Zabezpečenie utajenia (dôvernosti) informácií. 2.
Zabezpečenie integrity informácií. 3.
Potvrdenie pravosti informácií (dokumentov). Na vyriešenie týchto problémov je potrebné implementovať nasledujúce
procesy: 1.
Implementácia skutočných funkcií ochrany informácií vrátane:
šifrovanie / dešifrovanie; vytvorenie / overenie EDS; vytvorenie / overenie imitácie vložky. 2.
Sledovanie stavu a riadenie chodu KZI (v systéme):
štátna kontrola: odhaľovanie a evidencia prípadov nefunkčnosti zariadení KZZ, pokusov o neoprávnený prístup, prípady ohrozenia kľúčov;
riadenie prevádzky: prijatie opatrení v prípade uvedených odchýlok od normálneho fungovania zariadení KZZ. 3.
Údržba objektov KZZ: implementácia kľúčového manažmentu;
implementácia postupov súvisiacich s pripojením nových účastníkov siete a/alebo vylúčením vyradených účastníkov; odstránenie zistených nedostatkov CIPF; zavedenie nových verzií softvéru na ochranu kryptografických informácií;
modernizácia a výmena technických prostriedkov systému ochrany kryptografických informácií za vyspelejšie a/alebo náhrada prostriedkov, ktorých zdroje sú vyčerpané.
Správa kľúčov je jednou z najdôležitejších funkcií ochrany kryptografických informácií a spočíva v implementácii nasledujúcich hlavných funkcií:
generovanie kľúčov: definuje mechanizmus na generovanie kľúčov alebo párov kľúčov s garanciou ich kryptografických kvalít;
distribúcia kľúčov: definuje mechanizmus, ktorým sú kľúče spoľahlivo a bezpečne doručené predplatiteľom;
uloženie kľúčov: definuje mechanizmus, pomocou ktorého sú kľúče bezpečne a bezpečne uložené pre budúce použitie;
obnovenie kľúča: definuje mechanizmus obnovenia jedného z kľúčov (náhrada novým kľúčom);
zničenie kľúča: definuje mechanizmus, ktorým sú zastarané kľúče spoľahlivo zničené;
archív kľúčov: mechanizmus, pomocou ktorého môžu byť kľúče bezpečne uložené pre ich ďalšie notárom overené obnovenie v konfliktných situáciách.
Vo všeobecnosti pre realizáciu uvedených funkcií kryptografickej ochrany informácií je potrebné vytvoriť systém kryptografickej ochrany informácií, združujúci skutočné prostriedky KZI, obslužného personálu, priestorov, kancelárskeho vybavenia, rôznej dokumentácie (technickej, regulačnej a administratívne) atď.
Ako už bolo uvedené, na získanie záruk ochrany informácií je potrebné používať certifikované nástroje KZZ.
V súčasnosti je najrozšírenejším problémom ochrana dôverných informácií. Na vyriešenie tohto problému bol pod záštitou FAPSI vyvinutý funkčne kompletný komplex kryptografickej ochrany dôverných informácií, ktorý umožňuje riešiť uvedené úlohy ochrany informácií pre širokú škálu aplikácií a podmienok použitia.
Tento komplex je založený na kryptografických jadrách „Verba“ (systém asymetrického kľúča) a „Verba-O“ (systém symetrických kľúčov). Tieto kryptokernely poskytujú postupy šifrovania údajov v súlade s požiadavkami GOST 28147-89 "Systémy spracovania informácií. Kryptografická ochrana" a digitálne podpisy v súlade s požiadavkami GOST R34.10-94 "Informačné technológie. Ochrana kryptografických informácií. Postupy generovania a overovanie elektronických digitálnych podpisov na základe asymetrického kryptografického algoritmu“.
Prostriedky zahrnuté v komplexe CIPF umožňujú chrániť elektronické dokumenty a informačné toky pomocou certifikovaných mechanizmov šifrovania a elektronického podpisu v takmer všetkých moderných informačných technológiách, vrátane: používanie CIPF v režime offline;
bezpečná výmena informácií v režime off-line; bezpečná výmena informácií v on-line režime; chránené heterogénne, t.j. zmiešaná výmena informácií.
Riešiť systémové otázky používania zariadení na ochranu kryptografických informácií pod vedením D.A. v procese tvorby dokumentu, kedy je chránený samotný dokument.
Okrem toho je v rámci všeobecnej technológie „Vityaz“ poskytovaná zjednodušená a používateľom ľahko dostupná technológia na zabudovanie licencovaných nástrojov na ochranu kryptografických informácií do rôznych aplikačných systémov, čo umožňuje veľmi široké využitie týchto zdrojov kryptografických informácií. .
Nasleduje popis prostriedkov a metód ochrany pre každý z uvedených režimov.
Používanie nástrojov na ochranu kryptografických informácií v režime offline.
Pri autonómnej práci s nástrojmi ochrany kryptografických údajov možno realizovať tieto typy ochrany kryptografických informácií: vytvorenie bezpečného dokumentu; ochrana súborov;
vytvorenie bezpečného systému súborov; vytvorenie chráneného logického disku. Na žiadosť používateľa je možné implementovať nasledujúce typy kryptografickej ochrany dokumentov (súborov):
zašifrovanie dokumentu (spisu), ktoré zneprístupní jeho obsah tak pri ukladaní dokumentu (spisu), ako aj pri jeho prenose komunikačnými kanálmi alebo kuriérom;
vývoj imitácie vložky, ktorá zabezpečuje kontrolu celistvosti dokumentu (spisu);
vytvorenie EDS, ktoré zabezpečuje kontrolu integrity dokumentu (spisu) a autentifikáciu osoby, ktorá dokument (spis) podpísala.
Výsledkom je, že chránený dokument (súbor) sa zmení na zašifrovaný súbor obsahujúci v prípade potreby EDS. EDS, v závislosti od organizácie procesu spracovania informácií, môže byť prezentovaný ako samostatný súbor od podpísaného dokumentu. Ďalej je možné tento súbor zobraziť na diskete alebo inom médiu, doručiť kuriérom alebo poslať akýmkoľvek dostupným e-mailom, napríklad cez internet.
V súlade s tým sa po prijatí zašifrovaného súboru e-mailom alebo na určité médium vykonajú úkony na kryptografickú ochranu v opačnom poradí (dešifrovanie, overenie napodobeniny, overenie EDS).
Nasledujúce certifikované nástroje možno použiť na vykonávanie autonómnej práce s CIPF:
textový editor "Leksikon-Verba", implementovaný na základe CIPF "Verba-O" a CIPF "Verba";
softvérový komplex CIPF „Autonómne pracovisko“, implementovaný na základe CIPF „Verba“ a „Verba-O“ pre OS Windows 95/98 / NT;
Ovládač kryptografického disku PTS "DiskGuard".
Chránený textový procesor "Lexicon-Verba".
Systém „Lexicon-Verba“ je plnohodnotný textový editor s podporou šifrovania dokumentov a elektronických digitálnych podpisov. Na ochranu dokumentov využíva kryptografické systémy „Verba“ a „Verba-O“. Jedinečnosť tohto produktu spočíva v tom, že funkcie šifrovania a podpisovania textu sú jednoducho zahrnuté vo funkciách moderného textového editora. V tomto prípade sa šifrovanie a podpis dokumentu premenia zo špeciálnych procesov na štandardné akcie pri práci s dokumentom.
V tomto prípade systém „Lexicon-Verba“ vyzerá ako bežný textový editor. Možnosti formátovania textu zahŕňajú úplné prispôsobenie písma dokumentu a odsekov; tabuľky a zoznamy; hlavičky a päty, poznámky pod čiarou, bočné panely; používanie štýlov a mnoho ďalších funkcií textového editora, ktorý spĺňa moderné požiadavky. "Lexicon-Verba" umožňuje vytvárať a upravovať dokumenty vo formátoch Lexicon, RTF, MS Word 6/95/97, MS Write.
Autonómne pracovisko.
CIPF „Autonómne pracovisko“ je implementované na základe CIPF „Verba“ a „Verba-O“ pre Windows 95/98 / NT a umožňuje používateľovi vykonávať nasledujúce funkcie v interaktívnom režime:
šifrovanie / dešifrovanie súborov na kľúčoch; šifrovanie / dešifrovanie súborov pomocou hesla; pripevňovanie / odstraňovanie / kontrola elektronických digitálnych podpisov (EDS) pod súbory;
skenovanie šifrovaných súborov;
EDS pripájanie + šifrovanie (v jednej akcii) súborov; dešifrovanie + odstránenie EDS (v jednej akcii) pod súbormi;
výpočet hash súboru.
CIPF „Autonómne pracovisko“ je vhodné použiť na každodennú prácu zamestnancov, ktorí potrebujú zabezpečiť:
prenos dôverných informácií v elektronickej forme kuriérom alebo kuriérom;
posielanie dôverných informácií cez verejnú sieť vrátane internetu;
ochrana pred neoprávneným prístupom k dôverným informáciám na osobných počítačoch zamestnancov.
1.2. Kryptografia dnes
Kryptografia je veda o zabezpečení údajov. Hľadá riešenia štyroch dôležitých bezpečnostných problémov – dôvernosti, autentifikácie, integrity a kontroly účastníkov interakcie. Šifrovanie je transformácia údajov do nečitateľnej podoby pomocou šifrovacích-dešifrovacích kľúčov. Šifrovanie vám umožňuje zabezpečiť dôvernosť utajovaním informácií pred tými, ktorým nie sú určené.
2. Základné pojmy.
Účelom tejto časti je definovať základné pojmy kryptografie.
2.1. Kryptografia.
Preložené z gréčtiny, slovo kryptografia znamená kryptografiu. Význam tohto pojmu vyjadruje hlavný účel kryptografie – chrániť alebo utajovať potrebné informácie.
Kryptografia poskytuje prostriedok na ochranu informácií, a preto je súčasťou činností informačnej bezpečnosti.
Existujú rôzne metódy ochranu informácií... Prístup k informáciám môžete napríklad fyzicky obmedziť ich uložením v bezpečnom trezore alebo prísne stráženej miestnosti. Pri ukladaní informácií je táto metóda pohodlná, ale pri ich prenose musíte použiť iné prostriedky.
Na skrytie informácií môžete použiť jednu zo známych metód:
skryť kanál na prenos informácií pomocou neštandardného spôsobu prenosu správ;
maskovanie prenosového kanála uzavretých informácií v otvorenom komunikačnom kanáli, napríklad ukrytím informácií do neškodného „kontajnera“ jedným alebo druhým doslovným spôsobom alebo výmenou otvorených správ, ktorých význam bol vopred dohodnutý;
Výrazne komplikuje možnosť zachytenia prenášaných správ protivníkom pomocou špeciálnych metód prenosu cez širokopásmové kanály, signálom pod úrovňou šumu alebo pomocou "skákania" nosných frekvencií atď.
Na rozdiel od uvedených metód kryptografia prenášané správy „neschováva“, ale prevádza ich do podoby nedostupnej pre nepriateľa. V tomto prípade zvyčajne vychádzajú z predpokladu, že nepriateľ má úplnú kontrolu nad komunikačným kanálom. To znamená, že protivník môže nielen pasívne zachytávať prenášané správy na ich následnú analýzu, ale ich aj aktívne meniť, ako aj posielať falošné správy v mene jedného z účastníkov.
Existujú aj ďalšie problémy ochrany prenášaných informácií. Napríklad pri úplne otvorenej výmene vzniká problém spoľahlivosti prijatých informácií. Na jeho vyriešenie je potrebné zabezpečiť:
overenie a potvrdenie pravosti obsahu zdroja správy;
predchádzanie a odhaľovanie podvodov a iných úmyselných porušení zo strany účastníkov výmeny informácií.
Na vyriešenie tohto problému nie sú obvyklé prostriedky používané pri konštrukcii systémov prenosu informácií zďaleka vždy vhodné. Práve kryptografia poskytuje prostriedky na odhalenie podvodu vo forme falšovania alebo odmietnutia už spáchaných činov, ako aj iných protiprávnych konaní.
Preto moderné kryptografia je oblasť odbornosti súvisiaca s riešením otázok bezpečnosti informácií, ako je dôvernosť, integrita, autentifikácia a nepopierateľnosť. Dosiahnutie týchto požiadaviek je hlavným cieľom kryptografie.
Bezpečnosť dôvernosti–Riešenie problému ochrany informácií pred oboznamovaním sa s ich obsahom osobami, ktoré k nim nemajú právo prístupu.
Bezpečnosť bezúhonnosť– Zaručiť nemožnosť neoprávnených zmien informácií. Na zabezpečenie integrity je potrebné jednoduché a spoľahlivé kritérium na zistenie akejkoľvek manipulácie s údajmi. Manipulácia s údajmi zahŕňa vkladanie, mazanie a nahradzovanie.
Bezpečnosť Overenie-vývoj metód na potvrdenie pravosti strán (identifikácia) a samotných informácií v procese interakcie informácií. Informácie prenášané cez komunikačný kanál musia byť overené podľa zdroja, času vytvorenia, obsahu údajov, času prenosu atď.
2.2 Dôvernosť
Tradičnou úlohou kryptografie je problém zabezpečenia dôvernosti informácií pri prenose správ cez nepriateľom kontrolovaný komunikačný kanál. V najjednoduchšom prípade je táto úloha opísaná interakciou troch subjektov (strán). Vlastník informácií, zvyčajne tzv odosielateľom, transformuje originál ( otvorené) informácie (samotný proces transformácie je tzv šifrovanie) vo forme prenášanej príjemcu cez otvorený komunikačný kanál zašifrované správy, aby ste ho ochránili pred nepriateľom.
Ryža . 1. Šifrovaný prenos informácií
Odosielateľ Protivník Prijímač
Pod protivník rozumie každý subjekt, ktorý nemá právo oboznamovať sa s obsahom prenášaných informácií. Nepriateľ môže byť kryptoanalytik ktorý je zbehlý v metódach dešifrovania šifier. Zákonný príjemca informácie vykonáva dešifrovanie prijaté správy. Protivník sa snaží získať kontrolu nad chránenými informáciami (jeho akcie sú zvyčajne tzv útokov). Zároveň môže vykonávať pasívne aj aktívne akcie. Pasívneútoky súvisia s odpočúvaním, analýzou návštevnosti, odpočúvaním, zaznamenávaním prenášaných šifrovaných správ, dešifrovanie, t.j. sa pokúša „prelomiť“ ochranu s cieľom získať informácie.
Pri dirigovaní aktívnyútoky, protivník môže prerušiť prenos správ, vytvárať falošné (vymyslené) alebo upravovať prenášané šifrované správy. Tieto aktívne akcie sa nazývajú napodobeniny a substitúcie resp.
Pod šifra zvyčajne máme na mysli skupinu reverzibilných transformácií, z ktorých každá je určená nejakým parametrom, nazývaným kľúč, ako aj poradím aplikácie tejto transformácie, tzv. režim konverzie... Formálna definícia šifry bude uvedená nižšie.
kľúč- Toto je najdôležitejšia zložka šifry, ktorá je zodpovedná za výber transformácie použitej na šifrovanie konkrétnej správy. Kľúčom je zvyčajne nejaká abecedná alebo číselná postupnosť. Táto sekvencia, ako to bolo, „ladí“ šifrovací algoritmus.
Každá transformácia je jedinečne určená kľúčom a niektorými popísaná kryptografický algoritmus... Rovnaký kryptografický algoritmus možno použiť na šifrovanie v rôznych režimoch. Implementujú sa teda rôzne spôsoby šifrovania (jednoduchá náhrada, gama atď.). Každý režim šifrovania má výhody aj nevýhody. Preto výber režimu závisí od konkrétnej situácie. Dešifrovanie používa kryptografický algoritmus, ktorý sa vo všeobecnosti môže líšiť od algoritmu použitého na šifrovanie správy. Podľa toho môžu rozlišovať medzi šifrovacími a dešifrovacími kľúčmi. Niekoľko šifrovacích a dešifrovacích algoritmov sa bežne označuje ako šifrový systém a zariadenia, ktoré ich implementujú - šifrovacia technológia.
2.3. bezúhonnosť
Spolu s dôvernosťou je rovnako dôležitou úlohou zabezpečiť integritu informácií, inými slovami, ich nemennosť počas prenosu alebo uchovávania. Riešenie tohto problému zahŕňa vývoj nástrojov, ktoré umožňujú odhaliť nie tak náhodné skreslenia (na tento účel sú celkom vhodné metódy teórie kódovania s detekciou a opravou chýb), ako účelové vnucovanie nepravdivých informácií protivníkom. . Na tento účel sa do prenášaných informácií zavádza redundancia. Spravidla sa to dosiahne pridaním určitej kontrolnej kombinácie do správy, vypočítanej pomocou špeciálneho algoritmu a hrá úlohu kontrolného súčtu na overenie integrity prijatej správy. Hlavným rozdielom tejto metódy od metód teórie kódovania je, že algoritmus na generovanie kontrolnej kombinácie je „kryptografický“, to znamená, že závisí od tajného kľúča. Bez znalosti tajného kľúča je pravdepodobnosť úspešného uloženia skreslených alebo nepravdivých informácií protivníkom malá. Táto pravdepodobnosť slúži ako miera odolnosť proti imitáciišifra, teda schopnosť samotnej šifry odolávať aktívnym útokom nepriateľa.
2.4. Overenie
Autentifikácia je stanovenie pravosti. Vo všeobecnosti sa tento termín môže vzťahovať na všetky aspekty interakcie informácií: komunikačnú reláciu, strany, prenášané správy atď.
Autentifikácia (teda overenie a potvrdenie) všetkých aspektov komunikácie je dôležitou súčasťou problému zabezpečenia spoľahlivosti prijímaných informácií. Tento problém je obzvlášť akútny v prípade strán, ktoré si navzájom nedôverujú, kedy zdrojom hrozieb môže byť nielen tretia strana (protivník), ale aj strana, s ktorou sa interakcia uskutočňuje.
Pozrime sa na tieto otázky.
Pokiaľ ide o komunikačnú reláciu (transakciu), autentifikácia znamená kontrolu: integrity spojenia, nemožnosti opätovného prenosu údajov protivníkom a včasnosti prenosu údajov. Spravidla sa na to používajú ďalšie parametre, ktoré umožňujú „reťaziť“ prenášané dáta do ľahko overiteľnej sekvencie. To sa dosiahne napríklad vkladaním nejakých špeciálnych čísel do správ, príp časové pečiatky... Umožňujú zabrániť pokusom o retransmisiu, preusporiadanie alebo spätné odoslanie časti prenášaných správ. Okrem toho musia byť takéto vloženia do prenášanej správy chránené (napríklad pomocou šifrovania) pred možným falšovaním a skreslením.
Pokiaľ ide o strany interakcie, autentifikácia znamená kontrolu jednej zo strán, že komunikujúca strana je presne tá, za ktorú sa vydáva. Autentifikácia strany sa často označuje ako identifikácia.
Hlavnými prostriedkami na vykonanie identifikácie sú identifikačné protokoly umožnenie identifikácie (a overenia) každej zo strán zapojených do interakcie a vzájomnej nedôvery. Rozlišovať jednosmerné protokoly a vzájomná identifikácia.
Protokol je distribuovaný algoritmus, ktorý určuje postupnosť akcií každej zo strán. Počas vykonávania identifikačného protokolu každá zo strán neprenáša žiadne informácie o svojom tajnom kľúči, ale ich uchováva a používa na vytváranie správ odpovede na požiadavky prijaté počas vykonávania protokolu.
Nakoniec, vo vzťahu k informáciám samotným, autentifikácia znamená overenie, že informácie prenášané cez kanál sú pravé z hľadiska obsahu, zdroja, času vytvorenia, času prenosu atď.
Overovanie autenticity obsahu informácie sa v skutočnosti redukuje na kontrolu jej nezmeniteľnosti (od momentu vytvorenia) v procese prenosu alebo uloženia, teda na kontrolu integrity.
Overenie zdroja údajov znamená potvrdenie, že pôvodný dokument bol vytvorený nárokovaným zdrojom.
Všimnite si, že ak si strany navzájom dôverujú a majú zdieľaný tajný kľúč, potom môžu byť strany overené pomocou autentifikačného kódu. Každú správu úspešne vyzdobenú príjemcom môže vytvoriť iba odosielateľ, pretože iba on pozná ich spoločné tajomstvo. Pre strany, ktoré si navzájom neveria, je riešenie takýchto problémov pomocou spoločného tajomstva nemožné. Preto je pri autentifikácii zdroja údajov potrebný mechanizmus digitálneho podpisu, ktorý bude popísaný nižšie. a informačná bezpečnosť (1) prostriedky kryptografických ochranu informácie... V poslednej dobe vzrástol záujem o moderný hardvér znamená kryptografických ochranu informácie(ASKZI). to...
Ochrana informácie (12)
Prednáška >> Štát a právoPoužívajú sa úlohy fondy ochranu informácie- technický, kryptografických, iné fondy, určený pre ochranu informácie. koncepcia ochranuúdaje zahŕňajú...
Úvod
1. Exkurzia do histórie elektronickej kryptografie
1.1 Základné úlohy kryptografie
1.2 Kryptografia dnes
2. Základné pojmy
2.1 Kryptografia
2.2 Dôvernosť
2.3 Bezúhonnosť
2.4 Autentifikácia
2.5 Digitálny podpis
3. Kryptografické ochrany
3.1 Kryptosystémy
3.2 Princípy fungovania Kryptosystému
3.2.1 Kľúčová metodika
3.2.1.1 Symetrické (tajná metodika)
3.2.1.2 Asymetrická (otvorená metodika)
3.3 Rozdelenie kľúčov
3.4 Šifrovacie algoritmy
3.4.1 Symetrické algoritmy
3.4.2 Asymetrické algoritmy
3.5 Hashovacie funkcie
3.6 Autentifikačné mechanizmy
3.7 Elektronické podpisy a časové pečiatky
3.8 Sila šifry
Záver
Bibliografia
Úvod
Kryptografia je veda o ochrane informácií pred čítaním cudzími ľuďmi. Ochrana je dosiahnutá šifrovaním, t.j. transformácie, ktoré sťažujú odhalenie chránených vstupných údajov zo vstupných údajov bez znalosti špeciálnej kľúčovej informácie - kľúča. Kľúč je chápaný ako ľahko vymeniteľná súčasť kryptosystému, udržiavaná v tajnosti a určujúca, ktorá z možných šifrovacích transformácií sa v tomto prípade vykoná. Kryptosystém je rodina reverzibilných transformácií vybraných pomocou kľúča, ktoré transformujú chránený otvorený text na šifru a naopak.
Je žiaduce, aby metódy šifrovania mali aspoň dve vlastnosti:
Legitímny príjemca bude môcť spätne analyzovať a dešifrovať správu;
Kryptanalytik protivníka, ktorý zachytí správu, z nej nebude môcť obnoviť pôvodnú správu bez takej investície času a peňazí, ktorá by túto prácu znemožňovala.
Účel práce v kurze: oboznámenie sa so základmi ochrany kryptografických informácií. Na dosiahnutie tohto cieľa sa v práci uvažovalo:
1. história kryptografie, ktorá zahŕňa hlavné úlohy kryptografie;
2. základné pojmy kryptografie (dôvernosť, integrita, autentifikácia, digitálny podpis);
3. kryptografické prostriedky ochrany (kryptosystémy, princípy kryptosystémov, distribúcia kľúčov, šifrovacie algoritmy atď.).
1. Exkurzia do histórie elektronickej kryptografie
Objavenie sa prvých elektronických počítačov v polovici dvadsiateho storočia radikálne zmenilo situáciu v oblasti šifrovania (kryptografie). S prienikom počítačov do rôznych sfér života vznikol zásadne nový priemysel - informačný priemysel. V 60. a čiastočne v 70. rokoch sa problém ochrany informácií pomerne efektívne riešil využívaním najmä organizačných opatrení. Patrili sem predovšetkým bezpečnostné opatrenia, bezpečnosť, signalizácia a najjednoduchšie softvérové nástroje na ochranu informácií. Efektívnosť využívania týchto nástrojov bola dosiahnutá vďaka koncentrácii informácií na výpočtové centrá, spravidla autonómne, čo prispelo k zabezpečeniu ochrany relatívne malými prostriedkami. „Rozptyl“ informácií o miestach ich uloženia a spracovania, čo bolo do značnej miery uľahčené objavením sa obrovského množstva lacných osobných počítačov a na ich základe vybudovaných lokálnych a globálnych národných a nadnárodných počítačových sietí, využívajúcich satelitné komunikačné kanály, vytváranie vysoko efektívne systémy na prieskum a produkciu informácií, zhoršili situáciu s ochranou informácií.
Problém zabezpečenia požadovanej úrovne ochrany informácií sa ukázal (a vecne to potvrdzujú tak teoretické výskumy, ako aj skúsenosti z praktických riešení) veľmi zložitý, vyžadujúci si na svoje riešenie nielen implementáciu určitého súboru vedeckých, vedecké, technické a organizačné opatrenia a používanie špecifických prostriedkov a metód, ale vytvorenie uceleného systému organizačných opatrení a používanie špecifických prostriedkov a metód na ochranu informácií.
Objem informácií cirkulujúcich v spoločnosti neustále narastá. Popularita World Wide Web v posledných rokoch prispieva k zdvojnásobeniu informácií každý rok. V skutočnosti ľudstvo na prahu nového tisícročia vytvorilo informačnú civilizáciu, v ktorej blaho a dokonca prežitie ľudstva v jeho súčasnej kapacite závisí od úspešnej prevádzky zariadení na spracovanie informácií. Zmeny, ktoré nastali počas tohto obdobia, možno charakterizovať takto:
Objemy spracovávaných informácií za polstoročie vzrástli o niekoľko rádov;
Prístup k určitým údajom vám umožňuje kontrolovať významné materiálne a finančné hodnoty;
Informácie nadobudli hodnotu, ktorú možno dokonca vypočítať;
Povaha spracúvaných údajov sa mimoriadne zmenila a už sa neobmedzuje len na čisto textové údaje;
Informácie boli úplne „odosobnené“, t.j. osobitosti jeho materiálneho stvárnenia stratili zmysel - porovnaj list z minulého storočia a moderné posolstvo e-mailom;
Povaha informačných interakcií sa mimoriadne skomplikovala a popri klasickej úlohe ochrany prenášaných textových správ pred neoprávneným čítaním a skreslením vznikli nové úlohy v oblasti informačnej bezpečnosti, ktoré predtým stáli a boli riešené v rámci tzv. používané papierové“ technológie – napríklad podpisovanie elektronického dokumentu a doručenie elektronického dokumentu „pri prijatí“ – stále hovoríme o takýchto“ nových „problémoch kryptografie;
Subjektmi informačných procesov už nie sú len ľudia, ale aj nimi vytvorené automatické systémy konajúce podľa programu v nich stanoveného;
Výpočtové „schopnosti“ moderných počítačov pozdvihli na úplne novú úroveň ako schopnosť implementovať šifry, ktoré boli predtým nemysliteľné kvôli ich vysokej zložitosti, tak aj schopnosť analytikov ich prelomiť. Vyššie uvedené zmeny viedli k tomu, že veľmi rýchlo po rozšírení počítačov v podnikateľskej sfére urobila praktická kryptografia obrovský skok vo svojom vývoji, a to hneď v niekoľkých smeroch:
Najprv boli vyvinuté silné bloky s tajným kľúčom, určené na vyriešenie klasického problému – na zabezpečenie utajenia a integrity prenášaných či uložených dát, stále zostávajú „ťažným koňom“ kryptografie, najčastejšie používaného prostriedku kryptografickej ochrany;
Po druhé, vznikli metódy riešenia nových, netradičných problémov v oblasti informačnej bezpečnosti, z ktorých najznámejšie sú problém podpisovania digitálneho dokumentu a otvorenej distribúcie kľúčov. V modernom svete sa informačný zdroj stal jednou z najsilnejších pák ekonomického rozvoja. Mať informácie požadovanej kvality v správnom čase a na správnom mieste je kľúčom k úspechu v akomkoľvek type podnikania. Monopolné držanie určitých informácií je často rozhodujúcou výhodou v konkurenčnom boji a predurčuje tak vysokú cenu „informačného faktora“.
Plošné zavedenie osobných počítačov posunulo úroveň „informatizácie“ podnikateľského života na kvalitatívne novú úroveň. V dnešnej dobe je ťažké predstaviť si firmu alebo podnik (vrátane tých najmenších), ktorý by nebol vyzbrojený modernými prostriedkami na spracovanie a prenos informácií. V počítači na dátových nosičoch sa hromadí značné množstvo informácií, často dôverného charakteru alebo veľkej hodnoty pre jeho majiteľa.
1.1. Hlavné úlohy kryptografie.
Úlohou kryptografie, t.j. tajný prenos, dochádza len pri informáciách, ktoré potrebujú ochranu. V takýchto prípadoch hovoria, že informácie obsahujú tajomstvo alebo sú chránené, súkromné, dôverné, tajné. Pre najtypickejšie a často sa vyskytujúce situácie tohto typu boli zavedené aj špeciálne koncepty:
štátne tajomstvá;
Vojenské tajomstvo;
Obchodné tajomstvo;
Právne tajomstvá;
1. existuje určitý okruh oprávnených používateľov, ktorí majú právo vlastniť tieto informácie;
2. existujú nelegálni používatelia, ktorí sa snažia zmocniť sa týchto informácií, aby ich využili vo svoj vlastný prospech a poškodili legitímnych používateľov.
1.2. Kryptografia dnes
Kryptografia je veda o zabezpečení údajov. Hľadá riešenia štyroch dôležitých bezpečnostných problémov – dôvernosti, autentifikácie, integrity a kontroly účastníkov interakcie. Šifrovanie je transformácia údajov do nečitateľnej podoby pomocou šifrovacích-dešifrovacích kľúčov. Šifrovanie vám umožňuje zabezpečiť dôvernosť utajovaním informácií pred tými, ktorým nie sú určené.
2. Základné pojmy.
Účelom tejto časti je definovať základné pojmy kryptografie.
2.1. Kryptografia.
Preložené z gréčtiny, slovo kryptografia znamená kryptografiu. Význam tohto pojmu vyjadruje hlavný účel kryptografie – chrániť alebo utajovať potrebné informácie.
Kryptografia poskytuje prostriedok na ochranu informácií, a preto je súčasťou činností informačnej bezpečnosti.
Existujú rôzne metódy ochranu informácií... Prístup k informáciám môžete napríklad fyzicky obmedziť ich uložením v bezpečnom trezore alebo prísne stráženej miestnosti. Pri ukladaní informácií je táto metóda pohodlná, ale pri ich prenose musíte použiť iné prostriedky.
Na skrytie informácií môžete použiť jednu zo známych metód:
· Skryť kanál na prenos informácií pomocou neštandardného spôsobu prenosu správ;
· Zamaskovať prenosový kanál utajovaných skutočností v otvorenom komunikačnom kanáli, napríklad ukrytím informácií do neškodného „kontajnera“ doslovným spôsobom alebo výmenou otvorených správ, ktorých význam bol vopred dohodnutý;
· Výrazne skomplikovať možnosť zachytenia prenášaných správ protivníkom, použitím špeciálnych metód prenosu cez širokopásmové kanály, signálom pod úrovňou šumu, alebo využitím "skákania" nosných frekvencií a pod.
Na rozdiel od uvedených metód kryptografia prenášané správy „neschováva“, ale prevádza ich do podoby nedostupnej pre nepriateľa. V tomto prípade zvyčajne vychádzajú z predpokladu, že nepriateľ má úplnú kontrolu nad komunikačným kanálom. To znamená, že protivník môže nielen pasívne zachytávať prenášané správy na ich následnú analýzu, ale ich aj aktívne meniť, ako aj posielať falošné správy v mene jedného z účastníkov.
Existujú aj ďalšie problémy ochrany prenášaných informácií. Napríklad pri úplne otvorenej výmene vzniká problém spoľahlivosti prijatých informácií. Na jeho vyriešenie je potrebné zabezpečiť:
· Overenie a potvrdenie pravosti obsahu zdroja správy;
· Prevencia a odhaľovanie podvodov a iných úmyselných porušení zo strany účastníkov výmeny informácií.
Na vyriešenie tohto problému nie sú obvyklé prostriedky používané pri konštrukcii systémov prenosu informácií zďaleka vždy vhodné. Práve kryptografia poskytuje prostriedky na odhalenie podvodu vo forme falšovania alebo odmietnutia už spáchaných činov, ako aj iných protiprávnych konaní.
Preto moderné kryptografia je oblasť odbornosti súvisiaca s riešením otázok bezpečnosti informácií, ako je dôvernosť, integrita, autentifikácia a nepopierateľnosť. Dosiahnutie týchto požiadaviek je hlavným cieľom kryptografie.
Bezpečnosť dôvernosti–Riešenie problému ochrany informácií pred oboznamovaním sa s ich obsahom osobami, ktoré k nim nemajú právo prístupu.
Bezpečnosť bezúhonnosť– Zaručiť nemožnosť neoprávnených zmien informácií. Na zabezpečenie integrity je potrebné jednoduché a spoľahlivé kritérium na zistenie akejkoľvek manipulácie s údajmi. Manipulácia s údajmi zahŕňa vkladanie, mazanie a nahradzovanie.
Bezpečnosť Overenie-vývoj metód na potvrdenie pravosti strán (identifikácia) a samotných informácií v procese interakcie informácií. Informácie prenášané cez komunikačný kanál musia byť overené podľa zdroja, času vytvorenia, obsahu údajov, času prenosu atď.
2.2 Dôvernosť
Tradičnou úlohou kryptografie je problém zabezpečenia dôvernosti informácií pri prenose správ cez nepriateľom kontrolovaný komunikačný kanál. V najjednoduchšom prípade je táto úloha opísaná interakciou troch subjektov (strán). Vlastník informácií, zvyčajne tzv odosielateľom, transformuje originál ( otvorené) informácie (samotný proces transformácie je tzv šifrovanie) vo forme prenášanej príjemcu cez otvorený komunikačný kanál zašifrované správy, aby ste ho ochránili pred nepriateľom.
Ryža . 1. Šifrovaný prenos informácií
Odosielateľ Protivník Prijímač
Pod protivník rozumie každý subjekt, ktorý nemá právo oboznamovať sa s obsahom prenášaných informácií. Nepriateľ môže byť kryptoanalytik ktorý je zbehlý v metódach dešifrovania šifier. Zákonný príjemca informácie vykonáva dešifrovanie prijaté správy. Protivník sa snaží získať kontrolu nad chránenými informáciami (jeho akcie sú zvyčajne tzv útokov). Zároveň môže vykonávať pasívne aj aktívne akcie. Pasívneútoky súvisia s odpočúvaním, analýzou návštevnosti, odpočúvaním, zaznamenávaním prenášaných šifrovaných správ, dešifrovanie, t.j. sa pokúša „prelomiť“ ochranu s cieľom získať informácie.
Pri dirigovaní aktívnyútoky, protivník môže prerušiť prenos správ, vytvárať falošné (vymyslené) alebo upravovať prenášané šifrované správy. Tieto aktívne akcie sa nazývajú napodobeniny a substitúcie resp.
Pod šifra zvyčajne máme na mysli skupinu reverzibilných transformácií, z ktorých každá je určená nejakým parametrom, nazývaným kľúč, ako aj poradím aplikácie tejto transformácie, tzv. režim konverzie... Formálna definícia šifry bude uvedená nižšie.
kľúč- Toto je najdôležitejšia zložka šifry, ktorá je zodpovedná za výber transformácie použitej na šifrovanie konkrétnej správy. Kľúčom je zvyčajne nejaká abecedná alebo číselná postupnosť. Táto sekvencia, ako to bolo, „ladí“ šifrovací algoritmus.
Každá transformácia je jedinečne určená kľúčom a niektorými popísaná kryptografický algoritmus... Rovnaký kryptografický algoritmus možno použiť na šifrovanie v rôznych režimoch. Implementujú sa teda rôzne spôsoby šifrovania (jednoduchá náhrada, gama atď.). Každý režim šifrovania má výhody aj nevýhody. Preto výber režimu závisí od konkrétnej situácie. Dešifrovanie používa kryptografický algoritmus, ktorý sa vo všeobecnosti môže líšiť od algoritmu použitého na šifrovanie správy. Podľa toho môžu rozlišovať medzi šifrovacími a dešifrovacími kľúčmi. Niekoľko šifrovacích a dešifrovacích algoritmov sa bežne označuje ako šifrový systém a zariadenia, ktoré ich implementujú - šifrovacia technológia.
2.3. bezúhonnosť
Spolu s dôvernosťou je rovnako dôležitou úlohou zabezpečiť integritu informácií, inými slovami, ich nemennosť počas prenosu alebo uchovávania. Riešenie tohto problému zahŕňa vývoj nástrojov, ktoré umožňujú odhaliť nie tak náhodné skreslenia (na tento účel sú celkom vhodné metódy teórie kódovania s detekciou a opravou chýb), ako účelové vnucovanie nepravdivých informácií protivníkom. . Na tento účel sa do prenášaných informácií zavádza redundancia. Spravidla sa to dosiahne pridaním určitej kontrolnej kombinácie do správy, vypočítanej pomocou špeciálneho algoritmu a hrá úlohu kontrolného súčtu na overenie integrity prijatej správy. Hlavným rozdielom tejto metódy od metód teórie kódovania je, že algoritmus na generovanie kontrolnej kombinácie je „kryptografický“, to znamená, že závisí od tajného kľúča. Bez znalosti tajného kľúča je pravdepodobnosť úspešného uloženia skreslených alebo nepravdivých informácií protivníkom malá. Táto pravdepodobnosť slúži ako miera odolnosť proti imitáciišifra, teda schopnosť samotnej šifry odolávať aktívnym útokom nepriateľa.
2.4. Overenie
Autentifikácia je stanovenie pravosti. Vo všeobecnosti sa tento termín môže vzťahovať na všetky aspekty interakcie informácií: komunikačnú reláciu, strany, prenášané správy atď.
Autentifikácia (teda overenie a potvrdenie) všetkých aspektov komunikácie je dôležitou súčasťou problému zabezpečenia spoľahlivosti prijímaných informácií. Tento problém je obzvlášť akútny v prípade strán, ktoré si navzájom nedôverujú, kedy zdrojom hrozieb môže byť nielen tretia strana (protivník), ale aj strana, s ktorou sa interakcia uskutočňuje.
Pozrime sa na tieto otázky.
Pokiaľ ide o komunikačnú reláciu (transakciu), autentifikácia znamená kontrolu: integrity spojenia, nemožnosti opätovného prenosu údajov protivníkom a včasnosti prenosu údajov. Spravidla sa na to používajú ďalšie parametre, ktoré umožňujú „reťaziť“ prenášané dáta do ľahko overiteľnej sekvencie. To sa dosiahne napríklad vkladaním nejakých špeciálnych čísel do správ, príp časové pečiatky... Umožňujú zabrániť pokusom o retransmisiu, preusporiadanie alebo spätné odoslanie časti prenášaných správ. Okrem toho musia byť takéto vloženia do prenášanej správy chránené (napríklad pomocou šifrovania) pred možným falšovaním a skreslením.
Pokiaľ ide o strany interakcie, autentifikácia znamená kontrolu jednej zo strán, že komunikujúca strana je presne tá, za ktorú sa vydáva. Autentifikácia strany sa často označuje ako identifikácia.
Hlavnými prostriedkami na vykonanie identifikácie sú identifikačné protokoly umožnenie identifikácie (a overenia) každej zo strán zapojených do interakcie a vzájomnej nedôvery. Rozlišovať jednosmerné protokoly a vzájomná identifikácia.
Protokol je distribuovaný algoritmus, ktorý určuje postupnosť akcií každej zo strán. Počas vykonávania identifikačného protokolu každá zo strán neprenáša žiadne informácie o svojom tajnom kľúči, ale ich uchováva a používa na vytváranie správ odpovede na požiadavky prijaté počas vykonávania protokolu.
Nakoniec, vo vzťahu k informáciám samotným, autentifikácia znamená overenie, že informácie prenášané cez kanál sú pravé z hľadiska obsahu, zdroja, času vytvorenia, času prenosu atď.
Overovanie autenticity obsahu informácie sa v skutočnosti redukuje na kontrolu jej nezmeniteľnosti (od momentu vytvorenia) v procese prenosu alebo uloženia, teda na kontrolu integrity.
Overenie zdroja údajov znamená potvrdenie, že pôvodný dokument bol vytvorený nárokovaným zdrojom.
Všimnite si, že ak si strany navzájom dôverujú a majú zdieľaný tajný kľúč, potom môžu byť strany overené pomocou autentifikačného kódu. Každú správu úspešne vyzdobenú príjemcom môže vytvoriť iba odosielateľ, pretože iba on pozná ich spoločné tajomstvo. Pre strany, ktoré si navzájom neveria, je riešenie takýchto problémov pomocou spoločného tajomstva nemožné. Preto je pri autentifikácii zdroja údajov potrebný mechanizmus digitálneho podpisu, ktorý bude popísaný nižšie.
Vo všeobecnosti má autentifikácia zdroja údajov rovnakú úlohu ako protokol identity. Jediný rozdiel je v tom, že v prvom prípade ide o nejaké prenášané informácie, ktorých autorstvo je potrebné zistiť, a v druhom prípade stačí určiť stranu, s ktorou sa interakcia uskutočňuje.
2.5. Digitálny podpis
V niektorých situáciách, napríklad v dôsledku zmenených okolností, sa jednotlivci môžu odhlásiť z predtým akceptovaných okolností. V tomto ohľade je potrebný určitý mechanizmus na zabránenie takýmto pokusom.
Keďže sa v tejto situácii predpokladá, že si strany navzájom nedôverujú, použitie zdieľaného tajného kľúča na vyriešenie vzniknutého problému sa stáva nemožným. Odosielateľ môže odmietnuť skutočnosť prenosu správy s tvrdením, že ju vytvoril príjemca ( zrieknutie sa zodpovednosti). Príjemca môže jednoducho upraviť, nahradiť alebo vytvoriť novú správu a potom tvrdiť, že bola prijatá od odosielateľa ( pripisovanie). Je jasné, že v takejto situácii sa rozhodcovi pri riešení sporu nepodarí zistiť pravdu.
Hlavným mechanizmom riešenia tohto problému je tzv digitálny podpis.
Schéma digitálneho podpisu obsahuje dva algoritmy, jeden na výpočet a druhý na overenie podpisu. Výpočet podpisu môže vykonávať iba autor podpisu. Verifikačný algoritmus musí byť verejne dostupný, aby si každý mohol overiť správnosť podpisu.
Na vytvorenie schémy digitálneho podpisu možno použiť symetrické šifrovacie systémy. V tomto prípade môže ako podpis slúžiť samotná správa zašifrovaná na tajnom kľúči. Hlavnou nevýhodou takýchto podpisov je však to, že sú jednorazové: po každom overení sa tajný kľúč stane známym. Jediným východiskom z tejto situácie v rámci používania symetrických šifrovacích systémov je zavedenie dôveryhodnej tretej strany, ktorá vystupuje ako sprostredkovateľ dôveryhodný pre obe strany. V tomto prípade sa všetky informácie odosielajú cez sprostredkovateľa, ktorý znova zašifruje správy z kľúča jedného z účastníkov na kľúč druhého. Prirodzene, táto schéma je mimoriadne nepohodlná.
Dva prístupy k budovaniu systému digitálneho podpisu pomocou šifrovacích systémov s verejným kľúčom:
1. Pri prevode správy do podoby, ktorú je možné použiť na obnovenie samotnej správy a tým overenie správnosti „podpisu“. V tomto prípade má podpísaná správa rovnakú dĺžku ako pôvodná správa. Na vytvorenie takejto „podpísanej správy“ môžete napríklad pôvodnú správu zašifrovať tajným kľúčom autora podpisu. Potom si každý môže skontrolovať správnosť podpisu dešifrovaním podpísanej správy na verejnom kľúči autora podpisu;
2. Podpis sa vypočíta a odošle spolu s pôvodnou správou. Výpočet podpisu spočíva v prevedení pôvodnej správy na nejakú digitálnu kombináciu (čo je podpis). Algoritmus výpočtu podpisu by mal závisieť od súkromného kľúča používateľa. Je to potrebné, aby podpis mohol použiť iba vlastník kľúča. Algoritmus overenia podpisu by mal byť zasa dostupný pre každého. Preto tento algoritmus závisí od verejného kľúča používateľa. V tomto prípade dĺžka podpisu nezávisí od dĺžky podpisovanej správy.
S problémom digitálneho podpisu sa vyskytol problém s konštrukciou bezkľúčovej kryptografie hašovacie funkcie... Faktom je, že pri výpočte digitálneho podpisu sa ukazuje, že je pohodlnejšie najskôr vykonať hašovacie funkcie, to znamená zložiť text do určitej kombinácie pevnej dĺžky a potom výslednú kombináciu podpísať tajným kľúčom. V tomto prípade musí byť hašovacia funkcia, hoci nezávisí od kľúča a je otvorená, „kryptografická“. Toto sa vzťahuje na nehnuteľnosť jednostrannosť táto funkcia: podľa hodnoty kombinovanej konvolúcie by nikto nemal byť schopný zachytiť zodpovedajúcu správu.
V súčasnosti existujú štandardy pre kryptografické hašovacie funkcie, ktoré sú schválené nezávisle od štandardov pre kryptografické algoritmy a schémy digitálneho podpisu.
3. Kryptografické bezpečnostné nástroje.
Kryptografické prostriedky ochrany sú špeciálne prostriedky a metódy transformácie informácií, v dôsledku čoho je ich obsah maskovaný. Hlavnými typmi kryptografického uzáveru sú šifrovanie a šifrovanie chránených údajov. Šifrovanie je zároveň typ uzáveru, pri ktorom každý znak uzatváraných údajov podlieha nezávislej transformácii; pri kódovaní sú chránené dáta rozdelené do blokov, ktoré majú sémantický význam a každý takýto blok je nahradený digitálnym, abecedným alebo kombinovaným kódom. Súčasne sa používa niekoľko rôznych šifrovacích systémov: nahradenie, preskupenie, hranie hier, analytická transformácia šifrovaných údajov. Kombinované šifry sú rozšírené, keď sa pôvodný text postupne transformuje pomocou dvoch alebo dokonca troch rôznych šifier.
3.1 Kryptosystémy
Kryptosystém funguje podľa určitej metodiky (postupu). Skladá sa to z:
ü jeden alebo viac šifrovacích algoritmov (matematické vzorce);
ü kľúče používané týmito šifrovacími algoritmami;
ü systémy správy kľúčov;
ü nezašifrovaný text;
ü a šifrový text (šifrovaný text).
Kľúčový kľúč
Text Algorithm Šifra Text Algorithm Text
šifrovanie dešifrovanie
Metodológia
Podľa metodiky sa na text najskôr aplikuje šifrovací algoritmus a kľúč, aby sa z neho získal šifrovaný text. Šifrovaný text sa potom odošle na miesto určenia, kde sa na jeho dešifrovanie použije rovnaký algoritmus, aby sa text znova získal. Súčasťou metodiky sú aj postupy na generovanie kľúčov a ich distribúciu (na obrázku nie je znázornené).
3.2 Princípy fungovania Kryptosystému.
Typický príklad zobrazenia situácie, v ktorej vzniká problém kryptografie (šifrovania), je na obr. 1:
Obrázok 2 A a B sú legitímni používatelia chránených informácií, chcú si vymieňať informácie cez verejný komunikačný kanál. P - nelegálny používateľ ( nepriateľa, hacker), ktorý chce zachytiť správy prenášané cez komunikačný kanál a pokúsiť sa z nich získať informácie, ktoré ho zaujímajú. Túto jednoduchú schému možno považovať za model typickej situácie, v ktorej sa používajú kryptografické metódy ochrany informácií alebo jednoducho šifrovanie. Historicky sa niektoré vojenské slová udomácnili v kryptografii (nepriateľ, útok na šifru a pod.). Najpresnejšie odrážajú význam zodpovedajúcich kryptografických konceptov. Zároveň sa v teoretickej kryptografii už nepoužíva všeobecne známa vojenská terminológia založená na koncepte kódu (námorné kódexy, kódexy generálneho štábu, kódové knihy, kódové označenia atď.). Faktom je, že za posledné desaťročia teória kódovania- rozsiahla vedecká oblasť, ktorá rozvíja a študuje metódy ochrany informácií pred náhodnými skresleniami v komunikačných kanáloch.
Kryptografia sa zaoberá metódami transformácie informácií, ktoré by zabránili protivníkovi získať ich zo zachytených správ. V tomto prípade sa cez komunikačný kanál neprenáša samotná chránená informácia, ale výsledok jej transformácie pomocou šifry a protivník stojí pred neľahkou úlohou šifru prelomiť. Otvorenie(hackovanie) šifra- proces získavania chránených informácií zo zašifrovanej správy bez znalosti použitej šifry.
Protivník sa môže pokúsiť neprijať, ale zničiť alebo upraviť chránené informácie v procese ich prenosu. Ide o úplne iný typ ohrozenia informácií, odlišný od zachytenia a prelomenia šifry. Na ochranu pred takýmito hrozbami sa vyvíjajú ich vlastné špecifické metódy.
Preto na ceste od jedného legitímneho používateľa k druhému musia byť informácie chránené rôznymi spôsobmi proti rôznym hrozbám. Vzniká situácia reťazca rôznych typov odkazov, ktoré chránia informácie. Prirodzene, nepriateľ sa bude snažiť nájsť najslabší článok, aby sa dostal k informáciám za čo najnižšiu cenu. To znamená, že legitímni používatelia by mali túto okolnosť zohľadňovať vo svojej stratégii ochrany: nemá zmysel vytvárať z nejakého spojenia veľmi silné, ak existujú zjavne slabšie spojenia („zásada rovnakej sily ochrany“).
Vymyslieť dobrú šifru je pracné. Preto je žiaduce predĺžiť životnosť dobrej šifry a použiť ju na zašifrovanie čo najväčšieho počtu správ. No zároveň hrozí, že nepriateľ už rozlúštil (otvoril) kód a číta chránené informácie. Ak má sieť v šifre odnímateľný kľúč, potom je možné výmenou kľúča urobiť to tak, aby metódy vyvinuté nepriateľom už neprinášali účinok.
3.2.1 Kľúčová metodika
V tejto metodológii šifrovací algoritmus kombinuje kľúč s textom na vytvorenie šifrovaného textu. Bezpečnosť tohto typu šifrovacieho systému závisí od dôvernosti kľúča použitého v šifrovacom algoritme a nie od utajenia samotného algoritmu. Mnohé šifrovacie algoritmy sú verejne dostupné a boli na to dobre testované (napr. DES). Hlavným problémom tejto metodiky je však to, ako vygenerovať a bezpečne odovzdať kľúče účastníkom interakcie. Ako vytvoriť bezpečný kanál na prenos informácií medzi účastníkmi interakcie pred prenosom kľúčov?
Ďalším problémom je autentifikácia. Existujú však dva hlavné problémy:
· Správa je zašifrovaná niekým, kto momentálne vlastní kľúč. Toto môže byť vlastník kľúča;
· Ak je však systém napadnutý, môže to byť iná osoba.
Keď účastníci interakcie dostanú kľúče, ako môžu vedieť, že tieto kľúče skutočne boli?
· Vytvorené a odoslané oprávnenou osobou?
Existujú dve kľúčové metodológie – symetrické (so súkromným kľúčom) a asymetrické (s verejným kľúčom). Každá metodika používa svoje vlastné postupy, vlastné metódy distribúcie kľúčov, typy kľúčov a algoritmy na šifrovanie a dešifrovanie kľúčov. Keďže terminológia používaná týmito metodikami sa môže zdať mätúca, definujme základné pojmy:
|
Termín |
Význam |
Poznámky |
|
Symetrická metodológia |
Používa sa jeden kľúč, pomocou ktorého sa šifrovanie aj dešifrovanie vykonáva pomocou rovnakého symetrického šifrovacieho algoritmu. Tento kľúč sa bezpečne prenáša k dvom účastníkom interakcie pred prenosom zašifrovaných údajov. |
Často označované pomocou metodológie tajného kľúča. |
|
Asymetrická metodológia |
Používa symetrické šifrovacie algoritmy a symetrické kľúče na šifrovanie údajov. Používa asymetrické šifrovacie algoritmy a asymetrické kľúče na šifrovanie symetrického kľúča. Vytvoria sa dva súvisiace asymetrické kľúče. Symetrický kľúč zašifrovaný pomocou jedného asymetrického kľúča a asymetrického šifrovacieho algoritmu sa musí dešifrovať pomocou iného kľúča a iného šifrovacieho algoritmu. Vytvoria sa dva súvisiace asymetrické kľúče. Jeden musí byť pred použitím bezpečne prevedený na jeho vlastníka a druhý na osobu, ktorá je zodpovedná za uchovávanie týchto kľúčov (CA-Key Certificate Authority). |
Často označovaná ako metodika verejného kľúča. |
|
tajný kľúč (1) |
Symetrická metodológia. |
Používa jeden kľúč, pomocou ktorého sa vykonáva šifrovanie aj dešifrovanie. Viď vyššie. |
|
Tajný kľúč (2) |
Tajný kľúč symetrického šifrovania. |
Symetrický tajný kľúč. |
|
Tajný kľúč (3) |
Tajný kľúč asymetrického šifrovania |
Asymetrický kľúč. Asymetrické kľúče sú vytvorené v pároch, pretože spolu súvisia. Výraz „tajný kľúč“ sa často používa pre jeden z dvojice asymetrických kľúčov, ktoré musia zostať v tajnosti. Asymetrické tajomstvo nemá nič spoločné so symetrickým tajomstvom. |
|
Verejný kľúč (1) |
Asymetrická metodológia |
Používa pár kľúčov, ktoré sú spoločne generované a navzájom prepojené. Čokoľvek zašifrované jedným kľúčom je možné dešifrovať iba iným kľúčom v tomto páre. |
|
Verejný kľúč (2) |
Verejný kľúč asymetrického šifrovania |
Asymetrické kľúče sú vytvorené v pároch, pričom každý z dvoch kľúčov je prepojený s druhým. Výraz „verejný kľúč“ sa často používa pre jeden z dvojice asymetrických kľúčov, ktoré by mali poznať všetci. |
|
Kľúč relácie |
Symetrický (tajný) šifrovací kľúč |
Používa sa v asymetrickej metodológii na šifrovanie samotných údajov pomocou symetrických metodík. Je to len symetrický tajný kľúč (pozri vyššie). |
|
Šifrovací algoritmus |
Matematický vzorec |
Symetrické algoritmy vyžadujú symetrické kľúče. Asymetrické algoritmy vyžadujú asymetrické kľúče. Symetrické kľúče nemôžete použiť pre asymetrické algoritmy a naopak. |
|
Tajné kryptosystémy |
|
|
|
Otvorené kryptosystémy |
Používa asymetrické algoritmy a asymetrické kľúče na šifrovanie kľúčov relácie. Na šifrovanie údajov používajú symetrické algoritmy a symetrické (tajné) kľúče. |
|
3.2.1.1 Symetrická (tajná) metodika
V tejto metodike odosielateľ aj príjemca používajú rovnaký kľúč na šifrovanie aj dešifrovanie, s ktorým súhlasili pred začatím interakcie. Ak kľúč nebol kompromitovaný, počas dešifrovania sa odosielateľ automaticky overí, pretože iba odosielateľ má kľúč, pomocou ktorého môžete šifrovať informácie, a iba príjemca má kľúč, pomocou ktorého môžete informácie dešifrovať. Keďže odosielateľ a príjemca sú jediní ľudia, ktorí poznajú tento symetrický kľúč, ak je kľúč kompromitovaný, bude ohrozená iba interakcia týchto dvoch používateľov. Problémom, ktorý bude relevantný aj pre iné kryptosystémy, je otázka, ako bezpečne distribuovať symetrické (tajné) kľúče. Symetrické šifrovacie algoritmy používajú krátke kľúče a dokážu rýchlo zašifrovať veľké množstvo údajov.
Poradie používania systémov so symetrickými kľúčmi:
1. Symetrický tajný kľúč je vytvorený, distribuovaný a bezpečne uložený.
2. Odosielateľ vytvorí elektronický podpis vypočítaním hašovacej funkcie pre text a pridaním prijatého reťazca k textu.
3. Odosielateľ používa na prijatie šifrovaného textu rýchly symetrický šifrovací-dešifrovací algoritmus spolu s tajným symetrickým kľúčom k prijatému paketu (text spolu s pripojeným elektronickým podpisom). Implicitne sa teda vykonáva autentifikácia, pretože iba odosielateľ pozná symetrický tajný kľúč a môže tento paket zašifrovať.
4. Iba príjemca pozná symetrický tajný kľúč a môže dešifrovať paket.
5. Odosielateľ odošle šifrovaný text. Symetrický tajný kľúč sa nikdy neprenáša cez nezabezpečené komunikačné kanály.
6. Príjemca používa rovnaký symetrický šifrovací a dešifrovací algoritmus spolu s rovnakým symetrickým kľúčom (ktorý už príjemca má) k zašifrovanému textu na obnovenie pôvodného textu a elektronického podpisu. Jeho úspešné obnovenie overí niekoho, kto pozná tajný kľúč.
7. Príjemca oddelí elektronický podpis od textu.
8. Príjemca vytvorí ďalší elektronický podpis výpočtom hašovacej funkcie pre prijatý text.
9. Príjemca porovná tieto dva elektronické podpisy, aby overil integritu správy (bez manipulácie).
V súčasnosti sú dostupné nástroje, ktoré využívajú symetrickú metodológiu:
· Kerberos, ktorý bol navrhnutý na overenie prístupu k zdrojom v sieti, nie na overenie údajov. Používa centrálnu databázu, ktorá uchováva kópie súkromných kľúčov všetkých používateľov.
· siete bankomatov (bankové siete bankomatov). Tieto systémy sú originálnym vývojom bánk, ktoré ich vlastnia a nie sú na predaj. Používajú aj symetrické metódy.
3.2.1.2 Asymetrická (otvorená) metodika
V tejto metodike sú kľúče na šifrovanie a dešifrovanie odlišné, hoci sú vytvorené spoločne. Jeden kľúč je známy všetkým a druhý je utajený. Hoci je možné šifrovať a dešifrovať oboma kľúčmi, údaje zašifrované jedným kľúčom je možné dešifrovať iba pomocou druhého kľúča. Všetky asymetrické kryptosystémy podliehajú útokom hrubou silou, a preto musia používať oveľa dlhšie kľúče ako tie, ktoré sa používajú v symetrických kryptosystémoch, aby poskytli ekvivalentnú úroveň ochrany. To okamžite ovplyvňuje výpočtové zdroje potrebné na šifrovanie, hoci šifrovacie algoritmy eliptických kriviek môžu tento problém zmierniť.
Bruce Schneier v knihe Aplikovaná kryptografia: protokoly, algoritmy a zdrojový kód C poskytuje nasledujúce informácie o ekvivalentných dĺžkach kľúčov.
Aby sa predišlo nízkej rýchlosti asymetrických šifrovacích algoritmov, pre každú správu sa vygeneruje dočasný symetrický kľúč a iba tento kľúč sa zašifruje pomocou asymetrických algoritmov. Samotná správa je zašifrovaná pomocou tohto dočasného kľúča relácie a šifrovacieho/dešifrovacieho algoritmu opísaného v článku 2.2.1.1. Tento kľúč relácie je potom zašifrovaný pomocou asymetrického verejného kľúča príjemcu a asymetrického šifrovacieho algoritmu. Tento šifrovaný kľúč relácie sa potom odošle príjemcovi spolu so zašifrovanou správou. Príjemca používa rovnaký asymetrický šifrovací algoritmus a súkromný kľúč na dešifrovanie kľúča relácie a výsledný kľúč relácie sa používa na dešifrovanie samotnej správy. V asymetrických kryptosystémoch je dôležité, aby kľúče relácie a asymetrické kľúče boli porovnateľné z hľadiska úrovne bezpečnosti, ktorú poskytujú. Ak sa použije krátky kľúč relácie (napríklad 40-bitový DES), nezáleží na tom, aké veľké sú asymetrické kľúče. Hackeri nezaútočia na nich, ale na kľúče relácie. Asymetrické verejné kľúče sú citlivé na útoky hrubou silou, čiastočne preto, že je ťažké ich nahradiť. Ak sa útočník naučí tajný asymetrický kľúč, bude ohrozená nielen súčasná, ale aj všetky následné interakcie medzi odosielateľom a príjemcom.
Ako používať systémy s asymetrickými kľúčmi:
1. Asymetrické verejné a súkromné kľúče sú generované a distribuované bezpečne (pozri časť 2.2 nižšie). Tajný asymetrický kľúč sa prenesie na jeho vlastníka. Asymetrický verejný kľúč je uložený v databáze X.500 a spravuje ho certifikačná autorita (CA). Z toho vyplýva, že používatelia musia dôverovať, že takýto systém bezpečne vytvára, distribuuje a spravuje kľúče. Navyše, ak tvorca kľúčov a osoba alebo systém, ktorý ich spravuje, nie sú rovnakí, potom musí koncový používateľ veriť, že tvorca kľúčov skutočne zničil kópiu.
2. Elektronický podpis textu vzniká výpočtom jeho hašovacej funkcie. Prijatá hodnota sa zašifruje pomocou asymetrického tajného kľúča odosielateľa a následne sa prijatý reťazec znakov pripojí k prenášanému textu (elektronický podpis môže vytvoriť iba odosielateľ).
3. Vytvorí sa tajný symetrický kľúč, ktorý sa použije na zašifrovanie iba tejto správy alebo relácie interakcie (kľúč relácie), potom pomocou symetrického šifrovacieho / dešifrovacieho algoritmu a tohto kľúča sa zašifruje pôvodný text spolu s elektronickým podpisom pridaným do it - získa sa zašifrovaný text (cipher -text).
4. Teraz musíte vyriešiť problém s prenosom kľúča relácie príjemcovi správy.
5. Odosielateľ musí mať asymetrický verejný kľúč od certifikačnej autority (CA). Zachytenie nešifrovaných požiadaviek na tento verejný kľúč je bežnou formou útoku. Môže existovať celý systém certifikátov, ktoré overujú pravosť verejného kľúča CA. Štandard X.509 popisuje množstvo metód, ktorými môžu používatelia získať verejné kľúče CA, ale žiadna z nich nedokáže úplne ochrániť pred falšovaním verejného kľúča CA, čo jasne dokazuje, že neexistuje systém, ktorý by zaručil pravosť verejného kľúča CA. .
6. Odosielateľ požiada CA o asymetrický verejný kľúč príjemcu. Tento proces je zraniteľný voči útoku, pri ktorom útočník zasahuje do komunikácie medzi odosielateľom a príjemcom a môže zmeniť komunikáciu medzi nimi. Verejný asymetrický kľúč príjemcu je teda „podpísaný“ CA. To znamená, že CA použila svoj asymetrický súkromný kľúč na zašifrovanie asymetrického verejného kľúča príjemcu. Len CA pozná asymetrický súkromný kľúč CA, takže existuje záruka, že verejný asymetrický kľúč príjemcu pochádza od CA.
7. Po prijatí sa asymetrický verejný kľúč príjemcu dešifruje pomocou asymetrického verejného kľúča CA a asymetrického šifrovacieho/dešifrovacieho algoritmu. Prirodzene sa predpokladá, že CA nebola kompromitovaná. Ak sa ukáže, že je kompromitovaný, potom zneschopní celú sieť svojich používateľov. Preto môžete sami zašifrovať verejné kľúče iných používateľov, ale kde je dôvera, že nie sú ohrozené?
8. Kľúč relácie je teraz zašifrovaný pomocou asymetrického šifrovacieho-dešifrovacieho algoritmu a asymetrického kľúča príjemcu (prijatý od CA a dešifrovaný).
9. Zašifrovaný kľúč relácie sa pripojí k zašifrovanému textu (ktorý zahŕňa aj predtým pridaný elektronický podpis).
10. Všetok prijatý dátový paket (šifrovaný text, ktorý obsahuje okrem pôvodného textu aj jeho elektronický podpis a šifrovaný kľúč relácie) sa prenesie k príjemcovi. Keďže šifrovaný kľúč relácie sa prenáša cez nezabezpečenú sieť, je jasným cieľom rôznych útokov.
11. Príjemca extrahuje šifrovaný kľúč relácie z prijatého paketu.
12. Teraz musí príjemca vyriešiť problém s dešifrovaním kľúča relácie.
13. Príjemca musí mať asymetrický verejný kľúč od certifikačnej autority (CA).
14. Pomocou svojho tajného asymetrického kľúča a rovnakého asymetrického šifrovacieho algoritmu príjemca dešifruje kľúč relácie.
15. Príjemca použije rovnaký symetrický šifrovací-dešifrovací algoritmus a dešifrovaný symetrický (relačný) kľúč na zašifrovaný text a dostane originálny text spolu s elektronickým podpisom.
16. Príjemca oddelí elektronický podpis od pôvodného textu.
17. Príjemca požiada CA o asymetrický verejný kľúč odosielateľa.
18. Po získaní tohto kľúča ho príjemca dešifruje pomocou verejného kľúča CA a zodpovedajúceho asymetrického šifrovacieho-dešifrovacieho algoritmu.
19. Hašovacia funkcia textu sa potom dešifruje pomocou verejného kľúča odosielateľa a asymetrického šifrovacieho-dešifrovacieho algoritmu.
20. Hašovacia funkcia výsledného pôvodného textu je prepočítaná.
21. Tieto dve hašovacie funkcie sa porovnajú, aby sa overilo, či sa text nezmenil.
3.3 Rozdelenie kľúčov
Je jasné, že v oboch kryptosystémoch je potrebné vyriešiť problém distribúcie kľúčov.
V symetrických metodológiách je tento problém akútnejší, a preto jasne definujú, ako preniesť kľúče medzi účastníkmi interakcie pred začatím interakcie. Presný spôsob, ako to urobiť, závisí od požadovanej úrovne zabezpečenia. Ak sa nevyžaduje vysoká úroveň zabezpečenia, kľúče možno odoslať pomocou nejakého mechanizmu doručovania (napríklad pomocou jednoduchej pošty alebo kuriérskej služby). Banky napríklad využívajú poštu na rozosielanie PIN kódov. Pre zabezpečenie vyššej úrovne bezpečnosti je vhodnejšie manuálne doručovať kľúče zodpovednými osobami, prípadne po častiach viacerými osobami.
Asymetrické metodológie sa snažia tento problém obísť zašifrovaním symetrického kľúča a jeho pripojením ako takého k zašifrovaným údajom. A používajú certifikačné autority kľúčov na distribúciu asymetrických verejných kľúčov používaných na šifrovanie symetrického kľúča. CA zasa tieto verejné kľúče podpisujú pomocou tajného asymetrického kľúča CA. Používatelia takéhoto systému musia mať kópiu verejného kľúča CA. Teoreticky to znamená, že účastníci interakcie nemusia poznať svoje kľúče pred vytvorením bezpečnej interakcie.
Zástancovia asymetrických systémov sa domnievajú, že takýto mechanizmus je dostatočný na zabezpečenie autenticity účastníkov interakcie. Ale problém stále zostáva. Asymetrický pár kľúčov sa musí vygenerovať spoločne. Oba kľúče, či už sú dostupné pre každého alebo nie, musia byť bezpečne zaslané vlastníkovi kľúča, ako aj certifikačnej autorite kľúča. Jediný spôsob, ako to dosiahnuť, je použiť nejaký spôsob doručenia s nízkymi požiadavkami na bezpečnosť a doručiť ich manuálne – s vysokými požiadavkami na bezpečnosť.
Problém s distribúciou kľúčov v asymetrických systémoch je nasledovný:
· X.509 znamená, že kľúče sú bezpečne distribuované, a nepopisuje, ako tento problém vyriešiť, ale iba naznačuje existenciu tohto problému. Neexistujú žiadne normy na riešenie tohto problému. Kvôli bezpečnosti musia byť kľúče doručené ručne (bez ohľadu na to, či sú symetrické alebo asymetrické).
· Neexistuje spoľahlivý spôsob, ako skontrolovať, ktoré počítače medzi sebou komunikujú. Existuje typ útoku, pri ktorom sa útočník vydáva za CA a prijíma údaje prenášané počas interakcie. Na to útočníkovi stačí zachytiť požiadavku kľúčovej certifikačnej autority a nahradiť jej kľúče svojimi vlastnými. Tento útok môže úspešne pokračovať dlhú dobu.
· Elektronický podpis kľúčov certifikačnou autoritou kľúčov nie vždy zaručuje ich pravosť, keďže môže dôjsť k ohrozeniu samotného kľúča CA. X.509 popisuje spôsob elektronického podpisovania kľúčov CA kľúčovými CA vyššej úrovne a nazýva ho „cesta certifikácie“. X.509 rieši problémy spojené s validáciou verejného kľúča za predpokladu, že tento problém možno vyriešiť iba vtedy, ak nedôjde k prerušeniu reťazca dôveryhodných miest v adresári distribuovaného verejného kľúča používateľov. Toto sa nedá obísť.
· X.509 predpokladá, že používateľ už má prístup k verejnému kľúču CA. Ako sa to robí, nie je v ňom definované.
· Kompromis kľúčovej certifikačnej autority je veľmi reálnou hrozbou. Ohrozenie CA znamená. Že budú ohrození všetci používatelia tohto systému. A nikto sa o tom nedozvie. X.509 predpokladá, že všetky kľúče, vrátane kľúčov samotnej CA, sú uložené na bezpečnom mieste. Implementácia adresárového systému X.509 (kde sú uložené kľúče) je pomerne náročná a náchylná na chyby v konfigurácii. V súčasnosti má príliš málo ľudí technické znalosti potrebné na správnu správu takýchto systémov. Navyše je pochopiteľné, že na ľudí v takýchto dôležitých funkciách môže byť vyvíjaný tlak.
· CA môže byť prekážkou. Kvôli odolnosti voči chybám X.509 navrhuje, aby bola databáza CA replikovaná pomocou štandardných zariadení X.500; tým sa výrazne zvýšia náklady na kryptosystém. A keď sa vydávate za CA, bude ťažké určiť, ktorý systém bol napadnutý. Okrem toho musia byť všetky údaje z databázy CA nejakým spôsobom odosielané cez komunikačné kanály.
· Adresárový systém X.500 je zložitý na inštaláciu, konfiguráciu a správu. K tomuto adresáru je potrebné pristupovať buď prostredníctvom voliteľnej predplatiteľskej služby, alebo si ho bude musieť organizovať sama. Certifikát X.509 predpokladá, že každá osoba má jedinečné meno. Za udeľovanie mien ľuďom zodpovedá iná dôveryhodná služba, služba mien.
· Kľúče relácie, napriek tomu, že sú šifrované, sa napriek tomu prenášajú cez nechránené komunikačné kanály.
Napriek všetkým týmto závažným nevýhodám musí používateľ implicitne dôverovať asymetrickému kryptosystému.
Správa kľúčov sa týka ich distribúcie, autentifikácie a regulácie poradia použitia. Bez ohľadu na typ použitého kryptosystému musia byť kľúče spravované. Techniky bezpečnej správy kľúčov sú veľmi dôležité, pretože mnohé útoky na kryptosystémy sa zameriavajú na procedúry správy kľúčov.
|
Postup |
Pojem „kryptografia“ pochádza zo starogréckych slov „skrytý“ a „písanie“. Fráza vyjadruje hlavný účel kryptografie – je to ochrana a zachovanie tajomstva prenášaných informácií. Ochrana informácií môže prebiehať rôznymi spôsobmi. Napríklad obmedzením fyzického prístupu k údajom, skrytím prenosového kanála, vytváraním fyzických ťažkostí pri pripájaní ku komunikačným linkám atď.
Účel kryptografie Na rozdiel od tradičnej kryptografie, kryptografia predpokladá úplný prístup útočníkov k prenosovému kanálu a zaisťuje dôvernosť a autentickosť informácií pomocou šifrovacích algoritmov, ktoré znemožňujú prístup cudzincom. Moderný systém ochrany kryptografických informácií (CIP) je softvérový a hardvérový počítačový komplex, ktorý zabezpečuje ochranu informácií podľa nasledujúcich hlavných parametrov.
+ Dôvernosť- nemožnosť čítania informácií osobami, ktoré nemajú príslušné prístupové práva. Hlavnou zložkou zabezpečenia dôvernosti v CIPF je kľúč (kľúč), čo je jedinečná alfanumerická kombinácia pre prístup užívateľa k určitému bloku CIPF.
+ bezúhonnosť- nemožnosť neoprávnených zmien, ako je úprava a vymazanie informácií. Na tento účel sa k počiatočným informáciám pridáva redundancia vo forme kontrolnej kombinácie, vypočítanej pomocou kryptografického algoritmu a v závislosti od kľúča. Bez znalosti kľúča je teda pridávanie alebo zmena informácií nemožná.
+ Overenie- potvrdenie pravosti informácií a strán, ktoré ich odosielajú a prijímajú. Informácie prenášané komunikačnými kanálmi musia byť jednoznačne overené obsahom, časom vzniku a prenosu, zdrojom a príjemcom. Treba mať na pamäti, že zdrojom hrozieb môže byť nielen útočník, ale aj strany zapojené do výmeny informácií s nedostatočnou vzájomnou dôverou. Aby sa predišlo takejto situácii, CIPF používa systém časovej pečiatky, ktorý znemožňuje odosielanie alebo opätovné odoslanie informácií a zmenu ich poradia.
+ Autorstvo- potvrdenie a nemožnosť odmietnutia akcií vykonaných používateľom informácií. Najbežnejším spôsobom potvrdenia pravosti je elektronický digitálny podpis (EDS). Systém EDS pozostáva z dvoch algoritmov: na vytvorenie podpisu a na jeho overenie. V prípade intenzívnej práce s ECC sa odporúča využívať softvérové certifikačné centrá na vytváranie a správu podpisov. Takéto centrá môžu byť implementované ako nástroj na ochranu kryptografických informácií, úplne nezávislý od vnútornej štruktúry. Čo to znamená pre organizáciu? To znamená, že všetky transakcie s elektronickým podpisom sú spracovávané nezávislými certifikovanými organizáciami a falšovanie je takmer nemožné.
Medzi nástrojmi ochrany kryptografických informácií v súčasnosti prevládajú otvorené šifrovacie algoritmy s využitím symetrických a asymetrických kľúčov s dĺžkou dostatočnou na zabezpečenie požadovanej kryptografickej komplexnosti. Najbežnejšie algoritmy sú:
symetrické kľúče - ruské Р-28147.89, AES, DES, RC4;
asymetrické kľúče - RSA;
pomocou hašovacích funkcií - Р-34.11.94, MD4 / 5/6, SHA-1/2. 80
Mnohé krajiny majú svoje vlastné národné štandardy pre šifrovacie algoritmy. V USA sa používa upravený algoritmus AES s dĺžkou kľúča 128-256 bitov a v Ruskej federácii algoritmus elektronického podpisu R-34.10.2001 a blokový kryptografický algoritmus R-28147.89 s 256-bitovým kľúčom. Niektoré prvky národných kryptografických systémov je zakázaný export mimo krajiny, vývoj kryptografických systémov ochrany informácií si vyžaduje licencovanie.
Hardvérové systémy na ochranu pred kryptomenami
Hardvérové zariadenia na ochranu kryptografických informácií sú fyzické zariadenia obsahujúce softvér na šifrovanie, zaznamenávanie a prenos informácií. Šifrovacie zariadenia môžu byť vyrobené vo forme osobných zariadení, ako sú USB šifrovače ruToken a flash disky IronKey, rozširujúce karty pre osobné počítače, špecializované sieťové prepínače a smerovače, na základe ktorých je možné budovať plne zabezpečené počítačové siete.
Hardvérové nástroje na ochranu kryptografických informácií sa rýchlo inštalujú a fungujú vysokou rýchlosťou. Nevýhody - vysoké v porovnaní so softvérovými a hardvérovými nástrojmi na ochranu kryptografických informácií, náklady a obmedzené možnosti modernizácie. Hardvér možno pripísať aj blokom CIPF zabudovaným do rôznych zariadení na záznam a prenos dát, kde sa vyžaduje šifrovanie a obmedzenie prístupu k informáciám. Medzi takéto zariadenia patria automobilové tachometre, fixujúce parametre vozidiel, niektoré typy zdravotníckych zariadení atď. Pre plnú prevádzku takýchto systémov je potrebná samostatná aktivácia modulu CIPF odborníkmi dodávateľa.
Softvérové systémy na ochranu pred šifrovaním
Softvér CIPF je špeciálny softvérový balík na šifrovanie údajov na pamäťových médiách (pevné a flash disky, pamäťové karty, CD / DVD) a pri prenose cez internet (e-maily, súbory v prílohách, zabezpečené chaty atď.). Existuje veľa programov, vrátane bezplatných, napríklad DiskCryptor. Chránené virtuálne siete na výmenu informácií fungujúce „cez internet“ (VPN), rozšírenie internetového protokolu HTTP s podporou šifrovania HTTPS a SSL, kryptografický protokol na prenos informácií široko používaný v systémoch IP telefónie a internetových aplikáciách. odkazovať na softvérové CIPF.
Nástroje softvérovej kryptografickej ochrany informácií sa využívajú najmä na internete, na domácich počítačoch a v iných oblastiach, kde nie sú požiadavky na funkčnosť a stabilitu systému príliš vysoké. Alebo ako v prípade internetu, keď musíte súčasne vytvárať veľa rôznych bezpečných spojení.
Hardvérová a softvérová kryptoochrana
Spája najlepšie kvality hardvérových a softvérových systémov na ochranu kryptografických informácií. Toto je najspoľahlivejší a najfunkčnejší spôsob vytvárania bezpečných systémov a sietí na prenos dát. Podporované sú všetky možnosti identifikácie používateľov, hardvérové (úložisko USB alebo čipová karta) aj „tradičné“ – prihlasovacie meno a heslo. Softvérové a hardvérové nástroje na ochranu kryptografických informácií podporujú všetky moderné šifrovacie algoritmy, majú širokú škálu funkcií na vytváranie bezpečného toku dokumentov na báze EDS, všetky požadované štátne certifikáty. Inštaláciu SKZI vykonáva kvalifikovaný personál developera.
Zobrazenia príspevku: 294
V tomto článku sa dozviete, čo je nástroj na ochranu kryptografických informácií a na čo slúži. Táto definícia sa týka kryptografie – ochrany a uchovávania údajov. Ochranu informácií v elektronickej podobe je možné vykonať akýmkoľvek spôsobom – aj odpojením počítača od siete a umiestnením ozbrojených stráží so psami v jeho blízkosti. Ale je to oveľa jednoduchšie dosiahnuť pomocou krypto-bezpečnostných nástrojov. Pozrime sa, čo to je a ako sa to implementuje v praxi.
Hlavné ciele kryptografie
Dešifrovanie CIPF znie ako „kryptografický systém ochrany informácií“. V kryptografii môže byť komunikačný kanál úplne prístupný útočníkom. Všetky údaje sú však dôverné a veľmi dobre šifrované. Preto aj napriek otvorenosti kanálov kyberzločinci nemôžu získať informácie.
Moderné nástroje na ochranu kryptografických informácií pozostávajú zo softvérového a počítačového komplexu. S jeho pomocou je zabezpečená ochrana informácií pre najdôležitejšie parametre, ktoré budeme ďalej zvažovať.
Dôvernosť
Nie je možné čítať informácie, ak na to nemáte povolenie. Čo je nástroj na ochranu kryptografických informácií a ako šifruje údaje? Hlavnou súčasťou systému je elektronický kľúč. Ide o kombináciu písmen a číslic. Len zadaním tohto kľúča sa dostanete do požadovanej sekcie, na ktorej je nainštalovaná ochrana.
Integrita a autentifikácia
Ide o dôležitý parameter, ktorý určuje možnosť neoprávnených zmien údajov. Ak neexistuje žiadny kľúč, informácie sa nedajú upraviť ani odstrániť.
Autentifikácia je postup na overenie pravosti informácií, ktoré sú zaznamenané na kľúčovom nosiči. Kľúč musí zodpovedať stroju, na ktorom sú informácie dešifrované.
Autorstvo
Ide o potvrdenie konania používateľa a nemožnosť ich odmietnutia. Najbežnejším typom potvrdenia je EDS (elektronický digitálny podpis). Obsahuje dva algoritmy - jeden vytvára podpis, druhý ho overuje.
Upozorňujeme, že všetky transakcie, ktoré sa vykonávajú pomocou elektronického podpisu, spracúvajú certifikované centrá (nezávislé). Z tohto dôvodu nie je možné falšovať autorstvo.
Základné algoritmy šifrovania údajov
Dnes je rozšírených veľa certifikátov CIPF, na šifrovanie sa používajú rôzne kľúče – symetrické aj asymetrické. A kľúče sú dostatočne dlhé, aby poskytli požadovanú kryptografickú zložitosť.
Najpopulárnejšie algoritmy používané v krypto ochrane:
- Symetrický kľúč - DES, AES, RC4, ruský Р-28147.89.
- S hašovacími funkciami - napríklad SHA-1/2, MD4 / 5/6, R-34.11.94.
- Asymetrický kľúč - RSA.
Mnoho krajín má svoje vlastné štandardy pre šifrovacie algoritmy. Napríklad v USA sa používa upravené šifrovanie AES, kľúč môže mať dĺžku 128 až 256 bitov.
Ruská federácia má svoj vlastný algoritmus - R-34.10.2001 a R-28147.89, v ktorom sa používa 256-bitový kľúč. Upozorňujeme, že v národných kryptografických systémoch sú prvky, ktorých export do iných krajín je zakázaný. Všetky činnosti súvisiace s vývojom nástrojov na ochranu kryptografických informácií vyžadujú povinné licencovanie.
Hardvérová krypto ochrana
Pri inštalácii tachografov CIPF môžete zabezpečiť maximálnu ochranu informácií uložených v zariadení. To všetko je implementované na softvérovej aj hardvérovej úrovni.
Hardvérový typ systému ochrany kryptografických informácií je zariadenie, ktoré obsahuje špeciálne programy, ktoré poskytujú spoľahlivé šifrovanie údajov. Aj s ich pomocou sa informácie ukladajú, zaznamenávajú a prenášajú.
Šifrovacie zariadenie sa vykonáva vo forme šifrovača pripojeného k portom USB. Existujú aj zariadenia, ktoré sú nainštalované na základných doskách PC. Na prácu s dátami možno použiť aj špecializované prepínače a kryptomerne chránené sieťové karty.
Hardvérové typy zariadení na ochranu kryptografických informácií sa inštalujú pomerne rýchlo a sú schopné vymieňať si informácie vysokou rýchlosťou. Nevýhodou sú však pomerne vysoké náklady, ako aj obmedzená možnosť modernizácie.
Softvérová ochrana pred šifrovaním
Ide o komplex programov, ktoré vám umožňujú šifrovať informácie uložené na rôznych médiách (jednotky flash, pevné a optické disky atď.). Okrem toho, ak existuje licencia pre zariadenia na ochranu kryptografických informácií tohto typu, môžete šifrovať údaje pri ich prenose cez internet (napríklad prostredníctvom e-mailu alebo chatu).
Ochranných programov je veľké množstvo a dokonca existujú aj bezplatné – napríklad DiskCryptor. Softvérovým typom CIPF sú aj virtuálne siete, ktoré umožňujú výmenu informácií „cez internet“. Toto sú siete VPN známe mnohým. Tento typ ochrany zahŕňa protokol HTTP, ktorý podporuje šifrovanie SSL a HTTPS.
Softvér CIPF sa väčšinou používa pri práci na internete, ako aj na domácich počítačoch. Teda len v tých oblastiach, kde nie sú vážne požiadavky na stabilitu a funkčnosť systému.
Hardvérovo-softvérový typ krypto ochrany
Teraz viete, čo je CIPF, ako funguje a kde sa používa. Je tiež potrebné vyzdvihnúť jeden typ - softvér a hardvér, v ktorom sú zhromaždené všetky najlepšie vlastnosti oboch typov systémov. Tento spôsob spracovania informácií je dnes najspoľahlivejší a najbezpečnejší. Okrem toho môže byť používateľ identifikovaný rôznymi spôsobmi - hardvérom (inštaláciou flash disku alebo diskety) a štandardným (zadaním páru prihlasovacieho mena / hesla).
Všetky dnes existujúce šifrovacie algoritmy sú podporované hardvérovými a softvérovými systémami. Upozorňujeme, že inštaláciu SKZI by mal vykonávať iba kvalifikovaný personál developera komplexu. Je jasné, že takýto nástroj na ochranu kryptografických informácií by nemal byť inštalovaný na počítačoch, ktoré nespracúvajú dôverné informácie.
Hodnota avatarov v psychológii
Hodnota avatarov v psychológii
Ako zdôrazniť písmeno v MS Word
Čo to znamená, ak je avatar osoby
Ako si vytvoriť svoj vlastný Twitter moment