• Kryptografické metody a prostředky ochrany. Mechanismy informační bezpečnosti

    Termín „kryptografie“ pochází ze starověkých řeckých slov pro „skryté“ a „psaní“. Fráze vyjadřuje hlavní účel kryptografie – jde o ochranu a zachování tajemství přenášených informací. Ochrana informací může probíhat různé způsoby. Například omezováním fyzický přístup k datům, skrytí přenosového kanálu, vytváření fyzických potíží při připojení ke komunikačním linkám atd.

    Účel kryptografie

    Na rozdíl od tradiční způsoby tajného zápisu, kryptografie předpokládá plnou dostupnost přenosového kanálu pro narušitele a zajišťuje důvěrnost a autentičnost informací pomocí šifrovacích algoritmů, které činí informace nedostupnými pro čtení zvenčí. Moderní systém kryptografická ochrana informace (SKZI) je softwarový a hardwarový počítačový komplex, který poskytuje ochranu informací podle následujících hlavních parametrů.

    • Důvěrnost- nemožnost čtení informací osobami, které nemají příslušná přístupová práva. Hlavní složkou zajištění důvěrnosti v CIPF je klíč (klíč), což je jedinečná alfanumerická kombinace pro přístup uživatele ke konkrétnímu bloku CIPF.
    • Integrita- nemožnost neoprávněných změn, jako je úprava a mazání informací. K tomu je k původní informaci přidána redundance ve formě kontrolní kombinace vypočítané kryptografickým algoritmem a v závislosti na klíči. Bez znalosti klíče tedy není možné přidávat nebo měnit informace.
    • Autentizace- potvrzení pravosti informací a stran, které je odesílají a přijímají. Informace přenášené komunikačními kanály musí být jednoznačně ověřeny obsahem, časem vytvoření a přenosu, zdrojem a příjemcem. Je třeba připomenout, že zdrojem hrozeb může být nejen útočník, ale i strany zapojené do výměny informací s nedostatečnou vzájemnou důvěrou. Aby se takovým situacím předešlo, CIPF používá systém časových razítek, které znemožňují opětovné odeslání nebo vrácení informací a změnu jejich pořadí.

    • Autorství- potvrzení a nemožnost odmítnutí úkonů provedených uživatelem informací. Nejběžnějším způsobem autentizace je systém EDS sestávající ze dvou algoritmů: vytvoření podpisu a jeho ověření. Při intenzivní spolupráci s ECC se doporučuje využívat k vytváření a správě podpisů softwarové certifikační autority. Taková centra mohou být realizována jako prostředek CIPF, který je zcela nezávislý na vnitřní struktuře. Co to znamená pro organizaci? To znamená, že všechny transakce s jsou zpracovávány nezávislými certifikovanými organizacemi a padělání autorství je téměř nemožné.

    Šifrovací algoritmy

    V současné době dominuje CIPF otevřené algoritmyšifrování pomocí symetrických a asymetrických klíčů s délkou dostatečnou k zajištění požadované kryptografické složitosti. Nejběžnější algoritmy:

    • symetrické klíče - ruské Р-28147.89, AES, DES, RC4;
    • asymetrické klíče - RSA;
    • pomocí hashovacích funkcí - Р-34.11.94, MD4/5/6, SHA-1/2.

    Mnoho zemí má své vlastní národní normy. Ve Spojených státech jsou upraveny Algoritmus AES s délkou klíče 128-256 bitů a v Ruské federaci algoritmus elektronické podpisy R-34.10.2001 a blokový kryptografický algoritmus R-28147.89 s 256bitovým klíčem. Některé prvky národních kryptografických systémů jsou zakázány pro export mimo zemi, aktivity pro rozvoj CIPF vyžadují licencování.

    Hardwarové systémy ochrany proti šifrování

    Hardware CIPF je fyzická zařízení obsahující software pro šifrování, záznam a přenos informací. Šifrovací zařízení lze provést ve formě osobní zařízení, jako jsou šifrovače ruToken USB a flash disky IronKey, rozšiřující karty pro osobní počítače, specializované síťové přepínače a routery, na jejichž základě je možné stavět plně bezpečné počítačové sítě.

    Hardware CIPF se rychle instaluje a pracuje se s ním vysoká rychlost. Nevýhody - vysoké, ve srovnání se softwarem a hardware-software CIPF, náklady a omezené příležitosti modernizace.

    Hardwarové bloky lze také připsat blokům CIPF zabudovaným do různá zařízení registrace a přenos dat, kde je vyžadováno šifrování a omezení přístupu k informacím. Mezi taková zařízení patří automobilové tachometry, které zaznamenávají parametry vozidel, některé druhy zdravotnické techniky atp. Pro plnohodnotnou práci takové systémy vyžadují samostatnou aktivaci modulu CIPF specialisty dodavatele.

    Systémy softwarové kryptoochrany

    Software CIPF je speciální softwarový balík pro šifrování dat na paměťových médiích (pevné a flash disky, paměťové karty, CD / DVD) a při přenosu přes internet ( e-maily, přílohy, zabezpečené chaty atd.). Existuje poměrně mnoho programů, včetně bezplatných, například DiskCryptor. Software CIPF také obsahuje chráněné virtuální sítě výměna informací, práce „nad internetem“ (VPN), rozšiřování internetu HTTP protokol s podporou šifrování HTTPS a SSL - šifrovací protokol pro přenos informací široce používaný v systémech IP telefonie a internetových aplikacích.

    Nástroje softwarové kryptografické ochrany informací se používají především na internetu, na domácích počítačích a v dalších oblastech, kde nejsou požadavky na funkčnost a stabilitu systému příliš vysoké. Nebo jako v případě internetu, kdy musíte vytvořit mnoho různých bezpečných připojení současně.

    Softwarová a hardwarová kryptoochrana

    Kombinuje nejlepší vlastnosti hardware a softwarové systémy SKZI. Je to nejspolehlivější a funkční způsob vytváření bezpečných systémů a sítí pro přenos dat. Podporovány jsou všechny možnosti identifikace uživatele, a to jak hardwarové (USB-disk nebo čipová karta), tak „tradiční“ – přihlašovací jméno a heslo. Hardware a software CIPF podporuje vše moderní algoritmyšifrování, mají velkou sadu funkcí pro vytvoření bezpečného pracovního postupu založeného na EDS, všechny požadované státní certifikáty. Instalaci CIPF provádí kvalifikovaný personál vývojáře.

    Společnost "CRYPTO-PRO"

    Jeden z lídrů ruského kryptografického trhu. Společnost vyvíjí celou řadu programů na ochranu informací využívajících digitální podpisy založené na mezinárodních a ruských kryptografických algoritmech.

    Programy společnosti se používají při elektronické správě dokumentů obchodních a vládní organizace, za dodání účetnictví a daňové hlášení, v různých městských a rozpočtových programech atd. Společnost vydala více než 3 miliony licencí pro program CryptoPRO CSP a 700 licencí pro certifikační centra. "Crypto-PRO" poskytuje vývojářům rozhraní pro vkládání prvků kryptografické ochrany do jejich vlastních a poskytuje celou řadu konzultačních služeb pro vytvoření CIPF.

    Poskytovatel kryptoměn CryptoPro

    Při vývoji CIPF CryptoPro CSP byla použita vestavěná operační systém Kryptografická architektura Windows Poskytovatelé kryptografických služeb. Architektura umožňuje připojit další nezávislé moduly, které implementují požadované šifrovací algoritmy. Pomocí modulů pracujících prostřednictvím funkcí CryptoAPI lze kryptografickou ochranu provádět softwarově i hardwarově CIPF.

    Klíčoví nosiči

    Lze použít různé soukromé klíče, např.

    • čipové karty a čtečky;
    • elektronické zámky a čtečky pracující s Dotyková zařízení Paměť;
    • různé USB klíče a vyměnitelné USB disky;
    • systémové soubory Registr Windows Solaris Linux.

    Funkce poskytovatele kryptoměn

    CIPF CryptoPro CSP je plně certifikován FAPSI a lze jej použít pro:

    2. Úplná důvěrnost, autenticita a integrita dat pomocí šifrování a ochrany před imitací v souladu s ruskými standardy pro šifrování a protokolem TLS.

    3. Kontrola a kontrola integrity programový kód aby se zabránilo neoprávněným úpravám a přístupu.

    4. Tvorba předpisu ochrany systému.

    Kryptografie (ze starořeckého κρυπτος - skrytý a γραϕω - píšu) je věda o metodách pro zajištění důvěrnosti a pravosti informací.

    Kryptografie je soubor metod transformace dat, jejichž cílem je učinit tato data pro útočníka nepoužitelnými. Takové transformace nám umožňují vyřešit dva hlavní problémy související s informační bezpečností:

    • ochrana soukromí;
    • ochrana integrity.

    Problémy ochrany důvěrnosti a integrity informací spolu úzce souvisejí, takže způsoby řešení jednoho z nich jsou často použitelné pro řešení druhého.

    známý různé přístupy ke klasifikaci metod kryptografické transformace informací. Podle typu dopadu na původní informaci lze metody kryptografické transformace informace rozdělit do čtyř skupin:

    Odesílatel vygeneruje prostý text původní zprávy M, který musí být předán oprávněnému příjemci přes nezabezpečený kanál. Zachycovač sleduje kanál, aby zachytil a odhalil přenášenou zprávu. Aby se odposlechu nedozvěděl obsah zprávy M, odesílatel jej zašifruje pomocí vratné transformace Ek a přijímá šifrovaný text (nebo kryptogram) C=Ek(M) Ten, který odešle příjemci.

    Legitimní příjemce přijetím šifrovaného textu S, dešifruje jej pomocí inverzní transformace DC(C) a obdrží původní zprávu v prostém textu M.

    proměna Ek je vybrán z rodiny kryptografických transformací nazývaných kryptoalgoritmy. Parametr, kterým se vybírá konkrétní transformace, se nazývá kryptografický klíč. NA.

    Kryptosystém má různé varianty implementace: sada instrukcí, hardware, sada programů, které umožňují šifrovat prostý text a dešifrovat šifrovaný text různými způsoby, z nichž jeden je vybrán pomocí specifického klíče NA.

    Transformace šifrování může být symetrický A asymetrické ohledně transformace dešifrování. Tato důležitá vlastnost definuje dvě třídy kryptosystémů:

    • symetrické (jednoklíčové) kryptosystémy;
    • asymetrické (dvouklíčové) kryptosystémy (s veřejným klíčem).

    Symetrické šifrování

    Symetrické šifrování, často označované jako šifrování s tajné klíče, který se používá hlavně pro ochranu osobních údajů. Aby bylo zajištěno soukromí dat, uživatelé si musí společně vybrat jeden matematický algoritmus Ten bude použit k šifrování a dešifrování dat. Kromě toho si musí vybrat sdílený (tajný) klíč, který bude použit se šifrovacím / dešifrovacím algoritmem, který přijali, tj. pro šifrování i dešifrování se používá stejný klíč (slovo "symetrický" znamená stejný pro obě strany).

    Příklad symetrické šifrování znázorněno na Obr. 2.2.

    Šifrovací algoritmy jako Data Encryption Standard (DES), 3DES (nebo "triple DES") a International Data Encryption Algorithm (IDEA) jsou dnes široce používány. Tyto algoritmy šifrují zprávy v blocích po 64 bitech. Pokud je zpráva větší než 64 bitů (jak tomu obvykle bývá), je nutné ji rozdělit na bloky po 64 bitech a ty pak nějak spojit. K takové agregaci obvykle dochází jednou z následujících čtyř metod:

    • elektronický číselník (Electronic Code Book, ECB);
    • řetězce zašifrovaných bloků (Cipher Block Changing, CBC);
    • x-bitové šifrování zpětná vazba(Cipher FeedBack, CFB-x);
    • výstupní zpětná vazba (Output FeedBack, OFB).

    Trojitý DES (3DES) je symetrická bloková šifra založená na Algoritmus DES, aby se odstranila hlavní nevýhoda posledně jmenovaného - malá délka klíče (56 bitů), která může být rozbita hrubou silou. Rychlost 3DES je 3krát nižší než rychlost DES, ale šifrovací síla je mnohem vyšší. Čas potřebný k kryptoanalýze 3DES může být mnohem delší než čas potřebný k prolomení DES.

    Algoritmus AES(Advanced Encryption Standard), také známý jako Rijndael - symetrický algoritmus bloková šifra– šifruje zprávy v blocích po 128 bitech, používá klíč 128/192/256 bitů.

    Šifrování tajným klíčem se často používá k zachování důvěrnosti dat a je velmi efektivně implementováno pomocí neměnného firmwaru. Tuto metodu lze použít k ověření a zachování integrity dat.

    S metodou symetrického šifrování jsou spojeny následující problémy:

    • je nutné často měnit tajné klíče, protože vždy existuje riziko jejich náhodného prozrazení (kompromitování);
    • je poměrně obtížné zajistit bezpečnost tajných klíčů při jejich generování, distribuci a ukládání.

    Kryptografické nástroje - jedná se o speciální matematické a algoritmické prostředky k ochraně informací přenášených komunikačními systémy a sítěmi, uložených a zpracovávaných v počítači pomocí různých šifrovacích metod.
    Technická ochrana informací svou proměnou, vyjma jejího čtení cizinci, znepokojuje člověka od pradávna. Kryptografie musí poskytovat takovou úroveň utajení, aby bylo možné spolehlivě ochránit kritické informace před dešifrováním velkými organizacemi – jako jsou mafie, nadnárodní korporace a velké státy. Kryptografie se v minulosti používala pouze pro vojenské účely. Nyní však s nárůstem informační společnost, stává se nástrojem pro soukromí, důvěru, autorizaci, elektronické platby, firemní bezpečnost a nespočet dalších důležitých věcí. Proč se problém používání kryptografických metod stal in v současné době zvláště relevantní?
    Na jedné straně se zvýšilo zejména využívání počítačových sítí globální síť Internet, přes který se přenáší velké množství informací státní, vojenské, obchodní a soukromé povahy, které k němu neumožňují přístup outsidery.
    Na druhou stranu vznik nových výkonné počítače, síťové a neuronové výpočetní technologie umožnily zdiskreditovat kryptografické systémy, které byly donedávna považovány za prakticky nezveřejněné.
    Problémem ochrany informací jejich transformací se zabývá kryptologie (kryptos - tajemství, logos - věda). Kryptologie se dělí na dvě oblasti – kryptografii a kryptoanalýzu. Cíle těchto směrů jsou přímo opačné.
    Kryptografie se zabývá hledáním a průzkumem matematické metody informační transformace.
    Sférou zájmu kryptoanalýzy je studium možnosti dešifrování informací bez znalosti klíčů.
    Moderní kryptografie zahrnuje 4 hlavní sekce.



    · Symetrické kryptosystémy.

    Kryptosystémy s veřejným klíčem.

    · Systémy elektronického podpisu.

    · Správa klíčů.

    Hlavní využití kryptografických metod - přenos důvěrná informace komunikační kanály (např. E-mailem), ověřování přenášených zpráv, ukládání informací (dokumentů, databází) na média v šifrované podobě.


    Terminologie.
    Kryptografie umožňuje transformovat informace takovým způsobem, že jejich čtení (obnovení) je možné pouze v případě, že je znám klíč.
    Za informace, které mají být zašifrovány a dešifrovány, budou považovány texty postavené na určité abecedě. Tyto termíny znamenají následující.
    Abeceda- konečná množina znaků používaných ke kódování informací.
    Text- uspořádaná množina prvků abecedy.
    Šifrování- proces transformace: původní text, který se také nazývá prostý text, je nahrazen textem zašifrovaným.
    Dešifrování- proces zpětného šifrování. Na základě klíče se šifrovaný text převede na originál.
    Klíč- informace nezbytné pro bezproblémové šifrování a dešifrování textů.
    Kryptografický systém je rodina T [T1, T2, ..., Tk] transformací otevřeného textu. Členové této rodiny jsou indexováni nebo označeni symbolem „k“; parametr k je klíčový. Klíčový prostor K je množina možných klíčových hodnot. Obvykle je klíčem po sobě jdoucí řada písmen abecedy.
    Kryptosystémy se dělí na symetrický a veřejný klíč.
    V symetrické kryptosystémy Pro šifrování i dešifrování se používá stejný klíč.
    Systémy veřejného klíče používají dva klíče, veřejný a soukromý, které spolu matematicky souvisí. Informace jsou šifrovány pomocí veřejný klíč, který je dostupný všem a je dešifrován pomocí soukromého klíče, který zná pouze příjemce zprávy.
    Pojmy distribuce klíčů a správa klíčů označují procesy systému zpracování informací, jejichž obsahem je sestavení a distribuce klíčů uživatelům.
    Elektronický (digitální) podpis je kryptografická transformace připojená k textu, která umožňuje po obdržení textu jiným uživatelem ověřit autorství a pravost zprávy.
    Odolnost vůči kryptoměnám se nazývá charakteristika šifry, která určuje její odolnost vůči dešifrování bez znalosti klíče (tj. kryptoanalýza).
    Účinnost šifrování pro ochranu informací závisí na zachování tajemství klíče a na šifrovací síle šifry.
    Nejjednodušším kritériem pro takovou účinnost je pravděpodobnost odhalení klíče nebo mohutnost sady klíčů (M). V podstatě je to stejné jako kryptografická síla. Pro její číselné vyhodnocení lze využít i složitost rozluštění šifry výčtem všech klíčů.
    Toto kritérium však nebere v úvahu další důležité požadavky na kryptosystémy:

    nemožnost zveřejnění nebo smysluplné úpravy informace na základě analýzy její struktury;

    dokonalost používaných bezpečnostních protokolů;

    minimální množství použitých klíčových informací;

    minimální náročnost implementace (v počtu operací stroje), její cena;

    vysoká účinnost.

    Často efektivnější při výběru a hodnocení kryptografického systému je použití expertního úsudku a simulace.
    V každém případě by zvolený soubor kryptografických metod měl kombinovat jak pohodlí, flexibilitu a efektivitu použití, tak i spolehlivou ochranu od narušitelů informací kolujících v IS.

    Takové rozdělení nástrojů informační bezpečnosti ( technickou ochranu informace), spíše podmíněně, protože v praxi velmi často interagují a jsou implementovány v komplexu ve formě softwarových a hardwarových modulů s širokým využitím algoritmů uzavírání informací.


    Závěr

    V tomhle seminární práce, prozkoumal jsem místní síť Správy a došel jsem k závěru, že pro plnou ochranu informací je nutné použít všechny prostředky ochrany, aby se minimalizovala ztráta té či oné informace.

    Výsledkem provedené práce: elektronizace pracovišť s jejich integrací do lokální sítě, s přítomností serveru a přístupem k internetu. Výkon této práce zajistí co nejrychlejší a nejproduktivnější práci pracujícího personálu.

    Úkoly, které byly stanoveny při obdržení úkolu, jsou dle mého názoru splněny. Místní počítačová síť Administrace je uvedena v příloze B.


    Bibliografie.

    1. GOST R 54101-2010 „Prostředky automatizačních a řídicích systémů. Prostředky a zabezpečovací systémy. Údržba a běžné opravy »

    2. Organizační ochrana informací: tutorial pro univerzity Averchenkov V.I., Rytov M.Yu. 2011

    3. Khalyapin D.B., Yarochkin V.I. Základy informační bezpečnosti.-M.: IPKIR,1994

    4. Khoroshko V.A., Chekatkov A.A. Metody a prostředky ochrany informací (editoval Kovtanyuk) K .: Junior Publishing House, 2003-504s.

    5. Hardware a počítačové sítě Ilyukhin B.V. 2005

    6. Yarochkin V.I. Informační bezpečnost: Učebnice pro vysokoškoláky.-M.: Akademický projekt!?! Fond "Mir", 2003.-640. léta.

    7. http://habrahabr.ru

    8. http://www.intel.com/ru/update/contents/st08031.htm

    9. http://securitypolicy.ru

    10. http://network.xsp.ru/5_6.php


    Poznámka A.

    Poznámka B.


    Ochrana kryptografických informací - ochrana informací pomocí jejich kryptografické transformace.

    Kryptografické metody jsou v současnosti základní zajistit spolehlivou autentizaci stran výměny informací, ochranu.

    NA prostředky ochrany kryptografických informací (CIPF) zahrnují hardware, firmware a software, uvědomující si kryptografických algoritmů transformace informací tak, aby:

    Ochrana informací při jejich zpracování, ukládání a přenosu;

    Zajištění spolehlivosti a integrity informací (včetně použití algoritmů digitální podpis) při jeho zpracování, skladování a předávání;

    Vývoj informací používaných k identifikaci a ověřování subjektů, uživatelů a zařízení;

    Vývoj informací používaných k ochraně autentizačních prvků zabezpečeného AS během jejich generování, ukládání, zpracování a přenosu.

    Mezi kryptografické metody patří šifrování a kódování informací. Existují dvě hlavní metody šifrování: symetrické a asymetrické. V prvním z nich se stejný klíč (který je uchováván v tajnosti) používá k šifrování i dešifrování dat.

    Byly vyvinuty velmi účinné (rychlé a spolehlivé) metody symetrického šifrování. Existuje také národní standard pro takové metody - GOST 28147-89 „Systémy zpracování informací. Kryptografická ochrana. Algoritmus kryptografické transformace“.

    Asymetrické metody používají dva klíče. Jeden z nich, netajný (lze ho zveřejnit spolu s dalšími veřejnými informacemi o uživateli), slouží k šifrování, druhý (tajný, známý pouze příjemci) slouží k dešifrování. Nejoblíbenější z asymetrických je metoda RSA, která je založena na operacích s velkými (100místnými) prvočísla a jejich díla.

    Kryptografické metody umožňují spolehlivě řídit integritu jak jednotlivých částí dat, tak jejich sad (jako je tok zpráv); určit pravost zdroje dat; zaručit nemožnost odmítnout přijatá opatření („neodmítnutí“).

    Řízení kryptografické integrity je založeno na dvou konceptech:

    Elektronický podpis (ES).

    Hašovací funkce je těžko vratná transformace dat (jednosměrná funkce), která se obvykle realizuje pomocí symetrického šifrování s propojováním bloků. Výsledkem zašifrování posledního bloku (v závislosti na všech předchozích) je výsledek hashovací funkce.

    Kryptografie jako prostředek ochrany (uzavření) informací nabývá na významu v komerčních aktivitách.


    Ke konverzi informací se používají různé šifrovací nástroje: nástroje pro šifrování dokumentů, včetně přenosných, nástroje pro šifrování řeči (telefonní a rádiové rozhovory), telegrafní zprávy a nástroje pro šifrování přenosu dat.

    Na mezinárodní ochranu obchodních tajemství a domácí trh rozličný technická zařízení a sady profesionálního vybavení pro šifrování a kryptoochranu telefonní a rádiové komunikace, obchodní korespondence atd.

    Široko používané jsou scramblery a maskery nahrazující řečový signál. digitální přenos data. Vyrábí se ochranné prostředky pro dálnopisy, dálnopisy a faxy. Pro tyto účely se používají kodéry, prováděné ve formě samostatných zařízení, ve formě nástavců na zařízení nebo zabudované do konstrukce telefonů, faxmodemů a dalších komunikačních zařízení (rozhlasových stanic a dalších). Aby byla zajištěna spolehlivost přenášených elektronické zprávy elektronický digitální podpis je široce používán.

    Přečtěte si více: