• Kryptografická bezpečnostní opatření. Prostředky kryptografické ochrany informací: typy a aplikační mechanismy SKZ pro ochranu informací


    Orgánem vykonávajícím regulaci a kontrolu v oblasti kryptografie je Federální bezpečnostní služba(FSB Ruska). Má právo:

    • provádět v souladu se svou působností regulaci v oblasti vývoje, výroby, prodeje, provozování šifrovacích (kryptografických) prostředků a systémů a telekomunikačních komplexů chráněných šifrovacími prostředky, umístěných na území Ruské federace, jakož i v oblast poskytování služeb šifrování informací v Ruské federaci, identifikace elektronických zařízení určených k tajnému získávání informací v prostorách a technických prostředcích;
    • vykonávat státní kontrolu nad organizací a fungováním kryptografického a inženýrského zabezpečení informačních a telekomunikačních systémů, účelových komunikačních sítí a dalších komunikačních sítí, které zajišťují přenos informací pomocí šifer, kontrolu nad dodržováním režimu utajení při nakládání s šifrovanými informacemi v šifrovací oddělení státních orgánů a organizací na území Ruské federace a v jejích institucích umístěných mimo Ruskou federaci, jakož i v souladu se svými pravomocemi kontrolu nad ochranou zvláště důležitých objektů (prostorů) a umístěného technického vybavení v nich od úniku informací technickými kanály;
    • vyvíjet, vytvářet a provozovat informační systémy, komunikační systémy a systémy přenosu dat, jakož i nástroje bezpečnosti informací, včetně nástrojů kryptografické ochrany.

    Nařízení o dovozu šifrovacích (kryptografických) prostředků na celní území Euroasijské hospodářské unie a vývozu z celního území Euroasijské hospodářské unie bylo schváleno Rozhodnutím předsednictva Euroasijské hospodářské komise. Stanovil, že zboží má šifrovací (kryptografické) funkce, pokud prodává nebo obsahuje následující prostředky:

    a) šifrovací nástroje (hardware, software a hardware-software, systémy a komplexy, které implementují algoritmy pro kryptografickou transformaci informací a jsou určeny k ochraně informací před neoprávněným přístupem během jejich přenosu komunikačními kanály a (nebo) během jejich zpracování a ukládání);

    b) nástroje na ochranu proti imitaci (hardware, software a hardware-software, systémy a komplexy, které implementují algoritmy pro kryptografickou transformaci informací a jsou určeny k ochraně proti vnucování nepravdivých informací);

    c) prostředky elektronického digitálního podpisu (elektronický podpis), určené v souladu s právními předpisy členských států Unie (dále jen členské státy);

    d) hardwarové, softwarové a hardwarově-softwarové nástroje, systémy a komplexy, které implementují algoritmy pro kryptografickou transformaci informací s prováděním části takové transformace manuálními operacemi nebo s využitím automatizovaných prostředků založených na takových operacích;

    e) hardwarové, softwarové a hardwarově-softwarové nástroje, systémy a komplexy, které implementují algoritmy pro kryptografickou transformaci informací a jsou určeny pro tvorbu klíčových dokumentů (bez ohledu na typ klíčového informačního nosiče);

    f) hardwarové, softwarové a hardwarově-softwarové nástroje, systémy a komplexy vyvinuté nebo upravené k provádění kryptanalytických funkcí;

    g) hardwarové, softwarové a hardwarově-softwarové nástroje, systémy a komplexy, které implementují algoritmy transformace kryptografických informací, vyvinuté nebo upravené pro použití kryptografických metod pro generování rozšiřovacího kódu pro systémy s rozprostírajícím se spektrem, včetně skokových kódů pro systémy s frekvenčním přeskakováním;

    h) hardwarové, softwarové a hardwarově-softwarové nástroje, systémy a komplexy, které implementují algoritmy transformace kryptografických informací, vyvinuté nebo upravené pro použití kryptografických metod pro vytváření kanálů nebo tajných kódů pro časově modulované ultraširokopásmové systémy.

    Import a (nebo) export šifrovacích (kryptografických) prostředků se provádí, pokud existují informace o zahrnutí odpovídajícího oznámení do jednotné evidence oznámení (dále jen informace o oznámeních) nebo je-li k dispozici, licencí. Umístit zboží do jiných celních režimů než je propuštění pro domácí spotřebu a vývoz, jakož i při dovozu pro vlastní potřebu bez práva na jeho distribuci a poskytování šifrovacích služeb třetím stranám, namísto licence, závěr autorizovaný orgán (v Rusku je to Centrum pro udělování licencí, certifikaci a ochranu státních tajemství FSB Ruska, TsLSZ FSB Ruska). Při zařazování vzorků zkušebních SIM karet do celního řízení pro propuštění pro domácí spotřebu nebo vývoz mobilními operátory za účelem mezinárodní výměny v množství nepřesahujícím 20 kusů není nutné předkládat informace o licenci, závěru (povolení) nebo oznámení. .

    Pro registraci licencí Následující dokumenty a informace se předkládají oprávněnému orgánu (Ministerstvo průmyslu a obchodu Ruska):

    1. žádost o licenci a její elektronická kopie;
    2. kopii zahraniční obchodní smlouvy (smlouvy), přílohy a (nebo) jejího dodatku (pro jednorázovou licenci), a v případě neexistence zahraniční obchodní smlouvy (smlouvy) - kopii jiného dokumentu potvrzujícího záměry strany;
    3. informace o registraci žadatele u finančního úřadu nebo státní registraci;
    4. informace o dostupnosti licence k provádění licencovaného druhu činnosti v Rusku;
    5. závěr (dokument o povolení) TsLSZ FSB Ruska;
    6. oznámení žadateli o absenci radioelektronického zařízení a (nebo) vysokofrekvenčních zařízení pro civilní použití v dováženém šifrovacím (kryptografickém) zařízení (pro jejich dovoz je stanoven jiný postup).

    Vydání licence nebo odmítnutí jejího vydání provádí oprávněná osoba do 15 pracovních dnů ode dne předložení dokladů.

    Závěr(doklad o povolení) se vydává po předložení následujících dokumentů schvalujícímu orgánu:

    a) návrh závěru (povolovacího dokladu), zpracovaný v souladu s pokyny pro vyplnění formuláře jednotného závěru (povolovacího dokladu) pro dovoz, vývoz a tranzit určitého zboží zařazeného do Jednotného seznamu zboží, na které se vztahují zákazy nebo omezení o dovozu nebo vývozu ze strany států platí — členové Celní unie v rámci Eurasijského hospodářského společenství v obchodu se třetími zeměmi, schváleno Rozhodnutím předsednictva Euroasijské hospodářské komise;

    b) technickou dokumentaci k šifrovacímu (kryptografickému) nástroji (předložení zdrojových kódů není povinné, odmítnutí žadatele poskytnout zdrojové kódy není důvodem pro odmítnutí vydat závěr (povolovací dokument)).

    Oznámení(jednorázové oznámení zaslané výrobcem nebo dovozcem k zařazení do jednotné evidence, které je základem pro následný dovoz a vývoz zboží) je povoleno ve vztahu k následujícím šifrovacím nástrojům:

    1. Zboží obsahující šifrovací (kryptografické) prostředky, které má některou z těchto součástí:

    1) symetrický kryptografický algoritmus používající kryptografický klíč o délce nepřesahující 56 bitů;

    2) asymetrický kryptografický algoritmus založený na kterékoli z následujících metod:

    • faktorizace celých čísel, jejichž velikost nepřesahuje 512 bitů;
    • výpočet diskrétních logaritmů v multiplikativní skupině konečného pole, jehož velikost nepřesahuje 512 bitů;
    • diskrétní logaritmus ve skupině konečného pole, odlišného od pole uvedeného v odstavci tři tohoto článku, jehož velikost nepřesahuje 112 bitů.

    Poznámky:

    1. Paritní bity nejsou zahrnuty v délce klíče.

    2. Termín "kryptografie" se nevztahuje na pevné metody komprese nebo kódování dat.

    2. Produkty obsahující šifrovací (kryptografické) nástroje s následujícími omezenými funkcemi:

    1) autentizace, která zahrnuje všechny aspekty řízení přístupu tam, kde nedochází k šifrování souborů nebo textů, s výjimkou šifrování, které přímo souvisí s ochranou hesel, osobních identifikačních čísel nebo podobných údajů na ochranu před neoprávněným přístupem;

    2) elektronický digitální podpis (elektronický podpis).

    Poznámka. Funkce ověřování a elektronického digitálního podpisu (e-podpis) zahrnují přidruženou funkci distribuce klíčů.

    3. Šifrovací (kryptografické) nástroje, což jsou součásti softwarových operačních systémů, jejichž šifrovací schopnosti nemohou uživatelé měnit, které jsou navrženy tak, aby si je uživatel instaloval samostatně bez další významné podpory dodavatele a technické dokumentace (popis kryptografické transformační algoritmy, interakční protokoly, popis rozhraní atd. atd.), která je přístupná uživateli.

    4. Osobní čipové karty (čipové karty):

    1) jejichž šifrovací schopnosti jsou omezeny na jejich použití v kategoriích zboží (produktů) uvedených v odstavcích 5 - 8 tohoto seznamu;

    2) pro širokou veřejnost, jejichž šifrovací schopnosti nejsou uživateli dostupné a které mají v důsledku speciálního vývoje omezené možnosti ochrany osobních údajů, které jsou na nich uloženy.

    Poznámka. Pokud může osobní čipová karta (čipová karta) vykonávat několik funkcí, je stav ovládání každé z funkcí určen samostatně.

    5. Přijímací zařízení pro rozhlasové vysílání, komerční televizi nebo podobná komerční zařízení pro vysílání omezenému publiku bez kódování digitálního signálu, kromě případů, kdy se kódování používá výhradně pro správu video nebo audio kanálů, zasílání účtů nebo vracení informací souvisejících s programem poskytovatelům vysílání.

    6. Zařízení, jehož šifrovací schopnosti nejsou uživateli dostupné, speciálně navržené a omezené pro použití kterýmkoli z následujících způsobů:

    1) software je spuštěn ve formě chráněné proti kopírování;

    2) přístup k některé z následujících položek:

    • obsah chráněný proti kopírování uložený pouze na čitelných elektronických médiích;
    • informace uložené v zašifrované podobě na elektronických médiích, které jsou nabízeny k prodeji veřejnosti v identických souborech;

    3) kontrola kopírování zvukových a obrazových informací chráněných autorským právem.

    7. Šifrovací (šifrovací) zařízení speciálně konstruovaná a omezená na použití pro bankovní nebo finanční transakce.

    Poznámka. Finanční transakce zahrnují, ale nejsou omezeny na poplatky a poplatky za přepravní služby a půjčování.

    8. Přenosná nebo mobilní radioelektronická zařízení pro civilní použití (např. pro použití v komerčních civilních celulárních radiokomunikačních systémech), která nejsou schopna šifrování typu end-to-end (od účastníka k účastníkovi).

    9. Bezdrátové radioelektronické zařízení, které šifruje informace pouze v rádiovém kanálu s maximálním bezdrátovým dosahem bez zesílení a přenosu menším než 400 m v souladu se specifikacemi výrobce.

    10. Šifrovací (kryptografické) prostředky používané k ochraně technologických kanálů informačních a telekomunikačních systémů a komunikačních sítí.

    11. Produkty, jejichž kryptografická funkce je blokována výrobcem.

    12. Jiné zboží, které obsahuje šifrovací (kryptografické) prostředky jiné než ty, které jsou uvedeny v odstavcích 1 - 11 tohoto seznamu a které splňují následující kritéria:

    1) jsou veřejně dostupné k prodeji veřejnosti v souladu s legislativou členského státu Euroasijské hospodářské unie bez omezení dostupného sortimentu v maloobchodních prodejnách prostřednictvím některé z následujících možností:

    • hotovostní prodej;
    • prodej prostřednictvím objednávky zboží poštou;
    • elektronické transakce;
    • prodej na telefonické objednávky;

    2) šifrovací (kryptografická) funkčnost, kterou uživatel nemůže jednoduchým způsobem změnit;

    3) navržena tak, aby byla instalována uživatelem bez další významné podpory ze strany dodavatele;

    4) technickou dokumentaci potvrzující, že zboží splňuje požadavky pododstavců 1 až 3 tohoto odstavce, umístí výrobce na veřejnost a v případě potřeby ji předloží výrobce (jím pověřená osoba) schvalujícímu orgánu. na jeho žádost.

    Činnosti v oblasti kryptografie v Rusku

    V souladu s federálním zákonem „O licencování určitých typů činností“ podléhají licencování téměř všechny typy činností v oblasti kryptografie.

    Z licencování jsou odstraněny následující položky:

    1. technická údržba šifrovacích nástrojů, informačních systémů a telekomunikačních systémů chráněných šifrovacími nástroji, která se provádí pro vlastní potřeby právnické osoby nebo fyzického podnikatele;

    2. aktivity využívající:

    a) šifrovací (kryptografické) prostředky určené k ochraně informací obsahujících informace představující státní tajemství (v tomto případě se udělování licencí provádí v rámci právních předpisů o státním tajemství);

    b) šifrovací (kryptografické) prostředky, jakož i zboží obsahující šifrovací (kryptografické) prostředky, které implementují buď symetrický kryptografický algoritmus využívající kryptografický klíč o délce nepřesahující 56 bitů, nebo asymetrický kryptografický algoritmus založený buď na metodě faktorizace celých čísel , jehož velikost nepřesahuje 512 bitů, buď pomocí metody výpočtu diskrétních logaritmů v multiplikativní skupině konečného pole o velikosti nepřesahující 512 bitů, nebo pomocí metody výpočtu diskrétních logaritmů v jiné skupině o velikosti nepřesahující 112 bitů;

    c) zboží obsahující šifrovací (kryptografické) prostředky, mající buď autentizační funkci, včetně všech aspektů řízení přístupu, kde nedochází k šifrování souborů nebo textů, s výjimkou šifrování, které přímo souvisí s ochranou hesel, osobní identifikace čísla nebo podobná data pro ochranu před neoprávněným přístupem nebo mající elektronický podpis;

    d) šifrovací (kryptografické) nástroje, což jsou součásti softwarových operačních systémů, jejichž šifrovací schopnosti nemohou uživatelé měnit, které jsou určeny k instalaci uživatelem samostatně bez další významné podpory dodavatele a technické dokumentace (popis kryptografické transformační algoritmy, interakční protokoly, popis rozhraní atd.) .d.), pro které je k dispozici;

    e) osobní čipové karty (čipové karty), jejichž šifrovací schopnosti jsou omezeny na použití v zařízeních nebo systémech uvedených v pododstavcích „e“ – „i“ tohoto odstavce, nebo osobní čipové karty (čipové karty) pro širokou veřejnost, šifrovací schopnosti, které jsou uživateli nepřístupné a které mají v důsledku speciálního vývoje omezené možnosti ochrany osobních informací, které jsou na nich uloženy;

    f) přijímací zařízení pro rozhlasové vysílání, komerční televizi nebo podobné komerční zařízení pro vysílání omezenému publiku bez šifrování digitálního signálu, s výjimkou případů, kdy se šifrování používá výhradně pro ovládání video nebo audio kanálů a odesílání účtů nebo vracení informací spojených s program pro poskytovatele vysílání;

    g) zařízení, jejichž šifrovací schopnosti nejsou uživateli dostupné, speciálně navržené a omezené k provádění následujících funkcí:

    • Spouštění softwaru ve formě chráněné proti kopírování;
    • poskytování přístupu k obsahu chráněnému proti kopírování uloženému pouze na čitelných médiích nebo přístupu k informacím uloženým v zašifrované podobě na médiích, pokud jsou tato média nabízena k prodeji veřejnosti v identických sadách;
    • kontrola kopírování zvukových a obrazových informací chráněných autorským právem;

    h) šifrovací (kryptografická) zařízení, speciálně navržená a omezená na použití pro bankovní nebo finanční transakce jako součást terminálů pro jeden prodej (ATM), POS terminálů a platebních terminálů pro různé typy služeb, jejichž šifrovací schopnosti nemohou uživatelé měnit ;

    i) přenosná nebo mobilní radioelektronická zařízení pro civilní použití (například pro použití v komerčních civilních celulárních radiokomunikačních systémech), která nejsou schopna šifrování typu end-to-end (tj. od účastníka k účastníkovi);

    j) bezdrátové zařízení, které šifruje informace pouze v rádiovém kanálu s maximálním bezdrátovým dosahem bez zesílení a přenosu menším než 400 m v souladu se specifikacemi výrobce (kromě zařízení používaného v kritických zařízeních);

    k) šifrovací (kryptografické) prostředky používané k ochraně technologických kanálů informačních a telekomunikačních systémů a komunikačních sítí, které nesouvisejí s kritickými zařízeními;

    l) zboží, jehož kryptografickou funkci garantuje výrobce zablokovat.

    NA šifrovacími (kryptografickými) prostředky(nástroje na ochranu kryptografických informací), včetně dokumentace k těmto nástrojům, vztahovat:

    a) šifrovací nástroje – hardwarové, softwarové a firmwarové šifrovací (kryptografické) nástroje, které implementují algoritmy pro šifrovací transformaci informací za účelem omezení přístupu k nim, a to i během jejich ukládání, zpracování a přenosu;

    b) prostředky ochrany proti imitaci - hardwarové, softwarové a firmwarové šifrovací (kryptografické) nástroje (kromě šifrovacích nástrojů), implementující algoritmy pro kryptografickou transformaci informací k ochraně před uložením nepravdivých informací, včetně ochrany před modifikací, k zajištění jejich spolehlivosti a neopravitelnosti, jakož i zajištění schopnosti detekovat změny, napodobování, falšování nebo pozměňování informací;

    c) prostředky elektronického podpisu;

    d) kódovací nástroje - šifrovací nástroje, ve kterých se část kryptografických transformací informací provádí pomocí ručních operací nebo pomocí automatizovaných nástrojů určených k provádění takových operací;

    e) prostředky pro vytváření klíčových dokumentů - hardware, software, softwarově-hardwarové šifrovací (kryptografické) nástroje, které poskytují možnost vytvářet klíčové dokumenty pro šifrovací (kryptografické) nástroje, které nejsou součástí těchto šifrovacích (kryptografických) nástrojů;

    f) klíčové dokumenty - elektronické dokumenty na jakémkoli médiu, jakož i papírové dokumenty obsahující klíčové informace s omezeným přístupem pro kryptografickou transformaci informací pomocí algoritmů pro kryptografickou transformaci informace (kryptografický klíč) v šifrovacích (kryptografických) prostředcích;

    g) hardwarové šifrovací (kryptografické) prostředky - zařízení a jejich součásti, včetně těch, které obsahují klíčové informace, poskytující schopnost převádět informace v souladu s algoritmy pro kryptografický převod informací bez použití programů pro elektronické počítače;

    h) softwarové šifrovací (kryptografické) nástroje - programy pro elektronické počítače a jejich části, včetně těch obsahujících klíčové informace, poskytující možnost převádět informace v souladu s algoritmy pro kryptografickou transformaci informací v softwarových a hardwarových šifrovacích (kryptografických) nástrojích, informační systémy a telekomunikační systémy chráněné pomocí šifrovacích (kryptografických) prostředků;

    i) softwarové a hardwarové šifrovací (kryptografické) prostředky - zařízení a jejich součásti (kromě informačních systémů a telekomunikačních systémů), včetně těch, které obsahují klíčové informace, poskytující schopnost převádět informace v souladu s algoritmy pro kryptografický převod informací pomocí programů pro elektronické počítače určené k provádění těchto transformací informací nebo jejich částí.

    Udělování licencí k činnostem definovaným těmito pravidly je prováděno FSB Ruska (dále jen licenční orgán).

    Základní licenční požadavky jsou:

    a) existence podmínek pro zachování důvěrnosti informací nezbytných k výkonu práce a poskytování služeb, které tvoří licencovanou činnost, v souladu s požadavky na zachování důvěrnosti informací stanovenými federálním zákonem „o informacích, informačních technologiích a ochraně informací“ ;

    b) žadatel o licenci (držitel licence) má přístup k výkonu práce a poskytování služeb spojených s využíváním informací tvořících státní tajemství (pokud je přístup ke státnímu tajemství nezbytný pro plánované druhy prací a služeb, např. při vývoji kryptoaktiv );

    c) přítomnost kvalifikovaného personálu u personálu žadatele o licenci (držitele licence), jehož požadavky na praxi a vzdělání se rovněž liší v závislosti na druhu činnosti plánované žadatelem. Pro prodej kryptoměn jsou tedy vyžadováni zaměstnanci, kteří mají vyšší nebo střední odborné vzdělání v oboru „Informační bezpečnost“ podle Celoruského klasifikátoru odborností a (nebo) kteří prošli rekvalifikací v některém z specializace v tomto oboru (standardní doba je nad 100 vyučovacích hodin). K vývoji kryptonástrojů jsou naopak zapotřebí pracovníci, kteří mají vyšší odborné vzdělání v oboru „Informační bezpečnost“ podle Celoruského klasifikátoru odborností a (nebo) kteří prošli rekvalifikací v některé ze specializací. v tomto oboru (normativní období - nad 1000 vyučovacích hodin), jakož i minimálně 5 let praxe v oboru práce vykonávané v rámci licencovaných činností.

    d) předloží žadatel o licenci (držitel licence) licenčnímu úřadu seznam šifrovacích (kryptografických) prostředků, včetně prostředků zahraniční výroby, které nemají osvědčení Federální bezpečnostní služby Ruské federace, technickou dokumentaci definující složení charakteristiky a provozní podmínky těchto prostředků a (nebo) ukázky šifrovacích (kryptografických) nástrojů.

    Kryptografické prostředky k zajištění informační bezpečnosti jsou založeny na využití principů šifrování dat.

    Šifrování je vratná transformace informací za účelem jejich skrytí před neoprávněnými osobami při zachování přístupu k datům pro oprávněné uživatele.

    Používá se šifrování:

    • skrýt informace před neoprávněnými uživateli během přenosu, ukládání a zabránit změnám;
    • ověření zdroje dat a zabránění odesílateli informace odmítnout skutečnost odeslání;
    • důvěrnost přenášených informací, tedy jejich dostupnost pouze oprávněným uživatelům, kteří mají určitý autentický (platný, pravý) klíč.

    S pomocí šifrování jsou tak zajištěny povinné kategorie informační bezpečnosti: důvěrnost, integrita, dostupnost a identifikovatelnost.

    Šifrování je realizováno dvěma procesy transformace dat – šifrováním a dešifrováním pomocí klíče. Podle GOST 28147-89 „Systémy zpracování informací. Kryptografická ochrana. Algoritmus kryptografické transformace,“ klíč je specifický tajný stav některých parametrů kryptografického transformačního algoritmu, který zajišťuje výběr jedné transformace z množiny všech možných transformací pro daný algoritmus.

    Šifrovací klíč- jedná se o jedinečný prvek pro změnu výsledků šifrovacího algoritmu: stejná zdrojová data budou zašifrována odlišně při použití různých klíčů.

    K dešifrování zašifrovaných informací potřebuje přijímající strana klíč a dekodér – zařízení, které data dešifruje. V závislosti na počtu klíčů použitých pro procesy šifrování se rozlišují dvě metody šifrování:

    • symetrický - použití stejného klíče pro šifrování i dešifrování dat;
    • asymetrické - používají se dva různé klíče: jeden pro šifrování (veřejný), druhý pro dešifrování (soukromý).

    Postupy převodu dat pomocí klíče představují šifrovací algoritmus. V současnosti jsou nejoblíbenější následující silné šifrovací algoritmy popsané ve státních normách: GOST 28147-89 (Rusko), AES (Advanced Encryption Standard, USA) a RSA (USA). Navzdory vysoké složitosti těchto šifrovacích algoritmů však lze kterýkoli z nich prolomit vyzkoušením všech možných možností klíče.

    Pojem „šifrování“ je základem pro další kryptografický prostředek zajištění bezpečnosti informací – digitální certifikát.

    Digitální certifikát je elektronický nebo tištěný dokument vydaný certifikační autoritou (certifikačním centrem) potvrzující vlastnictví vlastníka veřejného klíče nebo jakýchkoli atributů.

    Digitální certifikát se skládá ze 2 klíčů: veřejného (veřejnost) a soukromé (soukromé). Veřejnost-part se používá k šifrování provozu z klienta na server v zabezpečeném připojení, ^nsh^e-part se používá k dešifrování šifrovaného provozu přijatého od klienta na serveru. Po vytvoření páru veřejné/soukromé Na základě veřejného klíče je vygenerována žádost o certifikát certifikační autoritě. V reakci na to certifikační autorita zašle podepsaný digitální certifikát a zároveň ověří pravost klienta – držitele certifikátu.

    Certifikační autorita (certifikační autorita, C A) je strana (oddělení, organizace), jejíž integrita je nesporná a jejíž veřejný klíč je široce znám. Hlavním úkolem certifikační autority je potvrzovat pravost šifrovacích klíčů pomocí digitálních certifikátů (certifikátů elektronického podpisu) prostřednictvím:

    • poskytování služeb pro certifikaci digitálních certifikátů (certifikáty pro elektronický podpis);
    • údržba certifikátů veřejného klíče;
    • přijímání a ověřování informací o souladu údajů uvedených v klíčovém certifikátu a předložených dokladů.

    Technicky je CA implementována jako součást globální adresářové služby, která je zodpovědná za správu kryptografických klíčů uživatelů. Veřejné klíče a další informace o uživatelích jsou uchovávány certifikačními autoritami ve formě digitálních certifikátů.

    Hlavním prostředkem zajištění informační bezpečnosti elektronických dokumentů v moderních informačních systémech je jejich ochrana pomocí elektronického (elektronického digitálního) podpisu.

    elektronický podpis (ES)- podrobnosti o elektronickém dokumentu získaném v důsledku kryptografické transformace informací pomocí soukromého klíče, který umožňuje prokázat nepřítomnost poškození dat od okamžiku vytvoření podpisu a ověřit, že podpis patří vlastníkovi digitální certifikát (certifikát klíče elektronického podpisu).

    Elektronický podpis je určen k identifikaci osoby, která elektronický dokument podepsala, a je plnohodnotnou náhradou (analogem) vlastnoručního podpisu v případech stanovených zákonem. Použití elektronického podpisu vám umožňuje:

    • kontrola integrity přenášeného dokumentu: v případě jakékoli náhodné nebo úmyslné změny dokumentu pozbude podpis platnost, protože je počítán na základě původního stavu dokumentu a odpovídá pouze jemu;
    • ochrana proti změnám (padělání) dokumentu díky garanci odhalení padělku při sledování integrity dat;
    • průkazné potvrzení autorství dokumentu, protože soukromý klíč digitálního podpisu zná pouze vlastník odpovídajícího digitálního certifikátu (lze podepsat následující pole: „autor“, „provedené změny“, „časové razítko“, atd.).

    Vzhledem k tomu, že implementace elektronických podpisů je založena na aplikaci principů šifrování dat, existují dvě možnosti pro konstrukci elektronických podpisů:

    • založené na symetrických šifrovacích algoritmech, které zajišťují přítomnost třetí strany (arbitra), které obě strany důvěřují. Autorizace dokumentu je samotná skutečnost, že je zašifrován tajným klíčem a předán rozhodci;
    • založené na asymetrických šifrovacích algoritmech - nejběžnější v moderních IS: schémata založená na šifrovacím algoritmu RSA (Full Domain Hash, Probabilistic Signature Scheme, PKCS#1), El-Gamal, Schnorr, Diffie-Hellman, Pointcheval-Stem podpisový algoritmus, pravděpodobnostní schéma Rabinova podpisu, Boneh-Lynn-Shacham, Goldwasser-Micali-Rivest, schémata založená na přístroji ECDSA eliptické křivky, národní kryptografické standardy: GOST R 34.10-2012 (Rusko), DSTU 4145-2002 (Ukrajina), STB 11 99 (Bělorusko), DSA (USA).

    V současné době je hlavní domácí normou upravující koncept elektronického podpisu GOST R 34.10-2012 „Informační technologie. Ochrana kryptografických informací. Procesy vytváření a ověřování elektronických digitálních podpisů.

    Implementace elektronického podpisu v informačních systémech se zpravidla provádí tak, že do jejich složení jsou zařazeny speciální modulární komponenty obsahující certifikované prostředky kryptografické ochrany dat: CryptoPro CSP, SignalCom CSP, Verba OW, Domen-K, Avest, Genkei a další certifikované od FAPSI (Federální agentura pro vládní komunikaci a informace pod vedením prezidenta Ruské federace) a splňující specifikace Microsoft Crypto API.

    Microsoft CryptoAPI je rozhraní pro programování aplikací Windows, které obsahuje standardní sadu funkcí pro práci s poskytovatelem kryptoměn. Zahrnuto v operačních systémech Microsoft Windows (od roku 2000).

    CryptoAPI umožňuje šifrovat a dešifrovat data, podporuje práci s asymetrickými a symetrickými klíči a také digitálními certifikáty. Sada podporovaných kryptografických algoritmů závisí na konkrétním poskytovateli kryptoměn.

    Cryptography Service Provider (CSP) je nezávislý modul pro provádění kryptografických operací v operačních systémech Microsoft pod kontrolou funkcí CryptoAPI. Poskytovatel kryptoměn je tedy prostředníkem mezi operačním systémem, který jej může spravovat pomocí standardních funkcí CryptoAPI, a realizátorem kryptografických operací, jako je aplikační IS nebo hardware.

    Nástroje na ochranu kryptografických informací, zkráceně CIPF, slouží k zajištění komplexní ochrany dat přenášených po komunikačních linkách. K tomu je nutné zajistit autorizaci a ochranu elektronického podpisu, autentizaci komunikujících stran pomocí protokolů TLS a IPSec, případně i ochranu samotného komunikačního kanálu.

    V Rusku je používání kryptografických prostředků informační bezpečnosti většinou utajované, proto je na toto téma málo veřejně dostupných informací.

    Metody používané v CIPF

    • Autorizace dat a zajištění bezpečnosti jejich právního významu při přenosu nebo uchovávání. K tomu využívají algoritmy pro vytváření elektronického podpisu a jeho ověřování v souladu se zavedenými předpisy RFC 4357 a používají certifikáty podle standardu X.509.
    • Ochrana důvěrnosti dat a sledování jejich integrity. Používá se asymetrické šifrování a ochrana proti imitaci, to znamená, že působí proti záměně dat. Vyhovuje GOST R 34.12-2015.
    • Ochrana systémového a aplikačního softwaru. Sledujte neoprávněné změny nebo nesprávnou funkci.
    • Řízení nejdůležitějších prvků systému v přísném souladu s přijatými předpisy.
    • Autentizace stran, které si vyměňují data.
    • Zabezpečení připojení pomocí protokolu TLS.
    • Ochrana IP připojení pomocí protokolů IKE, ESP, AH.

    Metody jsou podrobně popsány v následujících dokumentech: RFC 4357, RFC 4490, RFC 4491.

    Mechanismy CIPF pro ochranu informací

    1. Důvěrnost uložených nebo přenášených informací je chráněna použitím šifrovacích algoritmů.
    2. Při navazování spojení je při autentizaci zajištěna identifikace pomocí elektronického podpisu (jak doporučuje X.509).
    3. Tok digitálních dokumentů je chráněn také elektronickými podpisy spolu s ochranou proti uložení nebo opakování, přičemž je sledována pravost klíčů používaných k ověřování elektronických podpisů.
    4. Integrita informací je zajištěna pomocí digitálního podpisu.
    5. Použití funkcí asymetrického šifrování pomáhá chránit vaše data. Kromě toho lze ke kontrole integrity dat použít hašovací funkce nebo algoritmy zosobnění. Tyto metody však nepodporují určení autorství dokumentu.
    6. Ochrana proti opakování se provádí pomocí kryptografických funkcí elektronického podpisu pro šifrování nebo ochranu před imitací. V tomto případě je ke každé síťové relaci přidán jedinečný identifikátor, dostatečně dlouhý na to, aby se vyloučila její náhodná shoda, a ověření je implementováno přijímající stranou.
    7. Ochrana před uložením, tedy před pronikáním do komunikace zvenčí, je zajištěna pomocí elektronického podpisu.
    8. Další ochrana - proti záložkám, virům, úpravám operačního systému atd. - je zajištěna pomocí různých kryptografických prostředků, bezpečnostních protokolů, antivirového softwaru a organizačních opatření.

    Jak vidíte, algoritmy elektronického podpisu jsou základní součástí prostředku ochrany kryptografických informací. O nich bude řeč níže.

    Požadavky na používání CIPF

    CIPF je zaměřena na ochranu (kontrolou elektronického podpisu) otevřených dat v různých informačních systémech obecného použití a zajištění jejich důvěrnosti (kontrolou elektronického podpisu, napodobováním ochrany, šifrováním, ověřováním hash) v podnikových sítích.

    K ochraně osobních údajů uživatele se používá nástroj na ochranu osobních kryptografických informací. Zvláštní důraz by však měl být kladen na informace související se státním tajemstvím. Podle zákona s ním nelze CIPF pracovat.

    Důležité: před instalací CIPF byste měli nejprve zkontrolovat samotný softwarový balík CIPF. Toto je první krok. Integrita instalačního balíčku se obvykle ověřuje porovnáním kontrolních součtů obdržených od výrobce.

    Po instalaci byste měli určit úroveň ohrožení, na základě které můžete určit typy CIPF potřebné k použití: software, hardware a hardware-software. Je třeba také vzít v úvahu, že při pořádání některých CIPF je nutné vzít v úvahu umístění systému.

    Třídy ochrany

    Podle nařízení FSB Ruska ze dne 10. července 2014, číslo 378, upravujícího používání kryptografických prostředků k ochraně informací a osobních údajů, je definováno šest tříd: KS1, KS2, KS3, KB1, KB2, KA1. Třída ochrany pro konkrétní systém je určena z analýzy dat o modelu narušitele, tedy z posouzení možných způsobů hacknutí systému. Ochrana je v tomto případě postavena na softwarové a hardwarové ochraně kryptografických informací.

    AC (aktuální hrozby), jak je vidět z tabulky, jsou 3 typů:

    1. Hrozby prvního typu jsou spojeny s nezdokumentovanými schopnostmi v systémovém softwaru používaném v informačním systému.
    2. Hrozby druhého typu jsou spojeny s nezdokumentovanými schopnostmi aplikačního softwaru používaného v informačním systému.
    3. Třetí typ hrozby se týká všech ostatních.

    Nezdokumentované funkce jsou funkce a vlastnosti softwaru, které nejsou popsány v oficiální dokumentaci nebo s ní neodpovídají. To znamená, že jejich použití může zvýšit riziko porušení důvěrnosti nebo integrity informací.

    Pro jasnost se podívejme na modely narušitelů, jejichž zachycení vyžaduje jednu nebo druhou třídu šifrovacích prostředků zabezpečení informací:

    • KS1 - narušitel působí zvenčí, bez asistentů uvnitř systému.
    • KS2 je interní narušitel, ale nemá přístup k CIPF.
    • KS3 je interní narušitel, který je uživatelem CIPF.
    • KV1 je vetřelec, který přitahuje zdroje třetích stran, například specialisty CIPF.
    • KV2 je narušitel, za jehož jednáním stojí institut či laboratoř pracující v oblasti studia a rozvoje CIPF.
    • KA1 - speciální služby států.

    KS1 lze tedy nazvat základní třídou ochrany. Čím vyšší je tedy třída ochrany, tím méně specialistů je schopných ji poskytnout. Například v Rusku bylo podle údajů za rok 2013 pouze 6 organizací, které měly certifikát od FSB a byly schopny poskytovat ochranu třídy KA1.

    Použité algoritmy

    Podívejme se na hlavní algoritmy používané v nástrojích ochrany kryptografických informací:

    • GOST R 34.10-2001 a aktualizované GOST R 34.10-2012 - algoritmy pro vytváření a ověřování elektronického podpisu.
    • GOST R 34.11-94 a nejnovější GOST R 34.11-2012 - algoritmy pro vytváření hashovacích funkcí.
    • GOST 28147-89 a novější GOST R 34.12-2015 - implementace šifrovacích algoritmů a ochrany dat.
    • Další kryptografické algoritmy se nacházejí v RFC 4357.

    Elektronický podpis

    Využití kryptografických nástrojů pro bezpečnost informací si nelze představit bez použití algoritmů elektronického podpisu, které si získávají stále větší oblibu.

    Elektronický podpis je speciální část dokumentu vytvořená kryptografickými transformacemi. Jeho hlavním úkolem je identifikovat neoprávněné změny a určit autorství.

    Certifikát elektronického podpisu je samostatný dokument, který prokazuje jeho majiteli pravost a vlastnictví elektronického podpisu pomocí veřejného klíče. Certifikáty vydávají certifikační autority.

    Vlastníkem certifikátu pro elektronický podpis je osoba, na jejíž jméno je certifikát registrován. Je spojen se dvěma klíči: veřejným a soukromým. Soukromý klíč umožňuje vytvořit elektronický podpis. Účelem veřejného klíče je ověřit pravost podpisu pomocí kryptografického odkazu na soukromý klíč.

    Druhy elektronického podpisu

    Podle federálního zákona č. 63 se elektronické podpisy dělí na 3 typy:

    • běžný elektronický podpis;
    • nekvalifikovaný elektronický podpis;
    • kvalifikovaný elektronický podpis.

    Jednoduchý elektronický podpis se vytváří pomocí hesel uložených při otevírání a prohlížení dat nebo podobných prostředků, které nepřímo potvrzují vlastníka.

    Nekvalifikovaný elektronický podpis se vytváří pomocí transformací kryptografických dat pomocí soukromého klíče. Díky tomu můžete potvrdit osobu, která dokument podepsala, a zjistit, zda v datech nebyly provedeny neoprávněné změny.

    Kvalifikovaný a nekvalifikovaný podpis se liší pouze tím, že v prvním případě musí být certifikát pro elektronický podpis vydán certifikačním centrem certifikovaným FSB.

    Rozsah použití elektronického podpisu

    Níže uvedená tabulka pojednává o rozsahu použití elektronického podpisu.

    Technologie elektronického podpisu se nejaktivněji využívají při výměně dokumentů. V interním toku dokumentů elektronický podpis funguje jako schvalování dokumentů, tedy jako osobní podpis nebo pečeť. V případě externího toku dokumentů je přítomnost elektronického podpisu kritická, protože se jedná o právní potvrzení. Za zmínku také stojí, že dokumenty podepsané elektronickým podpisem lze uchovávat po neomezenou dobu a neztrácejí svůj právní význam kvůli faktorům, jako jsou vymazané podpisy, poškozený papír atd.

    Další oblastí, ve které se zvyšuje tok elektronických dokumentů, je podávání zpráv regulačním orgánům. Mnoho společností a organizací již ocenilo pohodlí práce v tomto formátu.

    Podle práva Ruské federace má každý občan právo používat elektronický podpis při využívání služeb státní správy (například podepisování elektronické žádosti pro úřady).

    Online obchodování je další zajímavou oblastí, ve které se aktivně využívají elektronické podpisy. Potvrzuje skutečnost, že se aukce účastní skutečná osoba a její nabídky lze považovat za spolehlivé. Důležité také je, aby jakákoli smlouva uzavřená pomocí elektronického podpisu nabyla právní moci.

    Algoritmy elektronického podpisu

    • Full Domain Hash (FDH) a Public Key Cryptography Standards (PKCS). Ten představuje celou skupinu standardních algoritmů pro různé situace.
    • DSA a ECDSA jsou standardy pro vytváření elektronických podpisů v USA.
    • GOST R 34.10-2012 - standard pro vytváření elektronických podpisů v Ruské federaci. Tato norma nahradila GOST R 34.10-2001, jehož platnost oficiálně vypršela po 31. prosinci 2017.
    • Euroasijská unie používá standardy zcela podobné ruským.
    • STB 34.101.45-2013 - Běloruský standard pro digitální elektronický podpis.
    • DSTU 4145-2002 - standard pro vytváření elektronického podpisu na Ukrajině a mnoho dalších.

    Za zmínku také stojí, že algoritmy pro vytváření elektronických podpisů mají různé účely a cíle:

    • Skupinový elektronický podpis.
    • Jednorázový digitální podpis.
    • Důvěryhodný elektronický podpis.
    • Kvalifikovaný a nekvalifikovaný podpis atd.

    Kryptografické prostředky - Jedná se o speciální matematické a algoritmické prostředky k ochraně informací přenášených komunikačními systémy a sítěmi, které jsou uloženy a zpracovány v počítači pomocí různých šifrovacích metod.
    Technická ochrana informací jeho přeměnou, vyjma jeho čtení cizinci, znepokojuje lidi od pradávna. Kryptografie musí poskytovat takovou úroveň utajení, aby kritické informace mohly být spolehlivě chráněny před dešifrováním velkými organizacemi – jako jsou mafie, nadnárodní korporace a velké státy. Kryptografie se v minulosti používala pouze pro vojenské účely. Nyní se však se vznikem informační společnosti stává nástrojem pro zajištění důvěrnosti, důvěry, autorizace, elektronických plateb, firemní bezpečnosti a nespočtu dalších důležitých věcí. Proč se problém používání kryptografických metod stal v současné době obzvláště aktuální?
    Na jedné straně se rozšířilo využívání počítačových sítí, zejména celosvětový internet, jehož prostřednictvím se přenášejí velké objemy informací státní, vojenské, obchodní i soukromé povahy, které brání neoprávněným osobám v přístupu k nim.
    Na druhé straně vznik nových výkonných počítačů, síťových a neuronových výpočetních technologií umožnil zdiskreditovat kryptografické systémy, které byly donedávna považovány za prakticky nezjistitelné.
    Kryptologie (kryptos - tajemství, logos - věda) se zabývá problémem ochrany informací jejich transformací. Kryptologie se dělí na dvě oblasti – kryptografii a kryptoanalýzu. Cíle těchto směrů jsou přímo opačné.
    Kryptografie se zabývá hledáním a studiem matematických metod pro konverzi informací.
    Oblastí zájmu kryptoanalýzy je studium možnosti dešifrování informací bez znalosti klíčů.
    Moderní kryptografie zahrnuje 4 hlavní sekce.



    · Symetrické kryptosystémy.

    · Šifrovací systémy s veřejným klíčem.

    · Systémy elektronického podpisu.

    · Správa klíčů.

    Hlavními oblastmi použití kryptografických metod jsou přenos důvěrných informací komunikačními kanály (např. e-mail), zjišťování autenticity přenášených zpráv, ukládání informací (dokumentů, databází) na média v šifrované podobě.


    Terminologie.
    Kryptografie umožňuje transformovat informace takovým způsobem, že jejich čtení (obnovení) je možné pouze v případě, že je znám klíč.
    Texty založené na určité abecedě budou považovány za informace, které mají být zašifrovány a dešifrovány. Tyto termíny znamenají následující.
    Abeceda- konečná množina znaků používaných ke kódování informací.
    Text- uspořádaná množina prvků abecedy.
    Šifrování- proces převodu: původní text, který se také nazývá prostý text, je nahrazen šifrovým textem.
    Dešifrování- obrácený proces šifrování. Na základě klíče se šifrovaný text převede na původní.
    Klíč- informace potřebné pro bezproblémové šifrování a dešifrování textů.
    Kryptografický systém je rodina T [T1, T2, ..., Tk] transformací otevřeného textu. Členové této rodiny jsou indexováni nebo označeni symbolem "k"; parametr k je klíčový. Klíčový prostor K je množina možných klíčových hodnot. Obvykle je klíčem sekvenční řada písmen abecedy.
    Kryptosystémy se dělí na symetrický a veřejný klíč.
    V symetrických kryptosystémech se pro šifrování i dešifrování používá stejný klíč.
    Systémy veřejného klíče používají dva klíče, veřejný klíč a soukromý klíč, které spolu matematicky souvisí. Informace jsou šifrovány pomocí veřejného klíče, který je dostupný všem, a dešifrovány pomocí soukromého klíče, který zná pouze příjemce zprávy.
    Pojmy distribuce klíčů a správa klíčů označují procesy systému zpracování informací, jejichž obsahem je sestavení a distribuce klíčů mezi uživateli.
    Elektronický (digitální) podpis je kryptografická transformace připojená k textu, která umožňuje, když text obdrží jiný uživatel, ověřit autorství a pravost zprávy.
    Kryptografická síla je charakteristika šifry, která určuje její odolnost vůči dešifrování bez znalosti klíče (tj. kryptoanalýza).
    Účinnost šifrování pro ochranu informací závisí na zachování tajnosti klíče a šifrovací síly šifry.
    Nejjednodušším kritériem pro takovou účinnost je pravděpodobnost odhalení klíče nebo síla sady klíčů (M). V podstatě je to stejné jako kryptografická síla. Chcete-li to odhadnout číselně, můžete využít i složitost řešení šifry vyzkoušením všech klíčů.
    Toto kritérium však nebere v úvahu další důležité požadavky na kryptosystémy:

    · nemožnost zveřejnění nebo smysluplné úpravy informací na základě analýzy jejich struktury;

    · dokonalost používaných bezpečnostních protokolů;

    · minimální množství použitých klíčových informací;

    · minimální náročnost implementace (v počtu operací stroje), její cena;

    · vysoká účinnost.

    Při výběru a hodnocení kryptografického systému je často efektivnější použít odborný úsudek a simulaci.
    V každém případě musí zvolený soubor kryptografických metod kombinovat jak pohodlí, flexibilitu a efektivitu použití, tak spolehlivou ochranu informací kolujících v informačním systému před útočníky.

    Toto rozdělení informační bezpečnosti znamená ( technická ochrana informací), zcela podmíněně, protože v praxi velmi často interagují a jsou implementovány v komplexu ve formě softwarových a hardwarových modulů s širokým využitím algoritmů pro uzavírání informací.


    Závěr

    V této práci v kurzu jsem prozkoumal lokální počítačovou síť Správy a došel jsem k závěru, že pro plnou ochranu informací je nutné použít všechna bezpečnostní opatření, aby se minimalizovala ztráta určitých informací.

    V důsledku organizace provedené práce: elektronizace pracovišť s jejich integrací do lokální počítačové sítě, s přítomností serveru a přístupem k internetu. Dokončení této práce zajistí nejrychlejší a nejproduktivnější práci pracujícího personálu.

    Cíle, které byly stanoveny při obdržení úkolu, se podle mého názoru podařilo splnit. Diagram místní sítě pro správu je uveden v příloze B.


    Bibliografie.

    1. GOST R 54101-2010 „Nástroje pro automatizaci a řídicí systémy. Bezpečnostní prostředky a systémy. Údržba a běžné opravy"

    2. Organizační ochrana informací: učebnice pro vysoké školy Averčenkov V.I., Rytov M.Yu. 2011

    3. Khalyapin D.B., Yarochkin V.I. Základy informační bezpečnosti.-M.: IPKIR,1994

    4. Khoroshko V.A., Chekatkov A.A. Metody a prostředky informační bezpečnosti (ed. Kovtanyuk) K.: Junior Publishing House, 2003 - 504 s.

    5. Hardware a počítačové sítě Ilyukhin B.V. 2005

    6. Yarochkin V.I. Informační bezpečnost: Učebnice pro vysokoškoláky.-M.: Akademický projekt!?! Nadace "Mír", 2003.-640 s.

    7. http://habrahabr.ru

    8. http://www.intel.com/ru/update/contents/st08031.htm

    9. http://securitypolicy.ru

    10. http://network.xsp.ru/5_6.php


    Poznámka A.

    Poznámka B.


    Myšlenka tohoto článku vznikla, když specialisté EFSOL dostali za úkol analyzovat rizika informační bezpečnosti v restauračním byznysu a vyvíjet opatření, jak jim čelit. Jedním z významných rizik byla možnost zabavení manažerských informací a jedním z protiopatření bylo šifrování účetních databází.

    Dovolím si ihned učinit výhradu, že zvažování všech možných krypto produktů nebo řešení založených na konkrétních účetních systémech není účelem tohoto článku. Zajímá nás pouze srovnávací analýza osobních šifrovacích nástrojů, pro které jsme vybrali nejoblíbenější bezplatné a open source řešení a několik nejoblíbenějších komerčních analogů. Ať se nezkušení uživatelé neleknou slovního spojení „open source“ - znamená to pouze, že vývoj provádí skupina nadšenců, kteří jsou připraveni přijmout každého, kdo jim chce pomoci.

    Proč jsme tedy zvolili tento přístup? Motivace je velmi jednoduchá.

    1. Různé společnosti používají svůj vlastní účetní systém, proto volíme šifrovací nástroje, které nejsou vázány na konkrétní platformu – univerzální.
    2. V malých podnicích, kde s účetním programem pracuje 1-5 uživatelů, je rozumnější používat osobní kryptografickou ochranu. Pro velké společnosti bude zabavení manažerských informací znamenat větší finanční ztráty, a proto budou řešení ochrany mnohem dražší.
    3. Analyzovat mnoho produktů pro šifrování komerčních informací je zbytečné: stačí vyhodnotit několik z nich, abyste pochopili cenu a funkčnost.

    Přejděme k porovnávání produktů, které lze pohodlně provést na základě kontingenční tabulky. Záměrně jsem do analýzy nezahrnul mnoho technických detailů (jako je podpora hardwarové akcelerace nebo multi-threading, více logických či fyzických procesorů), ze kterých by běžného uživatele bolela hlava. Zaměřme se pouze na funkcionalitu, ze které můžeme skutečně vyzdvihnout výhody.

    Kontingenční tabulka
    TrueCrypt Tajný disk Zecurion Zdisk
    Nejnovější verze v době recenze 7.1a 4 Žádná data
    Cena Zdarma Od 4 240 rublů. pro 1 počítač Od 5250 rublů. pro 1 počítač
    operační systém Windows 7, Windows Vista, Windows XP, Windows Server 2003, Windows Server 2008: (32 a 64bitové verze);
    Windows Server 2008 R2;
    Windows 2000 SP4;

    Mac OS X 10.7 Lion (32bitový a 64bitový);
    Mac OS X 10.6 Snow Leopard; Mac OS X 10.5 Leopard;
    Mac OS X 10.4 Tiger;

    Linux (32bitový a 64bitový, jádro 2.6 nebo kompatibilní)

    		 Windows 7, Windows Vista, Windows XP: (32 a 64bitové verze) Windows 98;
    Windows Me;
    Windows NT Workstation;
    Windows 2000 Professional;
    Windows XP;
    Windows Vista
    Vestavěné šifrovací algoritmy AES
    Had
    Dvě ryby    		 Ne Ne
    Používání poskytovatelů krypto služeb (poskytovatelé krypto služeb) Ne Microsoft Enhanced CSP: Triple DES a RC2;
    Secret Disk NG Crypto Pack: AES a Twofish;
    CryptoPro CSP, Signal-COM CSP nebo Vipnet CSP: GOST 28147-89    		 RC5,
    AES
    KRYPTON CSP: GOST 28147-89
    Režim šifrování XTS Ano Ne Ne
    Kaskádové šifrování AES-Dvouryba-Serpent;
    Serpent-AES;
    Serpent-Twofish-AES;
    Dvě ryby-had    		 Ne Ne
    Transparentní šifrování Ano Ano Ano
    Šifrování systémového oddílu Ano Ano Ne
    Ověření před spuštěním Heslo Pin + token Ne
    Šifrování diskových oddílů Ano Ano Ne
    Vytváření kontejnerových souborů Ano Ano Ano
    Vytváření skrytých sekcí Ano Ne Ne
    Vytvoření skrytého OS Ano Ne Ne
    Šifrování přenosných úložných zařízení Ano Ano Ano
    Práce z přenosných úložných zařízení Ano Ne Ne
    Práce na síti Ano Ne Ano
    Režim pro více hráčů Pomocí NTFS Ano Ano
    Ověření pouze heslem Ano Ne Ne
    Ověření souboru klíče Ano Ne Ne
    Podpora tokenů a čipových karet Podporuje protokol PKCS #11 2.0 nebo vyšší USB klíč eToken PRO/32K (64K);
    USB klíč eToken PRO/72K (Java);
    Chytrá karta eToken PRO/32K (64K);
    Smart karta eToken PRO/72K (Java);
    Kombinační klíč eToken NG-FLASH
    Kombinovaný klíč eToken NG-OTP
    eToken PRO Anywhere    		 Rainbow iKey 10xx/20xx/30xx;
    ruToken;
    eToken R2/Pro
    Nouzové vypnutí šifrovaných disků Klávesové zkratky Klávesové zkratky Klávesové zkratky
    Nátlaková ochrana heslem Ne Ano Ano
    Možnost použití „Plausible Denial of Involvement“ Ano Ne Ne
    Obsah dodávky Neexistuje žádná krabicová verze – distribuce se stahuje ze stránek vývojářů USB klíč eToken PRO Anywhere s licencí k používání produktu;
    Rychlý průvodce v tištěné podobě;
    CD-ROM (distribuční sada, podrobná dokumentace, bootovací část MBR;
    Krabice na balení DVD    		 Licence;
    USB dongle a USB prodlužovací kabel;
    Disk s distribuční sadou; Dokumentace v tištěné formě;
    Čtečka/zapisovač čipových karet ACS-30S

    Podle zákonitostí žánru nezbývá než se k jednotlivým bodům vyjádřit a vyzdvihnout přednosti toho či onoho řešení. Vše je jasné s cenami produktů, stejně jako s podporovanými operačními systémy. Uvedu pouze skutečnost, že verze TrueCrypt pro MacOS a Linux mají své vlastní nuance použití a instalace na serverové platformy od společnosti Microsoft, přestože poskytuje určité výhody, není zcela schopna nahradit obrovskou funkčnost komerčních systémů ochrany dat v firemní síť. Připomínám, že stále zvažujeme osobní kryptografickou ochranu.

    Vestavěné algoritmy, poskytovatelé kryptoměn, XTS a kaskádové šifrování

    Poskytovatelé kryptoměn, na rozdíl od vestavěných šifrovacích algoritmů, jsou samostatně zásuvné moduly, které určují metodu kódování (dekódování), kterou program používá. Proč komerční řešení využívají balíčky poskytovatelů kryptoměn? Odpovědi jsou jednoduché, ale finančně opodstatněné.

    1. Není třeba provádět změny v programu pro přidání určitých algoritmů (platit programátory) - stačí vytvořit nový modul nebo připojit řešení od vývojářů třetích stran.
    2. Mezinárodní standardy jsou vyvíjeny, testovány a implementovány po celém světě, ale pro ruské vládní agentury je nutné splnit požadavky FSTEC a FSB. Tyto požadavky zahrnují licencování pro vytváření a distribuci nástrojů pro bezpečnost informací.
    3. Nástroje pro šifrování dat poskytují poskytovatelé kryptoměn a samotné programy nevyžadují certifikaci pro vývoj a distribuci.

    Kaskádové šifrování je schopnost kódovat informace pomocí jednoho algoritmu, pokud již byly zakódovány jiným. Tento přístup, i když zpomaluje práci, umožňuje zvýšit odolnost chráněných dat proti hackování - čím více „oponent“ ví o metodách šifrování (například použitý algoritmus nebo znaková sada klíče), tím snazší je aby prozradil informace.

    Technologie šifrování XTS (režim Tweaked CodeBook (TCB) založený na XEX s CipherText Stealing (CTS)) je logickým vývojem předchozích metod blokového šifrování XEX a LRW, při jejichž používání byly objeveny zranitelnosti. Vzhledem k tomu, že operace čtení/zápisu na paměťových médiích se provádějí sektor po sektoru v blocích, je použití metod kódování streamingu nepřijatelné. Dne 19. prosince 2007 byla tedy metoda šifrování XTS-AES pro algoritmus AES popsána a doporučena mezinárodním standardem pro ochranu uložených informací IEEE P1619.

    Tento režim používá dva klíče, z nichž první se používá ke generování inicializačního vektoru a druhý šifruje data. Metoda funguje podle následujícího algoritmu:

    1. generuje vektor zašifrováním čísla sektoru prvním klíčem;
    2. přidá vektor k původní informaci;
    3. zašifruje výsledek přidání druhým klíčem;
    4. přidá vektor s výsledkem šifrování;
    5. násobí vektor generujícím polynomem konečného pole.

    Národní institut pro standardy a technologie doporučuje použití režimu XTS pro šifrování dat na zařízeních s blokovou vnitřní strukturou, protože:

    • popsané mezinárodním standardem;
    • má vysoký výkon díky předběžným výpočtům a paralelizaci;
    • umožňuje zpracovat libovolný sektorový blok výpočtem inicializačního vektoru.

    Poznamenávám také, že IEEE P1619 doporučuje používat metodu XTS se šifrovacím algoritmem AES, ale architektura režimu umožňuje použití ve spojení s jakoukoli jinou blokovou šifrou. Pokud je tedy nutné certifikovat zařízení, které implementuje transparentní šifrování v souladu s požadavky ruské legislativy, je možné použít XTS a GOST 28147-89 společně.

    Nouzové vypnutí disků, zadání hesla „pod nátlakem“, odmítnutí zapojení

    Nouzové vypnutí šifrovaných disků je nepopiratelně nezbytnou funkcí v situacích, které vyžadují okamžitou reakci na ochranu informací. Ale co bude dál? „Protivník“ vidí systém, na kterém je nainstalována kryptografická ochrana, a disk, který není čitelný systémovými nástroji. Závěr o zatajování informací je zřejmý.

    Začíná fáze „nátlaku“. „Oponent“ použije fyzickou nebo právní sílu, aby přinutil vlastníka zveřejnit informace. Tuzemské zavedené řešení „zadání hesla pod nátlakem“ z kategorie „umřu, ale nedám to“ přestává být relevantní. Není možné smazat informace, které „oponent“ dříve zkopíroval, ale udělá to - o tom nepochybujte. Odstranění šifrovacího klíče jen potvrzuje, že informace jsou opravdu důležité a náhradní klíč je určitě někde ukryt. A i bez klíče jsou informace stále dostupné pro kryptoanalýzu a hackování. Nebudu zabíhat do toho, jak moc tyto akce přibližují vlastníka informací právnímu fiasku, ale řeknu vám o logické metodě věrohodného popření účasti.

    Použití skrytých oddílů a skrytého OS neumožní „oponentovi“ prokázat existenci chráněných informací. V tomto světle se požadavky na zveřejnění informací stávají absurdními. Vývojáři TrueCrypt doporučují dále zamlžovat stopy: kromě skrytých oddílů nebo operačních systémů vytvořte zašifrované viditelné, které obsahují podvodná (fiktivní) data. „Protivník“, který objevil viditelné zašifrované části, bude trvat na jejich odhalení. Prozrazením takové informace pod nátlakem majitel nic neriskuje a sebere podezření ze sebe, protože skutečná tajemství zůstanou na skrytých zašifrovaných úsecích neviditelná.

    Shrnutí

    V ochraně informací existuje mnoho nuancí, ale to, co bylo pokryto, by mělo stačit k dosažení průběžných výsledků - konečné rozhodnutí učiní každý sám. Mezi výhody bezplatného programu TrueCrypt patří jeho funkčnost; příležitost pro každého účastnit se testování a zlepšování; Nadměrné množství otevřených informací o provozu aplikace. Toto řešení bylo vytvořeno lidmi, kteří toho hodně vědí o bezpečném ukládání informací a neustále zlepšují svůj produkt, pro lidi, kteří si cení skutečně vysoké úrovně spolehlivosti. Mezi nevýhody patří nedostatečná podpora, vysoká složitost pro běžného uživatele, chybějící dvouúrovňová autentizace před spuštěním OS a nemožnost připojit moduly od poskytovatelů kryptoměn třetích stran.

    Komerční produkty jsou plné péče o uživatele: technická podpora, vynikající vybavení, nízká cena, dostupnost certifikovaných verzí, možnost používat algoritmus GOST 28147-89, režim pro více uživatelů s diferencovanou dvouúrovňovou autentizací. Jediným zklamáním je omezená funkčnost a naivita při zachování utajení šifrovaných datových úložišť.

    Aktualizováno: červen 2015.

    Navzdory tomu, že TrueCrypt verze 7.1a byla vydána 7. února 2011, zůstává poslední plnohodnotnou funkční verzí produktu.

    Záhadný příběh kolem zastavení vývoje TrueCrypt je kuriózní. 28. května 2014 byly všechny předchozí verze produktu odstraněny z webových stránek vývojářů a byla vydána verze 7.2. Tato verze dokáže dešifrovat pouze dříve zašifrované disky a kontejnery – funkce šifrování byla odstraněna. Od tohoto okamžiku web a program vyžadují použití nástroje BitLocker a použití TrueCrypt se nazývá nebezpečné.

    To vyvolalo na internetu vlnu drbů: autoři programu byli podezřelí z instalace „záložky“ do kódu. Na základě informací od bývalého zaměstnance NSA Snowdena, že zpravodajské agentury záměrně oslabují kryptografii, začali uživatelé získávat finanční prostředky na provedení auditu kódu TrueCrypt. Na testování programu bylo vybráno více než 60 000 dolarů.

    Audit byl plně dokončen v dubnu 2015. Analýza kódu neodhalila žádné chyby, kritické architektonické chyby nebo zranitelnosti. TrueCrypt se ukázal jako dobře navržený kryptografický nástroj, i když ne dokonalý.

    Nyní je rada vývojářů přejít na Bitlocker mnohými považována za „důkaz kanárka“. Autoři TrueCryptu se vždy Bitlockeru a jeho bezpečnosti především vysmívali. Používání Bitlockeru je také nerozumné kvůli uzavřenosti programového kódu a jeho nepřístupnosti v „malé“ edici Windows. Kvůli všemu výše uvedenému má internetová komunita tendenci věřit, že vývojáři jsou ovlivňováni zpravodajskými agenturami a svým mlčením naznačují něco důležitého a nepoctivě doporučují Bitlocker.

    Pojďme si to znovu shrnout

    TrueCrypt je i nadále nejvýkonnějším, nejbezpečnějším a na funkce bohatým dostupným kryptografickým nástrojem. Audit i tlak zpravodajských služeb to jen potvrzují.

    Zdisk a Secret Disk mají verze certifikované FSTEC. Proto má smysl používat tyto produkty pro splnění požadavků legislativy Ruské federace v oblasti ochrany informací, například ochrany osobních údajů, jak vyžaduje federální zákon 152-FZ a předpisy podřízené to.



    Pro ty, kteří se vážně zajímají o informační bezpečnost, existuje komplexní řešení „Server v Izraeli“, ve kterém komplexní přístup k ochraně dat podniky.

    Systémová integrace. Poradenství

    Přečtěte si více: