Главная Случайная страница


Полезное:

Как сделать разговор полезным и приятным Как сделать объемную звезду своими руками Как сделать то, что делать не хочется? Как сделать погремушку Как сделать так чтобы женщины сами знакомились с вами Как сделать идею коммерческой Как сделать хорошую растяжку ног? Как сделать наш разум здоровым? Как сделать, чтобы люди обманывали меньше Вопрос 4. Как сделать так, чтобы вас уважали и ценили? Как сделать лучше себе и другим людям Как сделать свидание интересным?


Категории:

АрхитектураАстрономияБиологияГеографияГеологияИнформатикаИскусствоИсторияКулинарияКультураМаркетингМатематикаМедицинаМенеджментОхрана трудаПравоПроизводствоПсихологияРелигияСоциологияСпортТехникаФизикаФилософияХимияЭкологияЭкономикаЭлектроника






Повышение безопасности с помощью криптозащиты





Шифрование информации с помощью системы КЗИ (СКЗИ) позволяет надежно сохранить ее от прочтения неуполномоченными лицами. Зашифрованные данные могут свободно передаваться через открытые каналы связи, пересылаться на дискетах или храниться в виде файлов. В любом случае у владельца данных есть гарантия, что расшифровать данные сможет только то лицо, которому он послал эту информацию.

 

Современные СКЗИ выполняют функции аутентификации пользователя, шифрования данных, формирования и проверки электронно-цифровой подписи (ЭЦП). Аутентификация может осуществляться не только с помощью ввода пароля, но и посредством ЭЦП. ЭЦП в свою очередь представляет собой некий блок данных, вырабатываемый на основе содержания подписываемого документа и личного секретного ключа пользователя. В случае проведения аутентификации пользователь подписывает формируемый случайным образом документ. Что же касается шифрования сообщений или файлов, то оно, как правило, основывается на принципе формирования ключей — информационных объектов, обеспечивающих уникальное пребразование данных, препятствующее их несанкционированному просмотру. Существует две наиболее известные схемы формирования ключей: первая из них — симметричная — требует наличия одного и того же ключа на двух концах канала связи; вторая — асимметричная, которая имеет пару ключей (открытый и закрытый). Открытый ключ подлежит свободному распространению для организации следующей схемы взаимодействия. Каждый пользователь при отправке конфиденциальной информации шифрует ее с помощью связки «личный закрытый ключ — открытый ключ адресата». Адресат применяет для расшифровки сообщения обратную связку «закрытый ключ адресата — открытый ключ отправителя». Надежность защиты, предоставляемой КЗИ, строится на статистических свойствах применяемых математических методов: без знания ключа расшифровать послание можно только за значительный период времени (несколько лет).

Важность проблемы защиты информации послужила поводом для создания множества как отечественных, так и зарубежных стандартов КЗИ. В числе зарубежных следует прежде всего упомянуть DES (Data Encryption Standard — стандарт шифрования данных), реализующий симметричную схему с закрытым ключом и утвержденный правительством США в качестве государственного стандарта (он использует блочное кодирования с длиной блока 64 бит и ключом в 56 бит), RSA (Rivest, Shamir, Adleman) —криптосистема с открытым ключом, блочные шифры IDEA (International Data Encryption Algorithm), RC-2 и его усовершенствованные версии RC-4 и RC-5.

Объединение отдельных алгоритмов в один дало PGP (Pretty Good Privacy), который использует RSA для безопасного обмена ключами, IDEA для шифрования сообщений, RSA для цифровой подписи и MD5 для вычисления хеш-функций.

Все отечественные стандарты КЗИ оформлены в виде ГОСТов. Например, ГОСТ 28147-89 описывает алгоритмы криптографической обработки информации (шифрование и расшифрование, генерирование имитовставки с целью контроля целостности данных и предотвращения случайных или преднамеренных искажений), ГОСТ Р34.10-94 – процедуры выработки и проверки электронной цифровой подписи на базе асимметричного алгоритма, ГОСТ Р34.11-94 – вычисление хеш-функций произвольных блоков данных.

Обычно комплексы КЗИ производятся в виде встраиваемых в операционные системы или прикладное ПО исполняемых модулей или библиотек. Выбор здесь достаточно широк, но следует обратить особое внимание, сертифицирован ли тот или иной комплекс. Не стоит забывать, что каждая страна, как правило, имеет некоторый институт, который сертифицирует системы КЗИ, и обычно лишь малая часть предлагаемых на рынке систем такие сертификаты получает. В России подобную работу ведет ФАПСИ и до последнего времени ни одна из иностранных систем КЗИ (например, Microsoft CriptoAPI, использующийся в Windows NT, RSA CRYPTOKI, Generic Security Services API, Independent Data Unit Protection API, Generic Crypto Service API) не получила сертификат. Это означает, что применение этих СКЗИ противопоказано государственным структурам и учреждениям и не обеспечивает на территории нашей страны юридической силы подписанным с помощью их средств ЭЦП документам. Кроме того, сертификация косвенно свидетельствует о высокой надежности СКЗИ.

 

Среди сертифицированных ФАПСИ СКЗИ можно назвать аппаратно-программный криптографический комплекс ШИП (шифратор IP-потоков), комплекс ТИТАН, предназначенный для создания защищенных сетей X.25 с использованием аутентификации абонентов (узлов сети) и шифрования сетевых пакетов X.25, комплекс «Криптографический сервер», «Янтарь» и другие.

«Верба» в составе продуктов от ВЕСТЬ АО

Одной из наиболее известных сертифицированных СКЗИ в России является комплекс «Верба», разработанный в московском отделении Пензенского научно-исследовательского электротехнического института, который позволяет обеспечить высокую степень защиты информации от несанкционированного доступа и выявления ее искажения при хранении на дисках или в результате передачи по каналам связи. Существует несколько версий, функционирующих в различных операционных системах, что дает возможность внедрять «Вербу» в гетерогенные информационные системы.

Сегодня доступны версии для DOS, Windows 3.1x, Windows 95, Windows NT и нескольких диалектов Unix.

«Верба» позволяет шифровать информацию практически любых приложений, будь то программа бухгалтерского учета, электронная почта, офисный пакет, система удаленных электронных расчетов с банком или другая прикладная программа. Это, в частности, позволяет интегрировать СКЗИ «Верба» с современными системами управления документами (СУД) и системами автоматизации управления деловыми процессами (САДП), которые становятся неотъемлемой частью корпоративных информационных систем.

Так, компания ВЕСТЬ АО предлагает интеграционное решение, основанное на встраивании криптографических функций СКЗИ «Верба» в СУД DOCS Open (PC DOCS, Inc.), и относящуюся к классу САДП workflow-систему собственной разработки WorkRoute II. Это позволяет создавать прекрасно защищенные электронные архивы, поддерживать защиту информации в рамках автоматизированных деловых процессов (например, значения внутренних переменных с информацией о контрагентах или суммах договоров, а также другие сведения из прикладных программ, интегрированных с WorkRoute II) и формировать конфиденциальный документооборот. Скажем, использование WorkRoute II в комплексе с СКЗИ «Верба», за счет криптозащищенной аутентификации пользователей, обеспечивает достоверность формируемых заданий, а также защищает сами задания и участвующие в документообороте документы от несанкционированного просмотра и гарантирует их целостность (т. е. исключает возможность подмены, намеренного или случайного повреждения).

Программное средство КЗИ «Верба» представляет собой библиотеку динамической компоновки, функции которой после ее установки становятся доступны для использования из системы DOCS Open и WorkRoute II.

Важно, что все разработанные компанией ВЕСТЬ АО комплексы автоматизации делопроизводства, офисного и инженерного документооборота, а также управления предприятием могут быть легко усовершенствованы в целях повышения их безопасности. Таким образом, например, комплекс PowerDOCS, объединяющий в себе СУД DOCS Open, систему маршрутизации заданий и документов с контролем их исполнения WorkRoute II и систему для работы с образами документов DeltaImage, интегрируется со СКЗИ «Верба» путем установки на клиентские места соответствующей библиотеки и встраивания вызовов функций криптозащиты в интерфейс комплекса на основании требований заказчика. Стоит напомнить, что все применяемые в технических решениях компании ВЕСТЬ АО программные продукты (например, та же система DOCS Open) в свою очередь характеризуются открытостью, т.е. снабжены развитыми средствами, способствующими расширению функционала системы. Точно так же криптозащита может быть встроена в комплекс по организации электронного архива инженерно-технической документации и сопутствующего документооборота TechnoDOCS или в систему автоматизации инвестиционной компании StockRoute. Последняя строится на основе системы WorkRoute II и программ бухгалтерского учета.

В число основных криптографических функций СКЗИ «Вербы» входит шифрование и расшифровка информации на уровне файлов и блоков памяти, формирование ключей электронной цифровой подписи и ключей шифрования (для этой цели существует специальное рабочее место администратора безопасности — АРМ АБ), формирование и проверка ЭЦП файлов и блоков памяти, а также обнаружение искажений, вносимых злоумышленниками или вирусами в защищаемую информацию.

Особо следует отметить, что большинство встраиваемых СКЗИ не гарантирует контроль целостности программного обеспечения СКЗИ при подключении ее к прикладным программам, о чем должны позаботиться интеграторы и разработчики комплексных информационных систем. В этом смысле «Верба» выгодно отличается от своих конкурентов, поскольку имеет систему встроенного контроля целостности и может дополнятся системой защиты от несанкционированного доступа «Аккорд».

Среди прочих возможностей СКЗИ «Верба» выделяется автоматическая загрузка рабочего ключа по его идентификатору в процессе расшифровки файла и формирования ЭЦП, подпись файла несколькими (от 1 до 255) корреспондентами, а также выполнение ряда специальных операций. В их число входит шифрование группы файлов на одном ключе с объединением их в один закрытый файл и выборочная расшифровка одного из них, а также ведение журналов регистрации протокола проверки ЭЦП, подписанных файлов, шифрования файлов и вывода расшифрованных файлов на печать.

Технические характеристики СКЗИ «Верба»

СКЗИ «Верба» использует ключи длиной 256 бит. Государственные организации обычно применяют модификацию «Вербы», обеспечивающую работу с закрытыми симметричными ключами. Для коммерческих организаций предлагается «Верба-О», реализующая шифрование с помощью асимметричных ключей.

СКЗИ «Верба» требует 200 Кб оперативной памяти и наличия накопителя на гибком магнитном диске. Ключи шифрования и ЭЦП могут храниться на гибком и жестком магнитных дисках. К Windows-версии СКЗИ «Верба» прилагается пример Windows-приложения в исходных текстах, использующего функции DLL.

При обработке информации на компьютере PC/AT 486/100 СКЗИ «Верба-О» обеспечивает следующие показатели быстродействия.

         
  Операции   Значение  
         
  Шифрование   500 Кб/с  
         
  Вычистение хеш-   400 Кб/с  
  функции    
       
         
  Формированеи   0,04 с  
  ЭЦП    
       
         
  Проверка ЭЦП   0,2 с  
         

Алгоритм шифрования выполнен в соответствии с требованиями ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая».

Цифровая подпись выполнена согласно требованиям ГОСТ Р34.10-94 «Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма».

СКЗИ «Верба» может комплектоваться платой аппаратной поддержки «Кулон-1», дополняющей комплекс мер по защите от несанкционированного доступа.


Система шифрования и ЭЦП удовлетворяет требованиям ГОСТ Р34.10-94, ГОСТ Р34.11-94, ГОСТ 28147-89 и имеет сертификат ФАПСИ №СФ/114-0009 от 10.04.1996. Автоматизированное рабочее место администратора безопасности имеет сертификат СФ/114-0063 от 27.05.1996.

Date: 2015-06-06; view: 762; Нарушение авторских прав; Помощь в написании работы --> СЮДА...



mydocx.ru - 2015-2024 year. (0.005 sec.) Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав - Пожаловаться на публикацию