• Криптографические средства защиты. Средства криптографической защиты информации: виды и применение Механизмы скзи для информационной защиты


    Органом, осуществляющим регулирование и контроль в сфере криптографии, является Федеральная служба безопасности (ФСБ России). Она вправе:

    • осуществлять в соответствии со своей компетенцией регулирование в области разработки, производства, реализации, эксплуатации шифровальных (криптографических) средств и защищенных с использованием шифровальных средств систем и комплексов телекоммуникаций, расположенных на территории Российской Федерации, а также в области предоставления услуг по шифрованию информации в Российской Федерации, выявления электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах;
    • осуществлять государственный контроль за организацией и функционированием криптографической и инженерно-технической безопасности информационно-телекоммуникационных систем, сетей связи специального назначения и иных сетей связи, обеспечивающих передачу информации с использованием шифров, контроль за соблюдением режима секретности при обращении с шифрованной информацией в шифровальных подразделениях государственных органов и организаций на территории Российской Федерации и в ее учреждениях, находящихся за пределами Российской Федерации, а также в соответствии со своей компетенцией контроль за обеспечением защиты особо важных объектов (помещений) и находящихся в них технических средств от утечки информации по техническим каналам;
    • разрабатывать, создавать и эксплуатировать информационные системы, системы связи и системы передачи данных, а также средства защиты информации, включая средства криптографической защиты.

    Положение о ввозе на таможенную территорию Евразийского экономического союза и вывозе с таможенной территории Евразийского экономического союза шифровальных (криптографических) средств утверждено Решением Коллегии Евразийской экономической комиссии. Им установлено, что товары имеют функции шифрования (криптографии), если они реализуют или содержат в своем составе следующие средства:

    а) средства шифрования (аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации от несанкционированного доступа при ее передаче по каналам связи и (или) при ее обработке и хранении);

    б) средства имитозащиты (аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты от навязывания ложной информации);

    в) средства электронной цифровой подписи (электронной подписи), определяемые в соответствии с законодательством государств — членов Союза (далее — государства-члены);

    г) аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации с выполнением части такого преобразования путем ручных операций или с использованием автоматизированных средств на основе таких операций;

    д) аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для изготовления ключевых документов (независимо от вида носителя ключевой информации);

    е) аппаратные, программные и аппаратно-программные средства, системы и комплексы, разработанные или модифицированные для выполнения криптоаналитических функций;

    ж) аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации, разработанные или модифицированные для применения криптографических методов генерации расширяющегося кода для систем с расширяющимся спектром, включая скачкообразную перестройку кодов для систем со скачкообразной перестройкой частоты;

    з) аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации, разработанные или модифицированные для применения криптографических методов формирования каналов или засекречивающих кодов для модулированных по времени сверхширокополосных систем.

    Ввоз и (или) вывоз шифровальных (криптографических) средств осуществляются при наличии сведений о включении соответствующей нотификации в единый реестр нотификаций (далее — сведения о нотификации) либо при наличии лицензии . Для помещения товара под таможенные режимы, отличные от выпуска для внутреннего потребления и экспорта, а также при ввозе в целях обеспечения собственных нужд без права их распространения и оказания третьим лицам услуг в области шифрования, вместо лицензии может представляться заключение уполномоченного органа (в России это Центр по лицензированию, сертификации и защите государственной тайны ФСБ России, ЦЛСЗ ФСБ России). Не требуется представление лицензии, заключения (разрешительного документа) или сведений о нотификации при помещении под таможенные процедуры выпуска для внутреннего потребления или экспорта операторами сотовой связи образцов тестовых сим-карт в целях международного обмена в количестве не более 20 штук.

    Для оформления лицензии в уполномоченный орган (Минпромторг России) представляются следующие документы и сведения:

    1. заявление о выдаче лицензии и его электронная копия;
    2. копия внешнеторгового договора (контракта), приложения и (или) дополнения к нему (для разовой лицензии), а в случае отсутствия внешнеторгового договора (контракта) — копия иного документа, подтверждающего намерения сторон;
    3. сведения о постановке заявителя на учет в налоговом органе или о государственной регистрации;
    4. сведения о наличии лицензии на осуществление лицензируемого вида деятельности на территории России;
    5. заключение (разрешительный документ) ЦЛСЗ ФСБ России;
    6. уведомление заявителя об отсутствии в составе ввозимых шифровальных (криптографических) средств радиоэлектронных средств и (или) высокочастотных устройств гражданского назначения (для их ввоза предусмотрена иная процедура).

    Выдача лицензии или отказ в ее выдаче осуществляются уполномоченным органом в течение 15 рабочих дней с даты подачи документов.

    Заключение (разрешительный документ) выдается при представлении в согласующий орган следующих документов:

    а) проект заключения (разрешительного документа), оформленный в соответствии с методическими указаниями по заполнению единой формы заключения (разрешительного документа) на ввоз, вывоз и транзит отдельных товаров, включенных в Единый перечень товаров, к которым применяются запреты или ограничения на ввоз или вывоз государствами — членами Таможенного союза в рамках Евразийского экономического сообщества в торговле с третьими странами, утвержденными Решением Коллегии Евразийской экономической комиссии;

    б) техническая документация на шифровальное (криптографическое) средство (представление исходных кодов не является обязательным, отказ заявителя в представлении исходных кодов не является основанием для отказа в выдаче заключения (разрешительного документа)).

    Нотификация (разовое уведомление, направляемое производителем или импортером для включения в единый реестр, и являющееся основанием для последующего ввоза и вывоза товаров) допускается в отношении следующих шифровальных средств:

    1. Товары, содержащие в своем составе шифровальные (криптографические) средства, имеющие любую из следующих составляющих:

    1) симметричный криптографический алгоритм, использующий криптографический ключ длиной, не превышающей 56 бит;

    2) асимметричный криптографический алгоритм, основанный на любом из следующих методов:

    • разложение на множители целых чисел, размер которых не превышает 512 бит;
    • вычисление дискретных логарифмов в мультипликативной группе конечного поля, размер которого не превышает 512 бит;
    • дискретный логарифм в группе конечного поля, отличного от поля, указанного в абзаце третьем настоящего подпункта, размер которого не превышает 112 бит.

    Примечания:

    1. Биты четности не включаются в длину ключа.

    2. Термин «криптография» не относится к фиксированным методам сжатия или кодирования данных.

    2. Товары, содержащие шифровальные (криптографические) средства, обладающие следующими ограниченными функциями:

    1) аутентификация, включающая в себя все аспекты контроля доступа, где нет шифрования файлов или текстов, за исключением шифрования, которое непосредственно связано с защитой паролей, персональных идентификационных номеров или подобных данных для защиты от несанкционированного доступа;

    2) электронная цифровая подпись (электронная подпись).

    Примечание. Функции аутентификации и электронной цифровой подписи (электронной подписи) включают в себя связанную с ними функцию распределения ключей.

    3. Шифровальные (криптографические) средства, являющиеся компонентами программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т. д.) на которые является доступной пользователю.

    4. Персональные смарт-карты (интеллектуальные карты):

    1) криптографические возможности которых ограничены их использованием в категориях товаров (продукции), указанных в пунктах 5 — 8 настоящего перечня;

    2) для широкого общедоступного применения, криптографические возможности которых недоступны пользователю и которые в результате специальной разработки имеют ограниченные возможности защиты хранящейся на них персональной информации.

    Примечание. Если персональная смарт-карта (интеллектуальная карта) может осуществлять несколько функций, контрольный статус каждой из функций определяется отдельно.

    5. Приемная аппаратура для радиовещания, коммерческого телевидения или аналогичная коммерческая аппаратура для вещания на ограниченную аудиторию без шифрования цифрового сигнала, кроме случаев использования шифрования исключительно для управления видео- или аудиоканалами, отправки счетов или возврата связанной с программой информации провайдерам вещания.

    6. Оборудование, криптографические возможности которого недоступны пользователю, специально разработанное и ограниченное для применения любым из следующих способов:

    1) программное обеспечение исполнено в защищенном от копирования виде;

    2) доступом к любому из следующего:

    • защищенному от копирования содержимому, хранящемуся только на доступном для чтения электронном носителе информации;
    • информации, хранящейся в зашифрованной форме на электронных носителях информации, которые предлагаются на продажу населению в идентичных наборах;

    3) контроль копирования аудио- и видеоинформации, защищенной авторскими правами.

    7. Шифровальное (криптографическое) оборудование, специально разработанное и ограниченное применением для банковских или финансовых операций.

    Примечание. Финансовые операции включают в себя, в том числе, сборы и оплату за транспортные услуги и кредитование.

    8. Портативные или мобильные радиоэлектронные средства гражданского назначения (например, для использования в коммерческих гражданских системах сотовой радиосвязи), которые не способны к сквозному шифрованию (от абонента до абонента).

    9. Беспроводное радиоэлектронное оборудование, осуществляющее шифрование информации только в радиоканале с максимальной дальностью беспроводного действия без усиления и ретрансляции менее 400 м в соответствии с техническими условиями производителя.

    10. Шифровальные (криптографические) средства, используемые для защиты технологических каналов информационно-телекоммуникационных систем и сетей связи.

    11. Товары, криптографическая функция которых заблокирована производителем.

    12. Иные товары, которые содержат шифровальные (криптографические) средства, отличные от указанных в пунктах 1 — 11 настоящего перечня, и соответствуют следующим критериям:

    1) общедоступны для продажи населению в соответствии с законодательством государства — члена Евразийского экономического союза без ограничений из имеющегося в наличии ассортимента в местах розничной продажи посредством любого из следующего:

    • продажи за наличные;
    • продажи путем заказа товаров по почте;
    • электронных сделок;
    • продажи по телефонным заказам;

    2) шифровальные (криптографические) функциональные возможности которых не могут быть изменены пользователем простым способом;

    3) разработаны для установки пользователем без дальнейшей существенной поддержки поставщиком;

    4) техническая документация, подтверждающая, что товары соответствуют требованиям подпунктов 1 — 3 настоящего пункта, размещена изготовителем в свободном доступе и представляется при необходимости изготовителем (лицом, им уполномоченным) согласующему органу по его запросу.

    Деятельность в области криптографии на территории России

    В соответствии с Федеральным законом «О лицензировании отдельных видов деятельности», практически все виды деятельности в области криптографии подлежат лицензированию.

    Из-под лицензирования выведены:

    1. техническое обслуживание шифровальных средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных средств, которое осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя;

    2. деятельность с использованием:

    а) шифровальных (криптографических) средств, предназначенных для защиты информации, содержащей сведения, составляющие государственную тайну (в данном случае лицензирование осуществляется в рамках законодательства о государственной тайне);

    б) шифровальных (криптографических) средств, а также товаров, содержащих шифровальные (криптографические) средства, реализующих либо симметричный криптографический алгоритм, использующий криптографический ключ длиной, не превышающей 56 бит, либо асимметричный криптографический алгоритм, основанный либо на методе разложения на множители целых чисел, размер которых не превышает 512 бит, либо на методе вычисления дискретных логарифмов в мультипликативной группе конечного поля размера, не превышающего 512 бит, либо на методе вычисления дискретных логарифмов в иной группе размера, не превышающего 112 бит;

    в) товаров, содержащих шифровальные (криптографические) средства, имеющих либо функцию аутентификации, включающей в себя все аспекты контроля доступа, где нет шифрования файлов или текстов, за исключением шифрования, которое непосредственно связано с защитой паролей, персональных идентификационных номеров или подобных данных для защиты от несанкционированного доступа, либо имеющих электронную подпись;

    г) шифровальных (криптографических) средств, являющихся компонентами программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т.д.) на которые является доступной;

    д) персональных смарт-карт (интеллектуальных карт), криптографические возможности которых ограничены использованием в оборудовании или системах, указанных в подпунктах «е» — «и» настоящего пункта, или персональных смарт-карт (интеллектуальных карт) для широкого общедоступного применения, криптографические возможности которых недоступны пользователю и которые в результате специальной разработки имеют ограниченные возможности защиты хранящейся на них персональной информации;

    е) приемной аппаратуры для радиовещания, коммерческого телевидения или аналогичной коммерческой аппаратуры для вещания на ограниченную аудиторию без шифрования цифрового сигнала, кроме случаев использования шифрования исключительно для управления видео- или аудиоканалами и отправки счетов или возврата информации, связанной с программой, провайдерам вещания;

    ж) оборудования, криптографические возможности которого недоступны пользователю, специально разработанного и ограниченного для осуществления следующих функций:

    • исполнение программного обеспечения в защищенном от копирования виде;
    • обеспечение доступа к защищенному от копирования содержимому, хранящемуся только на доступном для чтения носителе информации, либо доступа к информации, хранящейся в зашифрованной форме на носителях, когда эти носители информации предлагаются на продажу населению в идентичных наборах;
    • контроль копирования аудио- и видеоинформации, защищенной авторскими правами;

    з) шифровального (криптографического) оборудования, специально разработанного и ограниченного применением для банковских или финансовых операций в составе терминалов единичной продажи (банкоматов), POS-терминалов и терминалов оплаты различного вида услуг, криптографические возможности которых не могут быть изменены пользователями;

    и) портативных или мобильных радиоэлектронных средств гражданского назначения (например, для использования в коммерческих гражданских системах сотовой радиосвязи), которые не способны к сквозному шифрованию (то есть от абонента к абоненту);

    к) беспроводного оборудования, осуществляющего шифрование информации только в радиоканале с максимальной дальностью беспроводного действия без усиления и ретрансляции менее 400 м в соответствии с техническими условиями производителя (за исключением оборудования, используемого на критически важных объектах);

    л) шифровальных (криптографических) средств, используемых для защиты технологических каналов информационно-телекоммуникационных систем и сетей связи, не относящихся к критически важным объектам;

    м) товаров, у которых криптографическая функция гарантированно заблокирована производителем.

    К шифровальным (криптографическим) средствам (средствам криптографической защиты информации), включая документацию на эти средства, относятся :

    а) средства шифрования — аппаратные, программные и программно-аппаратные шифровальные (криптографические) средства, реализующие алгоритмы криптографического преобразования информации для ограничения доступа к ней, в том числе при ее хранении, обработке и передаче;

    б) средства имитозащиты — аппаратные, программные и программно-аппаратные шифровальные (криптографические) средства (за исключением средств шифрования), реализующие алгоритмы криптографического преобразования информации для ее защиты от навязывания ложной информации, в том числе защиты от модифицирования, для обеспечения ее достоверности и некорректируемости, а также обеспечения возможности выявления изменений, имитации, фальсификации или модифицирования информации;

    в) средства электронной подписи;

    г) средства кодирования — средства шифрования, в которых часть криптографических преобразований информации осуществляется с использованием ручных операций или с использованием автоматизированных средств, предназначенных для выполнения таких операций;

    д) средства изготовления ключевых документов — аппаратные, программные, программно-аппаратные шифровальные (криптографические) средства, обеспечивающие возможность изготовления ключевых документов для шифровальных (криптографических) средств, не входящие в состав этих шифровальных (криптографических) средств;

    е) ключевые документы — электронные документы на любых носителях информации, а также документы на бумажных носителях, содержащие ключевую информацию ограниченного доступа для криптографического преобразования информации с использованием алгоритмов криптографического преобразования информации (криптографический ключ) в шифровальных (криптографических) средствах;

    ж) аппаратные шифровальные (криптографические) средства — устройства и их компоненты, в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации без использования программ для электронных вычислительных машин;

    з) программные шифровальные (криптографические) средства — программы для электронных вычислительных машин и их части, в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации в программно-аппаратных шифровальных (криптографических) средствах, информационных системах и телекоммуникационных системах, защищенных с использованием шифровальных (криптографических) средств;

    и) программно-аппаратные шифровальные (криптографические) средства — устройства и их компоненты (за исключением информационных систем и телекоммуникационных систем), в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации с использованием программ для электронных вычислительных машин, предназначенных для осуществления этих преобразований информации или их части.

    Лицензирование деятельности, определенной настоящим Положением, осуществляется ФСБ России (далее — лицензирующий орган).

    Основными лицензионными требованиями являются:

    а) наличие условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, составляющих лицензируемую деятельность, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом «Об информации, информационных технологиях и о защите информации»;

    б) наличие у соискателя лицензии (лицензиата) допуска к выполнению работ и оказанию услуг, связанных с использованием сведений, составляющих государственную тайну (если допуск к государственной тайне необходим для планируемых видов работ и услуг, например, при разработке криптосредств);

    в) наличие в штате у соискателя лицензии (лицензиата) квалифицированного персонала, требования к опыту работы и образованию которых также варьируются в зависимости от планируемого заявителем вида деятельности. Так, для продажи криптосредств требуются работники, имеющие высшее или среднее профессиональное образование по направлению подготовки «Информационная безопасность» в соответствии с Общероссийским классификатором специальностей и (или) прошедшие переподготовку по одной из специальностей этого направления (нормативный срок — свыше 100 аудиторных часов). Для разработки криптосредств, напротив, требуются работники, имеющие высшее профессиональное образование по направлению подготовки «Информационная безопасность» в соответствии с Общероссийским классификатором специальностей и (или) прошедшие переподготовку по одной из специальностей этого направления (нормативный срок — свыше 1000 аудиторных часов), а также имеющие стаж в области выполняемых работ в рамках лицензируемой деятельности не менее 5 лет.

    г) представление соискателем лицензии (лицензиатом) в лицензирующий орган перечня шифровальных (криптографических) средств, в том числе иностранного производства, не имеющих сертификата Федеральной службы безопасности Российской Федерации, технической документации, определяющей состав, характеристики и условия эксплуатации этих средств, и (или) образцов шифровальных (криптографических) средств.

    Криптографические средства обеспечения информационной безопасности основаны на использовании принципов шифрования данных .

    Шифрование - это обратимое преобразование информации в целях сокрытия от неавторизованных лиц, с сохранением доступа к данным для авторизованных пользователей.

    Шифрование используется:

    • для скрытия информации от неавторизованных пользователей при передаче, хранении и предотвращении изменений;
    • аутентификации источника данных и предотвращения отказа отправителя информации от факта отправки;
    • конфиденциальности передаваемой информации, т. е. ее доступности только для авторизованных пользователей, которые обладают определенным аутентичным (действительным, подлинным) ключом.

    Таким образом, с помощью шифрования обеспечиваются обязательные категории ИБ: конфиденциальность, целостность, доступность и идентифицируемость.

    Шифрование реализуется двумя процессами преобразования данных - зашифровкой и расшифровкой с использованием ключа. Согласно ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования», ключ- это конкретное секретное состояние некоторых параметров алгоритма криптографического преобразования, обеспечивающее выбор одного преобразования из совокупности всевозможных для данного алгоритма преобразований .

    Ключ шифрования - это уникальный элемент для изменения результатов работы алгоритма шифрования: одни и те же исходные данные при использовании различных ключей будут зашифрованы по- разному.

    Для расшифровки зашифрованной информации принимающей стороне необходимы ключ и дешифратор - устройство, реализующее расшифровку данных. В зависимости от количества ключей, используемых для процессов шифрования, различают два метода шифрования:

    • симметричное - использование одного и того же ключа и для зашифровки и для расшифровки данных;
    • ассиметричное - используются два разных ключа: один для зашифрования (открытый), другой для расшифрования (закрытый).

    Процедуры преобразования данных с использованием ключа представляют собой алгоритм шифрования. Наиболее популярными в настоящее время являются следующие криптостойкие алгоритмы шифрования, описанные в государственных стандартах: ГОСТ 28147-89 (Россия), AES (Advanced Encryption Standard, США) и RSA (США). Тем не менее, несмотря на высокую сложность указанных алгоритмов шифрования, любой из них может быть взломан путем перебора всех возможных вариантов ключей .

    Понятие «шифрование» является базовым для другого криптографического средства обеспечения ИБ - цифрового сертификата.

    Цифровой сертификат - это выпущенный удостоверяющим центром (центром сертификации) электронный или печатный документ, подтверждающий принадлежность владельцу открытого ключа или каких-либо атрибутов.

    Цифровой сертификат состоит из 2 ключей: публичного {public ) и частного {private ). Public -часть используется для зашифровывания трафика от клиента к серверу в защищенном соединении, ^пш^е-часть - для расшифровывания полученного от клиента зашифрованного трафика на сервере. После генерации пары public/private на основе публичного ключа формируется запрос на сертификат в Центр сертификации. В ответ центр сертификации высылает подписанный цифровой сертификат, при этом проверяя подлинность клиента - держателя сертификата.

    Центр сертификации (удостоверяющий центр, Certification authority, С А) - это сторона (отдел, организация), чья честность неоспорима, а открытый ключ широко известен. Основная задача центра сертификации состоит в подтверждении подлинности ключей шифрования с помощью цифровых сертификатов (сертификатов электронной подписи) путем:

    • предоставления услуг по удостоверению цифровых сертификатов (сертификатов электронной подписи);
    • обслуживания сертификатов открытых ключей;
    • получения и проверки информации о соответствии данных, указанных в сертификате ключа и предъявленными документами.

    Технически центр сертификации реализован как компонент глобальной службы каталогов, отвечающий за управление криптографическими ключами пользователей. Открытые ключи и другая информация о пользователях хранится удостоверяющими центрами в виде цифровых сертификатов.

    Основным средством обеспечения ИБ электронных документов в современных ИС является их защита с помощью электронной (электронной цифровой) подписи.

    Электронная подпись (ЭП) - реквизит электронного документа, полученный в результате криптографического преобразования информации с использованием закрытого ключа, позволяющий установить отсутствие искажения данных с момента формирования подписи и проверить принадлежность подписи владельцу цифрового сертификата (сертификата ключа ЭП).

    Электронная подпись предназначена для идентификации лица, подписавшего электронный документ, и является полноценной заменой (аналогом) собственноручной подписи в случаях, предусмотренных законом . Использование ЭП позволяет осуществить:

    • контроль целостности передаваемого документа: при любом случайном или преднамеренном изменении документа подпись станет недействительной, поскольку вычислена на основании исходного состояния документа и соответствует лишь ему;
    • защиту от изменений (подделки) документа благодаря гарантии выявления подделки при контроле целостности данных;
    • доказательное подтверждение авторства документа, поскольку закрытый ключ ЭП известен лишь владельцу соответствующего цифрового сертификата (могут быть подписаны поля: «автор», «внесенные изменения», «метка времени» и т. д.).

    Поскольку реализация ЭП основана на применении принципов шифрования данных, различают два варианта построения ЭП:

    • на основе алгоритмов симметричного шифрования, что предусматривает наличие в системе третьего лица (арбитра), которому доверяют обе стороны. Авторизацией документа является сам факт зашифровки его секретным ключом и передача его арбитру;
    • на основе алгоритмов асимметричного шифрования - наиболее распространенные в современных ИС: схемы, основанные на алгоритме шифрования RSA (Full Domain Hash, Probabilistic Signature Scheme, PKCS#1), Эль-Гамаля, Шнорра, Диффи-Хельмана, Pointcheval-Stem signature algorithm, вероятностная схема подписи Рабина, Boneh-Lynn- Shacham, Goldwasser-Micali-Rivest, схемы на основе аппарата эллиптических кривых ECDSA, национальные криптографические стандарты: ГОСТ Р 34.10-2012 (Россия), ДСТУ 4145-2002 (Украина), СТБ 1176.2-99 (Белоруссия), DSA (США).

    На настоящий момент главным отечественным стандартом, регламентирующим понятие ЭП является ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи».

    Как правило, реализация ЭП в ИС выполняется включением в их состав специальных модульных компонент, содержащих сертифицированные средства криптографической защиты данных: КриптоПро CSP, СигналКом CSP, Верба OW, Домен-К, Авест, Генкей и другие, сертифицированные ФАПСИ (Федеральное агентство правительственной связи и информации при Президенте Российской Федерации) и удовлетворяющие спецификации Microsoft Crypto API.

    Microsoft CryptoAPI представляет собой интерфейс программирования Windows-приложений, который содержит стандартный набор функций для работы с криптопровайдером. Входит в состав операционных систем Microsoft Windows (начиная с 2000 г.).

    CryptoAPI позволяет шифровать и расшифровывать данные, поддерживает работу с асимметричными и симметричными ключами, а также цифровыми сертификатами. Набор поддерживаемых криптографических алгоритмов зависит от конкретного криптопровайдера.

    Криптопровайдер (Cryptography Service Provider, CSP) - это независимый модуль для осуществления криптографических операций в операционных системах Microsoft под управлением функций CryptoAPI. Таким образом, крипто провайдер является посредником между операционной системой, которая может управлять им с помощью стандартных функций CryptoAPI, и исполнителем криптографических операций, например прикладной ИС или аппаратным обеспечением .

    Средства криптографической защиты информации, или сокращенно СКЗИ, используются для обеспечения всесторонней защиты данных, которые передаются по линиям связи. Для этого необходимо соблюсти авторизацию и защиту электронной подписи, аутентификацию сообщающихся сторон с использованием протоколов TLS и IPSec, а также защиту самого канала связи при необходимости.

    В России использование криптографических средств защиты информации по большей части засекречено, поэтому общедоступной информации касательно этой темы мало.

    Методы, применяемые в СКЗИ

    • Авторизация данных и обеспечение сохранности их юридической значимости при передаче или хранении. Для этого применяют алгоритмы создания электронной подписи и ее проверки в соответствии с установленным регламентом RFC 4357 и используют сертификаты по стандарту X.509.
    • Защита конфиденциальности данных и контроль их целостности. Используется асимметричное шифрование и имитозащита, то есть противодействие подмене данных. Соблюдается ГОСТ Р 34.12-2015.
    • Защита системного и прикладного ПО. Отслеживание несанкционированных изменений или неверного функционирования.
    • Управление наиболее важными элементами системы в строгом соответствии с принятым регламентом.
    • Аутентификация сторон, обменивающихся данными.
    • Защита соединения с использованием протокола TLS.
    • Защита IP-соединений при помощи протоколов IKE, ESP, AH.

    Подробным образом методы описаны в следующих документах: RFC 4357, RFC 4490, RFC 4491.

    Механизмы СКЗИ для информационной защиты

    1. Защита конфиденциальности хранимой или передаваемой информации происходит применением алгоритмов шифрования.
    2. При установлении связи идентификация обеспечивается средствами электронной подписи при их использовании во время аутентификации (по рекомендации X.509).
    3. Цифровой документооборот также защищается средствами электронной подписи совместно с защитой от навязывания или повтора, при этом осуществляется контроль достоверности ключей, используемых для проверки электронных подписей.
    4. Целостность информации обеспечивается средствами цифровой подписи.
    5. Использование функций асимметричного шифрования позволяет защитить данные. Помимо этого для проверки целостности данных могут быть использованы функции хеширования или алгоритмы имитозащиты. Однако эти способы не поддерживают определения авторства документа.
    6. Защита от повторов происходит криптографическими функциями электронной подписи для шифрования или имитозащиты. При этом к каждой сетевой сессии добавляется уникальный идентификатор, достаточно длинный, чтобы исключить его случайное совпадение, и реализуется проверка принимающей стороной.
    7. Защита от навязывания, то есть от проникновения в связь со стороны, обеспечивается средствами электронной подписи.
    8. Прочая защита - против закладок, вирусов, модификаций операционной системы и т. д. - обеспечивается с помощью различных криптографических средств, протоколов безопасности, антивирусных ПО и организационных мероприятий.

    Как можно заметить, алгоритмы электронной подписи являются основополагающей частью средства криптографической защиты информации. Они будут рассмотрены ниже.

    Требования при использовании СКЗИ

    СКЗИ нацелено на защиту (проверкой электронной подписи) открытых данных в различных информационных системах общего использования и обеспечения их конфиденциальности (проверкой электронной подписи, имитозащитой, шифрованием, проверкой хеша) в корпоративных сетях.

    Персональное средство криптографической защиты информации используется для охраны персональных данных пользователя. Однако следует особо выделить информацию, касающуюся государственной тайны. По закону СКЗИ не может быть использовано для работы с ней.

    Важно: перед установкой СКЗИ первым делом следует проверить сам пакет обеспечения СКЗИ. Это первый шаг. Как правило, целостность пакета установки проверяется путем сравнения контрольных сумм, полученных от производителя.

    После установки следует определиться с уровнем угрозы, исходя из чего можно определить необходимые для применения виды СКЗИ: программные, аппаратные и аппаратно-программные. Также следует учитывать, что при организации некоторых СКЗИ необходимо учитывать размещение системы.

    Классы защиты

    Согласно приказу ФСБ России от 10.07.14 под номером 378, регламентирующему применение криптографических средств защиты информации и персональных данных, определены шесть классов: КС1, КС2, КС3, КВ1, КВ2, КА1. Класс защиты для той или иной системы определяется из анализа данных о модели нарушителя, то есть из оценки возможных способов взлома системы. Защита при этом строится из программных и аппаратных средств криптографической защиты информации.

    АУ (актуальные угрозы), как видно из таблицы, бывают 3 типов:

    1. Угрозы первого типа связаны с недокументированными возможностями в системном ПО, используемом в информационной системе.
    2. Угрозы второго типа связаны с недокументированными возможностями в прикладном ПО, используемом в информационной системе.
    3. Угрозой третьего типа называются все остальные.

    Недокументированные возможности - это функции и свойства программного обеспечения, которые не описаны в официальной документации или не соответствуют ей. То есть их использование может повышать риск нарушения конфиденциальности или целостности информации.

    Для ясности рассмотрим модели нарушителей, для перехвата которых нужен тот или иной класс средств криптографической защиты информации:

    • КС1 - нарушитель действует извне, без помощников внутри системы.
    • КС2 - внутренний нарушитель, но не имеющий доступа к СКЗИ.
    • КС3 - внутренний нарушитель, который является пользователем СКЗИ.
    • КВ1 - нарушитель, который привлекает сторонние ресурсы, например специалистов по СКЗИ.
    • КВ2 - нарушитель, за действиями которого стоит институт или лаборатория, работающая в области изучения и разработки СКЗИ.
    • КА1 - специальные службы государств.

    Таким образом, КС1 можно назвать базовым классом защиты. Соответственно, чем выше класс защиты, тем меньше специалистов, способных его обеспечивать. Например, в России, по данным за 2013 год, существовало всего 6 организаций, имеющих сертификат от ФСБ и способных обеспечивать защиту класса КА1.

    Используемые алгоритмы

    Рассмотрим основные алгоритмы, используемые в средствах криптографической защиты информации:

    • ГОСТ Р 34.10-2001 и обновленный ГОСТ Р 34.10-2012 - алгоритмы создания и проверки электронной подписи.
    • ГОСТ Р 34.11-94 и последний ГОСТ Р 34.11-2012 - алгоритмы создания хеш-функций.
    • ГОСТ 28147-89 и более новый ГОСТ Р 34.12-2015 - реализация алгоритмов шифрования и имитозащиты данных.
    • Дополнительные криптографические алгоритмы находятся в документе RFC 4357.

    Электронная подпись

    Применение средства криптографической защиты информации невозможно представить без использования алгоритмов электронной подписи, которые набирают все большую популярность.

    Электронная подпись - это специальная часть документа, созданная криптографическими преобразованиями. Ее основной задачей являются выявление несанкционированного изменения и определение авторства.

    Сертификат электронной подписи - это отдельный документ, который доказывает подлинность и принадлежность электронной подписи своему владельцу по открытому ключу. Выдача сертификата происходит удостоверяющими центрами.

    Владелец сертификата электронной подписи - это лицо, на имя которого регистрируется сертификат. Он связан с двумя ключами: открытым и закрытым. Закрытый ключ позволяет создать электронную подпись. Открытый ключ предназначен для проверки подлинности подписи благодаря криптографической связи с закрытым ключом.

    Виды электронной подписи

    По Федеральному закону № 63 электронная подпись делится на 3 вида:

    • обычная электронная подпись;
    • неквалифицированная электронная подпись;
    • квалифицированная электронная подпись.

    Простая ЭП создается за счет паролей, наложенных на открытие и просмотр данных, или подобных средств, косвенно подтверждающих владельца.

    Неквалифицированная ЭП создается с помощью криптографических преобразований данных при помощи закрытого ключа. Благодаря этому можно подтвердить лицо, подписавшее документ, и установить факт внесения в данные несанкционированных изменений.

    Квалифицированная и неквалифицированная подписи отличаются только тем, что в первом случае сертификат на ЭП должен быть выдан сертифицированным ФСБ удостоверяющим центром.

    Область использования электронной подписи

    В таблице ниже рассмотрены сферы применения ЭП.

    Активнее всего технологии ЭП применяются в обмене документами. Во внутреннем документообороте ЭП выступает в роли утверждения документов, то есть как личная подпись или печать. В случае внешнего документооборота наличие ЭП критично, так как является юридическим подтверждением. Стоит также отметить, что документы, подписанные ЭП, способны храниться бесконечно долго и не утрачивать своей юридической значимости из-за таких факторов, как стирающиеся подписи, испорченная бумага и т. д.

    Отчетность перед контролирующими органами - это еще одна сфера, в которой наращивается электронный документооборот. Многие компании и организации уже оценили удобство работы в таком формате.

    По закону Российской Федерации каждый гражданин вправе пользоваться ЭП при использовании госуслуг (например, подписание электронного заявления для органов власти).

    Онлайн-торги - еще одна интересная сфера, в которой активно применяется электронная подпись. Она является подтверждением того факта, что в торгах участвует реальный человек и его предложения могут рассматриваться как достоверные. Также важным является то, что любой заключенный контракт при помощи ЭП приобретает юридическую силу.

    Алгоритмы электронной подписи

    • Full Domain Hash (FDH) и Public Key Cryptography Standards (PKCS). Последнее представляет собой целую группу стандартных алгоритмов для различных ситуаций.
    • DSA и ECDSA - стандарты создания электронной подписи в США.
    • ГОСТ Р 34.10-2012 - стандарт создания ЭП в РФ. Данный стандарт заменил собой ГОСТ Р 34.10-2001, действие которого официально прекратилось после 31 декабря 2017 года.
    • Евразийский союз пользуется стандартами, полностью аналогичными российским.
    • СТБ 34.101.45-2013 - белорусский стандарт для цифровой электронной подписи.
    • ДСТУ 4145-2002 - стандарт создания электронной подписи в Украине и множество других.

    Стоит также отметить, что алгоритмы создания ЭП имеют различные назначения и цели:

    • Групповая электронная подпись.
    • Одноразовая цифровая подпись.
    • Доверенная ЭП.
    • Квалифицированная и неквалифицированная подпись и пр.

    Криптографические средства - это специальные математические и алгоритмические средства защиты информации, передаваемой по системам и сетям связи, хранимой и обрабатываемой на ЭВМ с использованием разнообразных методов шифрования.
    Техническая защита информации путем ее преобразования, исключающего ее прочтение посторонними лицами, волновала человека с давних времен. Криптография должна обеспечивать такой уровень секретности, чтобы можно было надежно защитить критическую информацию от расшифровки крупными организациями - такими, как мафия, транснациональные корпорации и крупные государства. Криптография в прошлом использовалась лишь в военных целях. Однако сейчас, со становлением информационного общества, она становится инструментом для обеспечения конфиденциальности, доверия, авторизации, электронных платежей, корпоративной безопасности и бесчисленного множества других важных вещей. Почему проблема использования криптографических методов стала в настоящий момент особо актуальна?
    С одной стороны, расширилось использование компьютерных сетей, в частности глобальной сети Интернет, по которым передаются большие объемы информации государственного, военного, коммерческого и частного характера, не допускающего возможность доступа к ней посторонних лиц.
    С другой стороны, появление новых мощных компьютеров, технологий сетевых и нейронных вычислений сделало возможным дискредитацию криптографических систем, еще недавно считавшихся практически не раскрываемыми.
    Проблемой защиты информации путем ее преобразования занимается криптология (kryptos - тайный, logos - наука). Криптология разделяется на два направления - криптографию и криптоанализ. Цели этих направлений прямо противоположны.
    Криптография занимается поиском и исследованием математических методов преобразования информации.
    Сфера интересов криптоанализа - исследование возможности расшифровывания информации без знания ключей.
    Современная криптография включает в себя 4 крупных раздела.



    · Симметричные криптосистемы.

    · Криптосистемы с открытым ключом.

    · Системы электронной подписи.

    · Управление ключами.

    Основные направления использования криптографических методов - передача конфиденциальной информации по каналам связи (например, электронная почта), установление подлинности передаваемых сообщений, хранение информации (документов, баз данных) на носителях в зашифрованном виде.


    Терминология.
    Криптография дает возможность преобразовать информацию таким образом, что ее прочтение (восстановление) возможно только при знании ключа.
    В качестве информации, подлежащей шифрованию и дешифрованию, будут рассматриваться тексты, построенные на некотором алфавите. Под этими терминами понимается следующее.
    Алфавит - конечное множество используемых для кодирования информации знаков.
    Текст - упорядоченный набор из элементов алфавита.
    Шифрование - преобразовательный процесс: исходный текст, который носит также название открытого текста, заменяется шифрованным текстом.
    Дешифрование - обратный шифрованию процесс. На основе ключа шифрованный текст преобразуется в исходный.
    Ключ - информация, необходимая для беспрепятственного шифрования и дешифрования текстов.
    Криптографическая система представляет собой семейство Т [Т1, Т2, ..., Тк] преобразований открытого текста. Члены этого семейства индексируются, или обозначаются символом «к»; параметр к является ключом. Пространство ключей К - это набор возможных значений ключа. Обычно ключ представляет собой последовательный ряд букв алфавита.
    Криптосистемы разделяются на симметричные и с открытым ключом.
    В симметричных криптосистемах и для шифрования, и для дешифрования используется один и тот же ключ.
    В системах с открытым ключом используются два ключа - открытый и закрытый, которые математически связаны друг с другом. Информация шифруется с помощью открытого ключа, который доступен всем желающим, а расшифровывается с помощью закрытого ключа, известного только получателю сообщения.
    Термины распределение ключей и управление ключами относятся к процессам системы обработки информации, содержанием которых является составление и распределение ключей между пользователями.
    Электронной (цифровой) подписью называется присоединяемое к тексту его криптографическое преобразование, которое позволяет при получении текста другим пользователем проверить авторство и подлинность сообщения.
    Криптостойкостью называется характеристика шифра, определяющая его стойкость к дешифрованию без знания ключа (т. е. криптоанализу).
    Эффективность шифрования с целью защиты информации зависит от сохранения тайны ключа и криптостойкости шифра.
    Наиболее простой критерий такой эффективности - вероятность раскрытия ключа или мощность множества ключей (М). По сути, это то же самое, что и криптостойкость. Для ее численной оценки можно использовать также и сложность раскрытия шифра путем перебора всех ключей.
    Однако этот критерий не учитывает других важных требований к криптосистемам:

    · невозможность раскрытия или осмысленной модификации информации на основе анализа ее структуры;

    · совершенство используемых протоколов защиты;

    · минимальный объем применяемой ключевой информации;

    · минимальная сложность реализации (в количестве машинных операций), ее стоимость;

    · высокая оперативность.

    Часто более эффективным при выборе и оценке криптографической системы является применение экспертных оценок и имитационное моделирование.
    В любом случае выбранный комплекс криптографических методов должен сочетать как удобство, гибкость и оперативность использования, так и надежную защиту от злоумышленников циркулирующей в ИС информации.

    Такое деление средств защиты информации (техническая защита информации ), достаточно условно, так как на практике очень часто они взаимодействуют и реализуются в комплексе в виде программно - аппаратных модулей с широким использованием алгоритмов закрытия информации.


    Заключение

    В данной курсовой работе, я рассмотрел локально вычислительную сеть Администрации, и сделал выводы, что для полной защиты информации необходимо применять все средства защиты, что бы минимизировать потерю той или иной информации.

    В результате проделанной организации работы: компьютеризация рабочих мест с объединением их в локальную вычислительную сеть, с наличием сервера и доступом к сети Интернет. Выполнение данной работы обеспечит наиболее скоростную и производительную работу рабочего персонала.

    Задачи, которые ставились при получении задачи, на мой взгляд, достигнуты. Схема локальной вычислительной сети Администрации приведена в Приложении Б.


    Список литературы.

    1. ГОСТ Р 54101-2010 «Средства автоматизации и систем управления. Средства и системы обеспечения безопасности. Техническое обслуживание и текущий ремонт»

    2. Организационная защита информации: учебное пособие для вузов Аверченков В.И., Рытов М.Ю. 2011 год

    3. Халяпин Д.Б., Ярочкин В.И. Основы защиты информации.-М.:ИПКИР,1994

    4. Хорошко В.А., Чекатков А.А. Методы и средства защиты информации(под редакцией Ковтанюка) К.: Издательство Юниор, 2003г.-504с.

    5. Аппаратные средства и сети ЭВМ Илюхин Б.В. 2005

    6. Ярочкин В.И. Информационная безопасность: Учебник для студентов вузов.-М.:Академический Проект!?! Фонд "Мир",2003.-640с.

    7. http://habrahabr.ru

    8. http://www.intel.com/ru/update/contents/st08031.htm

    9. http://securitypolicy.ru

    10. http://network.xsp.ru/5_6.php


    Примечание А.

    Примечание Б.


    Идея этой статьи зародилась, когда перед специалистами EFSOL была поставлена задача анализа рисков информационной безопасности в ресторанном бизнесе и разработки мер противодействия им. Одним из весомых рисков оказалась возможность изъятия управленческой информации, а одной из контрмер — шифрование баз бухгалтерского учета.

    Сразу же оговорюсь, что рассмотрение всех возможных криптопродуктов или решений на базе конкретных систем учета не входит в цели данной статьи. Нас интересует лишь сравнительный анализ персональных средств шифрования, для которого мы выбрали популярнейшее бесплатное решение с открытым исходным кодом и пару самых продвигаемых коммерческих аналогов. Пусть неискушенных пользователей не пугает фраза «открытый исходный код» - она означает лишь то, что разработкой занимается группа энтузиастов, которые готовы принять любого желающего помочь им.

    Так почему мы избрали такой подход? Мотивация предельно проста.

    1. В разных компаниях используется своя система учета, поэтому выбираем средства шифрования не привязанные к конкретной платформе - универсальные.
    2. Персональную криптозащиту разумнее использовать в небольших предприятиях, где с программой учета работают 1-5 пользователей. Для больших компаний изъятие управленческой информации повлечет более крупные финансовые потери - потому и решения по защите обойдутся значительно дороже.
    3. Анализ множества коммерческих продуктов шифрования информации лишен смысла: достаточно оценить несколько из них, чтобы сформировать для себя понимание цены и функциональности.

    Перейдем к сравнению продуктов, которое удобно сделать на основании сводной таблицы. Я намеренно не включал в анализ множество технических деталей (таких как поддержка аппаратного ускорения или многопоточности, нескольких логических или физических процессоров), от которых у обычного пользователя начинает болеть голова. Остановимся лишь на том функционале, пользу от которого мы можем реально выделить.

    Сводная таблица
    TrueCrypt Secret Disk Zecurion Zdisk
    Последняя версия на момент обзора 7.1a 4 Нет данных
    Стоимость Бесплатно От 4 240 руб. на 1 компьютер От 5250 руб. на 1 компьютер
    Операционная система Windows 7, Windows Vista, Windows XP, Windows Server 2003, Windows Server 2008: (32-х и 64-разрядные версии);
    Windows Server 2008 R2;
    Windows 2000 SP4;

    Mac OS X 10.7 Lion (32- и 64-разрядные версии);
    Mac OS X 10.6 Snow Leopard; Mac OS X 10.5 Leopard;
    Mac OS X 10.4 Tiger;

    Linux (32-х и 64-разрядные версии, ядро 2.6 или совместимое)

    		Windows 7, Windows Vista, Windows XP: (32-х и 64-разрядные версии) Windows 98;
    Windows Me;
    Windows NT Workstation;
    Windows 2000 Professional;
    Windows XP;
    Windows Vista
    Встроенные алгоритмы шифрования AES
    Serpent
    Twofish     		Нет Нет
    Использование поставщиков криптографии (криптопровайдеров CSP) Нет Microsoft Enhanced CSP: Triple DES и RC2;
    Secret Disk NG Crypto Pack: AES и Twofish;
    КриптоПро CSP, Signal-COM CSP или Vipnet CSP: ГОСТ 28147-89     		RC5,
    AES,
    КРИПТОН CSP: ГОСТ 28147-89
    Режим шифрования XTS Да Нет Нет
    Каскадное шифрование AES-Twofish-Serpent;
    Serpent-AES;
    Serpent-Twofish-AES;
    Twofish-Serpent     		Нет Нет
    Прозрачное шифрование Да Да Да
    Шифрование системного раздела Да Да Нет
    Аутентификация до загрузки ОС Пароль Пин + токен Нет
    Шифрование разделов диска Да Да Нет
    Создание файлов-контейнеров Да Да Да
    Создание скрытых разделов Да Нет Нет
    Создание скрытой ОС Да Нет Нет
    Шифрование переносных накопителей Да Да Да
    Работа с переносных накопителей Да Нет Нет
    Работа по сети Да Нет Да
    Многопользовательский режим Средствами NTFS Да Да
    Аутентификация только по паролю Да Нет Нет
    Аутентификация по ключевому файлу Да Нет Нет
    Поддержка токенов и смарт-карт Поддерживающие протокол PKCS #11 2.0 или выше USB-ключ eToken PRO/32K (64К);
    USB-ключ eToken PRO/72K (Java);
    Смарт-карта eToken PRO/32K (64К);
    Смарт-карта eToken PRO/72K (Java);
    Комбинированный ключ eToken NG-FLASH
    Комбинированный ключ eToken NG-OTP
    eToken PRO Anywhere     		Rainbow iKey 10xx/20xx/30xx;
    ruToken;
    eToken R2/Pro
    Экстренное отключение шифрованных дисков Горячие клавиши Горячие клавиши Горячие клавиши
    Защита от ввода пароля под принуждением Нет Да Да
    Возможность использования «Правдоподобного отрицания причастности» Да Нет Нет
    Комплект поставки Нет коробочной версии - дистрибутив загружается с сайта разработчиков USB-ключ eToken PRO Anywhere с лицензией на использование продукта;
    Краткое руководство в печатном виде;
    CD-ROM (дистрибутив, подробная документация, загрузочную часть MBR;
    Упаковочная DVD-коробка     		Лицензия;
    USB-ключ и USB-удлинитель;
    Диск с дистрибутивом; Документация в печатном виде;
    Устройство чтения-записи смарт-карт ACS-30S

    Следуя законам жанра, осталось только прокомментировать отдельные пункты и выделить преимущества того или иного решения. С ценами на продукты все понятно, как и с поддерживаемыми операционными системами. Отмечу лишь тот факт, что версии TrueCrypt для MacOS и Linux имеют свои нюансы использования, а установка его на серверные платформы от Microsoft хоть и дает определенные плюсы, но совершенно не способна заменить огромный функционал коммерческих систем защиты данных в корпоративной сети. Напомню, что мы рассматриваем все же персональную криптозащиту.

    Встроенные алгоритмы, криптопровайдеры, XTS и каскадное шифрование

    Криптопровайдеры, в отличии от встроенных алгоритмов шифрования,- это отдельно подключаемые модули, которые определяют метод кодирования (раскодирования), используемый программой. Почему именно коммерческие решения используют пакеты криптопровайдеров? Ответы незатейливы, но финансово обоснованы.

    1. Нет необходимости вносить изменения в программу для добавления тех или иных алгоритмов (оплачивать труд программистов) - достаточно создать новый модуль или подключить решения сторонних разработчиков.
    2. Во всем мире разрабатываются, тестируются и внедряются международные стандарты, но для российских государственных структур необходимо соответствие требованиям ФСТЭК и ФСБ. Эти требования подразумевают лицензирование создания и распространения средств защиты информации.
    3. Средствами шифрования данных являются криптопровайдеры, а сами программы не требуют сертификации разработки и дистрибуции.

    Каскадное шифрование - возможность кодировать информацию одним алгоритмом, когда она уже была закодирована другим. Такой подход, хоть и замедляет работу, позволяет увеличить стойкость защищенных данных против взлома - чем больше знает «оппонент» о методах шифрования (например, используемый алгоритм или набор символов ключа), тем проще ему раскрыть информацию.

    Технология шифрования XTS (XEX-based Tweaked CodeBook mode (TCB) with CipherText Stealing (CTS)) - логическое развитие предыдущих блочных методов шифрования XEX и LRW, в использовании которых обнаружены уязвимости. Так как операции чтения/записи на носителях информации производятся посекторно блоками, то использование потоковых методов кодирования неприемлемо. Таким образом, 19 декабря 2007 года метод шифрования XTS-AES для алгоритма AES был описан и рекомендован международным стандартом защиты хранимой информации IEEE P1619.

    Этот режим использует два ключа, первый из которых используется для генерации вектора инициализации, а вторым шифруются данные. Метод работает по следующему алгоритму:

    1. генерирует вектор, шифруя номер сектора первым ключом;
    2. складывает вектор с исходной информацией;
    3. шифрует результат сложения вторым ключом;
    4. складывает вектор с результатом шифрования;
    5. умножает вектор на порождающий многочлен конечного поля.

    Национальный институт стандартов и технологий рекомендует использование режима XTS для шифрования данных устройств с блочной внутренней структурой поскольку он:

    • описан международным стандартом;
    • имеет высокую производительность за счет выполнения предварительных вычислений и распараллеливания;
    • позволяет обрабатывать произвольный блок сектора за счет вычисления вектора инициализации.

    Так же отмечу, что в IEEE P1619 рекомендуется использовать метод XTS с алгоритмом шифрования AES, однако архитектура режима позволяет использовать его совместно с любым другим блочным шифром. Таким образом, в случае необходимости сертификации устройства, реализующего прозрачное шифрование, в соответствии с требованиями российского законодательства является возможным совместное использование XTS и ГОСТ 28147-89.

    Экстренное отключение дисков, ввод пароля «под принуждением», отрицание причастности

    Экстренное отключение шифрованных дисков - неоспоримо необходимая функция в ситуациях, требующих мгновенного реагирования для защиты информации. Но что же происходит дальше? «Оппонент» видит систему, на которой установлена криптозащита и недоступный для чтения системными средствами диск. Вывод о сокрытии информации очевиден.

    Наступает этап «принуждения». «Оппонент» будет использовать физические или юридические меры воздействия, чтобы заставить владельца раскрыть информацию. Отечественное устоявшееся решение «ввод пароля под принуждением» из разряда «умру, но не выдам» становится неактуальным. Невозможно удалить информацию, которую предварительно скопировал «оппонент», а он это сделает - не сомневайтесь. Удаление ключа шифрования лишь подтверждает то, что информация действительно важна, а запасной ключ обязательно где-то спрятан. Да и без ключа информация все еще доступна для криптоанализа и взлома. Не буду распространяться, насколько эти действия приближают владельца информации к юридическому фиаско, но расскажу о логическом методе правдоподобного отрицания причастности.

    Использование скрытых разделов и скрытой ОС не позволит «оппоненту» доказать существование информации, которая защищена. В таком свете, требования раскрыть информацию становятся абсурдными. Разработчики TrueCrypt рекомендуют еще больше запутывать следы: помимо скрытых разделов или операционных систем создавать шифрованные видимые, которые содержат обманные (фиктивные) данные. «Оппонент», обнаружив видимые шифрованные разделы, будет настаивать на раскрытии именно их. Раскрыв такую информацию под принуждением, владелец ни чем не рискует и снимает с себя подозрения, потому что настоящие секреты останутся невидимыми на скрытых шифрованных разделах.

    Подведение итогов

    Нюансов в защите информации великое множество, но освещенного должно хватить для подведения промежуточных итогов - окончательное решения каждый примет для себя сам. К преимуществам бесплатной программы TrueCrypt стоит отнести ее функционал; возможность для всех желающим участвовать в тестировании и улучшении; избыточное количество открытой информации по работе приложения. Это решение создано людьми, которые многое знают о безопасном хранении информации и постоянно совершенствуют свой продукт, для людей, которым важен действительно высокий уровень надежности. К недостаткам отнесем отсутствие поддержки, высокая сложность для рядового пользователя, отсутствие двухуровневой аутентификации перед стартом ОС, невозможность подключать модули сторонних криптопровайдеров.

    Коммерческие продукты полны заботой о пользователе: техническая поддержка, превосходная комплектация, низкая стоимость, наличие сертифицированных версий, возможность использовать алгоритм ГОСТ 28147-89, многопользовательский режим с разграниченной двухуровневой аутентификацией. Огорчает лишь ограниченная функциональность и наивность в поддержании секретности хранения зашифрованных данных.

    Обновлено: июнь 2015 года.

    Не смотря на то, что версия TrueCrypt 7.1а вышла 7 февраля 2011 года, она остается последней полноценной функциональной версией продукта.

    Любопытна загадочная история с прекращением разработки TrueCrypt. 28 мая 2014 года с сайта разработчиков удалены все предыдущие версии продукта и выложена версия 7.2. Данная версия умеет только расшифровывать ранее зашифрованные диски и контейнеры - возможность шифрования была удалена. С этого момента на сайте и в программе появляется призыв использовать BitLocker, а использование TrueCrypt называется небезопасным.

    Это вызвало волну пересудов в интернете: авторов программы заподозрили в установке «закладки» в коде. Подогреваемые информацией от бывшего работника АНБ Сноудена о том, что спецслужбы намеренно ослабляют средства криптографии, пользователи начали сбор средств для проведения аудита кода TrueCrypt. На проверку программы было собрано более 60 тысяч долларов.

    Аудит был полностью окончен к апрелю 2015 года. Анализ кода не выявил каких-либо закладок, критических недостатков архитектуры или уязвимостей. Было доказано, что TrueCrypt - качественно спроектированное криптографическое средство, хоть и не идеальное.

    Теперь совет разработчиков переходить на Bitlocker рассматривается многими как «свидетельство канарейки». Авторы TrueCrypt всегда высмеивали Bitlocker и его безопасность в частности. Использование Bitlocker также неразумно по причине закрытости программного кода и недоступности его в «младших» редакция Windows. Из-за всего вышесказанного интернет-сообщество склонно считать, что на разработчиков оказывается воздействие спецслужбами, и они своим молчанием намекают на что-то важное, неискренне рекомендуя Bitlocker.

    Повторно подведем итоги

    TrueCrypt продолжает оставаться самым мощным, надежным и функциональным средством криптографии. И аудит, и давление спецслужб только подтверждают это.

    Zdisk и Secret Disk имеют версии сертифицированные ФСТЭК. Следовательно эти продукты имеет смысл использовать для соответствия требованиям законодательства РФ в области защиты информации, например, защиты персональных данных, как того требует Федеральный Закон 152-ФЗ и подчиненные ему нормативные акты.



    Для тех, кто всерьез обеспокоен безопасностью информации, есть комплексное решение «Сервер в Израиле» , в котором осуществляется комплексный подход к защите данных предприятия.

    Системная интеграция. Консалтинг

    Читать еще: