Криптографическая защита информации что это такое
Перейти к содержимому

Криптографическая защита информации что это такое

  • автор:

Криптографические средства защиты: что это такое

Криптографическое шифрование данных заключается в преобразовании информации с помощью кодирования, чтобы обезопасить ее от возможных атак злоумышленников.

Для этого сообщение преобразуется с помощью специального алгоритма (ключа) и передается получателю. Получатель, в свою очередь, использует аналогичный алгоритм расшифровки для того, чтобы прочитать сообщение.

Таким образом, криптографическое шифрование защищает информацию от получения третьими лицами и от возможного использования ее злоумышленниками.

Современный метод шифрования данных, который используется в настоящее время, называется симметричным криптографическим ключом.

Цели и методы криптографической защиты информации

Основная цель криптографической защиты заключается в обеспечении конфиденциальности и безопасности информации при ее обмене между пользователями в сетях.

Криптографическая защита информации применяется для:

  • обработки, использования и передачи информации;
  • обеспечения целостности и подлинности информации (с использованием алгоритмов электронной подписи) ;
  • аутентификации пользователей или устройств, а также защиты элементов аутентификации при использовании соответствующих алгоритмов.

Классы криптографической защиты информации

Три основных типа криптографии включают в себя криптографию с секретным ключом, криптографию с открытым ключом и хеш-функции.

Симметричная криптография, также известная как криптография с секретным ключом, использует один и тот же ключ для шифрования и расшифровки данных. Это простой способ защиты информации.

Криптографический алгоритм использует ключ для шифрования данных. Если нужно получить доступ к данным, то тот, кому доверен секретный ключ, может расшифровать данные.

Криптография с секретным ключом может использоваться как для передачи данных в режиме реального времени, так и для защиты данных в состоянии покоя, на носителе. Однако, как правило, она используется только для защиты данных в состоянии покоя, поскольку передача секретного ключа может привести к его компрометации.

Примеры алгоритмов симметричной криптографии включают AES, DES и Шифр Цезаря.

Асимметричная криптография, также известная как криптография с открытым ключом, использует пару ключей для шифрования и расшифровки данных. Один ключ, называемый «открытым ключом», используется для шифрования данных, а второй ключ, «закрытый ключ», используется для их расшифровки.

В отличие от симметричной криптографии, где один и тот же ключ используется для шифрования и расшифровки, в асимметричной криптографии эти функции выполняются разными ключами.

Закрытый ключ является секретным и должен быть известен только владельцу, в то время как открытый ключ может быть передан любому человеку. Поэтому асимметричная криптография обеспечивает более высокий уровень безопасности и конфиденциальности, чем симметричная криптография.

Существуют различные алгоритмы асимметричной криптографии, такие как ECC, Протокол Диффи-Хеллмана и DSS, которые используются для шифрования данных и обеспечения безопасности в интернет-передаче данных.

Хеш-функции — это функции, которые используются для преобразования данных в зашифрованный формат фиксированной длины. Они обычно используются для защиты данных путем создания уникальной «отпечатков» данных, которые нельзя восстановить исходное сообщение. Хороший алгоритм хеширования должен выдавать уникальный результат для каждого входного значения.

Взлом хеша возможен только путем перебора всех возможных входных значений, пока не будет получен точно такой же хеш.

Хеширование — это процесс преобразования входных данных в фиксированную длину хеш-кода. Хеширование часто используется для защиты паролей и других конфиденциальных данных. Хеш-код может быть использован в сертификатах для проверки подлинности данных.

Примеры алгоритмов хеширования включают в себя MD5, SHA-1, Whirlpool и Blake 2. Они широко используются в различных приложениях для защиты конфиденциальности и обеспечения безопасности данных.

Требования при использовании СКЗИ

Федеральная служба безопасности (ФСБ) России является регулирующим органом по вопросам информационной безопасности на территории Российской Федерации.

Федеральный закон № 149 (2008 г.) устанавливает типовые требования для обеспечения безопасности и организации работы криптографических средств, которые используются для материалов, не содержащих государственную тайну и используемых в процессе обработки персональных данных.

Закон регулирует отношения, возникающие в связи с:

  • осуществлением права на поиск, получение, передачу, производство и распространение информации;
  • применением информационных технологий;
  • обеспечением защиты информации.

Документ содержит определение понятий информации, прав доступа к ней, возможного ее носителя, его обязанностей и возможностей и допустимых действий с информацией.

Он также описывает особенности государственного регулирования в сфере информационных технологий и определяет ответственность за нарушения в этой сфере.

Следует отметить, что информация в этом законе регулярно обновляется в соответствии с мировыми тенденциями в области информационной безопасности, несмотря на то, что документ был принят в 2008 году.

А что за границей?

Один из примеров требований по защите информации на Западе — это стандарты GO-ITS (The Government of Ontario Information Technology Standards). В соответствии с этими стандартами, криптографические материалы должны быть надежно защищены на всех этапах, включая создание, хранение, распространение, использование, отзыв, уничтожение и восстановление ключей.

Требования разбиваются на различные области:

  • Образование и обучение. Технический персонал, который разрабатывает, внедряет или управляет системами, должен быть осведомлен о требованиях к криптографии, предусмотренных этим стандартом.
  • Хранение информации. Чувствительная информация должна быть зашифрована при хранении или использовать оперативный режим с безопасными хэш-функциями. Зашифрованные конфиденциальные данные, хранящиеся более двух лет, также должны быть зашифрованы. Если ответственность за зашифрованные данные передается другой организации, данные должны быть повторно зашифрованы с использованием нового ключа.
  • Мобильные устройства, такие как смартфоны, планшеты, съемные носители и портативные компьютеры, которые обрабатывают или хранят конфиденциальные данные, должны шифровать все хранилище устройства. Если конфиденциальные данные хранятся на настольных компьютерах, эти данные должны быть зашифрованы. Чувствительные данные должны быть зашифрованы на уровне столбцов или полей/ячеек данных перед записью в хранилище данных.
  • Передача информации. Конфиденциальная информация должна передаваться через криптографически защищенные каналы связи, такие как SSL, VPN и SSH. Если передача информации осуществляется по сети Интернет, она должна быть защищена протоколами шифрования SSL или TLS.
  • Управление ключами. Ключи шифрования должны храниться в безопасном месте и защищаться паролем. Доступ к ключам должен быть ограничен и контролироваться. Срок действия ключей должен быть ограничен, и они должны периодически изменяться. Если ключи потеряны или скомпрометированы, они должны быть немедленно отозваны и заменены новыми.

Работа СКЗИ и их применение

Работа средств защиты криптографической информации основана на следующих принципах:

  • Пользователь создает документ, который нужно отправить.
  • С помощью специальных программных средств защиты криптографической информации и ключа к документу добавляется файл подписи, после чего они отправляются получателю.
  • Получатель расшифровывает файл, используя средства защиты криптографической информации, и проверяет, что документ не был изменен.

Основными функциями средств защиты криптографической информации (СКЗИ) являются:

  • Создание электронных подписей.
  • Проверка подлинности электронных подписей.
  • Шифрование и дешифрование содержимого документа.

Виды СКЗИ для электронной подписи — программные и аппаратные СКЗИ

Описание принципа работы криптографической защиты информации включает использование электронной подписи (ЭП) , которая является специальным реквизитом документа.

Это позволяет подтвердить принадлежность документа определенному владельцу, а также отсутствие внесения изменений с момента его создания. ЭП можно сравнить со средневековой восковой печатью, которая ставилась на важные письма.

Существует два типа программ, применяемых при криптографической защите информации: отдельно устанавливаемые и встроенные в устройство. К отдельно устанавливаемым программам относятся КриптоПро CSP, Signal-COM CSP и VipNet CSP.

Они сертифицированы в соответствии с актуальными ГОСТами и работают с основными операционными системами. Однако их основным недостатком является необходимость платить за приобретение лицензии для каждого нового устройства.

К программам, встроенным в устройство, относятся Рутокен ЭЦП, Рутокен ЭЦП 2.0 и JaCArta SE. Используя этот тип СКЗИ, пользователь решает главную проблему предыдущего класса. Здесь устройству достаточно иметь доступ к сети, так как процесс шифрования и дешифрования производится внутри носителя.

Области использования электронной подписи

Пользователь может потребовать как базовый, так и квалифицированный сертификат, содержащий специальный идентификатор. Квалифицированная ЭП обеспечивает более высокий уровень защиты.

Электронная подпись играет важную роль в электронной отчетности, которая представляется в различные государственные организации, такие как ФСС, ПФР, ФНС и другие. При этом для отправки документов необходим квалифицированный сертификат ЭП, который может быть выдан уполномоченным сотрудником организации.

Квалифицированная ЭП также требуется для участия в системах государственных закупок, проводимых через аукционы в соответствии с ФЗ-44 от 14.07.22, для подписания контрактов и других действий.

В случае электронного документооборота между компаниями, таких как счет-фактура, юридическую силу документу придает только квалифицированная ЭП.

ЭП необходима также для работы с порталами государственных организаций, таких как РКН, Госуслуги, Единый федеральный реестр сведений о банкротстве, Росимущество и другие.

Алгоритмы электронной подписи

Цифровые подписи используются для аутентификации и проверки подлинности документов и данных, предотвращая их цифровую модификацию или подделку во время передачи официальных документов.

Обычно система с асимметричным ключом шифрует данные с помощью открытого ключа и расшифровывает их с помощью закрытого ключа. Но порядок, который используется для шифрования цифровой подписи, обратный.

Цифровая подпись шифруется с помощью закрытого ключа и расшифровывается с помощью открытого ключа. Поскольку ключи связаны между собой, расшифровка с помощью открытого ключа подтверждает, что соответствующий закрытый ключ был использован для создания подписи документа. Это способствует проверке происхождения подписи.

Что такое алгоритм RSA?

Алгоритм RSA является открытым ключом подписи и был разработан в 1977 году тремя учеными — Роном Ривестом, Ади Шамиром и Леонардом Адлеманом. Его основная идея заключается в использовании логарифмических функций для создания вычислительно сложной, но быстрой процедуры, которая может противостоять перебору.

При этом алгоритм может использоваться не только для создания цифровой подписи, но и для шифрования и расшифрования информации, обеспечивая безопасный обмен данными. На прилагаемом изображении можно увидеть процесс проверки цифровой подписи, используя методологию RSA.

Что такое алгоритм DSA?

Алгоритм цифровой подписи является стандартом FIPS (Федеральный стандарт обработки информации) для создания подписей. В 1991 году он был предложен, а в 1994 году стандартизирован Национальным институтом стандартов и технологий (NIST) . Преимущества алгоритма DSA следующие:

  • Аутентификация сообщения. С помощью правильной комбинации ключей можно проверить происхождение отправителя.
  • Проверка целостности. Расшифровка связки сообщения полностью предотвращает возможность подделки.
  • Неотрицание. Если подпись верифицирована, отправитель не может отрицать факт отправки сообщения.

Защита криптографической информации в коммерческой деятельности

Современные компании хранят свою личную и конфиденциальную информацию онлайн в облачном хранилище с непрерывным подключением к сети.

Именно поэтому они включают шифрование в свои планы по обеспечению безопасности данных в облаке. Конфиденциальность и безопасность данных важны для компаний, независимо от того, где они хранятся.

Для защиты данных применяются различные устройства шифрования, а также приборы для защиты телефонной связи. СКЗИ применяется в офисном оборудовании, таком как факсы, телексы или телетайпы. Кроме того, в коммерческой отрасли используется система электронных подписей, упомянутая выше.

Использование шифровальных криптографических средств в современном мире

Защита информации и персональных данных с помощью криптографии является неотъемлемой частью любой информационной деятельности. На сегодняшний день на рынке существует множество инструментов для решения этой задачи, включая КриптоПро CSP, Signal-COM CSP, РуТокен ЭЦП и другие программы, которые рассматриваются в данном материале.

Создание и использование средств криптографической защиты информации (СКЗИ) строго контролируется Федеральной службой безопасности Российской Федерации (ФСБ РФ) и Федеральной службой по техническому и экспортному контролю (ФСТЭК) . Любая информационная система должна быть согласована с этими органами.

Раскрываюсь больше как автор, также тут —

Телеграмм канал реалити-шоу: «Покупаю Виллу на Бали инвестируя по 15 000руб в месяц».

Криптографические средства защиты: что это такое

Рассказываем, что такое СКЗИ, какие они бывают и как регулируются законом.

Эта инструкция — часть курса «Введение в сетевую безопасность».

Смотреть весь курс

Изображение записи

Криптографическое шифрование данных — это процесс преобразования информации с помощью кодирования.

Сообщение шифруется с помощью специального алгоритма (ключа) и отправляется получателю. Получатель, в свою очередь, использует аналогичный алгоритм расшифровки. В итоге информация защищена от получения третьими лицами и возможного использования ее злоумышленниками.

В современном мире этот метод технологии шифрования называется симметричным криптографическим ключом.

Цели и методы криптографической защиты информации

Цель криптографической защиты — обеспечение конфиденциальности и защиты информации в сетях в процессе ее обмена между пользователями.

Криптографическая защита информации в основном используется при:

  • обработке, использовании и передаче информации,
  • обеспечении целостности и достоверности целостности (алгоритмы электронной подписи),
  • алгоритмах, обеспечивающих аутентификацию пользователей или устройств, а также при защите элементов аутентификации.

Классы криптографической защиты информации

Криптографию можно разделить на три различных типа:

  • криптография с секретным ключом,
  • криптография с открытым ключом,
  • хеш-функции.

Симметричная криптография

Криптография с секретным ключом, или симметричная криптография, использует один ключ для шифрования данных. И для шифрования, и для дешифровки в симметричной криптографии используется один и тот же ключ. Это делает данную форму криптографии самой простой.

Криптографический алгоритм использует ключ в шифре для шифрования данных. Когда к данным нужно снова получить доступ, человек, которому доверен секретный ключ, может расшифровать данные.

Криптография с секретным ключом может использоваться как для данных, которые передаются в мети на данный момент, так и для данных в состоянии покоя — на носителе. Но обычно она используется только для данных в состоянии покоя, поскольку передача секрета получателю сообщения может привести к компрометации.

Пример алгоритмов симметричной криптографии:

Как происходит симметричное шифрование

Асимметричная криптография

Криптография с открытым ключом, или асимметричная криптография, использует два ключа для шифрования данных. Один из них используется для шифрования, а другой ключ расшифровывает сообщение. В отличие от симметричной криптографии, если один ключ используется для шифрования, этот же ключ не может расшифровать сообщение, для этого используется другой ключ.

Один ключ хранится в тайне и называется «закрытым ключом», а другой — «открытый ключ» — находится в открытом доступе и может быть использован любым человеком. Закрытый ключ должен оставаться только у владельца. Открытый ключ может быть передан другому человеку.

Примеры алгоритмов асимметричной криптографии:

Как происходит асимметричное шифрование

Хеш-функции

Хеш-функции — это необратимые, односторонние функции, которые защищают данные ценой невозможности восстановить исходное сообщение.

Хеширование — способ преобразования заданной строки в строку фиксированной длины. Хороший алгоритм хеширования будет выдавать уникальные результаты для каждого заданного входа. Единственный способ взломать хеш — попробовать все возможные входы, пока не получится точно такой же хеш. Хеш может использоваться для хеширования данных (например, паролей) и в сертификатах.

Примеры алгоритмов хэширования:

Требования при использовании СКЗИ

На территории Российской Федерации регулирующим органам в вопросах информационной безопасности является ФСБ России. Типовые требования обеспечения и организации работы криптографических средств для материалов, не содержащих государственную тайну и используемых в процессе обработки персональных данных, были утверждены в ФЗ-149 (2008 г.).

В нем закреплен свод правил для урегулирования создания криптографических средств защиты информации и их применения.

Закон регулирует отношения, возникающие при:

  • осуществлении права на поиск, получение, передачу, производство и распространение информации,
  • применении информационных технологий,
  • обеспечении защиты информации.

Также этот закон включает:

  • четкое разъяснение понятий информации, а также прав доступа к ней, возможного ее носителя, его обязанностей и возможностей и допустимых действий с этой информацией,
  • описание особенности государственного регулирования в сфере информационных технологий,
  • описание ответственности за правонарушения в сфере действия данного законодательства.

Стоит отметить, что, несмотря на срок выпуска документа, информация в нем регулярно обновляется в соответствии с актуальными мировыми тенденциями в рамках информационной безопасности. Подробнее с видом документа можно ознакомиться по ссылке.

А что за границей?

Одним из примеров требований по защите информации на Западе можно назвать стандарты GO-ITS (The Government of Ontario Information Technology Standards). Согласно им, криптографические материалы должны быть надежно защищены, включая создание, хранение, распространение, использование, отзыв, уничтожение и восстановление ключей.

Требования подразделяются на различные области:

Образование и обучение. Технический персонал, который разрабатывает, внедряет или управляет системами, должен быть осведомлен о требованиях к криптографии в соответствии со стандартом.

Информация в хранилище. Чувствительная информация должна быть зашифрована при хранении или храниться в оперативном режиме с использованием безопасных хэш-функций. Зашифрованные конфиденциальные данные, хранящиеся более двух лет, должны быть зашифрованы. Если ответственность за зашифрованные данные передается другой организации, данные должны быть зашифрованы повторно, с помощью нового ключа.

Мобильные устройства, такие как смартфоны, планшеты, съемные носители, портативные компьютеры, которые обрабатывают или хранят конфиденциальные данные, должны шифровать все хранилище устройства. Если конфиденциальные данные хранятся на настольных компьютерах, эти данные должны быть зашифрованы. Чувствительные данные должны быть зашифрованы на уровне столбцов или полей/ячеек данных перед записью в хранилище данных.

Безопасность коммуникаций. Чувствительная информация должна быть зашифрована при передаче с помощью соответствующих средств. Целостность конфиденциальных данных должна проверяться с помощью утвержденного кода аутентификации сообщения или цифровой подписи. Цифровые подписи должны использовать точную временную метку из доверенного источника времени.

Развертывание криптографии. Все приложения криптографии должны использовать генератор случайных чисел или генератор псевдослучайных чисел; проверять действительность сертификатов и использовать только действительные сертификаты. Приложения должны безопасно удалять расшифрованную информацию, хранящуюся в кэше или временной памяти, сразу после завершения соответствующей деятельности. Приложения, обрабатывающие конфиденциальные данные и имеющие к ним доступ, должны проходить тестирование и оценку безопасности (STE) перед внедрением.

Защита криптографических материалов. Доступ к криптографическим материалам должен быть ограничен авторизованными пользователями, приложениями или службами. Криптографические ключи должны быть защищены в соответствии с чувствительностью информации, которую они защищают. По возможности ключи должны генерироваться с помощью защищенного программного модуля или аппаратного модуля безопасности. Для генерации ключей, защищающих конфиденциальную информацию, модули должны быть локальными.

Работа СКЗИ и их применение

Принцип работы средств защиты криптографической информации заключается в следующем:

  • Пользователем создается документ, требующий пересылки.
  • С помощью ключа и средств защиты криптографической информации (специальных программ) к документу прибавляется специальный файл подписи, после чего они отправляются получателю.
  • Получатель декодирует файл при помощи средств защиты криптографической информации и проверяет, что в расшифрованный документ не вносились изменения.

Основными функциями средств (СКЗИ) являются:

  • создание электронных подписей,
  • проверка подлинности ЭП,
  • шифровка и дешифровка содержимого документа.

Виды СКЗИ для электронной подписи — программные и аппаратные СКЗИ

Электронная подпись (ЭП) – это специальные реквизиты документа, позволяющие подтвердить принадлежность определенному владельцу, а также отсутствие факта внесения изменений в документ с момента его создания. ЭП можно сравнить со средневековой восковой печатью, ставившейся на важные письма.

На данный момент существуют два вида средств, применяемых при криптографической защите информации: отдельно устанавливаемые программы и встроенные в устройство.

К первому типу относятся следующие программы:

  • КриптоПро CSP,
  • Signal-COM CSP,
  • VipNet CSP.

Они работают с основными ОС и сертифицированы в соответствии с актуальными ГОСТами. Основным их минусом является лицензирование: придется платить деньги за приобретение лицензии для каждого нового устройства.

К вшитым в устройство программам относятся:

  • Рутокен ЭЦП,
  • Рутокен ЭЦП 2.0,
  • JaCArta SE.

Используя данный тип СКЗИ, пользователь решает главную проблему предыдущего класса. Здесь устройству достаточно иметь доступ к сети, так как процесс шифрования и дешифровки производится внутри носителя. Основным правовым фактором, регулирующим деятельность в этой сфере, является ФЗ-63, подробнее о котором можно прочитать здесь.

Области использования электронной подписи

От пользователя может быть нужен как базовый сертификат, так и квалифицированный, в котором содержится специальный идентификатор. Квалифицированная электронная цифровая подпись отличается повышенной защищенностью.

Электронная отчетность. Это одна из главных сфер, где используется электронная подпись. При этом имеется в виду отчетность, которая предоставляется в различные государственные структуры: ФСС, ПФР, ФНС и прочие. При отправке документов требуется квалифицированный сертификат ЭП, который предоставляется уполномоченному сотруднику организации.

Системы госзакупок для различных бюджетных организаций. Они проводятся посредством аукционов, где требуется квалифицированная ЭП (на основании ФЗ-44 от 14.07.22) для подписания контрактов и прочих действий.

Электронный документооборот между компаниями (в случае подписания счет-фактуры). Здесь юридическую силу документа также гарантирует только квалифицированная ЭП.

На этом список применения ЭП не заканчивается: она также требуется для работы с порталами госструктур, таких как РКН, Госуслуги, Единый федеральный реестр сведений о банкротстве, Росимущество и прочих.

Алгоритмы электронной подписи

Целью цифровых подписей является аутентификация и проверка подлинности документов и данных. Это необходимо, чтобы избежать цифровой модификации (подделки) при передачи официальных документов.

Как правило, система с асимметричным ключом шифрует с помощью открытого ключа и расшифровывает с помощью закрытого ключа. Однако порядок, шифрующий ЭП, обратный. Цифровая подпись шифруется с помощью закрытого ключа, а расшифровывается с помощью открытого. Поскольку ключи связаны, расшифровка с помощью открытого ключа подтверждает, что для подписания документа был использован соответствующий закрытый ключ. Так проверяется происхождение подписи.

Проверка происхождения подписи

  • M — Обычный текст,
  • H — хеш-функция,
  • h — хеш-дайджест (хеш-сумма, также называемая дайджестом — в криптографии результат преобразования входного сообщения произвольной длины в выходную битовую строку фиксированной длины),
  • + — объединить и открытый текст, и дайджест,
  • E — шифрование,
  • D — расшифровка.

На изображении выше показан весь процесс — от подписания ключа до его проверки.

Рассмотрим каждый шаг подробнее:

  1. М, исходное сообщение сначала передается хеш-функции, обозначаемой H#, для создания дайджеста.
  2. Далее сообщение объединяется с хеш-дайджестом h и шифруется с помощью закрытого ключа отправителя.
  3. Он отправляет зашифрованный пакет получателю, который может расшифровать его с помощью открытого ключа отправителя.
  4. После расшифровки сообщения оно пропускается через ту же хэш-функцию (H#), чтобы сгенерировать аналогичный дайджест.
  5. Он сравнивает вновь сгенерированный хеш со свернутым хеш-значением, полученным вместе с сообщением. Если они совпадают, проверяется целостность данных.

Существует два стандартных для отрасли способа реализации вышеуказанной методологии: алгоритмы RSA и DSA. Оба служат одной и той же цели, но функции шифрования и дешифровки довольно сильно отличаются.

Что такое алгоритм RSA?

Алгоритм RSA — это алгоритм подписи с открытым ключом, разработанный Роном Ривестом, Ади Шамиром и Леонардом Адлеманом. Статья с описанием алгоритма была впервые опубликована в 1977 году. Он использует логарифмические функции для того, чтобы работа была достаточно сложной, чтобы противостоять перебору, но достаточно упрощенной, чтобы быть быстрой после развертывания. На изображении ниже показана проверка цифровых подписей по методологии RSA.

Проверка ЭП по методологии RSA

RSA также может шифровать и расшифровывать общую информацию для безопасного обмена данными наряду с проверкой цифровой подписи. На рисунке выше показана вся процедура работы алгоритма RSA.

Что такое алгоритм DSA?

Алгоритм цифровой подписи — это стандарт FIPS (Федеральный стандарт обработки информации) для таких подписей. Он был предложен в 1991 году и всемирно стандартизирован в 1994 году Национальным институтом стандартов и технологий (NIST). Алгоритм DSA обеспечивает три преимущества:

  • Аутентификация сообщения. Вы можете проверить происхождение отправителя, используя правильную комбинацию ключей.
  • Проверка целостности. Вы не можете подделать сообщение, так как это полностью предотвратит расшифровку связки.
  • Неотрицание. Отправитель не может утверждать, что он никогда не отправлял сообщение, если верифицирует подпись.

Проверка ЭП по методологии DSA

На рисунке выше показана работа алгоритма DSA. Здесь используются две различные функции — функция подписи и функция проверки. Разница между изображением типичного процесса проверки цифровой подписи и изображением выше заключается в части шифрования и дешифровки.

Правовое регулирование применения криптографических средств в РФ

Основным регулирующим документом является ФЗ-149. Однако он по большей части определяет участников процесса и их действия. Самим же объектом взаимодействия являются персональные данные пользователей — любая информация, относящаяся прямо или косвенно к определенному физическому лицу. Положения о персональных данных, в том числе общедоступных персональных данных, оговорены в ФЗ-152.

Аттестованный сегмент ЦОД

Храните данные в соответствии с 152-ФЗ.

Этими законами определяется, что проводимые действия должны быть реализованы в данных подсистемах:

  • управления доступом,
  • регистрации и учета,
  • обеспечения целостности,
  • криптографической защиты,
  • антивирусной защиты,
  • обнаружения вторжений.

Также вся деятельность, связанная с оказанием услуг в сфере криптографической защиты, подлежит лицензированию, которая осуществляется ФСБ РФ. К требованиям лицензирования относится следующее:

  • Присутствие в организации специальных условий для соблюдения работы.
  • Наличие у компании лицензии на выполнение работ и оказание услуг при работе со сведениями, составляющими гостайну (например, создание средств криптозащиты).
  • Присутствие в штате компании квалифицированных сотрудников, имеющих специальное образование (обучение или переподготовка по направлению «Информационная безопасность») и опыт работы в сфере не менее пяти лет.
  • Предоставление ФСБ РФ лицензии и перечня используемых в работе СКЗИ со всей технической информацией.

К СКЗИ относятся следующие средства:

  • шифрования,
  • имитозащиты,
  • ЭП,
  • средства кодирования,
  • ключевые документы и средства для их изготовления,
  • аппаратные, программные и аппаратно-программные СКЗИ.

Некоторые СКЗИ бывают выведены из-под лицензирования. В их числе средства, применяемые для ИП или для собственных нужд юридических лиц. Подробнее об этом можно узнать непосредственно в ФЗ.

Защита криптографической информации в коммерческой деятельности

Современные предприятия хранят и управляют большей частью своей личной и конфиденциальной информации в режиме онлайн — в облаке с бесперебойным подключением к сети. Именно по этой причине компании включают шифрование в свои планы по обеспечению безопасности облачных данных. Им важно сохранить конфиденциальность и безопасность своих данных независимо от их местонахождения.

Для решения этой задачи применяются различные устройства шифрования, приборы защиты телефонии. СКЗИ применяется для офисного оборудования, такого как факсы, телекс или телетайп. Также в коммерческой отрасли применяется система электронных подписей, упомянутая выше.

Использование шифровальных криптографических средств в современном мире

Криптографическая защита информации и персональных данных является неотъемлемой частью любой информационной деятельности. В данный момент на рынке представлено множество средств для решения этой задачи. Среди них КриптоПро CSP, Signal-COM CSP, РуТокен ЭЦП и некоторые другие программы, рассмотренные в данном материале.

Область создания и применения СКЗИ находится под непосредственным контролем ФСБ РФ и ФСТЭК — любая информационная система согласовывается с этими органами.

Как просканировать сетевой периметр сервиса с помощью open source-инструментов

Что такое СКЗИ и для чего нужны средства криптографической защиты

Подробно разбираем, как работают электронная подпись, хеш-функции, асимметричное шифрование и другие средства защиты данных.

Иллюстрация: Катя Павловская для Skillbox Media

Иван Стуков

Иван Стуков
Журналист, изучает Python. Любит разбираться в мелочах, общаться с людьми и понимать их.

В конце девяностых — начале нулевых в научно-популярном журнале «Наука и жизнь» публиковали логические задачки с двумя детективами: инспектором Боргом и сержантом Глумом.

В одной из них инспектор хотел отправить сержанту посылку, но почтальоны всё время воровали содержимое. Борг нашёл выход: сначала он послал коробку, запертую на большой амбарный замок, а на следующий день — бандероль с ключом от него. В итоге Глум получил свой подарок в целости и сохранности.

По схожему принципу работает и криптографическое шифрование данных. Даже если злоумышленники перехватят защищённую информацию, «вскрыть» её будет нелегко — придётся ломать «амбарный замок». Чтобы его навесить, и нужны СКЗИ.

Из этой статьи вы узнаете:

  • Что такое СКЗИ
  • Методы криптографической защиты информации
  • Симметричное шифрование
  • Асимметричное шифрование
  • Гибридное шифрование
  • Хеш-функции
  • Для чего нужны СКЗИ
  • Как устроена электронная подпись
  • Виды СКЗИ
  • Классы криптографической защиты информации
  • Резюмируем

Что такое СКЗИ и как они работают

СКЗИ (средства криптографической защиты информации) — это программы и устройства, которые шифруют и дешифруют информацию и проверяют, вносились ли в неё изменения. СКЗИ используют для безопасного хранения и передачи данных. С их помощью также создают электронные подписи.

Чтобы защитить информацию, её шифруют одним из криптографических алгоритмов. Например, сравнительно простым шифром Цезаря. В нём каждая буква исходного сообщения заменяется на другую. На какую — зависит от ключа и расположения буквы в алфавите.

Например, если ключ равен трём, то все буквы в сообщении сдвигаются на три позиции вправо: А превращается в Г, Б — в Д, В — в Е, Я — в В.

Если таким образом зашифровать сообщение «Средство криптографической защиты информации», получится следующее: «Фузжфхес нултхсёугчлъзфнсм кгьлхю лрчсупгщлл».

Проблема подобных шифров в том, что их можно взломать простым перебором ключей. Поэтому сегодня для защиты информации применяют куда более изощрённые математические алгоритмы, обратить которые трудно даже с помощью суперкомпьютеров.

Например, протокол RSA в качестве одной из операций перемножает большие простые числа . Сделать это несложно, а вот для факторизации (то есть разложения на множители) удобной формулы не придумали. Затем в протоколе проводятся и другие операции: применяются функция Эйлера и возведение в степень по модулю.

Методы криптографической защиты информации

Есть несколько подходов к шифрованию данных. Оно может быть:

  • симметричным;
  • асимметричным;
  • гибридным;
  • с использованием хеш-функции.

Симметричное шифрование

При симметричной криптографии для шифрования и расшифровки используется один и тот же секретный ключ. Шифр Цезаря, о котором мы говорили раньше, как раз симметричный.

Этот метод прост и удобен, но имеет крупную уязвимость: и у отправителя, и у получателя — один и тот же ключ. Если злоумышленники его узнают (например, перехватят при передаче), то смогут без труда получить доступ к информации.

Поэтому симметричную криптографию редко применяют для отправки сообщений. Обычно таким образом шифруют данные в состоянии покоя .

Асимметричное шифрование

При асимметричной криптографии данные шифруются одним ключом и расшифровываются другим. Причём ключ для шифрования обычно открытый, а для дешифровки — закрытый.

Открытый ключ можно передать кому угодно, а закрытый оставляют у себя и никому не сообщают. Теперь зашифровать сообщение сможет любой, у кого есть открытый ключ, а расшифровать — только владелец секретного.

Такой подход гораздо безопаснее симметричного, но его алгоритмы сложнее, требуют больше ресурсов компьютера и, следовательно, занимают больше времени.

Гибридное шифрование

Гибридное шифрование — компромисс между двумя предыдущими подходами. В этом случае сообщение шифруется симметрично, а ключ к нему — асимметрично. Получателю нужно сначала расшифровать симметричный ключ, а потом с его помощью — само сообщение.

Так алгоритмы работают быстрее, чем при асимметричном подходе, а узнать ключ от сообщения сложнее, чем в симметричном.

Подробнее о симметричном, асимметричном и гибридном шифровании можно прочитать в нашей статье.

Хеш-функции

Хеш-функции отличаются от других методов криптографической защиты тем, что они необратимы: преобразованные ими данные нельзя расшифровать. Они выдают строку заранее определённого фиксированного размера (например, 256 бит), которую называют хешем, хеш-суммой или хеш-кодом.

В идеальной хеш-функции, если ей захешировать одно и то же сообщение несколько раз, результат тоже будет получаться одинаковый. Но если исходное сообщение изменить хоть немного, то хеш выйдет совершенно другой.

С помощью хеш-функций проверяют, вносились ли в данные изменения, — это полезно в электронных подписях (о них мы расскажем ниже).

Многие сервисы хранят пароли пользователей не в открытом виде, а в хешированном. Когда пользователь при авторизации вводит пароль, тот хешируется и сравнивается с хешем из базы данных. Если хеши одинаковые, значит, пароль верный.

Это даёт дополнительную защиту. Даже если кто-то получит доступ к базе данных сервиса, то увидит просто список хешей, по которым никак не сможет восстановить исходные пароли пользователей.

Для чего нужны СКЗИ

Основная задача СКЗИ — шифровать и расшифровывать данные. Это делают как для информации, которую куда-то отправляют (при передаче она наиболее уязвима: её можно перехватить), так и для той, которая просто хранится на одном устройстве.

Если кто-то перехватит информацию или получит доступ к устройству, ломать криптографический протокол будет просто нерационально. Например, в 2019 году французские учёные взломали 795-битный ключ RSA, потратив 4000 лет компьютерного времени — это последний рекорд. При этом в современной криптографии используют ключи с длиной от 2048 бит.

Помимо шифрования и дешифрования данных, СКЗИ могут управлять электронной подписью (ЭП). Раньше её ещё называли электронной цифровой подписью (ЭЦП), но сейчас этот термин устарел.

Как устроена электронная подпись

Электронная подпись — это дополнение к пересылаемому документу, созданное криптографическими методами. Она позволяет подтвердить авторство сообщения и проверить данные на целостность: не вносились ли в них изменения после того, как поставили подпись.

Так как реальные документы могут быть большого объёма, обычно ЭП применяют не к ним самим, а к их хешу. Это ускоряет работу с подписью. Также протоколы шифрования могут не уметь работать с некоторыми видами документов — хеширование же преобразует все данные в один тип . Это решает проблему совместимости.

Чтобы поставить ЭП, используют асимметричный метод шифрования, но наоборот: сообщение шифруют закрытым ключом, а дешифруют — открытым. В общем виде электронная подпись ставится так:

Сертификат электронной подписи (его ещё называют сертификатом открытого ключа) хранит данные об отправителе и всю информацию, которая нужна для проверки авторства и подлинности документа. Работает это по следующей схеме:

Если после применения ЭП документ был хоть немного изменён, то при проверке хеши не совпадут. Если же они одинаковые, можно быть уверенным: данные добрались до получателя в целости и сохранности.

Человек, который поставил свою ЭП, потом не сможет отрицать это. Дело в том, что доступ к закрытому ключу есть только у него, а значит, никто другой подписать документ не мог.

Виды СКЗИ

Современные СКЗИ бывают программные и программно-аппаратные (часто их называют просто аппаратными).

Программные СКЗИ устанавливаются на устройство отдельно и работают в оперативной памяти компьютера. Их можно скачать и удалить, как любое другое приложение. Чаще всего они распространяются по лицензии с ограниченным сроком действия.

Программно-аппаратные СКЗИ вшиты в специальное устройство (обычно токен). Все операции происходят на этом устройстве и скрыты от оперативной памяти компьютера, к которому он подключён. Такой вид СКЗИ считается более безопасным, чем программный.

Классы криптографической защиты информации

Главная задача СКЗИ — уберечь данные от возможного взлома, поэтому в них встраивают защиту. В зависимости от её уровня присваивется класс защиты. Каждый последующий класс включает в себя все предыдущие.

  • КС1. СКЗИ защищает от атак, которые совершаются из-за пределов информационной системы. Считается, что информацию о ней злоумышленники могут получить только из общего доступа.
  • КС2. СКЗИ защищает от атак, которые запускают изнутри информационной системы. Для этого у злоумышленников должны быть данные о том, как устроена криптографическая защита информации в системе, на которую они нападают.
  • КС3. СКЗИ защищает от атак злоумышленников, у которых есть доступ к средствам защиты.
  • КВ. СКЗИ защищает от атак злоумышленников, которые обладают полной информацией об СКЗИ и его известных уязвимостях.
  • КА. Самый высокий класс защиты. СКЗИ применяется для противодействия злоумышленникам, когда они знают о таких возможностях СКЗИ и информационной системы, которые даже не задекларированы.

Резюмируем

Вот что нужно запомнить:

  • СКЗИ (средства криптографической защиты информации) — это программы и устройства, которые позволяют шифровать и дешифровать данные, а также управлять электронной подписью.
  • В криптографии есть два основных метода: симметричный и асимметричный. В первом случае для шифрования и дешифровки используется один и тот же ключ, во втором — разные. Часто их объединяют в гибридный метод, чтобы использовать скорость симметричного и надёжность асимметричного.
  • Также в криптографии применяют хеш-функции, которые безвозвратно зашифровывают данные в уникальную последовательность символов. Сравнив хеш двух документов, можно узнать, есть ли между ними разница.
  • ЭП (электронная подпись) позволяет определить отправителя данных и узнать, вносились ли в них изменения после того, как ЭП поставили.
  • СКЗИ бывают программные, которые скачиваются на устройство, и программно-аппаратные, которые вшиты в устройство.
  • СКЗИ делятся по классам защиты. Чем выше класс, тем от более сложных атак они могут защитить информационную систему.

Больше интересного про код — в нашем телеграм-канале. Подписывайтесь!

Читайте также:

Криптографическая защита информации

Современные средства криптографической защиты цифровой информации — базовый сегмент ИТ-индустрии. Данные в компьютерах, ноутбуках и смартфонах часто критически важны для владельцев, поэтому их хранение и обработка регулируются законодательными актами по информационной безопасности.

Требующая защиты информация встречается во всех областях человеческой деятельности:

  • в компаниях и организациях, работающих с госзаказами, возможны к использованию сведения, содержащие гостайну,
  • в бизнесе обрабатываются разнообразные файлы ограниченного доступа: финансовая информация, клиентские базы, деловая переписка, описания технологий и разработок,
  • у рядовых граждан имеется приватная информация и персональные данные, в том числе, находящиеся в распоряжении работодателей и различных организаций.

Цифровые данные обрабатываются и хранятся на различных устройствах, пересылаются по локальным сетям и Интернет, передаются по каналам связи. На этих этапах цифровая информация уязвима: может быть прочитана, подменена или уничтожена. Требуются технические, организационные и специальные меры по защите информации.

Нарушение безопасности

Для предотвращения несанкционированного (или злонамеренного) использования данных среди прочих способов используется криптографическая защита информации (КЗИ).

Уязвимости цифровых данных

Средства криптографической защиты информации (СКЗИ) используются для решения задач информационной безопасности.

Уязвимости цифровых данных

Для защиты информации применяется шифрование — метод представления открытого текста в виде набора символов, скрывающего его содержания. Шифрование используется повсеместно: зашифровываются документы, информация в БД, пересылаемые по сети сообщения, в зашифрованном виде хранятся пароли пользователей компьютера и т.д. Для зашифровывания и расшифровывания используются программные и аппаратно-программные системы и комплексы криптографической защиты.

КЗИ, как средство обеспечения информационной безопасности, применяется для проверки подлинности и целостности:

  • Такая проверка (аутентификация) должна подтвердить, что некто является владельцем представленной (например, переданной по каналу связи) информации, также она должна в максимальной степени затруднить злоумышленнику возможность выдать себя за другое лицо;
  • Целостность данных (имитозащита). Получатель должен быть уверен в том, что полученная им информация не изменялась. Злоумышленник, изменяя информацию, не должен суметь выдать её за истинную.

Криптографические методы защиты информации решают проблему неотрицания авторства:

  • Владелец данных не должен иметь возможность ложно заявлять, что доставленная от его имени информация ему не принадлежит. Например, после оформления контракта продавец не оспорит указанную в его документах цену на товар, если переданная информация подтверждена СКЗИ (инструмент криптографической защиты — электронная цифровая подпись).

Указанные методы реализуются программными и аппаратными средствами.

Классы защиты информации

Класс криптозащиты компьютерных систем определяется на основе оценки возможностей злоумышленников (модель нарушителя) по осуществлению возможных атак (модель угроз).

Класс криптозащиты компьютерных систем

Начальными классами защищённости при оценке информационной безопасности IT-инфраструктур являются КС1, КС2, КС3:

  • Класс КС1 выбирается в предположении, что атака на систему осуществляется с территорий, находящихся за пределами защищаемой области. Считается, что в число лиц осуществляющих атаку не входят профессионалы по анализу уязвимостей ПО и технических средств (ТС), дополнительно предполагается, что злоумышленники об атакуемой системе имеют информацию только из открытых источников.
  • Класс КС2 должен противостоять таким же угрозам, что и КС1, но предполагается, что лица осуществляющие атаку могут иметь доступ в защищаемую зону и располагают документацией о технических способах защиты атакуемых ИС.
  • Класс КС3, блокируя угрозы по классу КС2, должен противодействовать и атакам со стороны лиц, имеющих доступ и к оборудованию, обеспечивающему КЗИ.

Определяются и классы защиты систем, на которые могут быть нацелены более сложные атаки:

  • КВ — класс, выдерживающий все атаки КС3, но уровень защищённости должен быть выше, поскольку в осуществлении и планировании атак могут участвовать разработчики и аналитики используемых на объекте ПО и ТС. Предполагается, что эти специалисты имели возможность проводить исследования СКЗИ защищаемого объекта.
  • КА — это класс, способный противостоять всем угрозам КВ, но и дополнительно отражать атаки с участием лиц, знающих незадекларированные возможности системного ПО и ТС защищаемой системы, имевшие опыт по исследованию атак на системы с таким же оборудованием и ПО.

Точное определение классов защищённости систем приводится в регламентирующих законодательных и нормативных документах по вопросам информационной безопасности и защиты информации.

Создание защищенной IT-инфраструктуры предполагает использование ТС, ПО и средств криптографической защиты, обеспечивающих требуемый класс защищённости объектов.

IT-инфраструктуры

Классы защищённости, предъявляемые к отдельным компонентам различны — требуемый уровень защиты информации определяется особенностями данных и моделью нарушителя для конкретного компонента.

Соответствие элементов инфраструктуры классам КЗИ устанавливается по результату сертификационных испытаний и подтверждается соответствующим документом. Для проведения определенных видов работ наличие сертификатов соответствия классам КЗИ для компонентов ИТ-инфраструктуры (а также для инфраструктуры в целом) может потребоваться в обязательном порядке.

Средства криптозащиты компании С-Терра

Российская компания С-Терра CSP — разработчик программного обеспечения и программно-аппаратных средств криптографической защиты информации. Продукты компании имеют государственные сертификаты, позволяющие применять их в защищённых локальных и территориально-распределенных ИС.

При построении защищённых систем учитываются такие особенности, влияющие на информационную безопасность:

  1. В системе имеется одна или несколько (филиальных или кампусных) сетей.
  2. Если кампусных сетей несколько, то они связываются каналами связи. Каждая такая сеть может быть подключена к Интернет.
  3. Кампусные сети часто состоят из нескольких сегментов, соединенных коммутационным оборудованием.
  4. К кампусным сетям подсоединяются пользователи, работающие на удаленных рабочих местах. Таким пользователям нужен доступ к информационным ресурсам.
  5. К корпоративным сетям подключаются сотрудники, использующие мобильные устройства: смартфоны и планшетные компьютеры.

В ЛВС предприятия (или отдельных сегментах) содержатся данные, требующие защиты установленного уровня.

ЛВС предприятия

В подобных структурах применяются как внутренние, так и внешние коммуникации. Внешние подключения к кампусным сетям и коммуникации между филиалами должны быть защищены.

С-Терра предлагает аппаратные решения и программные комплексы для создания защищённых соединений.

Подсоединение клиентских устройств обеспечивает такое ПО:

  • продукты линейки S-Terra Клиент используются для установки на серверы, рабочие станции и другие устройства. Эти клиентские комплексы предназначены для защиты устройств и фильтрации входящего трафика, они могут использоваться как в корпоративных, так и в открытых (Интернет) сетях. Программные комплексы С-Терра для защиты клиентских устройств сертифицированы по классам КС1, КС2.
  • продукты С-Терра Клиент М применяются для устройств с ОС Android, для установки VPN-соединений с кампусными сетями. Продукт обеспечивает имитозащиту трафика, использует протокол IPSec.

Подключение удаленных пользователей к кампусной сети осуществляется через Интернет. Для защиты информации используется VPN-соединение (туннель), с одной стороны которого находится удаленная рабочая станция, а с другой — VPN-шлюз кампусной сети. К одному шлюзу могут подключиться несколько рабочих станций. VPN-шлюз выполняет зашифровывание, расшифровывание и фильтрацию, проходящих по туннелю пакетов.

vpn-соединение

Создание VPN-соединений поддерживает линейка продуктов С-Терра VPN с функциями аутентификации устройств, имитозащиты, шифрования и фильтрации трафика.

Пакеты внутрь сети VPN попадают расшифрованными, в результате удаленная рабочая станция воспринимается как внутренний узел локальной сети.

Коммуникация между территориально-разнесенными сетями выполняется через межсетевые шлюзы (криптошлюзы), выполняющие операции, связанные с защитой трафика.

Создание VPN-соединений

Для создания межсетевых соединений используются такие продукты компании:

  • С-Терра Шлюз ST — аппаратно-программный комплекс с функциями аутентификации и имитозащиты, выполняющий шифрование трафика и фильтрацию пакетов. Комплекс сертифицирован по классам КС1, КС2, КС3.
  • С-Терра Шлюз 10G — продукт, используемый для защиты высокоскоростных каналов межсетевых коммуникаций. Шлюз сертифицирован по классам КС1, КС2, КС3.
  • С-Терра Виртуальный Шлюз ST — программный комплекс для установки на виртуальные машины, сертифицирован по классу КС1. Предназначен для защиты облачного периметра, а также для защищённого взаимодействия виртуальных машин внутри облачной инфраструктуры.
  • С-Терра L2 — продукт, встраиваемый в ПО комплексов С-Терра Шлюз для создания защищённого соединения на уровне L2. Применяется для поддержки межсетевых соединений, в том числе, с IP-телефонией, видеосвязью и др.

Внутри сегмента кампусной сети обмен данными между рабочими станциями часто не шифруется (если необходимо, то используют S-Terra клиент), но межсегментный трафик фильтруется и шифруется, такая особенность защищает сеть от внутренних атак.

Межсегментные соединения внутри кампусных сетей строятся на шлюзах С-Терра, а также с применением других решениях, таких как С-Терра CSCO-STVM (для Cisco, с алгоритмами ГОСТ и сертификатом защищённости по классу КС1).

Решения С-Терра применяются для создания основы защищённой инфраструктуры корпоративных сетей в бизнесе, госучреждениях и в банковском секторе. Полный перечень продуктов, направленных на решение вопросов информационной безопасности, представлен на сайте компании ВИСТЛАН.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *