Інтернет Windows Android
Розгорнути
Головна

Що таке шифрувальні криптографічні засоби. Криптографічні засоби захисту

Механізмами шифрування даних для забезпечення інформаційної безпеки суспільства є криптографічний захист інформаціїза допомогою криптографічного шифрування.

Криптографічні методи захисту інформації застосовуються для обробки, зберігання та передачі інформації на носіях і по мережах зв'язку.

Криптографічний захист інформації при передачі даних на великі відстані є єдино надійним способом шифрування.

Криптографія - це наука, яка вивчає і описує модель інформаційної безпеки даних. Криптографія відкриває вирішення багатьох проблем інформаційної безпеки мережі: аутентифікація, конфіденційність, цілісність і контроль взаємодіючих учасників.

Термін "Шифрування" означає перетворення даних в форму, не читабельну для людини і програмних комплексів без ключа шифрування-розшифровки. Криптографічні методи захисту інформації дають кошти інформаційної безпеки, тому вона є частиною концепції інформаційної безпеки.

Цілі захисту інформації в результаті зводяться до забезпечення конфіденційності інформації та захисту інформації в комп'ютерних системах в процесі передачі інформації по мережі між користувачами системи.

захист конфіденційної інформації, Заснована на криптографічного захисту інформації, шифрує дані за допомогою сімейства оборотних перетворень, кожне з яких описується параметром, що має назву "ключем" і порядком, визначальним черговість застосування кожного перетворення.

Найважливішим компонентом криптографічного методу захисту інформації є ключ, який відповідає за вибір перетворення і порядок його виконання. Ключ - це деяка послідовність символів, настроює шифрує і дешифрує алгоритм системи криптографічного захисту інформації. Кожне таке перетворення однозначно визначається ключем, який визначає криптографічний алгоритм, що забезпечує захист інформації та інформаційну безпеку інформаційної системи.

Один і той же алгоритм криптографічного захисту інформації може працювати в різних режимах, кожен з яких має певні переваги і недоліки, що впливають на надійність інформаційної безпеки Росії і засоби інформаційної безпеки.

Симетрична або секретна методологія криптографії.

У цій методології технічні засоби захисту інформації, шифрування і розшифровки одержувачем і відправником використовується один і той же ключ, обумовлений раніше ще перед використанням криптографічного інженерного захисту інформації.

У разі, коли ключ не був скомпрометований, в процесі розшифровки буде активовано аутентифікація автора повідомлення, так як тільки він має ключ до розшифровки повідомлення.

Таким чином, програми для захисту інформації криптографією припускають, що відправника й одержувача повідомлення - єдині особи, які можуть знати ключ, і компрометація його буде зачіпати взаємодія тільки цих двох користувачів інформаційної системи.

Проблемою організаційної захисту інформації в цьому випадку буде актуальна для будь-якої криптосистеми, яка намагається досягти мети захисту інформації або захисту інформації в Інтернеті, адже симетричні ключі необхідно поширювати між користувачами безпечно, тобто, необхідно, щоб захист інформації в комп'ютерних мережах, Де передаються ключі, була на високому рівні.

Будь-симетричний алгоритм шифрування криптосистеми програмно апаратного кошти захисту інформації використовує короткі ключі і виробляє шифрування дуже швидко, не дивлячись на великі обсяги даних, що задовольняє цілі захисту інформації.

Засоби захисту комп'ютерної інформації на основі криптосистеми повинні використовувати симетричні системи роботи з ключами в наступному порядку:

· Робота інформаційної безпеки починається з того, що спочатку захист інформації створює, поширює і зберігає симетричний ключ організаційної захисту інформації;

· Далі фахівець із захисту інформації або відправник системи захисту інформації в комп'ютерних мережах створює електронний підпис за допомогою хеш-функції тексту і додавання отриманого рядка хеша до тексту, який повинен бути безпечно переданий в організації захисту інформації;

· Згідно з доктриною інформаційної безпеки, відправник користується швидким симетричним алгоритмом шифрування в криптографическом засобі захисту інформації разом з симетричним ключем до пакету повідомлення і електронним підписом, яка виробляє аутентифікацію користувача системи шифрування криптографічного засоби захисту інформації;

· Зашифроване повідомлення можна сміливо передавати навіть по незахищених каналах зв'язку, хоча краще все-таки це робити в рамках роботи інформаційної безпеки. А ось симетричний ключ в обов'язковому порядку повинен бути переданий (відповідно до доктрини інформаційної безпеки) по каналах зв'язку в рамках програмно-апаратних засобів захисту інформації;

· У системі інформаційної безпеки протягом історії захисту інформації, відповідно до доктрини інформаційної безпеки, одержувач використовує теж симетричний алгоритм для розшифровки пакета і той же симетричний ключ, який дає можливість відновити текст вихідного повідомлення і розшифрувати електронний підпис відправника в системі захисту інформації;

· У системі захисту інформації одержувач повинен тепер відокремити електронний підпис від тексту повідомлення;

· Тепер, отримані раніше і нині електронні підписи одержувач порівнює, щоб перевірити цілісність повідомлення та відсутність в ньому перекручених даних, що в сфері інформаційної безпеки називається цілісністю передачі даних.

Відкрита асиметрична методологія захисту інформації.

Знаючи історію захисту інформації, можна зрозуміти, що в даній методології ключі шифрування і розшифровки різні, хоча вони створюються разом. У такій системі захисту інформації один ключ поширюється публічно, а інший передається таємно, тому що одного разу зашифровані дані одним ключем, можуть бути розшифровані тільки іншим.

Всі асиметричні криптографічні засоби захисту інформації є цільовим об'єктом атак хакером, чинним в сфері інформаційної безпеки шляхом прямого перебору ключів. Тому в такій інформаційної безпеки особистості або інформаційно психологічної безпеки використовуються довгі ключі, щоб зробити процес перебору ключів настільки тривалим процесом, що злом системи інформаційної безпеки втратить будь-який сенс.

Зовсім не секрет навіть для того, хто робить курсову захист інформації, що для того щоб уникнути повільності алгоритмів асиметричного шифрування створюється тимчасовий симетричний ключ для кожного повідомлення, а потім тільки він один шифрується асиметричними алгоритмами.

Системи інформаційно психологічної безпеки та інформаційної безпеки особистості використовують наступний порядок користування асиметричними ключами:

· У сфері інформаційної безпеки створюються і відкрито поширюються асиметричні відкриті ключі. В системі інформаційної безпеки особистості секретний асиметричний ключ відправляється його власнику, а відкритий асиметричний ключ зберігається в БД і адмініструється центром видачі сертифікатів системи роботи захисту інформації, що контролює фахівець із захисту інформації. Потім, інформаційна безпека, скачати безкоштовно яку неможливо ніде, має на увазі, що обидва користувачі повинні вірити, що в такій системі інформаційної безпеки проводиться безпечне створення, адміністрування і розподіл ключів, якими користується вся організація захисту інформації. Навіть більше того, якщо на кожному етапі роботи захисту інформації, відповідно до засад захисту інформації, кожен крок виконується різними особами, то одержувач секретного повідомлення повинен вірити, що творець ключів знищив їх копію і більше нікому дані ключі не надав для того, щоб хто-небудь ще міг завантажити захист інформації, що передається в системі засобів захисту інформації. Так діє будь-який фахівець із захисту інформації.

· Далі основи захисту інформації передбачають, що створюється електронний підпис тексту, і отримане значення шифрується асиметричним алгоритмом. Потім все ті ж основи захисту інформації припускають, секретний ключ відправника зберігається в рядку символів і вона додається до тексту, який буде передаватися в системі захисту інформації та інформаційної безпеки, тому що електронний підпис на захист інформації та інформаційної безпеки може створити електронний підпис!

· Потім системи і засоби захисту інформації вирішують проблему передачі сеансового ключа одержувачу.

· Далі в системі засобів захисту інформації відправник повинен отримати асиметричний відкритий ключ центру видачі сертифікатів організації і технології захисту інформації. У даній організації і технології захисту інформації перехоплення нешифрованих запитів на отримання відкритого ключа - найбільш поширена атака хакерів. Саме тому в організації і технології захисту інформації може бути реалізована система підтверджують справжність відкритого ключа сертифікатів.

Таким чином, алгоритми шифрування припускають використання ключів, що дозволяє на 100% захистити дані від тих користувачів, яким ключ невідомий.

Захист інформації в локальних мережахі технології захисту інформації поряд з конфіденційністю зобов'язані забезпечувати і цілісність зберігання інформації. Тобто, захист інформації в локальних мережах повинна передавати дані таким чином, щоб дані зберігали незмінність в процесі передачі і зберігання.

Для того щоб інформаційна безпека інформації забезпечувала цілісність зберігання і передачі даних необхідна розробка інструментів, що виявляють будь-які спотворення вихідних даних, для чого до вихідної інформації надається надмірність.

Інформаційна безпека в Росії з криптографією вирішує питання цілісності шляхом додавання певної контрольної суми або перевірочної комбінації для обчислення цілісності даних. Таким чином, знову модель інформаційної безпеки є криптографічного - залежить від ключа. За оцінкою інформаційної безпеки, заснованої на криптографії, залежність можливості прочитання даних від секретного ключа є найбільш надійним інструментом і навіть використовується в системах інформаційної безпеки держави.

Як правило, аудит інформаційної безпеки підприємства, наприклад, інформаційної безпеки банків, звертає особливу увагу на ймовірність успішно нав'язувати перекручену інформацію, а криптографічний захист інформації дозволяє звести цю ймовірність до мізерно малому рівню. Подібна служба інформаційної безпеки дану ймовірність називає мірою імітостойкость шифру, або здатністю зашифрованих даних протистояти атаці зломщика.

Захист інформації від вірусів або системи захисту економічної інформації в обов'язковому порядку повинні підтримувати встановлення автентичності користувача для того, щоб ідентифікувати регламентованого користувача системи і не допустити проникнення в систему зловмисника.

Перевірка і підтвердження автентичності призначених для користувача даних у всіх сферах інформаційної взаємодії - важлива складова проблема забезпечення достовірності будь одержуваної інформації і системи захисту інформації на підприємстві.

Інформаційна безпека банків особливо гостро ставиться до проблеми недовіри взаємодіють один з одним сторін, де в поняття інформаційної безпеки ІС включається не тільки зовнішня загроза з третьої сторони, а й загроза інформаційній безпеці (лекції) з боку користувачів.

Цифровий підпис

інформаційний безпеку захист несанкціонований

Іноді користувачі ІС хочуть відмовитися від раніше прийнятих зобов'язань і намагаються змінити раніше створені дані або документи. Доктрина інформаційної безпеки РФ враховує це і присікає подібні спроби.

Захист конфіденційної інформації з використанням єдиного ключа неможливо в ситуації, коли один користувач не довіряє іншому, адже відправник може потім відмовитися від того, що повідомлення взагалі передавалося. Далі, не дивлячись на захист конфіденційної інформації, другий користувач може модифікувати дані і приписати авторство іншим користувачем системи. Природно, що, хоч би якою була програмна захист інформації або інженерний захист інформації, істина встановлена \u200b\u200bбути не може в цій суперечці.

Цифровий підпис в такій системі захисту інформації в комп'ютерних системах є панацеєю проблеми авторства. Захист інформації в комп'ютерних системах з цифровим підписом містить в собі 2 алгоритму: для обчислення підпису і для її перевірки. Перший алгоритм може бути виконаний лише автором, а другий - зберігається в загальному доступі для того, щоб кожен міг в будь-який момент перевірити правильність цифрового підпису.

Термін "криптографія" походить від давньогрецьких слів «прихований» і «пишу». Словосполучення висловлює основне призначення криптографії - це захист і збереження таємниці переданої інформації. Захист інформації може відбуватися різними способами. Наприклад, шляхом обмеження фізичного доступу до даних, приховування каналу передачі, створення фізичних труднощів підключення до ліній зв'язку і т. Д.

мета криптографії

На відміну від традиційних способів тайнопису, криптографія передбачає повну доступність каналу передачі для зловмисників і забезпечує конфіденційність і автентичність відбитку інформації за допомогою алгоритмів шифрування, які роблять інформацію недоступною для стороннього прочитання. сучасна система криптографічного захисту інформації (СКЗИ) - це програмно-апаратний комп'ютерний комплекс, що забезпечує захист інформації за такими основними параметрами.

  • Конфіденційність - неможливість прочитання інформації особами, які не мають відповідних прав доступу. Головним компонентом забезпечення конфіденційності в ЗКЗІ є ключ (key), що представляє собою унікальну буквено-числову комбінацію для доступу користувача в певний блок ЗКЗІ.
  • цілісність - неможливість несанкціонованих змін, таких як редагування і видалення інформації. Для цього до вихідної інформації додається надмірність у вигляді перевірочної комбінації, що обчислюється за криптографічним алгоритмом і залежить від ключа. Таким чином, без знання ключа додавання або зміна інформації стає неможливим.
  • аутентифікація - підтвердження достовірності інформації та сторін, її відправляють і отримують. Що передається по каналах зв'язку інформація повинна бути однозначно аутентифицироваться за змістом, часу створення і передачі, джерела і одержувача. Слід пам'ятати, що джерелом загроз може бути не тільки зловмисник, але і сторони, що беруть участь в обміні інформацією при недостатньому взаємній довірі. Для запобігання подібних ситуації ЗКЗІ використовує систему міток часу для неможливості повторної або зворотного відсилання інформації та зміни порядку її проходження.

  • авторство - підтвердження і неможливість відмови від дій, скоєних користувачем інформації. Найпоширенішим способом підтвердження автентичності є Система ЕЦП складається з двох алгоритмів: для створення підпису і для її перевірки. При інтенсивній роботі з ЕКЦ рекомендується використання програмних засвідчувальних центрів для створення і управління підписами. Такі центри можуть бути реалізовані як повністю незалежне від внутрішньої структури засіб ЗКЗІ. Що це означає для організації? Це означає, що всі операції з обробляються незалежними сертифікованими організаціями та підробка авторства практично неможлива.

алгоритми шифрування

На поточний момент серед ЗКЗІ переважають відкриті алгоритми шифрування з використанням симетричних і асиметричних ключів з довжиною, достатньою для забезпечення потрібної криптографічного складності. Найбільш поширені алгоритми:

  • симетричні ключі - російський Р-28147.89, AES, DES, RC4;
  • асиметричні ключі - RSA;
  • з використанням хеш-функцій - Р-34.11.94, MD4 / 5/6, SHA-1/2.

Багато країн мають свої національні стандарти В США використовується модифікований алгоритм AES з ключем довжиною 128-256 біт, а в РФ алгоритм електронних підписів Р-34.10.2001 і блоковий криптографічний алгоритм Р-28147.89 з 256-бітовим ключем. Деякі елементи національних криптографічних систем заборонені для експорту за межі країни, діяльність з розробки ЗКЗІ вимагає ліцензування.

Системи апаратної криптозахисту

Апаратні ЗКЗІ - це фізичні пристрої, що містять в собі програмне забезпечення для шифрування, записи і передачі інформації. Апарати шифрування можуть бути виконані у вигляді персональних пристроїв, Таких як USB-шифратори ruToken і флеш-диски IronKey, плат розширення для персональних комп'ютерів, спеціалізованих мережевих комутаторів і маршрутизаторів, на основі яких можлива побудова повністю захищених комп'ютерних мереж.

Апаратні ЗКЗІ швидко встановлюються і працюють з високою швидкістю. Недоліки - висока, в порівнянні з програмними та програмно-апаратними ЗКЗІ, вартість і обмежені можливості модернізації.

Також до апаратних можна віднести блоки ЗКЗІ, вбудовані в різні пристрої реєстрації та передачі даних, де потрібно шифрування і обмеження доступу до інформації. До таких пристроїв належать автомобільні тахометри, здатні фіксувати параметри автотранспорту, деякі типи медичного обладнання і т.д. Для повноцінної роботи таким систем потрібна окрема активація ЗКЗІ модуля фахівцями постачальника.

Системи програмної криптозахисту

Програмні ЗКЗІ - це спеціальний програмний комплекс для шифрування даних на носіях інформації (жорсткі і флеш-диски, карти пам'яті, CD / DVD) і при передачі через Інтернет ( електронні листи, Файли у вкладеннях, захищені чати і т.д.). Програм існує досить багато, в т. Ч. Безкоштовних, наприклад, DiskCryptor. До програмних ЗКЗІ можна також віднести захищені віртуальні мережі обміну інформацією, що працюють «поверх Інтернет» (VPN), розширення Інтернет протоколу HTTP з підтримкою шифрування HTTPS і SSL - криптографічний протокол передачі інформації, що широко використовується в системах IP-телефонії та інтернет-додатках.

Програмні ЗКЗІ в основному використовуються в мережі Інтернет, на домашніх комп'ютерах і в інших сферах, де вимоги до функціональності і стійкості системи не дуже високі. Або як у випадку з Інтернетом, коли доводиться одночасно створювати безліч різноманітних захищених з'єднань.

Програмно-апаратна криптозащита

Поєднує в собі кращі якості апаратних і програмних систем ЗКЗІ. Це найнадійніший і функціональний спосіб створення захищених систем і мереж передачі даних. Підтримуються всі варіанти ідентифікації користувачів, як апаратні (USB-накопичувач або смарт-карта), так і «традиційні» - логін і пароль. Програмно-апаратні ЗКЗІ підтримують всі сучасні алгоритми шифрування, володіють великим набором функцій по створенню захищеного документообігу на основі ЕЦП, усіма необхідними державними сертифікатами. Установка ЗКЗІ проводиться кваліфікованим персоналом розробника.

Компанія «КРИПТО-ПРО»

Один з лідерів російського криптографічного ринку. Компанія розробляє весь спектр програм по захисту інформації з використанням ЕЦП на основі міжнародних і російських криптографічних алгоритмів.

Програми компанії використовуються в електронний документообіг комерційних і державних організацій, для здачі бухгалтерської та податкової звітності, в різних міських та бюджетних програмах і т. Д. Компанією видано понад 3 млн. Ліцензій для програми КріптоПро CSP і 700 ліцензій для засвідчувальних центрів. «Кріпто-ПРО» надає розробникам інтерфейси для вбудовування елементів криптографічного захисту в свої і надає весь спектр консалтингових послуг зі створення ЗКЗІ.

криптопровайдер КріптоПро

При розробці ЗКЗІ КріптоПро CSP використовувалася вбудована в операційну систему Windows криптографічний архітектура Cryptographic Service Providers. Архітектура дозволяє підключати додаткові незалежні модулі, що реалізують необхідні алгоритми шифрування. За допомогою модулів, що працюють через функції CryptoAPI, криптографічний захист можуть здійснювати як програмні, так і апаратні ЗКЗІ.

носії ключів

Як особистих ключів можуть використовуватися різні такі як:

  • смарт-карти і зчитувачі;
  • електронні замки і зчитувачі, що працюють з пристроями Touch Memory;
  • різні USB-ключі і змінні USB-накопичувачі;
  • файли системного реєстру Windows, Solaris, Linux.

функції криптопровайдера

ЗКЗІ КріптоПро CSP повністю сертифікована ФАПСИ і може використовуватися для:

2. Повної конфіденційності, автентичності та цілісності даних за допомогою шифрування і імітаційної захисту згідно російським стандартам шифрування і протоколу TLS.

3. Перевірки і контролю цілісності програмного коду для запобігання несанкціонованого зміни і доступу.

4. Створення регламенту захисту системи.

Згідно із законодавством ЄАЕС, шифрувальні (криптографічні) кошти (Далі - ШКС) - це " апаратні, програмні та апаратно-програмні засоби, системи і комплекси, що реалізують алгоритми криптографічного перетворення інформації і призначені для захисту інформації від несанкціонованого доступу при її передачі по каналах зв'язку і (або) при її обробці і зберіганні” .

Дане визначення досить абстрактно, в зв'язку з чим віднесення або невіднесення конкретного товару до ШКС може викликати істотні ускладнення.

Список товарів, що відносяться до ШКС

У Положенні про ввезення (вивезення) ШКС наведено список функцій (компонентів), які повинен містити товар, щоб він міг вважатися ШКС:

  • кошти імітозащіти
  • засоби електронного цифрового підпису
  • засоби кодування
  • засоби виготовлення криптографічних ключів
  • самі криптографічні ключі
  • системи, обладнання та компоненти, розроблені або модифіковані для виконання крипто-аналітичних функцій
  • системи, обладнання та компоненти, розроблені або модифіковані для застосування криптографічних методів генерації розширюється коду для систем з ширшим спектром, включаючи стрибкоподібну перебудову кодів для систем зі стрибкоподібною перебудовою частоти
  • системи, обладнання та компоненти, розроблені або модифіковані для застосування криптографічних методів формування каналів або засекречувати кодів для модульованих за часом надширокосмугових систем.

Однак, на практиці нерідко виникає ситуація, що митні органи, керуючись переліком з розділу 2.19 (і навіть тільки кодом ТН ЗЕД з переліку), можуть вирішити, що ввозиться продукт є шифрувальним засобом (і неважливо, чи є там шифрування насправді чи ні ). В цьому випадку імпортеру доведеться отримувати дозвільні документи або доводити митниці, що в товарі відсутній шифрування.

Процедура імпорту (експорту) ШКС

Залежно від митної процедури для ввезення (вивезення) ШКС необхідно оформити різні види документів:

12 категорій ШКС

На практиці переважна більшість товарів з функцією шифрування ввозяться на підставі нотифікації.

Нотифікація може зареєстрована тільки на товари, що відносяться до однієї або декількох з 12 категорій шифрувальних засобів, технічні та криптографічні характеристики яких підлягають нотифікації. Даний перелік наведено у Положенні про нотифікації.

Категорія №1

1. Товари, що містять в своєму складі шифрувальні (криптографічні) кошти, які мають одну з наступних складових: 1) симетричний криптографічний алгоритм, який використовує криптографічний ключ довжиною, що не перевищує 56 біт; 2) асиметричний криптографічний алгоритм, заснований на будь-якому з наступних методів: Розкладання на множники цілих чисел, розмір яких не перевищує 512 біт; обчислення дискретних логарифмів в мультиплікативної групі кінцевого поля, розмір якого не перевищує 512 біт; дискретний логарифм в групі кінцевого поля, відмінного від поля, зазначеного в абзаці третьому цього підпункту, розмір якого не перевищує 112 біт.

ШКС даної категорії виконуються різні криптографічні функції, але визначальним фактором віднесення до даної категорії є довжина криптографічного ключа. Зазначені довжини ключів істотно менше рекомендованих мінімальних значень для відповідних груп алгоритмів. Використання таких коротких криптографічних ключів робить можливим на сучасному обладнанні розтин зашифрованих повідомлень методом повного перебору.

симетричне шифрування в основному використовується для забезпечення конфіденційності даних, і засноване на тому, що відправник і одержувач інформації використовують один і той же ключ як для шифрування повідомлень, так і для їх розшифровки. Цей ключ повинен зберігатися в таємниці і передаватися способом, що виключає його перехоплення. Приклади симетричних алгоритмів шифрування: RC4, DES, AES.

З перерахованих алгоритмів тільки DES (вважається застарілим) безумовно потрапляє в категорію 1; також алгоритм RC4 іноді може використовуватися з короткими ключами (наприклад, в протоколі WEP технології зв'язку Wi-Fi: Довжина ключа 40 або 128 біт).

В асиметричних алгоритмах шифрування (Або криптографії з відкритим ключем) для зашифровування інформації використовують один ключ (відкритий), а для розшифрування - інший (секретний). Дані алгоритми широко використовуються для встановлення захищених з'єднань по відкритих каналах зв'язку, для цілей ЕЦП. Приклади алгоритмів: RSA, DSA, Протокол Діффі - Хеллмана, ГОСТ Р 34.10-2012.

зазначені методи відносяться до математичної базі функціонування асиметричних алгоритмів:

  • розкладання на множники цілих чисел - алгоритм RSA
  • обчислення дискретних логарифмів в мультиплікативної групі кінцевого поля - алгоритми DSA, Діффі-Хеллмана, Ель-Гамаля
  • дискретний логарифм в групі кінцевого поля, відмінного від поля, зазначеного в абзаці третьому цього підпункту - алгоритми на еліптичних кривих: ECDSA, ECDH, ГОСТ Р 34.10-2012.

Приклади нотіфіціруемих ШКС: теоретично будь-який товар може використовувати застарілі алгоритми, або короткі ключі в сучасних алгоритмах. На практиці, однак, це має мало сенсу, тому що не забезпечує достатній рівень захисту. Одним з реальних прикладів може бути Wi-Fi в режимі WEP з ключем довжини 40 біт.

Категорія №2

2. Товари, що містять шифрувальні (криптографічні) кошти, що мають такі обмеженими функціями: 1) аутентифікація, що включає в себе всі аспекти контролю доступу, де немає шифрування файлів або текстів, за винятком шифрування, яке безпосередньо пов'язане із захистом паролів, персональних ідентифікаційних номерів або подібних даних для захисту від несанкціонованого доступу;

Перевірка автентичності користувача в рамках даної категорії передбачає порівняння введеного їм пароля або інших аналогічних ідентифікують даних з інформацією, збереженою в базі даних авторизованих користувачів, а сам процес шифрування полягає в захисту секретних даних користувача від копіювання та незаконного використання при їх передачі від об'єкта аутентифікації (користувача) контролюючому пристрою.

Приклади нотіфіціруемих ШКС: пристрою систем контролю і управління доступом - зчитувачі паролів, пристрої для зберігання і формування баз даних авторизованих користувачів, мережеві пристрої аутентифікації - шлюзи, роутери, маршрутизатори і т.д., пристрої із захистом інформації, що зберігаються на них - жорсткі диски з функцією парольного обмеження доступу.

2) електронний цифровий підпис (електронний підпис).

Процес підписи реалізується шляхом криптографічного перетворення інформації з використанням закритого ключа підпису і дозволяє перевірити відсутність спотворення інформації в електронному документі з моменту формування підпису (цілісність), приналежність підпису власникові сертифіката ключа підпису (авторство), а в разі успішної перевірки підтвердити факт підписання електронного документа (неспростовності).

Приклади нотіфіціруемих ШКС: генератори ЕЦП, програмне забезпечення для супроводу і реалізації механізму застосування ЕЦП, пристрої зберігання ключової інформації ЕЦП.

Категорія №3

3. шифрувальних (криптографічних) кошти, які є компонентами програмних операційних систем, криптографічні можливості яких не можуть бути змінені користувачами, які розроблені для установки користувачем самостійно без подальшої суттєвої підтримки постачальником і технічна документація (опис алгоритмів криптографічних перетворень, протоколи взаємодії, опис інтерфейсів і т . Д.) на які є доступною користувачеві.

Операційна система це комплекс взаємопов'язаних програм, призначених для управління ресурсами комп'ютера та організації взаємодії з користувачем.

Приклади нотіфіціруемих ШКС: операційні системи і програмні комплекси на їх основі.

Категорія №4

4. Персональні смарт-карти (інтелектуальні карти): 1) криптографічні можливості яких обмежені їх використанням в категоріях товарів (продукції), зазначених у пунктах 5 - 8 цього переліку; 2) для широкого загальнодоступного застосування, криптографічні можливості яких не доступні користувачеві і які в результаті спеціальної розробки мають обмежені можливості захисту що зберігається на них персональної інформації.

Смарт-карти це пластикові карти з вбудованою мікросхемою. У більшості випадків смарт-карти містять мікропроцесор і операційну систему, що управляє пристроєм і контролюючу доступ до об'єктів в його пам'яті.

Приклади нотіфіціруемих ШКС: SIM-карти доступу до послуг мобільних операторів, банківські карти, Оснащені чіпом-мікропроцесором, інтелектуальні карти ідентифікації її власника.

Категорія №5

5. Приймальна апаратура для радіомовлення, комерційного телебачення або аналогічна комерційна апаратура для мовлення на обмежену аудиторію без шифрування цифрового сигналу, крім випадків використання шифрування виключно для управління відео- або аудіоканалів, відправлення рахунків або повернення пов'язаної з програмою інформації провайдерам мовлення.

Дана категорія належить до товарів, призначених для надання користувачу доступу до платних кодованим цифровим супутниковим, ефірним і кабельним телеканалам і радіостанціям (радіоканалах) (приклади стандартів: DVB-CPCM, DVB-CSA).

Приклади нотіфіціруемих ШКС: TV-тюнери, приймачі телесигналів, супутникові телеприймачі.

Категорія №6

6. Обладнання, криптографічні можливості якого не доступні користувачеві, спеціально розроблене та обмежене для застосування будь-яким з наступних способів: 1) програмне забезпечення виконано в захищеному від копіювання вигляді; 2) доступом до будь-якого з наступного: захищеному від копіювання вмісту, що зберігається тільки на доступному для читання електронному носії інформації; інформації, що зберігається в зашифрованій формі на електронних носіях інформації, які пропонуються на продаж населенню в ідентичних наборах; 3) контроль копіювання аудіо- та відеоінформації, захищеної авторськими правами.

Приклади нотіфіціруемих ШКС: Ігрові консолі, Ігри, програмне забезпечення і т.п.

Категорія №7

7. шифрувальних (криптографічне) обладнання, спеціально розроблене та обмежене застосуванням для банківських або фінансових операцій.

Товари даної категорії повинні бути апаратним пристроєм, тобто мати закінчений вигляд банківського обладнання, застосування якого не передбачає додаткової збірки або доопрацювання за винятком цілей модернізації.

Приклади нотіфіціруемих ШКС: Банкомати, платіжні термінали, пін-пади (банківські карти відносять до категорії №4).

Категорія №8

8. Портативні або мобільні радіоелектронні засоби цивільного призначення (наприклад, для використання в комерційних цивільних системах стільникового радіозв'язку), які не здатні до наскрізного шифрування (від абонента до абонента).

До цієї категорії віднесені всі пристрої мобільного стільникового зв'язку, Що працюють в стандартах GSM, GPRS, EDGE, UMTS, LTE, а також деякі радіостанції. Головною вимогою до товарів даної категорії в області виконуваного функціоналу - відсутність здатності до наскрізного шифрування, Тобто зв'язок між абонентами повинна здійснюватися через пристрій ретрансляції.

Приклади нотіфіціруемих ШКС: Мобільні пристрої зв'язку та пристрої, що мають в своєму складі модулі стільникового зв'язку вищевказаних стандартів, радіостанції.

Категорія №9

9. Бездротове радіоелектронне обладнання, що здійснює шифрування інформації тільки в радіоканалі з максимальною дальністю бездротового дії без посилення і ретрансляції менш 400 м відповідно до технічними умовами виробника.

Так само як більшість пристроїв, які інакше можна назвати як «Радіоелектронні засоби малого радіусу дії». Шифрування відбувається при передачі / прийому інформації по бездротовому радіоканалу з метою її захисту від перехоплення, проникнення несанкціонованих користувачів в мережу зв'язку. Як відомо, такий захист підтримує більшість бездротових стандартів передачі даних: Wi-Fi, Bluetooth, NFC, іноді RFID.

Приклади нотіфіціруемих ШКС: роутери, точки доступу, модеми, пристрої, що містять в своєму складі модулі бездротового радіозв'язку ближнього радіусу дії, безконтактні карти доступу / оплати / ідентифікації.

Категорія №10

10. шифрувальних (криптографічних) засоби, що використовуються для захисту технологічних каналів інформаційно-телекомунікаційних систем і мереж зв'язку.

Дана категорія описує товари, які є мережевими пристроями, що виконують комутаційні і сервісні функції. Як правило більшість даних пристроїв підтримують прості мережеві протоколи управління, що дозволяють здійснювати моніторинг стану мережі, її продуктивність, а також направляти команди адміністратора мережі в її різні вузли.

Приклади нотіфіціруемих ШКС: Сервери, комутатори, мережеві платформи, шлюзи.

Категорія №11

11. Товари, криптографічний функція яких заблоковано виробником.

Дана категорія може бути представлена \u200b\u200bабсолютно різними типами пристроїв різних призначень і області застосування. Вирішальним фактором віднесення таких товарів до категорії №11 є наявність встановленого програмного або апаратного забезпечення, Яке виробляє цілеспрямовану блокування виконуваних товаром криптографічних функцій.

Категорія №12

12. Інші товари, які містять шифрувальні (криптографічні) кошти, відмінні від зазначених у пунктах 1 - 11 цього переліку, і відповідають наступним критеріям: 1) загальнодоступні для продажу населенню відповідно до законодавства держави - члена Євразійського економічного союзу без обмежень з наявного в наявності асортименту в місцях роздрібного продажу за допомогою будь-якого з наступного: продажу за готівкові; продажу шляхом замовлення товарів поштою; електронних угод; продажу по телефонним замовленням; 2) шифрувальні (криптографічні) функціональні можливості яких не можуть бути змінені користувачем простим способом; 3) розроблені для установки користувачем без подальшої суттєвої підтримки постачальником; 4) технічна документація, що підтверджує, що товари відповідають вимогам підпунктів 1 - 3 цього пункту, розміщена виробником у вільному доступі і представляється при необхідності виробником (особою, ним уповноваженою) згода органів за його запитом.

Варто відзначити, що на практиці ЦЛСЗ ФСБ Росії висуває підвищені вимоги до подання матеріалів для реєстрації нотифікацій на товари даної категорії. Так, всі перераховані критерії повинні бути підтверджені (посиланнями на сайт виробника з інформацією російською мовою або документально).

Найбільш поширені категорії ШКС

В Єдиному реєстрі для кожної нотифікації наводиться перелік категорій, до яких віднесено товар. Дана інформація закодована в поле "Ідентифікатор": Поле являє собою 12-значний код, при цьому, якщо товар відноситься до категорії з номером N зі списку вище, то на позиції N в коді буде стоять цифра 1, в іншому випадку - 0.

Наприклад, код 110000000110 говорить про те, що товар нотифікованими за категоріями №№ 1, 2, 10 та 11.

Цікаво подивитися на статистику використання різних категорій.

Як видно з діаграми, найбільш поширеними і часто зустрічаються криптографічними функціями в ШКС є шифрування даних в бездротовому радіоканалі малого радіусу дії (Wi-Fi, Bluetooth) - 27% від загального числа зареєстрованих ШКС, що логічно, враховуючи обсяг вироблених мобільних засобів зв'язку, персональних комп'ютерів і інших технічних пристроїв, Оснащених модулями, що підтримують дані технології зв'язку.

Друге місце займають ШКС, що підтримують функції аутентифікації і здійснення контролю доступу до захищеної інформації - 19,5% . Дана тенденція також легко пояснюється підвищеними стандартами і запитами споживачів до захисту персональної інформації як на фізичних носіях (жорсткі диски, USB-флеш накопичувачі, сервери і т.п.), так і на мережевих ( хмарні сховища, Мережеві банки даних і т.п.). Додатково варто відзначити, що переважна більшість ШКС, використовувані в системах контролю і управління доступом (більш відомі як СКУД) також виконують криптографічний функціонал, що відноситься до категорії № 2.

Оскільки робота в мережі є невід'ємною частиною функціонування будь-якої інформаційної системи, то аспекти адміністрування даною мережею зв'язку реалізовані в мережевих пристроях управління. Безпека ж організованого цими пристроями інтерфейсу управління реалізована за допомогою застосування механізмів шифрування технологічних каналів зв'язку, що є підстава для категорирования такого роду ШКС по категорії №10, що є третьою за поширеністю - 16% .

Важливо також відзначити, що найменш поширені функції ШКС розподіляються за категоріями №5 (0,28% ), №12 (0,29% ) і №7 (0,62% ). Товари реалізують дані криптографічні функції є рідкісними і при проведенні реєстрації в ЦЛСЗ документація на них піддається більш докладного аналізу, тому що «Не поставлена \u200b\u200bна потік» і набори використовуваних криптографічних протоколів і алгоритмів можуть бути унікальні в кожному окремому випадку. Саме тому товарам даних категорій необхідно приділити максимальну увагу при складанні необхідних документів, оскільки в іншому випадку ризик відмови в реєстрації нотифікації вкрай великий.

Примітки

посилання

  • Електронний підпис (ЕЦП), - Єдиний портал Електронної підписи, - http://www.techportal.ru/glossary/identifikatsiya.html
  • Криптографічні методи захисту інформації, - Збірник лекцій з основ локальних мереж Національного відкритого Університету, - http://www.intuit.ru/studies/courses/16655/1300/lecture/25505?page\u003d2
  • поняття операційної системи, - Матеріали порталу про операційні системи, - http://osys.ru/os/1/ponyatie_operatsionnoy_sistemy.shtml
  • Введення в SNMP, - Матеріали з мережевої безпеки, - http://network.xsp.ru/6_1.php

Криптографічні засоби забезпечення інформаційної безпеки засновані на використанні принципів шифрування даних.

шифрування- це оборотне перетворення інформації з метою приховування від неавторизованих осіб, із збереженням доступу до даних для авторизованих користувачів.

Шифрування використовується:

  • для приховування інформації від неавторизованих користувачів при передачі, зберіганні та попередження податкових змін;
  • аутентифікації джерела даних і запобігання відмови відправника інформації від факту відправки;
  • конфіденційності інформації, що передається, т. е. її доступності тільки для авторизованих користувачів, які володіють певним автентичним (дійсним, справжнім) ключем.

Таким чином, за допомогою шифрування забезпечуються обов'язкові категорії ІБ: конфіденційність, цілісність, доступність та ідентифікуються.

Шифрування реалізується двома процесами перетворення даних - Зашифровки і розшифровкою з використанням ключа. Згідно ГОСТ 28147-89 «Системи обробки інформації. Захист криптографічний. Алгоритм криптографічного перетворення », ключ-це конкретне секретне стан деяких параметрів алгоритму криптографічного перетворення, що забезпечує вибір одного перетворення з сукупності всіляких для даного алгоритму перетворень.

ключ шифрування- це унікальний елемент для зміни результатів роботи алгоритму шифрування: одні й ті ж вихідні дані при використанні різних ключів будуть зашифровані по-різному.

Для розшифровки зашифрованою інформацією приймаючій стороні необхідні ключ і дешифратор - пристрій, що реалізує розшифровку даних. Залежно від кількості ключів, використовуваних для процесів шифрування, розрізняють два методи шифрування:

  • симетричне - використання одного і того ж ключа і для шифрування і для розшифровки даних;
  • асиметричне - використовуються два різних ключа: один для шифрування (відкритий), інший для розшифрування (закритий).

Процедури перетворення даних з використанням ключа є алгоритм шифрування. Найбільш популярними в даний час є такі криптостійкі алгоритми шифрування, описані в державних стандартах: ГОСТ 28147-89 (Росія), AES (Advanced Encryption Standard, США) і RSA (США). Проте, не дивлячись на високу складність зазначених алгоритмів шифрування, будь-який з них може бути зламаний шляхом перебору всіх можливих варіантів ключів.

Поняття «шифрування» є базовим для іншого криптографічного засобу забезпечення ІБ - цифрового сертифікату.

цифровий сертифікат- це випущений підтверджуючий центр (центром сертифікації) електронний або друкований документ, Що підтверджує приналежність власнику відкритого ключа або будь-яких атрибутів.

Цифровий сертифікат складається з 2 ключів: публічного (public) І приватного (private). Public-частина використовується для зашифровування трафіку від клієнта до сервера в захищеному з'єднанні, ^ пш ^ е-частина - для розшифрування отриманого від клієнта зашифрованого трафіку на сервері. Після генерації пари public / private на основі публічного ключа формується запит на сертифікат в Центр сертифікації. У відповідь центр сертифікації висилає підписаний цифровий сертифікат, при цьому перевіряючи справжність клієнта - власника сертифіката.

Центр сертифікації (що засвідчує центр, Certification authority, С А) - це сторона (відділ, організація), чия чесність незаперечна, а відкритий ключ широко відомий. Основне завдання центру сертифікації полягає в підтвердженні справжності ключів шифрування за допомогою цифрових сертифікатів (сертифікатів електронного підпису) шляхом:

  • надання послуг по посвідченню цифрових сертифікатів (сертифікатів електронного підпису);
  • обслуговування сертифікатів відкритих ключів;
  • отримання та перевірки інформації про відповідність даних, зазначених у сертифікаті ключа і пред'явленими документами.

Технічно центр сертифікації реалізований як компонент глобальної служби каталогів, що відповідає за управління криптографічними ключами користувачів. Відкриті ключі та інша інформація про користувачів зберігається засвідчують центрами у вигляді цифрових сертифікатів.

Основним засобом забезпечення ІБ електронних документів в сучасних ІС є їх захист за допомогою електронної (електронного цифрового) підписи.

Електронний підпис (ЕП)- реквізит електронного документа, отриманий в результаті криптографічного перетворення інформації з використанням закритого ключа, що дозволяє встановити відсутність спотворення даних з моменту формування підпису та перевірити приналежність підпису власникові цифрового сертифікату (сертифіката ключа ЕП).

Електронний підпис призначена для ідентифікації особи, яка підписала електронний документ, І є повноцінною заміною (аналогом) власноручного підпису у випадках, передбачених законом. Використання ЕП дозволяє здійснити:

  • контроль цілісності переданого документа: при будь-якому випадковому або навмисному зміні документа підпис стане недійсним, оскільки обчислена на підставі вихідного стану документа і відповідає лише йому;
  • захист від змін (підроблення) документа завдяки гарантії виявлення підробки при контролі цілісності даних;
  • доказове підтвердження авторства документа, оскільки закритий ключ ЕП відомий лише власнику відповідного цифрового сертифікату (можуть бути підписані поля: «автор», «внесені зміни», «мітка часу» і т. д.).

Оскільки реалізація ЕП заснована на застосуванні принципів шифрування даних, розрізняють два варіанти побудови ЕП:

  • на основі алгоритмів симетричного шифрування, що передбачає наявність у системі третьої особи (арбітра), якому довіряють обидві сторони. Авторизацією документа є сам факт зашифровуваної його секретним ключем і передача його арбітра;
  • на основі алгоритмів асиметричного шифрування - найбільш поширені в сучасних ІС: схеми, засновані на алгоритмі шифрування RSA (Full Domain Hash, Probabilistic Signature Scheme, PKCS # 1), Ель-Гамаля, Шнорра, Діффі-Хельмана, Pointcheval-Stem signature algorithm, імовірнісна схема підпису Рабина, Boneh-Lynn- Shacham, Goldwasser-Micali-Rivest, схеми на основі апарату еліптичних кривих ECDSA, національні криптографічні стандарти: ГОСТ Р 34.10-2012 (Росія), ДСТУ 4145-2002 (Україна), СТБ 1176.2-99 ( Білорусія), DSA (США).

на теперішній момент головним вітчизняним стандартом, який регламентує поняття ЕП є ГОСТ Р 34.10-2012 « Інформаційна технологія. Криптографічний захист інформації. Процеси формування та перевірки електронного цифрового підпису ».

Як правило, реалізація ЕП в ІС виконується включенням до їх складу спеціальних модульних компонент, що містять сертифіковані засоби криптографічного захисту даних: КріптоПро CSP, сигналки CSP, Верба OW, Домен-К, Авест, Генка і інші, сертифіковані ФАПСИ (Федеральне агентство урядового зв'язку та інформації при Президентові Російської Федерації) І задовольняють специфікації Microsoft Crypto API.

Microsoft CryptoAPI є інтерфейс програмування Windows-додатків, який містить стандартний набір функцій для роботи з криптопровайдером. Входить до складу операційних систем Microsoft Windows (Починаючи з 2000 р).

CryptoAPI дозволяє шифрувати і розшифровувати дані, підтримує роботу з асиметричними і симетричними ключами, а також цифровими сертифікатами. Набір підтримуваних криптографічних алгоритмів залежить від конкретного криптопровайдера.

Криптопровайдер (Cryptography Service Provider, CSP) - це незалежний модуль для здійснення криптографічних операцій в операційних системах Microsoft під управлінням функцій CryptoAPI. Таким чином, крипто провайдер є посередником між операційною системою, яка може керувати ним за допомогою стандартних функцій CryptoAPI, і виконавцем криптографічних операцій, наприклад прикладної ІС або апаратним забезпеченням.

Засоби криптографічного захисту інформації, або скорочено ЗКЗІ, використовуються для забезпечення всебічного захисту даних, які передаються по лініях зв'язку. Для цього необхідно дотримати авторизацію і захист електронного підпису, аутентифікацію сполучених сторін з використанням протоколів TLS і IPSec, а також захист самого каналу зв'язку при необхідності.

У Росії використання криптографічних засобів захисту інформації здебільшого засекречено, тому загальнодоступної інформації щодо цієї теми мало.

Методи, що застосовуються в ЗКЗІ

  • Авторизація даних і забезпечення схоронності їх юридичної значимості при передачі або зберіганні. Для цього застосовують алгоритми створення електронного підпису і її перевірки відповідно до встановленого регламентом RFC 4357 і використовують сертифікати за стандартом X.509.
  • Захист конфіденційності даних і контроль їх цілісності. Використовується асиметричне шифрування і імітозащіти, тобто протидія підміні даних. Дотримується ГОСТ Р 34.12-2015.
  • Захист системного і прикладного програмного забезпечення. Відстеження несанкціонованих змін або невірного функціонування.
  • Управління найбільш важливими елементами системи в суворій відповідності з прийнятим регламентом.
  • Аутентифікація сторін, що обмінюються даними.
  • Захист з'єднання з використанням протоколу TLS.
  • Захист IP-з'єднань за допомогою протоколів IKE, ESP, AH.

Докладним чином методи описані в наступних документах: RFC 4357, RFC 4490, RFC 4491.

Механізми ЗКЗІ для інформаційного захисту

  1. Захист конфіденційності інформації, що зберігається або передається відбувається застосуванням алгоритмів шифрування.
  2. При встановленні зв'язку ідентифікація забезпечується засобами електронного підпису при їх використанні під час аутентифікації (за рекомендацією X.509).
  3. Цифровий документообіг також захищається засобами електронного підпису спільно з захистом від нав'язування або повтору, при цьому здійснюється контроль достовірності ключів, використовуваних для перевірки електронних підписів.
  4. Цілісність інформації забезпечується засобами цифрового підпису.
  5. Використання функцій асиметричного шифрування дозволяє захистити дані. Крім цього для перевірки цілісності даних можуть бути використані функції хешування або алгоритми імітозащіти. Однак ці способи не підтримують визначення авторства документа.
  6. Захист від повторів відбувається криптографічними функціями електронного підпису для шифрування або імітозащіти. При цьому до кожної мережевої сесії додається унікальний ідентифікатор, досить довгий, щоб виключити його випадковий збіг, і реалізується перевірка приймаючою стороною.
  7. Захист від нав'язування, тобто від проникнення в зв'язок з боку, забезпечується засобами електронного підпису.
  8. Інша захист - проти закладок, вірусів, модифікацій операційної системи і т. Д. - забезпечується за допомогою різних криптографічних засобів, протоколів безпеки, антивірусних ПО і організаційних заходів.

Як можна помітити, алгоритми електронного підпису є основоположною частиною засоби криптографічного захисту інформації. Вони будуть розглянуті нижче.

Вимоги при використанні ЗКЗІ

ЗКЗІ націлене на захист (перевіркою електронного підпису) відкритих даних в різних інформаційних системах загального використання і забезпечення їх конфіденційності (перевіркою електронного підпису, імітозащіти, шифруванням, перевіркою хешу) в корпоративних мережах.

Персональне засіб криптографічного захисту інформації використовується для охорони персональних даних користувача. Однак слід особливо виділити інформацію, що стосується державної таємниці. Згідно із законом ЗКЗІ не може бути використано для роботи з нею.

Важливо: перед установкою ЗКЗІ насамперед слід перевірити сам пакет забезпечення ЗКЗІ. Це перший крок. Як правило, цілісність пакета установки перевіряється шляхом порівняння контрольних сум, Отриманих від виробника.

Після установки слід визначитися з рівнем загрози, виходячи з чого можна визначити необхідні для застосування види ЗКЗІ: програмні, апаратні та апаратно-програмні. Також слід враховувати, що при організації деяких ЗКЗІ необхідно враховувати розміщення системи.

класи захисту

Згідно з наказом ФСБ Росії від 10.07.14 під номером 378, що регламентує застосування криптографічних засобів захисту інформації та персональних даних, визначені шість класів: КС1, КС2, КС3, КВ1, КВ2, КА1. Клас захисту для тієї чи іншої системи визначається з аналізу даних про модель порушника, тобто з оцінки можливих способів злому системи. Захист при цьому будується з програмних і апаратних засобів криптографічного захисту інформації.

АУ (актуальні загрози), як видно з таблиці, бувають 3 типів:

  1. Загрози першого типу пов'язані з недокументованими можливостями в системному ПО, використовуваному в інформаційній системі.
  2. Загрози другого типу пов'язані з недокументованими можливостями в прикладному ПО, використовуваному в інформаційній системі.
  3. Загрозою третього типу називаються всі інші.

Недокументовані можливості - це функції і властивості програмного забезпечення, Які не описані в офіційній документації або не відповідають їй. Тобто їх використання може підвищувати ризик порушення конфіденційності або цілісності інформації.

Для ясності розглянемо моделі порушників, для перехоплення яких потрібен той чи інший клас засобів криптографічного захисту інформації:

  • КС1 - порушник діє ззовні, без помічників всередині системи.
  • КС2 - внутрішній порушник, але не має доступу до ЗКЗІ.
  • КС3 - внутрішній порушник, який є користувачем ЗКЗІ.
  • КВ1 - порушник, який привертає сторонні ресурси, наприклад фахівців з ЗКЗІ.
  • КВ2 - порушник, за діями якого стоїть інститут або лабораторія, яка працює в галузі вивчення і розробки ЗКЗІ.
  • КА1 - спеціальні служби держав.

Таким чином, КС1 можна назвати базовим класом захисту. Відповідно, чим вище клас захисту, тим менше фахівців, здатних його забезпечувати. Наприклад, в Росії, за даними за 2013 рік, існувало всього 6 організацій, що мають сертифікат від ФСБ і здатних забезпечувати захист класу КА1.

використовувані алгоритми

Розглянемо основні алгоритми, які використовуються в засобах криптографічного захисту інформації:

  • ГОСТ Р 34.10-2001 і оновлений ГОСТ Р 34.10-2012 - алгоритми створення та перевірки електронного підпису.
  • ГОСТ Р 34.11-94 і останній ГОСТ Р 34.11-2012 - алгоритми створення хеш-функцій.
  • ГОСТ 28147-89 і новіший ГОСТ Р 34.12-2015 - реалізація алгоритмів шифрування і імітозащіти даних.
  • Додаткові криптографічні алгоритми знаходяться в документі RFC 4357.

Електронний підпис

Застосування засобу криптографічного захисту інформації неможливо уявити без використання алгоритмів електронного підпису, які набирають все більшої популярності.

Електронний підпис - це спеціальна частина документа, створена криптографічними перетвореннями. Її основним завданням є виявлення несанкціонованого зміни і визначення авторства.

Сертифікат електронного підпису - це окремий документ, який доводить справжність і приналежність електронного підпису своєму власникові по відкритому ключу. Видача сертифіката відбувається засвідчують центрами.

Власник сертифіката електронного підпису - це особа, на ім'я якого реєструється сертифікат. Він пов'язаний з двома ключами: відкритим і закритим. Закритий ключ дозволяє створити електронний підпис. Відкритий ключ призначений для перевірки справжності підпису завдяки криптографічного зв'язку з закритим ключем.

Види електронного підпису

за Федеральним законом № 63 електронний підпис ділиться на 3 види:

  • звичайна електронний підпис;
  • некваліфікована електронний підпис;
  • кваліфікована електронний підпис.

Проста ЕП створюється за рахунок паролів, накладених на відкриття та перегляд даних, або подібних засобів, побічно підтверджують власника.

Некваліфікована ЕП створюється за допомогою криптографічних перетворень даних за допомогою закритого ключа. Завдяки цьому можна підтвердити особа, яка підписала документ, і встановити факт внесення в дані несанкціонованих змін.

Кваліфікована і некваліфікована підпису відрізняються тільки тим, що в першому випадку сертифікат на ЕП повинен бути виданий сертифікованим ФСБ підтверджуючий центр.

Область використання електронного підпису

У таблиці нижче розглянуті сфери застосування ЕП.

Найактивніше технології ЕП застосовуються в обміні документами. У внутрішньому документообіг ЕП виступає в ролі затвердження документів, тобто як особистий підпис або печатку. У разі зовнішнього документообігу наявність ЕП критично, так як є юридичною підтвердженням. Варто також відзначити, що документи, підписані ЕП, здатні зберігатися нескінченно довго і не втрачати своєї юридичної значимості через таких факторів, як стираються підписи, зіпсована папір і т. Д.

Звітність перед контролюючими органами - це ще одна сфера, в якій нарощується електронний документообіг. Багато компаній і організації вже оцінили зручність роботи в такому форматі.

Згідно із законом Російської Федерації кожен громадянин має право користуватися ЕП при використанні держпослуг (наприклад, підписання електронної заяви для органів влади).

Онлайн-торги - ще одна цікава сфера, в якій активно застосовується електронний підпис. Вона є підтвердженням того факту, що в торгах бере участь реальна людина і його пропозиції можуть розглядатися як достовірні. Також важливим є те, що будь-який ув'язнений контракт за допомогою ЕП набуває юридичну силу.

Алгоритми електронного підпису

  • Full Domain Hash (FDH) і Public Key Cryptography Standards (PKCS). Остання являє собою цілу групу стандартних алгоритмів для різних ситуацій.
  • DSA і ECDSA - стандарти створення електронного підпису в США.
  • ГОСТ Р 34.10-2012 - стандарт створення ЕП в РФ. даний стандарт замінив собою ГОСТ Р 34.10-2001, дія якого офіційно припинилося після 31 грудня 2017 року.
  • Євразійський союз користується стандартами, повністю аналогічними російським.
  • СТБ 34.101.45-2013 - білоруський стандарт для цифрового електронного підпису.
  • ДСТУ 4145-2002 - стандарт створення електронного підпису в Україні і безліч інших.

Варто також відзначити, що алгоритми створення ЕП мають різні призначення і цілі:

  • Групова електронний підпис.
  • Одноразова цифровий підпис.
  • Довірена ЕП.
  • Кваліфікована і некваліфікована підпис та ін.
Чи не знайшли відповідь на своє питання? Подивіться тут
Прошивка для htc one sv з флешкиПрошивка для htc one sv з флешки
Чому гріється ноутбук і що з цим робити?Чому гріється ноутбук і що з цим робити?
Скидання до заводських налаштувань смартфонів SamsungСкидання до заводських налаштувань смартфонів Samsung