiilor este în mare parte clasificată, așa că există puține informații disponibile public pe această temă.

Metode utilizate în CIPF

  • Autorizarea datelor și asigurarea securității semnificației lor juridice în timpul transmiterii sau stocării. Pentru a face acest lucru, folosesc algoritmi pentru crearea unei semnături electronice și verificarea acesteia în conformitate cu reglementările stabilite RFC 4357 și folosesc certificate conform standardului X.509.
  • Protejarea confidențialității datelor și monitorizarea integrității acestora. Se utilizează criptarea asimetrică și protecția împotriva imitației, adică contracarând substituția de date. Respectat GOST R 34.12-2015.
  • Protecția software-ului de sistem și aplicație. Monitorizați modificările neautorizate sau funcționarea incorectă.
  • Gestionarea celor mai importante elemente ale sistemului în strictă conformitate cu reglementările adoptate.
  • Autentificarea părților care fac schimb de date.
  • Securizarea conexiunii folosind protocolul TLS.
  • Protejarea conexiunilor IP folosind protocoalele IKE, ESP, AH.

Metodele sunt descrise în detaliu în următoarele documente: RFC 4357, RFC 4490, RFC 4491.

Mecanismele CIPF pentru protecția informațiilor

  1. Confidențialitatea informațiilor stocate sau transmise este protejată prin utilizarea algoritmilor de criptare.
  2. La stabilirea unei conexiuni, identificarea este furnizată prin intermediul unei semnături electronice atunci când este utilizată în timpul autentificării (așa cum este recomandat de X.509).
  3. Fluxul documentelor digitale este, de asemenea, protejat de semnături electronice, împreună cu protecție împotriva impunerii sau repetarii, în timp ce autenticitatea cheilor utilizate pentru verificarea semnăturilor electronice este monitorizată.
  4. Integritatea informațiilor este asigurată prin intermediul unei semnături digitale.
  5. Utilizarea funcțiilor de criptare asimetrică vă ajută să vă protejați datele. În plus, funcțiile hashing sau algoritmii de uzurpare a identității pot fi utilizați pentru a verifica integritatea datelor. Cu toate acestea, aceste metode nu acceptă determinarea dreptului de autor a unui document.
  6. Apare protecția la reluare funcții criptografice semnătură electronică pentru criptare sau protecție împotriva imitației. În acest caz, la fiecare sesiune de rețea este adăugat un identificator unic, suficient de lung pentru a exclude coincidența aleatorie a acesteia, iar verificarea este implementată de partea care primește.
  7. Protecția împotriva impunerii, adică împotriva pătrunderii în comunicare din exterior, este asigurată prin intermediul semnăturii electronice.
  8. O altă protecție - împotriva marcajelor, virușilor, modificărilor sistemului de operare etc. - este asigurată folosind diverse mijloace criptografice, protocoale de securitate, software antivirus și măsuri organizatorice.

După cum puteți vedea, algoritmii de semnătură electronică sunt o parte fundamentală a unui mijloc de protecție a informațiilor criptografice. Ele vor fi discutate mai jos.

Cerințe pentru utilizarea CIPF

CIPF are ca scop protejarea (prin verificarea unei semnături electronice) a datelor deschise din diverse sisteme informatice uz generalși asigurarea confidențialității acestora (verificarea semnăturii electronice, protecția împotriva imitațiilor, criptarea, verificarea hash) în rețelele corporative.

Un instrument de protecție a informațiilor criptografice personale este utilizat pentru a proteja datele personale ale utilizatorului. Cu toate acestea, un accent deosebit trebuie pus pe informațiile legate de secretele de stat. Conform legii, CIPF nu poate fi folosit pentru a lucra cu el.

Important: înainte de a instala CIPF, ar trebui să verificați mai întâi pachetul software CIPF. Acesta este primul pas. De obicei, integritatea pachetului de instalare este verificată prin compararea sumelor de control primite de la producător.

După instalare, ar trebui să determinați nivelul de amenințare, pe baza căruia puteți determina tipurile de CIPF necesare pentru utilizare: software, hardware și hardware-software. De asemenea, trebuie avut în vedere faptul că la organizarea unor CIPF este necesar să se țină cont de amplasarea sistemului.

Clasele de protectie

Conform ordinului FSB al Rusiei din 10 iulie 2014, numărul 378, care reglementează utilizarea mijloacelor criptografice de protecție a informațiilor și a datelor cu caracter personal, sunt definite șase clase: KS1, KS2, KS3, KB1, KB2, KA1. Clasa de protecție pentru un anumit sistem este determinată dintr-o analiză a datelor despre modelul intrusului, adică dintr-o evaluare moduri posibile piratarea sistemului. Protecția în acest caz este construită din protecția informațiilor criptografice software și hardware.

AC (amenințările curente), după cum se poate observa din tabel, sunt de 3 tipuri:

  1. Primul tip de amenințări sunt asociate cu capabilități nedocumentate în software-ul de sistem utilizat în Sistem informatic.
  2. Amenințările de al doilea tip sunt asociate cu capabilități nedocumentate în aplicația software utilizată în sistemul informațional.
  3. Al treilea tip de amenințare se referă la toate celelalte.

Capacitățile nedocumentate sunt funcții și proprietăți software, care nu sunt descrise în documentația oficială sau nu corespund acesteia. Adică, utilizarea lor poate crește riscul încălcării confidențialității sau integrității informațiilor.

Pentru claritate, să ne uităm la modelele de intruși a căror interceptare necesită una sau alta clasă de mijloace de protecție a informațiilor criptografice:

  • KS1 - intrusul acționează din exterior, fără asistenți în interiorul sistemului.
  • KS2 este un intrus intern, dar nu are acces la CIPF.
  • KS3 este un intrus intern care este utilizator al CIPF.
  • KV1 este un intrus care atrage resurse terțe, de exemplu, specialiști CIPF.
  • KV2 este un intrus, în spatele căruia se află un institut sau un laborator care lucrează în domeniul studierii și dezvoltării CIPF.
  • KA1 - servicii speciale ale statelor.

Astfel, KS1 poate fi numit clasa de protecție de bază. În consecință, cu cât clasa de protecție este mai mare, cu atât sunt mai puțini specialiști capabili să o asigure. De exemplu, în Rusia, conform datelor pentru 2013, existau doar 6 organizații care aveau un certificat de la FSB și erau capabile să ofere protecție de clasă KA1.

Algoritmi utilizați

Să luăm în considerare principalii algoritmi utilizați în instrumentele de protecție a informațiilor criptografice:

  • GOST R 34.10-2001 și GOST R 34.10-2012 actualizat - algoritmi pentru crearea și verificarea unei semnături electronice.
  • GOST R 34.11-94 și cel mai recent GOST R 34.11-2012 - algoritmi pentru crearea de funcții hash.
  • GOST 28147-89 și mai nou GOST R 34.12-2015 - implementarea algoritmilor de criptare și protecție a datelor.
  • Algoritmi criptografici suplimentari se găsesc în RFC 4357.

Semnatura electronica

Utilizarea instrumentelor de securitate a informațiilor criptografice nu poate fi imaginată fără utilizarea algoritmilor de semnătură electronică, care câștigă o popularitate din ce în ce mai mare.

O semnătură electronică este o parte specială a unui document creată prin transformări criptografice. Sarcina sa principală este identificarea modificărilor neautorizate și determinarea autorului.

Un certificat de semnătură electronică este document separat, care dovedește autenticitatea și proprietatea semnăturii electronice proprietarului acesteia folosind cheia publică. Certificatele sunt emise de autoritățile de certificare.

Deținătorul unui certificat de semnătură electronică este persoana în numele căreia este înregistrat certificatul. Este asociat cu două chei: publică și privată. Cheia privată vă permite să creați o semnătură electronică. Cheie publică conceput pentru a verifica autenticitatea unei semnături prin comunicare criptografică cu o cheie privată.

Tipuri de semnătură electronică

Conform Legii federale nr. 63, semnăturile electronice sunt împărțite în 3 tipuri:

  • semnătură electronică obișnuită;
  • semnătură electronică necalificată;
  • semnătură electronică calificată.

O semnătură electronică simplă este creată prin parole impuse la deschiderea și vizualizarea datelor, sau prin mijloace similare care confirmă indirect proprietarul.

O semnătură electronică necalificată este creată folosind transformări de date criptografice folosind o cheie privată. Datorită acestui fapt, puteți confirma persoana care a semnat documentul și puteți determina dacă au fost efectuate modificări neautorizate asupra datelor.

Semnăturile calificate și necalificate diferă doar prin aceea că, în primul caz, certificatul pentru semnătură electronică trebuie eliberat de un centru de certificare certificat de FSB.

Domeniul de utilizare a semnăturii electronice

Tabelul de mai jos discută domeniul de aplicare al semnăturilor electronice.

Tehnologiile de semnătură electronică sunt utilizate cel mai activ în schimbul de documente. În fluxul documentelor interne, semnătura electronică acționează ca o aprobare a documentelor, adică ca semnătură sau sigiliu personal. În cazul fluxului de documente externe, prezența unei semnături electronice este critică, deoarece este o confirmare legală. De asemenea, este de remarcat faptul că documentele semnate cu semnături electronice pot fi stocate pe termen nelimitat și nu își pierd semnificația legală din cauza unor factori precum semnături șterse, hârtie deteriorată etc.

Raportarea către autoritățile de reglementare este un alt domeniu în care fluxul de documente electronice este în creștere. Multe companii și organizații au apreciat deja confortul de a lucra în acest format.

Conform legii Federației Ruse, fiecare cetățean are dreptul de a utiliza o semnătură electronică atunci când folosește serviciile guvernamentale (de exemplu, semnarea unei cereri electronice pentru autorități).

Comerțul online este un alt domeniu interesant în care sunt utilizate în mod activ semnăturile electronice. Acesta confirmă faptul că o persoană reală participă la licitație și ofertele sale pot fi considerate de încredere. De asemenea, este important ca orice contract încheiat cu ajutorul unei semnături electronice să dobândească forță juridică.

Algoritmi de semnătură electronică

  • Full Domain Hash (FDH) și standarde de criptare cu chei publice (PKCS). Acesta din urmă reprezintă un întreg grup de algoritmi standard pentru diverse situații.
  • DSA și ECDSA sunt standarde pentru crearea semnăturilor electronice în SUA.
  • GOST R 34.10-2012 - standard pentru crearea semnăturilor electronice în Federația Rusă. Acest standard a înlocuit GOST R 34.10-2001, care a expirat oficial după 31 decembrie 2017.
  • Uniunea Eurasiatică folosește standarde complet similare cu cele rusești.
  • STB 34.101.45-2013 - standard belarus pentru semnătură electronică digitală.
  • DSTU 4145-2002 - standard pentru crearea unei semnături electronice în Ucraina și multe altele.

De asemenea, este de remarcat faptul că algoritmii pentru crearea semnăturilor electronice au diverse scopuri si obiective:

  • Semnătura electronică de grup.
  • De unică folosință semnatura digitala.
  • Semnătură electronică de încredere.
  • Semnătura calificată și necalificată etc.

CIPF (instrument de protecție a informațiilor criptografice) este un program sau dispozitiv care criptează documentele și generează o semnătură electronică (ES). Toate operațiunile sunt efectuate folosind o cheie de semnătură electronică, care nu poate fi selectată manual, deoarece este un set complex de caractere. Acest lucru asigură o protecție fiabilă a informațiilor.

Cum funcționează CIPF

  1. Expeditorul creează un document
  2. Folosind CIPF și o cheie privată, semnătura electronică adaugă un fișier de semnătură, criptează documentul și combină totul într-un fișier care este trimis destinatarului
  3. Fișierul este trimis destinatarului
  4. Destinatarul decriptează documentul folosind CIPF și cheia privată a semnăturii sale electronice
  5. Destinatarul verifică integritatea semnăturii electronice, asigurându-se că nu au fost aduse modificări documentului

Tipuri de CIPF pentru semnătură electronică

Există două tipuri de instrumente de protecție a informațiilor criptografice: instalate separat și încorporate în media.

CIPF instalat separat este un program care este instalat pe orice dispozitiv de calculator. Astfel de CIPF sunt folosite peste tot, dar au un dezavantaj: sunt strict legate de un singur loc de muncă. Veți putea lucra cu orice număr de semnături electronice, dar numai pe computerul sau laptopul pe care este instalat CIPF. A lucra pentru diferite calculatoare, va trebui să cumpărați o licență suplimentară pentru fiecare.

Când lucrați cu semnături electronice, criptoproviderul CryptoPro CSP este cel mai adesea folosit ca CIPF instalat. Programul funcționează pe Windows, Unix și altele sisteme de operare, suporturi standardele interne siguranță GOST R 34.11-2012 și GOST R 34.10-2012.

Alte sisteme de protecție a informațiilor criptografice sunt utilizate mai rar:

  1. Signal-COM CSP
  2. LISSI-CSP
  3. VipNet CSP

Toate CIPF-urile enumerate sunt certificate de FSB și FSTEC și respectă standardele de securitate adoptate în Rusia. Pentru funcționarea completă, acestea necesită și achiziționarea unei licențe.

CIPF integrat în mass-media, sunt instrumente de criptare „încorporate” în dispozitiv, pentru care sunt programate muncă independentă. Sunt convenabile datorită autosuficienței lor. Tot ceea ce aveți nevoie pentru a semna un acord sau un raport se află deja în mass-media. Nu este nevoie să cumpărați licențe sau să instalați software suplimentar. Este suficient un computer sau laptop cu acces la internet. Criptarea și decriptarea datelor se realizează în cadrul mass-media. Media cu CIPF încorporat includ Rutoken EDS, Rutoken EDS 2.0 și JaCarta SE.

Criptografia (din greaca veche κρυπτος - ascuns si γραϕω - scriu) este stiinta metodelor de asigurare a confidentialitatii si autenticitatii informatiilor.

Criptografia este un set de metode de transformare a datelor menite să facă datele inutile pentru un atacator. Astfel de transformări ne permit să rezolvăm două probleme principale privind securitatea informației:

  • protecție a vieții private;
  • protectia integritatii.

Problemele de protecție a confidențialității și integrității informațiilor sunt strâns legate, astfel încât metodele de rezolvare a uneia dintre ele sunt adesea aplicabile pentru rezolvarea celeilalte.

Există diverse abordări ale clasificării metodelor de transformare criptografică a informațiilor. Pe baza tipului de impact asupra informațiilor originale, metodele de transformare criptografică a informațiilor pot fi împărțite în patru grupuri:

Expeditorul generează textul simplu al mesajului original M, care trebuie transmisă destinatarului legitim pe un canal nesigur. Canalul este monitorizat de un interceptor cu scopul de a intercepta și dezvăluie mesaj transmis. Pentru a împiedica un interceptor să învețe conținutul unui mesaj M, expeditorul îl criptează folosind o transformare reversibilă Ekși primește textul cifrat (sau criptograma) C=Ek(M), care este trimis destinatarului.

Destinatarul legitim prin acceptarea textului cifrat CU, îl decriptează folosind transformarea inversă Dk(C)și primește mesajul original în text simplu M.

Conversie Ek este selectat dintr-o familie de transformări criptografice numite criptoalgoritmi. Parametrul prin care este selectată o anumită transformare se numește cheie criptografică LA.

Criptosistemul are diferite variante implementare: un set de instrucțiuni, hardware, un set de programe care vă permit să criptați textul simplu și să decriptați textul cifrat în diferite moduri, dintre care unul este selectat folosind o cheie specifică LA.

Conversia de criptare poate fi simetricȘi asimetric referitor la conversia de decriptare. Această proprietate importantă definește două clase de criptosisteme:

  • criptosisteme simetrice (cu o singură cheie);
  • criptosisteme asimetrice (cu două chei) (cu cheie publică).

Criptare simetrică

Criptarea simetrică, adesea numită criptare cu chei secrete, este folosită în primul rând pentru a asigura confidențialitatea datelor. Pentru a asigura confidențialitatea datelor, utilizatorii trebuie să selecteze împreună un singur algoritm matematic care va fi utilizat pentru a cripta și decripta datele. În plus, ei trebuie să selecteze o cheie partajată (secretă) pentru a fi utilizată cu algoritmul lor de criptare/decriptare adoptat, de ex. aceeași cheie este folosită atât pentru criptare, cât și pentru decriptare (cuvântul „simetric” înseamnă același lucru pentru ambele părți).

Un exemplu de criptare simetrică este prezentat în Fig. 2.2.

Astăzi, algoritmii de criptare folosiți pe scară largă includ Standardul de criptare a datelor (DES), 3DES (sau „des triplu”) și algoritmul internațional de criptare a datelor (IDEA). Acești algoritmi criptează mesajele în blocuri de 64 de biți. Dacă mesajul este mai mare de 64 de biți (cum este de obicei), trebuie să-l împărțiți în blocuri de 64 de biți fiecare și apoi să le combinați cumva. Această îmbinare are loc de obicei în unul dintre următoarele patru moduri:

  • carte electronică de coduri (Electronic Code Book, ECB);
  • lanțuri de blocuri criptate (Cipher Block Changing, CBC);
  • criptat x-bit părere(Cipher FeedBack, CFB-x);
  • feedback de ieșire (Output FeedBack, OFB).

Triple DES (3DES)– un cifru bloc simetric creat pe baza algoritmului DES pentru a elimina principalul dezavantaj al acestuia din urmă - lungimea mică a cheii (56 de biți), care poate fi spartă prin forța brută. Viteza 3DES este de 3 ori mai mică decât cea a DES, dar puterea criptografică este mult mai mare. Timpul necesar pentru a criptoanaliza 3DES poate fi mult mai mare decât timpul necesar pentru a sparge DES.

Algoritm AES(Advanced Encryption Standard), cunoscut și sub numele de Rijndael - un algoritm de criptare bloc simetric - criptează mesajele în blocuri de 128 de biți, folosind o cheie de 128/192/256 de biți.

Criptarea cheii secrete este adesea folosită pentru a menține confidențialitatea datelor și este implementată foarte eficient folosind firmware imuabil. Această metodă poate fi utilizată pentru autentificare și menținerea integrității datelor.

Următoarele probleme sunt asociate cu metoda de criptare simetrică:

  • este necesar să se schimbe frecvent cheile secrete, deoarece există întotdeauna riscul dezvăluirii lor accidentale (compromis);
  • Este destul de dificil să se asigure securitatea cheilor secrete în timpul generării, distribuției și stocării acestora.