В закладки
КонтактыО сайте

Какие есть системы для криптографической защиты информации. Средства криптографической защиты информации: виды и применение

Термин "криптография" происходит от древнегреческих слов «скрытый» и «пишу». Словосочетание выражает основное назначение криптографии - это защита и сохранение тайны переданной информации. Защита информации может происходить различными способами. Например, путем ограничения физического доступа к данным, скрытия канала передачи, создания физических трудностей подключения к линиям связи и т. д.

Цель криптографии

В отличие от традиционных способов тайнописи, криптография предполагает полную доступность канала передачи для злоумышленников и обеспечивает конфиденциальность и подлинность информации с помощью алгоритмов шифрования, делающих информацию недоступной для постороннего прочтения. Современная система криптографической защиты информации (СКЗИ) - это программно-аппаратный компьютерный комплекс, обеспечивающий защиту информации по следующим основным параметрам.

  • Конфиденциальность - невозможность прочтения информации лицами, не имеющими соответствующих прав доступа. Главным компонентом обеспечения конфиденциальности в СКЗИ является ключ (key), представляющий собой уникальную буквенно-числовую комбинацию для доступа пользователя в определенный блок СКЗИ.
  • Целостность - невозможность несанкционированных изменений, таких как редактирование и удаление информации. Для этого к исходной информации добавляется избыточность в виде проверочной комбинации, вычисляемой по криптографическому алгоритму и зависящая от ключа. Таким образом, без знания ключа добавление или изменение информации становится невозможным.
  • Аутентификация - подтверждение подлинности информации и сторон, ее отправляющих и получающих. Передаваемая по каналам связи информация должна быть однозначно аутентифицирована по содержанию, времени создания и передачи, источнику и получателю. Следует помнить, что источником угроз может быть не только злоумышленник, но и стороны, участвующие в обмене информацией при недостаточном взаимном доверии. Для предотвращения подобных ситуации СКЗИ использует систему меток времени для невозможности повторной или обратной отсылки информации и изменения порядка ее следования.

  • Авторство - подтверждение и невозможность отказа от действий, совершенных пользователем информации. Самым распространенным способом подтверждения подлинности является Система ЭЦП состоит из двух алгоритмов: для создания подписи и для ее проверки. При интенсивной работе с ЭКЦ рекомендуется использование программных удостоверяющих центров для создания и управления подписями. Такие центры могут быть реализованы как полностью независимое от внутренней структуры средство СКЗИ. Что это означает для организации? Это означает, что все операции с обрабатываются независимыми сертифицированными организациями и подделка авторства практически невозможна.

Алгоритмы шифрования

На текущий момент среди СКЗИ преобладают открытые алгоритмы шифрования с использованием симметричных и асимметричных ключей с длиной, достаточной для обеспечения нужной криптографической сложности. Наиболее распространенные алгоритмы:

  • симметричные ключи - российский Р-28147.89, AES, DES, RC4;
  • асимметричные ключи - RSA;
  • с использованием хеш-функций - Р-34.11.94, MD4/5/6, SHA-1/2.

Многие страны имеют свои национальные стандарты В США используется модифицированный алгоритм AES с ключом длиной 128-256 бит, а в РФ алгоритм электронных подписей Р-34.10.2001 и блочный криптографический алгоритм Р-28147.89 с 256-битным ключом. Некоторые элементы национальных криптографических систем запрещены для экспорта за пределы страны, деятельность по разработке СКЗИ требует лицензирования.

Системы аппаратной криптозащиты

Аппаратные СКЗИ - это физические устройства, содержащие в себе программное обеспечение для шифрования, записи и передачи информации. Аппараты шифрации могут быть выполнены в виде персональных устройств, таких как USB-шифраторы ruToken и флеш-диски IronKey, плат расширения для персональных компьютеров, специализированных сетевых коммутаторов и маршрутизаторов, на основе которых возможно построение полностью защищенных компьютерных сетей.

Аппаратные СКЗИ быстро устанавливаются и работают с высокой скоростью. Недостатки - высокая, по сравнению с программными и программно-аппаратными СКЗИ, стоимость и ограниченные возможности модернизации.

Также к аппаратным можно отнести блоки СКЗИ, встроенные в различные устройства регистрации и передачи данных, где требуется шифрование и ограничение доступа к информации. К таким устройствам относятся автомобильные тахометры, фиксирующие параметры автотранспорта, некоторые типы медицинского оборудования и т.д. Для полноценной работы таким систем требуется отдельная активация СКЗИ модуля специалистами поставщика.

Системы программной криптозащиты

Программные СКЗИ - это специальный программный комплекс для шифрования данных на носителях информации (жесткие и флеш-диски, карты памяти, CD/DVD) и при передаче через Интернет (электронные письма, файлы во вложениях, защищенные чаты и т.д.). Программ существует достаточно много, в т. ч. бесплатных, например, DiskCryptor. К программным СКЗИ можно также отнести защищенные виртуальные сети обмена информацией, работающие «поверх Интернет»(VPN), расширение Интернет протокола HTTP с поддержкой шифрования HTTPS и SSL - криптографический протокол передачи информации, широко использующийся в системах IP-телефонии и интернет-приложениях.

Программные СКЗИ в основном используются в сети Интернет, на домашних компьютерах и в других сферах, где требования к функциональности и стойкости системы не очень высоки. Или как в случае с Интернетом, когда приходится одновременно создавать множество разнообразных защищенных соединений.

Программно-аппаратная криптозащита

Сочетает в себе лучшие качества аппаратных и программных систем СКЗИ. Это самый надежный и функциональный способ создания защищенных систем и сетей передачи данных. Поддерживаются все варианты идентификации пользователей, как аппаратные (USB-накопитель или смарт-карта), так и «традиционные» - логин и пароль. Программно-аппаратные СКЗИ поддерживают все современные алгоритмы шифрования, обладают большим набором функций по созданию защищенного документооборота на основе ЭЦП, всеми требуемыми государственными сертификатами. Установка СКЗИ производится квалифицированным персоналом разработчика.

Компания «КРИПТО-ПРО»

Один из лидеров российского криптографического рынка. Компания разрабатывает весь спектр программ по защите информации с использованием ЭЦП на основе международных и российских криптографических алгоритмов.

Программы компании используются в электронном документообороте коммерческих и государственных организаций, для сдачи бухгалтерской и налоговой отчетности, в различных городских и бюджетных программах и т. д. Компанией выдано более 3 млн. лицензий для программы КриптоПРО CSP и 700 лицензий для удостоверяющих центров. «Крипто-ПРО» предоставляет разработчикам интерфейсы для встраивания элементов криптографической защиты в свои и оказывает весь спектр консалтинговых услуг по созданию СКЗИ.

Криптопровайдер КриптоПро

При разработке СКЗИ КриптоПро CSP использовалась встроенная в операционную систему Windows криптографическая архитектура Cryptographic Service Providers. Архитектура позволяет подключать дополнительные независимые модули, реализующие требуемые алгоритмы шифрования. С помощью модулей, работающих через функции CryptoAPI, криптографическую защиту могут осуществлять как программные, так и аппаратные СКЗИ.

Носители ключей

В качестве личных ключей могут использоваться различные такие как:

  • смарт-карты и считыватели;
  • электронные замки и считыватели, работающие с устройствами Touch Memory;
  • различные USB-ключи и сменные USB-накопители;
  • файлы системного реестра Windows, Solaris, Linux.

Функции криптопровайдера

СКЗИ КриптоПро CSP полностью сертифицирована ФАПСИ и может использоваться для:

2. Полной конфиденциальности, аутентичности и целостности данных с помощью шифрования и имитационной защиты согласно российским стандартам шифрования и протокола TLS.

3. Проверки и контроля целостности программного кода для предотвращения несанкционированного изменения и доступа.

4. Создания регламента защиты системы.

Основными задачами защиты информации при ее хранении, обработке и передаче по каналам связи и на различных носителях, решаемыми с помощью СКЗИ, являются: 1.

Обеспечение секретности (конфиденциальности) информации. 2.

Обеспечение целостности информации. 3.

Подтверждение подлинности информации (документов). Для решения этих задач необходима реализация следующих

процессов: 1.

Реализация собственно функций защиты информации, включая:

шифрование/расшифрование; создание/проверка ЭЦП; создание/проверка имитовставки. 2.

Контроль состояния и управление функционированием средств КЗИ (в системе):

контроль состояния: обнаружение и регистрация случаев нарушения работоспособности средств КЗИ, попыток НСД, случаев компрометации ключей;

управление функционированием: принятие мер в случае перечисленных отклонений от нормального функционирования средств КЗИ. 3.

Проведение обслуживания средств КЗИ: осуществление ключевого управления;

выполнение процедур, связанных с подключением новых абонентов сети и/или исключением выбывших абонентов; устранение выявленных недостатков СКЗИ; ввод в действие новых версий программного обеспечения СКЗИ;

модернизация и замена технических средств СКЗИ на более совершенные и/или замена средств, ресурс которых выработан.

Ключевое управление является одной из важнейших функций криптографической защиты информации и заключается в реализации следующих основных функций:

генерация ключей: определяет механизм выработки ключей или пар ключей с гарантией их криптографических качеств;

распределение ключей: определяет механизм, по которому ключи надежно и безопасно доставляются абонентам;

сохранение ключей: определяет механизм, по которому ключи надежно и безопасно сохраняются для дальнейшего их использования;

восстановление ключей: определяет механизм восстановления одного из ключей (замена на новый ключ);

уничтожение ключей: определяет механизм, по которому производится надежное уничтожение вышедших из употребления ключей;

ключевой архив: механизм, по которому ключи могут надежно сохраняться для их дальнейшего нотаризованного восстановления в конфликтных ситуациях.

В целом для реализации перечисленных функций криптографической защиты информации необходимо создание системы криптографической защиты информации, объединяющей собственно средства КЗИ, обслуживающий персонал, помещения, оргтехнику, различную документацию (техническую, нормативно-распорядительную) и т.д.

Как уже отмечалось, для получения гарантий защиты информации необходимо применение сертифицированных средств КЗИ.

В настоящее время наиболее массовым является вопрос защиты конфиденциальной информации. Для решения этого вопроса под эгидой ФАПСИ разработан функционально полный комплекс средств криптографической защиты конфиденциальной информации, который позволяет решить перечисленные задачи по защите информации для самых разнообразных приложений и условий применения.

В основу этого комплекса положены криптографические ядра "Верба" (система несимметричных ключей) и "Верба-О" (система симметричных ключей). Эти криптоядра обеспечивают процедуры шифрования данных в соответствии с требованиями ГОСТ 28147-89 "Системы обработки информации. Защита криптографическая" и цифровой подписи в соответствии с требованиями ГОСТ Р34.10-94 "Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма".

Средства, входящие в комплекс СКЗИ, позволяют защищать электронные документы и информационные потоки с использованием сертифицированных механизмов шифрования и электронной подписи практически во всех современных информационных технологиях, в том числе позволяют осуществлять: использование СКЗИ в автономном режиме;

защищенный информационный обмен в режиме off-line; защищенный информационный обмен в режиме on-line; защищенный гетерогенный, т.е. смешанный, информационный обмен.

Для решения системных вопросов применения СКЗИ под руководством Д. А. Старовойтова разработана технология комплексной криптографической защиты информации "Витязь", которая предусматривает криптографическую защиту данных сразу во всех частях системы: не только в каналах связи и узлах системы, но и непосредственно на рабочих местах пользователей в процессе создания документа, когда защищается и сам документ.

Кроме того, в рамках общей технологии "Витязь" предусмотрена упрощенная, легко доступная пользователям технология встраивания лицензированных СКЗИ в различные прикладные системы, что делает весьма широким круг использования этих СКЗИ.

Ниже следует описание средств и способов защиты для каждого из перечисленных режимов.

Использование СКЗИ в автономном режиме.

При автономной работе с СКЗИ могут быть реализованы следующие виды криптографической защиты информации: создание защищенного документа; защита файлов;

создание защищенной файловой системы; создание защищенного логического диска. По желанию пользователя могут быть реализованы следующие виды криптографической защиты документов (файлов):

шифрование документа (файла), что делает недоступным его содержание как при хранении документа (файла), так и при его передаче по каналам связи либо нарочным;

выработка имитовставки, что обеспечивает контроль целостности документа (файла);

формирование ЭЦП, что обеспечивает контроль целостности документа (файла) и аутентификацию лица, подписавшего документ (файл).

В результате защищаемый документ (файл) превращается в зашифрованный файл, содержащий, при необходимости, ЭЦП. ЭЦП, в зависимости от организации процесса обработки информации, может быть представлена и отдельным от подписываемого документа файлом. Далее этот файл может быть выведен на дискету или иной носитель, для доставки нарочным, либо отправлен по любой доступной электронной почте, например по Интернет.

Соответственно по получению зашифрованного файла по электронной почте либо на том или ином носителе выполненные действия по криптографической защите производятся в обратном порядке (расшифрование, проверка имитовставки, проверка ЭЦП).

Для осуществления автономной работы с СКЗИ могут быть использованы следующие сертифицированные средства:

текстовый редактор "Лексикон-Верба", реализованный на основе СКЗИ "Верба-О" и СКЗИ "Верба";

программный комплекс СКЗИ "Автономное рабочее место", реализованный на основе СКЗИ "Верба" и "Верба-О" для ОС Windows 95/98/NT;

криптографический дисковый драйвер PTS "DiskGuard".

Защищенный текстовый процессор "Лексикон-Верба".

Система "Лексикон-Верба" - это полнофункциональный текстовый редактор с поддержкой шифрования документов и электронной цифровой подписи. Для защиты документов в нем используются криптографические системы "Верба" и "Верба-О". Уникальность этого продукта состоит в том, что функции шифрования и подписи текста просто включены в состав функций современного текстового редактора. Шифрование и подпись документа в этом случае из специальных процессов превращаются просто в стандартные действия при работе с документом.

При этом система "Лексикон-Верба" выглядит как обычный текстовый редактор. Возможности форматирования текста включают полную настройку шрифтов и параграфов документа; таблицы и списки; колонтитулы, сноски, врезки; использование стилей и многие другие функции текстового редактора, отвечающего современным требованиям. "Лексикон-Верба" позволяет создавать и редактировать документы в форматах Лексикон, RTF, MS Word 6/95/97, MS Write.

Автономное рабочее место.

СКЗИ "Автономное рабочее место" реализовано на основе СКЗИ "Верба" и "Верба-О" для ОС Windows 95/98/NT и позволяет пользователю в диалоговом режиме выполнять следующие функции:

шифрование /расшифрование файлов на ключах; шифрование/расшифрование файлов на пароле; проставление/снятие/проверка электронно-цифровых подписей (ЭЦП) под файлами;

проверку шифрованных файлов;

проставление ЭЦП + шифрование (за одно действие) файлов; расшифрование + снятие ЭЦП (за одно действие) под файлами;

вычисление хэш-файла.

СКЗИ "Автономное рабочее место" целесообразно применять для повседневной работы сотрудников, которым необходимо обеспечить:

передачу конфиденциальной информации в электронном виде нарочным или курьером;

отправку конфиденциальной информации по сети общего пользования, включая Интернет;

защиту от несанкционированного доступа к конфиденциальной информации на персональных компьютерах сотрудников.

С точки зрения информационной безопасности криптографические ключи являются критически важными данными. Если раньше, чтобы обокрасть компанию, злоумышленникам приходилось проникать на ее территорию, вскрывать помещения и сейфы, то теперь достаточно похитить токен с криптографическим ключом и сделать перевод через систему Интернет Клиент-Банк. Фундаментом обеспечения безопасности с помощью систем криптографической защиты информации (СКЗИ) является поддержание конфиденциальности криптографических ключей.

А как обеспечить конфиденциальность того, о существования чего вы не догадываетесь? Чтобы убрать токен с ключом в сейф, надо знать о существовании токена и сейфа. Как это не парадоксально звучит, очень мало компаний обладают представлением о точном количестве ключевых документов, которыми они пользуются. Это может происходить по целому ряду причин, например, недооценка угроз информационной безопасности, отсутствие налаженных бизнес-процессов, недостаточная квалификация персонала в вопросах безопасности и т.д. Вспоминают про данную задачу обычно уже после инцидентов, таких как например этот .

В данной статье будет описан первый шаг на пути совершенствования защиты информации с помощью криптосредств, а если точнее, то рассмотрим один из подходов к проведению аудита СКЗИ и криптоключей. Повествование будет вестись от лица специалиста по информационной безопасности, при этом будем считать, что работы проводятся с нуля.

Термины и определения


В начале статьи, дабы не пугать неподготовленного читателя сложными определениями, мы широко использовали термины криптографический ключ или криптоключ, теперь настало время усовершенствовать наш понятийный аппарат и привести его в соответствие действующему законодательству. Это очень важный шаг, поскольку он позволит эффективно структурировать информацию, полученную по результатам аудита.

  1. Криптографический ключ (криптоключ) - совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе (определение из «розовой инструкции – Приказа ФАПСИ № 152 от от 13 июня 2001 г. , далее по тексту – ФАПСИ 152).
  2. Ключевая информация - специальным образом организованная совокупность криптоключей, предназначенная для осуществления криптографической защиты информации в течение определенного срока [ФАПСИ 152].
    Понять принципиальное отличие между криптоключем и ключевой информации можно на следующем примере. При организации HTTPS, генерируются ключевая пара открытый и закрытый ключ, а из открытого ключа и дополнительной информации получается сертификат. Так вот, в данной схеме совокупность сертификата и закрытого ключа образуют ключевую информацию, а каждый из них по отдельности является криптоключом. Тут можно руководствоваться следующим простым правилом – конечные пользователи при работе с СКЗИ используют ключевую информацию, а криптоключи обычно используют СКЗИ внутри себя. В тоже время важно понимать, что ключевая информация может состоять из одного криптоключа.
  3. Ключевые документы - электронные документы на любых носителях информации, а также документы на бумажных носителях, содержащие ключевую информацию ограниченного доступа для криптографического преобразования информации с использованием алгоритмов криптографического преобразования информации (криптографический ключ) в шифровальных (криптографических) средствах. (определение из Постановления Правительства № 313 от от 16 апреля 2012 г. , далее по тексту – ПП-313)
    Простым языком, ключевой документ - это ключевая информация, записанная на носителе. При анализе ключевой информации и ключевых документов следует выделить, что эксплуатируется (то есть используется для криптографических преобразований – шифрование, электронная подпись и т.д.) ключевая информация, а передаются работникам ключевые документы ее содержащие.
  4. Средства криптографической защиты информации (СКЗИ) – средства шифрования, средства имитозащиты, средства электронной подписи, средства кодирования, средства изготовления ключевых документов, ключевые документы, аппаратные шифровальные (криптографические) средства, программно-аппаратные шифровальные (криптографические) средства. [ПП-313]
    При анализе данного определения можно обнаружить в нем наличие термина ключевые документы. Термин дан в Постановлении Правительства и менять его мы не имеем права. В тоже время дальнейшее описание будет вестись из расчета что к СКЗИ будут относится только средства осуществления криптографических преобразований). Данный подход позволит упростить проведение аудита, но в тоже время не будет сказываться на его качестве, поскольку ключевые документы мы все равно все учтем, но в своем разделе и своими методами.

Методика аудита и ожидаемые результаты


Основными особенностями предлагаемой в данной статье методике аудита являются постулаты о том, что:

  • ни один работник компании не может точно ответить на вопросы, задаваемые в ходе аудита;
  • существующие источники данных (перечни, реестры и др.) не точны или слабо структурированы.
Поэтому предлагаемая в статье методика, это своеобразный data minning, в ходе которого будут один и те же данные извлекаться из разных источников, а затем сравниваться, структурироваться и уточняться.

Приведем основные зависимости, которые нам в этом помогут:

  1. Если есть СКЗИ, то есть и ключевая информация.
  2. Если есть электронный документооборот (в том числе с контрагентами и регуляторами), то скорее всего в нем применяется электронная подпись и как следствие СКЗИ и ключевая информация.
  3. Электронный документооборот в данном контексте следует понимать широко, то есть к нему будут относится, как непосредственный обмен юридически значимыми электронными документами, так и сдача отчетности, и работа в платежных или торговых системах и так далее. Перечень и формы электронного документооборота определяются бизнес-процессами компании, а также действующим законодательством.
  4. Если работник задействован в электронном документообороте, то скорее всего у него есть ключевые документы.
  5. При организации электронного документооборота с контрагентами обычно выпускаются организационно-распорядительные документы (приказы) о назначении ответственных лиц.
  6. Если информация передается через сеть Интернет (или другие общественные сети), то скорее всего она шифруется. В первую очередь это касается VPN и различных систем удаленного доступа.
  7. Если в сетевом трафике обнаружены протоколы, передающие трафик в зашифрованном виде, то применяются СКЗИ и ключевая информация.
  8. Если производились расчеты с контрагентами, занимающимися: поставками средств защиты информации, телекоммуникационных устройств, оказанием услуг по передаче отёчности, услуг удостоверяющих центров, то при данном взаимодействии могли приобретаться СКЗИ или ключевые документы.
  9. Ключевые документы могут быть как на отчуждаемых носителях (дискетах, флешках, токенах, …), так и записаны внутрь компьютеров и аппаратных СКЗИ.
  10. При использовании средств виртуализации, ключевые документы могут храниться как внутри виртуальных машин, так и монтироваться к виртуальным машинам с помощью гипервизора.
  11. Аппаратные СКЗИ могут устанавливаться в серверных и быть недоступны для анализа по сети.
  12. Некоторые системы электронного документооборота могут находится в неактивном или малоактивном виде, но в тоже время содержать активную ключевую информацию и СКЗИ.
  13. Внутренняя нормативная и организационно-распорядительная документация может содержать сведения о системах электронного документооборота, СКЗИ и ключевых документов.
Для добычи первичной информации будем:
  • опрашивать работников;
  • проводить анализ документации компании, включая внутренние нормативные и распорядительные документы, а также исходящие платежные поручения;
  • проводить визуальный анализ серверных комнат и коммуникационных шкафов;
  • проводить технических анализ содержимого автоматизированных рабочих мест (АРМ), серверов и средств виртуализации.
Конкретные мероприятия сформулируем позже, а пока рассмотрим конечные данные, которые мы должны получить по итогам аудита:

Перечень СКЗИ:

  1. Модель СКЗИ . Например, СКЗИ Крипто CSP 3.9, или OpenSSL 1.0.1
  2. Идентификатор экземпляра СКЗИ . Например, серийный, лицензионный (или регистрационный по ПКЗ-2005) номер СКЗИ
  3. Сведения о сертификате ФСБ России на СКЗИ , включая номер и даты начала и окончания сроков действия.
  4. Сведения о месте эксплуатации СКЗИ . Например, имя компьютера на которое установлено программное СКЗИ, или наименование технических средств или помещения где установлены аппаратные СКЗИ.
Данная информация позволит:
  1. Управлять уязвимостями в СКЗИ, то есть быстро их обнаруживать и исправлять.
  2. Отслеживать сроки действия сертификатов на СКЗИ, а также проверять используется ли сертифицированное СКЗИ в соответствии с правилами, установленными документацией или нет.
  3. Планировать затраты на СКЗИ, зная сколько уже находится в эксплуатации и сколько еще есть сводных средств.
  4. Формировать регламентную отчетность.
Перечень ключевой информации:

По каждому элементу перечня фиксируем следующие данные:

  1. Наименование или идентификатор ключевой информации . Например, «Ключ квалифицированной ЭП. Серийный номер сертификата 31:2D:AF», при этом идентификатор следует подбирать таким образом, чтобы по нему можно было найти ключ. Например, удостоверяющие центры, когда посылают уведомления обычно идентифицируют ключи по номерам сертификатов.
  2. Центр управления ключевой системой (ЦУКС) , выпустивший данную ключевую информацию. Это может быть организация выпустившая ключ, например, удостоверяющий центр.
  3. Физическое лицо , на имя которого выпущена ключевая информация. Эту информацию можно извлечь из полей CN сертификатов X.509
  4. Формат ключевой информации . Например, СКЗИ КриптоПРО, СКЗИ Верба-OW, X.509 и т.д (или другими словами для использования с какими СКЗИ предназначена данная ключевая информация).
  5. Назначение ключевой информации . Например, «Участие в торгах на площадке Сбербанк АСТ», «Квалифицированная электронная подпись для сдачи отчетности» и т.д. С точки зрения техники, в данном поле можно фиксировать органичения зафиксированные полях extended key usage и др сертификатов X.509.
  6. Начало и окончание сроков действия ключевой информации .
  7. Порядок перевыпуска ключевой информации . То есть знания о том, что нужно делать и как, при перевыпуске ключевой информации. По крайней мере желательно фиксировать контакты должностных лиц ЦУКС, выпустившего ключевую информацию.
  8. Перечень информационных систем, сервисов или бизнес-процессов в рамках которых используется ключевая информация . Например, «Система дистанционного банковского обслуживания Интернет Клиент-Банк».
Данная информация позволит:
  1. Отслеживать сроки действия ключевой информации.
  2. В случае необходимости быстро перевыпускать ключевую информацию. Это может понадобится как при плановом, так при внеплановом перевыпуске.
  3. Блокировать использование ключевой информации, при увольнении работника на которого она выпущена.
  4. Расследовать инциденты информационной безопасности, отвечая на вопросы: «У кого были ключи для совершения платежей?» и др.
Перечень ключевых документов:

По каждому элементу перечня фиксируем следующие данные:

  1. Ключевая информация , содержащаяся в ключевом документе.
  2. Носитель ключевой информации , на который записана ключевая информация.
  3. Лицо , ответственное за сохранность ключевого документа и конфиденциальность содержащейся в нем ключевой информации.
Данная информация позволит:
  1. Перевыпускать ключевую информацию в случаях: увольнения работников, обладающих ключевыми документами, а также при компрометации носителей.
  2. Обеспечивать конфиденциальность ключевой информации, путем инвентаризации носителей ее содержащих.

План аудита


Настало время рассмотреть практически особенности проведения аудита. Сделаем это на примере кредитно-финансовой организации или другими словами на примере банка. Данный пример выбран не случайно. Банки используют довольно большое число разношерстных систем криптографической защиты, которые задействованы в гигантском количестве бизнес-процессов, да и к тому же практически все банки являются Лицензиатами ФСБ России по криптографии. Далее в статье будет представлен план аудита СКЗИ и криптоключей, применительно к Банку. В тоже время данный план может быть взят за основу при проведении аудита практически любой компании. Для удобство восприятия план разбит на этапы, которые в свою очередь свернуты в сполйеры.

Этап 1. Сбор данных с инфраструктурных подразделений компании

Действие
Источник – все работники компании
1 Делаем рассылку по корпоративной почте всем работниками компании с просьбой сообщить в службу информационной безопасности обо всех используемых ими криптографических ключах Получаем электронные письма, на базе которых формируем перечень ключевой информации и перечень ключевых документов
Источник – Руководитель Службы информационных технологий
1 Запрашиваем перечень ключевой информации и ключевых документов С некоторой вероятностью Служба ИТ ведет подобные документы, будем использовать их для формирования и уточнения перечней ключевой информации, ключевых документов и СКЗИ
2 Запрашиваем перечень СКЗИ
3 Запрашиваем реестр ПО, установленного на серверах и рабочих станциях В данном реестре ищем программные СКЗИ и их компоненты. Например, КриптоПРО CSP, Верба-OW, Signal-COM CSP, Сигнатура, PGP, ruToken, eToken, КритоАРМ и др. На базе этих данных формируем перечень СКЗИ.
4 Запрашиваем перечень работников (вероятно техническая поддержка), помогающих пользователям по использованию СКЗИ и перевыпуску ключевой информации. Запрашиваем у данных лиц аналогичную информацию, что и у системных администраторов
Источник – системные администраторы Службы информационных технологий
1 Запрашиваем перечень отечественных криптошлюзов (VIPNET, Континент, S-terra и др.) В случаях, когда в компании не реализованы регулярные бизнес процессы управления ИТ и ИБ, подобные вопросы могут помочь вспомнить системным администраторам о существовании того или иного устройства или ПО. Используем данную информацию для получения перечня СКЗИ.
2 Запрашиваем перечень отечественных программных СКЗИ (СКЗИ МагПро КриптоПакет, VIPNET CSP, CryptonDisk, SecretDisk, …)
3 Запрашиваем перечень маршрутизаторов, реализующих VPN для:
а) связи офисов компании;
б) взаимодействия с контрагентами и партнерами.
4 Запрашиваем перечень информационных сервисов, опубликованных в Интернет (доступных из Интернет). Они могу включать:
а) корпоративную электронную почту;
б) системы обмена мгновенными сообщениями;
в) корпоративные web-сайты;
г) сервисы для обмена информации с партнерами и контрагентами (extranet);
д) системы дистанционного банковского обслуживания (если компания – Банк);
е) системы удаленного доступа в сеть компании.
Для проверки полноты предоставленных сведений сверяем их с перечнем правил Portforwarding пограничных межсетевых экранов. 		Анализируя полученную информацию с высокой вероятностью можно встретить использование СКЗИ и криптоключей. Используем полученные данные для формирования перечня СКЗИ и ключевой информации.
5 Запрашиваем перечень информационных систем, используемых для сдачи отчетности (Такском, Контур и т. д.) В данных системах используются ключи квалифицированной электронной подписи и СКЗИ. Через данный перечень формируем перечень СКЗИ, перечень ключевой информации, а также узнаем работников, пользующихся этими системами для формирования перечня ключевых документов.
6 Запрашиваем перечень систем внутреннего электронного документооборота (Lotus, DIRECTUM, 1С: Документооборот и др.), а также перечень их пользователей. В рамках внутренних систем электронного документооборота могут встретиться ключи электронной подписи. На основании полученной информации формируем перечень ключевой информации и перечень ключевых документов.
7 Запрашиваем перечень внутренних удостоверяющих центров. Средства, используемые для организации удостоверяющих центров, фиксируем в перечне СКЗИ. В дальнейшем будем анализировать содержимое баз данных удостоверяющих центров для выявления ключевой информации.
8 Запрашиваем информацию об использовании технологий: IEEE 802.1x, WiFiWPA2 Enterprise и систем IP-видеонаблюдения В случае использования данных технологий мы можем обнаружить в задействованных устройствах ключевые документы.
Источник – Руководитель кадровой службы
1 Просим описать процесс приема и увольнение работников. Фокусируемся на вопросе о том, кто забирает у увольняющихся работников ключевые документы Анализируем документы (обходные листы) на предмет наличия в них информационных систем в которых могут использоваться СКЗИ.

Этап 2. Сбор данных с бизнес-подразделений компании (на примере Банка)

Действие Ожидаемый результат и его использование
Источник – Руководитель служба расчетов (корреспондентских отношений)
1 Просим предоставить схему организации взаимодействия с платежной системой Банка России. В частности, это будет актуально для Банков, имеющих развитую филиальную сеть, при которой филиалы могут подключать в платежную систему ЦБ напрямую На базе полученных данных определяем местоположение платежных шлюзов (АРМ КБР, УТА) и перечень задействованных пользователей. Полученную информацию используем для формирования перечня СКЗИ, ключевой информации и ключевых документов.
2 Запрашиваем перечень Банков, с которыми установлены прямые корреспондентские отношения, а также просим рассказать кто занимается осуществлением переводов и какие технические средства используются.
3 Запрашиваем перечень платежных систем, в которых участвует Банк (SWIFT, VISA, MasterCard, НСПК, и т.д), а также месторасположение терминалов для связи Аналогично, как для платежной системы Банка России
Источник – Руководитель подразделения, отвечающего за предоставление дистанционных банковских услуг
1 Запрашиваем перечень систем дистанционного банковского обслуживания. В указанных системах анализируем использование СКЗИ и ключевой информации. На основании полученных данных формируем перечень СКЗИ и ключевой информации и ключевых документов.
Источник – Руководитель подразделения, отвечающего за функционирование процессинга платежных карт
1 Запрашиваем реестр HSM На базе полученной информации формируем перечень СКЗИ, ключевой информации и ключевых документов.
2 Запрашиваем реестр офицеров безопасности
4 Запрашиваем информацию о компонентах LMK HSM
5 Запрашиваем информацию об организации систем типа 3D-Secure и организации персонализации платежных карт
Источник – Руководители подразделений, выполняющих функции казначейства и депозитария
1 Перечень банков, с которыми установлены корреспондентские отношения и которые участвую в межбанковском кредитовании. Используем полученную информацию для уточнения ранее полученных данных от службы расчетов, а также фиксируем информацию о взаимодействии с биржами и депозитариями. На базе полученной информации формируем перечень СКЗИ и ключевой информации.
2 Перечень бирж и специализированных депозитариев с которыми работает Банк
Источник – Руководители служб финансового мониторинга и подразделений ответственных за сдачу отчетности в Банк России
1 Запрашиваем информацию о том, как они отправляют сведения и получают сведения из ЦБ. Перечень задействованных лиц и технических средств. Информационное взаимодействие с Банком России жестко регламентировано соответствующими документами, например, 2332-У, 321-И и многими другими, проверяем соответствие этим документам и формируем перечни СКЗИ, ключевой информации и ключевых документов.
Источник – Главный бухгалтер и работники бухгалтерии, занимающиеся оплатой счетов по внутрибанковским нуждам
1 Запрашиваем информацию, о том, как происходит подготовка и сдача отчетности в налоговые инспекции и Банк России Уточняем ранее полученные сведения
2 Запрашиваем реестр платежных документов, для оплаты внутрибанковских нужд В данном реестре будем искать документы где:
1) в качестве адресатов платежей указаны удостоверяющие центры, специализированные операторы связи, производители СКЗИ, поставщики телекоммуникационного оборудования. Наименования данных компаний можно получить из Реестра сертифицированных СКЗИ ФСБ России, перечня аккредитованных удостоверяющих центров Минкомсвязи и других источников.
2) в качестве расшифровки платежа присутствуют слова: «СКЗИ», «подпись», «токен», «ключевой», «БКИ» и т. д.
Источник – Руководители служб по работе с просроченной задолженностью и управления рисков
1 Запрашиваем перечень бюро кредитных историй и коллекторских агентств, с которыми работает Банк. Совместно со службой ИТ анализируем полученные данные с целью выяснения организации электронного документооборота, на базе чего уточняем перечни СКЗИ, ключевой информации и ключевых документов.
Источник – Руководители служб документооборота, внутреннего контроля и внутреннего аудита
1 Запрашиваем реестр внутренних организационно распорядительных документов (приказов). В данных документах ищем документы, относящиеся к СКЗИ. Для этого анализируем наличие ключевых слов «безопасность», «ответственное лицо», «администратор», «электронная подпись», «ЭП», «ЭЦП», «ЭДО», «АСП», «СКЗИ» и их производных. После чего выявляем перечень работников Банка зафиксированных в этих документах. Проводим с работниками интервью на тему использования ими криптосредств. Полученную информацию отражаем в перечнях СКЗИ, ключевой информации и ключевых документов.
2 Запрашиваем перечни договоров с контрагентами Стараемся выявить договора об электронном документообороте, а также договора с компаниями, занимающимися поставной средств защиты информации или оказывающими услуги в этой области, а также компаниями, предоставляющими услуги удостоверяющих центров и услуги сдачи отчетности через Интернет.
3 Анализируем технологию хранения документов дня в электронном виде При реализации хранения документов дня в электронном виде обязательно применяются СКЗИ

Этап 3. Технический аудит

Действие Ожидаемый результат и его использование
1 Проводим техническую инвентаризацию ПО установленного на компьютерах. Для этого используем:
· аналитические возможности корпоративных систем антивирусной защиты (например, Антивирус Касперского умеет строить подобный реестр).
· скрипты WMI для опроса компьютеров под управлением ОС Windows;
· возможности пакетных менеджеров для опроса *nix систем;
· специализированное ПО для инвентаризации. 		Среди установленного ПО ищем программные СКЗИ, драйвера для аппаратных СКЗИ и ключевых носителей. На базе полученной информации обновляем перечень СКЗИ.
2 Осуществляем поиск ключевых документов на серверах и рабочих станциях. Для этого
· Logon-скриптами опрашиваем АРМ в домене на предмет наличия сертификатов с закрытыми ключами в профилях пользователей и профилях компьютера.
· На всех компьютерах, файловых серверах, гипервизорах ищем файлы с расширениями: crt, cer, key, pfx, p12, pem, pse, jks и др.
· На гипервизорах систем виртуализации ищем примонтированные дисководы и образы дискет. 		Очень часто ключевые документы представлены в виде файловых ключевых контейнеров, а также контейнерами, хранящимися в реестрах компьютеров, работающих под управлением ОС Windows. Найденные ключевые документы фиксируем в перечне ключевых документов, а содержащеюся в них ключевую информацию в перечне ключевой информации.
3 Анализируем содержание баз данных удостоверяющих центров Базы данных удостоверяющих центров обычно содержат в себе данные о выпущенных этим центрами сертификатов. Полученную информацию заносим в перечень ключевой информации и перечень ключевых документов.
4 Проводим визуальный осмотр серверных комнат и коммутационных шкафов, ищем СКЗИ и аппаратные ключевые носители (токены, дисководы) В некоторых случаях, невозможно провести инвентаризацию СКЗИ и ключевых документов по сети. Системы могут находится в изолированных сетевых сегментах, либо вообще не иметь сетевых подключений. Для этого проводим визуальный осмотр, в результатах которого должно быть установлены названия и назначение всего оборудования, представленного в серверных. Полученную информацию заносим в перечень СКЗИ и ключевых документов.
5 Проводим анализ сетевого трафика, с целью выявления информационных потоков, использующих шифрованный обмен Шифрованные протоколы – HTTPS, SSH и др. позволят нам идентифицировать сетевые узлы на которых выполняются криптографические преобразования, и как следствие содержащие СКЗИ и ключевые документы.

Заключение

В данной статье мы рассмотрели теорию и практику проведения аудита СКЗИ и криптоключей. Как вы убедились, процедура эта довольно сложная и трудоемкая, но если к ней грамотно подходить вполне осуществимая. Будем надеется данная статья вам поможет в реальной жизни. Спасибо за внимание, ждем ваших комментариев

Теги:

  • скзи
  • криптография
  • электронная подпись
  • аудит
  • менеджмент
Добавить метки

Криптография как средство защиты (закрытия) информации приобретает все более важное значение в мире коммерческой деятельности.

Криптография имеет достаточно давнюю историю. Вначале она применялась, главным образом, в области военной и дипломатической связи. Теперь она необходима в производственной и коммерческой деятельности. Если учесть, что сегодня по каналам шифрованной связи только у нас в стране передаются сотни миллионов сообщений, телефонных переговоров, огромные объемы компьютерных и телеметрических данных, и все это, что называется, не для чужих глаз и ушей, становится ясным: сохранение тайны этой переписки крайне необходимо.

Что же такое криптография? Она включает в себя несколько разделов современной математики, а также специальные отрасли физики, радиоэлектроники, связи и некоторых других смежных отраслей. Ее задачей является преобразование математическими методами передаваемого по каналам связи секретного сообщения, телефонного разговора или компьютерных данных таким образом, что они становятся совершенно непонятными для посторонних лиц. То есть криптография должна обеспечить такую защиту секретной (или любой другой) информации, что даже в случае ее перехвата посторонними лицами и обработки любыми способами с использованием самых быстродействующих ЭВМ и последних достижений науки и техники она не должна быть дешифрована в течение нескольких десятков лет. Для такого преобразования информации используются различные шифровальные средства, такие как средства шифрования документов, в том числе и портативного исполнения, средства шифрования речи (телефонных и радиопереговоров), средства шифрования телеграфных сообщений и передачи данных.

Общая технология шифрования

Исходная информация, которая передается по каналам связи, может представлять собой речь, данные, видеосигналы, называется незашифрованными сообщениями Р (рис. 16).

Рис. 16. Модель криптографической системы

В устройстве шифрования сообщение Р шифруется (преобразуется в сообщение С) и передается по «незакрытому» каналу связи. На приемной стороне сообщение С дешифруется для восстановления исходного значения сообщения Р.

Параметр, который может быть применен для извлечения отдельной информации, называется ключом.

В современной криптографии рассматриваются два типа криптографических алгоритмов (ключей). Это классические криптографические алгоритмы, основанные на использовании секретных ключей, и новые криптографические алгоритмы с открытым ключом, основанные на использовании ключей двух типов: секретного (закрытого) и открытого.

В криптографии с открытым ключом имеются, по крайней мере, два ключа, один из которых невозможно вычислить из другого. Если ключ расшифрования вычислительными методами невозможно получить из ключа зашифрования, то секретность информации, зашифрованной с помощью несекретного (открытого) ключа, будет обеспечена. Однако этот ключ должен быть защищен от подмены или модификации. Ключ расшифрования также должен быть секретным и защищен от подмены или модификации.

Если, наоборот, вычислительными методами невозможно получить ключ зашифрования из ключа расшифрования, то ключ расшифрования может быть не секретным.

Разделение функций зашифрования и расшифрования посредством разделения на две части дополнительной информации, требуемой для выполнения операций, является той ценной идеей, которая лежит в основе криптографии с открытым ключом.

Технология шифрования речи

Наиболее распространенным способом шифрования аналогового речевого сигнала является разбиение его на части.

В этом случае входной речевой сигнал поступает в полосовые фильтры для выделения полос шифруемого спектра. Выходной сигнал каждого фильтра в процессе шифрования подвергается либо перестановке по частоте, либо перевороту спектра (инверсия), либо и тому, и другому одновременно. Затем синтезируется полный шифровальный выходной сигнал.

По этому принципу работает система AVPS (Analog Voice Prived System ) –речевой шифратор (скремблер), который осуществляет перестановку отдельных «вырезок» входного сигнала с помощью полосового фильтра – анализатора. Система имеет 12 ключей шифрования, обусловленных возможными перестановками, что обеспечивает надежность используемого метода.

Система AVPS используется в реальном времени с любыми унифицированными телефонами. Качество шифрования речи высокое, сохраняется узнаваемость абонента.

Находят очень широкое распространение цифровые системы шифрования речевых сигналов. Эти системы обеспечивают высокую надежность шифрования.

В системах шифрования данных используются, в основном, две элементарные системы:

1. Перестановка (биты или подблоки внутри каждого блока входных данных переставляются).

2. Замещение (биты или подблоки внутри каждого блокавходныхданных заменяются).

Разработано большое число алгоритмов шифрования. К числу наиболее эффективных относится алгоритм DES (Data Encryption Standart) – стандарт шифрования данных. Американское национальное бюро по стандартизации NBS узаконило алгоритм DES в качестве стандарта для систем связи. Механизм шифрования в этом алгоритме основывается на использовании ключа длиной 56 бит.

Для защиты промышленной и коммерческой информации на международном и отечественном рынке предлагаются различные технические устройства и комплекты профессиональной аппаратуры шифрования и криптозащиты телефонных и радиопереговоров, деловой переписки и др.

Широкое распространение получили скремблеры и маскираторы, заменяющие речевой сигнал цифровой передачей данных. Производятся средства защиты телетайпов, телексов и факсов. Для этих целей используются шифраторы, выполняемые в виде отдельных устройств, в виде приставок к аппаратам или встраиваемые в конструкцию телефонов, факс-модемов и других аппаратов связи (радиостанции и др.).

Распространенность шифрования как средства обеспечения безопасности теми или иными средствами можно характеризовать следующими данными (рис. 17).

Рис. 17. Распространенность шифрования как средства обеспечения безопасности

Аппаратные, программные, программно-аппаратные и криптографические средства реализуют те или иные услуги информационной безопасности различными механизмами защиты информации, обеспечивающими соблюдение конфиденциальности, целостности, полноты и доступности.

Инженерно-техническая защита информации использует физические, аппаратные, программные и криптографические средства.

Выводы

Комплексная безопасность информационных ресурсов достигается использованием правовых актов государственного и ведомственного уровня, организационных мер и технических средств защиты информации от различных внутренних и внешних угроз.

Правовые меры обеспечения безопасности и защиты информации являются основой порядка деятельности и поведения сотрудников всех уровней и степени их ответственности за нарушение установленных норм.

Послушайте... нельзя ли вам, для общей нашей пользы, всякое письмо, которое прибывает к вам в почтовую контору, входящее и исходящее, знаете, этак немножко распечатать и прочитать: не содержится ли в нем какого-нибудь донесения или просто переписки...

Н.В.Гоголь «Ревизор»

В идеале конфиденциальное письмо должны иметь возможность прочитать только двое: отправитель и тот, кому оно адресовано.Формулировка такой, казалось бы, очень простой вещи, явилась отправной точкой систем криптозащиты. Развитие математики дало толчок к развитию подобных систем.

Уже в XVII-XVIII веках шифры в России были достаточно изощренными и устойчивыми к взлому. Многие русские математики трудились над созданием или усовершенствованием систем шифрования и параллельно пытались подобрать ключи к шифрам других систем. В настоящее время можно отметить несколько российских систем шифрования, таких как «Лексикон Верба» , Secret Net, DALLAS LOCK, Secret Disk, семейство продуктов «Аккорд» и др. О них и будет рассказано.Вы также ознакомитесь с основными программными и программно-аппаратными комплексами криптозащиты, узнаете об их возможностях, о сильных и слабых сторонах. Надеемся, что эта статья поможет вам сделать выбор системы криптозащиты.

Введение

Обеспокоены ли вы тем, что важная информация из вашего компьютера может попасть в чужие руки? Этой информацией могут воспользоваться и конкуренты, и контролирующие органы, и просто недоброжелатели. Очевидно, что такие действия могут принести вам значительный ущерб. Что же делать? Для того чтобы уберечь свою информацию от посторонних, необходимо установить одну из программ шифрования данных. Наш обзор посвящен анализу систем шифрования для настольных систем. Следует отметить, что использование зарубежных систем шифрования на территории России в силу ряда причин сильно ограничено, поэтому государственные организации и крупные отечественные компании вынуждены использовать российские разработки. Однако средние и мелкие компании, а также частные лица иногда предпочитают зарубежные системы.

Для непосвященных шифрование информации выглядит чем-то вроде черной магии. Действительно, шифрование сообщений для сокрытия их содержания от посторонних является сложной математической задачей. К тому же шифр должен быть подобран таким образом, чтобы без ключа открыть его было практически невозможно, а с ключом - быстро и легко. Многим компаниям и организациям бывает очень трудно сделать оптимальный выбор при установке шифровальных программ. Дело осложняется еще и тем, что абсолютно защищенных компьютеров и абсолютно надежных систем шифрования не бывает. Однако все же есть достаточно способов, с помощью которых можно отразить практически все попытки раскрыть зашифрованную информацию.

Что у программ шифрования внутри

Программы шифрования отличаются друг от друга алгоритмом шифрования. Зашифровав файл, вы можете записать его на дискету, послать его по электронной почте или положить на сервер в вашей локальной сети. Получатель вашей шифровки должен иметь такую же шифровальную программу, чтобы прочитать содержимое файла.

Если вы хотите отправить зашифрованное сообщение нескольким пользователям одновременно, то ваша информация для каждого получателя может быть зашифрована по его собственному ключу либо по общему ключу для всех пользователей (включая автора сообщения).

Система криптозащиты использует секретный код для того, чтобы превратить вашу информацию в бессмысленный, псевдослучайный набор символов. При хорошем алгоритме шифрования практически невозможно дешифровать сообщение без знания секретного кода, использованного для шифрования. Такие алгоритмы называют алгоритмами с симметричным ключом, так как для шифрования и дешифровки информации используется один и тот же ключ.

Для защиты данных программа шифрования создает секретный ключ по вашему паролю. Надо только задать длинный пароль, который никто не сможет угадать. Однако если требуется, чтобы файл смог прочесть кто-то другой, вам понадобится сообщить этому человеку секретный ключ (или пароль, на основе которого он создан). Можно быть уверенным, что даже простой алгоритм шифрования защитит ваши данные от обычного пользователя, скажем, от коллеги по работе. Однако у профессионалов есть целый ряд способов дешифрации сообщения без знания секретного кода.

Без специальных знаний самостоятельно проверить, насколько надежен ваш алгоритм шифрования, вам не удастся. Но вы можете положиться на мнение профессионалов. Некоторые алгоритмы шифрования, такие, например, как Triple DES (Data Encryption Standard - стандарт шифрования данных), были подвергнуты многолетней проверке. По результатам проверки этот алгоритм хорошо себя зарекомендовал, и криптографы считают, что ему можно доверять. Большинство новых алгоритмов также тщательно изучаются, а результаты публикуются в специальной литературе.

Если алгоритм программы не подвергся открытому рассмотрению и обсуждению профессионалов, если у него нет сертификатов и других официальных бумаг, - это повод усомниться в его надежности и отказаться от использования такой программы.

Другая разновидность систем шифрования - это системы с открытым ключом. Для работы такой системы нет необходимости сообщать адресату секретный ключ (или пароль, на основе которого он создан). Указанные системы шифрования генерируют два цифровых ключа для каждого пользователя: один служит для шифрования данных, другой - для их расшифровки. Первый ключ (называемый открытым) можно опубликовать, а второй держать в секрете. После этого зашифровать информацию сумеет любой, воспользовавшись открытым ключом, а расшифровать - только тот, кто имеет соответствующий секретный ключ.

Некоторые программы шифрования содержат еще одно важное средство защиты - цифровую подпись. Цифровая подпись удостоверяет, что файл не был изменен с тех пор, как был подписан, и дает получателю информацию о том, кто именно подписал файл. Алгоритм создания цифровой подписи основан на вычислении контрольной суммы - так называемой хэш-суммы, или дайджеста сообщения. Применяемые алгоритмы гарантируют, что невозможно подобрать два разных файла, хэш-суммы которых совпали бы.

Когда адресат получает файл с цифровой подписью, его программа шифрования заново вычисляет хэш-сумму для этого файла. Затем получатель с помощью открытого ключа, опубликованного отправителем, восстанавливает цифровую подпись. Если результат соответствует значению, вычисленному для файла, то получатель может быть уверен, что текст сообщения не был изменен (если бы это произошло, хэш-сумма оказалась бы иной), а подпись принадлежит человеку, имеющему доступ к секретному ключу отправителя.

Для защиты важной или конфиденциальной информации нужна не только хорошая программа шифрования. Вам необходимо принять ряд мер для обеспечения информационной безопасности. Если ваш пароль ненадежен (специалисты рекомендуют задавать его из восьми или более символов) или если незашифрованная копия конфиденциальной информации хранится у вас на компьютере, то в этом случае даже лучшая система шифрования окажется бессильна.

Система «Лексикон-Верба»

Система «Лексикон-Верба» является средством организации защищенного электронного документооборота как внутри корпоративной сети, так и между различными организациями. В «Лексиконе-Верба» используются две модификации системы криптографии: система «Верба-W» предназначена для государственных органов (защита конфиденциальной информации, в частности ДСП; ключи подписи - открытые, ключи шифрования - закрытые), система «Верба-OW» - для коммерческих организаций (защита коммерческой тайны; ключи подписи и шифрования - открытые).

Существует довольно много мировых стандартов шифрования, но лишь малая их часть имеет сертификаты Федерального агентства правительственной связи и информации (ФАПСИ), что делает невозможным применение несертифицированных решений на территории России. Система «Верба-W» имеет сертификат ФАПСИ № СФ/114-0176. Система «Верба-ОW» - сертификат ФАПСИ № СФ/114-0174.

«Лексикон-Верба» обеспечивает шифрование и электронную цифровую подпись в соответствии с требованиями ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая» и ГОСТ Р34.10-94 «Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма».

Программа сертифицирована Гостехкомиссией при Президенте Российской Федерации. В июле ожидается получение сертификата Минобороны России.

В основе работы криптозащиты системы лежит методика шифрования с открытым ключом. Каждый ключ, идентифицирующий пользователя, состоит из двух частей: открытого и секретного ключа. Открытый ключ может распространяться свободно и используется для шифрования информации данного пользователя. Для расшифровки документа нужно, чтобы пользователь, зашифровавший его, имел ваш открытый ключ и при шифровании указал вас как имеющего доступ к документу.

Чтобы расшифровать документ, нужно воспользоваться закрытым ключом. Закрытый ключ состоит из двух частей, одна из которых хранится на смарт-карте или touch-memory, а другая - на жестком диске вашего компьютера. Таким образом, ни утеря смарт-карты, ни несанкционированный доступ к компьютеру не дают, каждый по отдельности, возможности расшифровать документы.

Первоначальный ключевой комплект, включающий в себя полную информацию об открытых и закрытых ключах пользователя, создается на специально оборудованном защищенном рабочем месте. Дискета с ключевой информацией используется только на этапе подготовки рабочего места пользователя.

Система «Лексикон-Верба» может быть использована в рамках двух основных систем организации защищенного документооборота:

  • как самостоятельное решение. При наличии в организации локальной сети систему можно установить не на все компьютеры, а только на те, где требуется работа с конфиденциальными документами. Это значит, что внутри корпоративной сети возникает подсеть обмена закрытой информацией. При этом участники закрытой части системы могут обмениваться с остальными сотрудниками и открытыми документами;
  • как составная часть документооборота. «Лексикон-Верба» имеет стандартные интерфейсы подключения внешних функций для выполнения операций открытия, сохранения, закрытия и отправки документов, что позволяет легко интегрировать эту систему как в существующие, так и во вновь разрабатываемые системы документооборота.

Следует отметить, что свойства системы «Лексикон-Верба» делают ее не только средством обеспечения информационной защиты от внешних проникновений, но и средством повышения внутрикорпоративной конфиденциальности и разделения доступа.

Одним из важных дополнительных ресурсов повышения уровня контроля информационной безопасности является возможность ведения «журнала событий» для любого документа. Функция фиксации истории документа может быть включена или отключена только при установке системы; при ее включении данный журнал будет вестись независимо от желания пользователя.

Главным достоинством и отличительной особенностью системы является простая и интуитивно понятная реализация функций защиты информации при сохранении традиционной для текстовых процессоров рабочей среды пользователя.

Блок криптографии осуществляет шифрование, а также установку и снятие электронной цифровой подписи (ЭЦП) документов.

Вспомогательные функции блока - загрузка секретного ключа, экспорт и импорт открытых ключей, настройка и ведение справочника ключей абонентов системы.

Таким образом, каждый из имеющих доступ к документу может поставить только свою подпись, но снять - любую из ранее поставленных.

Это отражает принятый порядок делопроизводства, когда по мере прохождения визирования документ может подвергаться правкам на разных этапах, но после этого документ должен быть завизирован заново.

При попытке внести изменения в документ иными, нежели «Лексикон-Верба», средствами, ЭЦП повреждается, в результате в поле «Статус подписи» появится надпись «Повреждена».

Офис

При увеличении числа пользователей системы внесение каждого открытого ключа на каждый компьютер становится затруднительным. Поэтому для организации работы офиса организуется централизованное администрирование справочника открытых ключей. Это делается следующим образом:

1) на компьютере администратора устанавливается «Лексикон-Верба» в локальном режиме. При этом создается справочник открытых ключей, в который администратор добавляет каждый используемый в офисе ключ;

2) на всех остальных компьютерах система устанавливается в сетевом режиме. В этом режиме используется справочник открытых ключей, находящийся на компьютере администратора;

3) каждый новый пользователь, внесенный администратором в справочник, становится «виден» всем пользователям, подключенным к справочнику. С этого момента они получают возможность передавать ему зашифрованные документы.

Администрирование справочника становится централизованным, но на уровень безопасности системы это не влияет, так как предоставление доступа к открытым ключам - это своеобразное «знакомство» пользователей, но доступа к каким-либо документам оно не дает. Для получения пользователем возможности расшифровки документа необходимо, чтобы его открытый ключ не только находился в справочнике, но и был явно указан как имеющий доступ к документу.

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд 5,00 / 3
Главная D-Link Какие есть системы для криптографической защиты информации. Средства криптографической защиты информации: виды и применение
Статьи по теме: