>

Что такое криптозащита. Классификация средств защиты информации от фстэк и фсб россии. Основные цели криптографии

Средства криптографической защиты информации применяются для защиты личных или секретных сведений, передающихся по линиям связи. Чтобы сохранить конфиденциальность данных, рекомендуется пройти авторизацию, аутентификацию сторон при помощи протоколов TLS, IPSec, обеспечить безопасность электронной подписи и самого канала связи.

Компания ISBC предлагает эффективные решения под брендом , касающиеся применения безопасных хранилищ для важной информации, электронной подписи, охраны доступа при использовании систем контроля. С нами сотрудничают крупнейшие государственные организации, включая ФНС России, ведущие производители средств криптографической защиты информации и разработчики программного обеспечения, удостоверяющие центры, работающие в разных регионах России.

СКЗИ: виды, применение

При использовании СКЗИ применяются следующие методы:

  1. Авторизация данных, обеспечение криптозащиты их юридической значимости в процессе передачи, хранения. Для этого используются алгоритмы формирования электронного ключа, его проверки в соответствии с указанным регламентом.
  2. Криптографическая защита личной или секретной информации, контроль над ее целостностью. Применение ассиметричного шифрования, имитозащита (исключение вероятности подмены данных).
  3. Криптографическая защита прикладного, системного программного обеспечения. Обеспечение контроля над несанкционированными изменениями, некорректной работой.
  4. Управление основными элементами системы согласно установленному регламенту.
  5. Аутентификация сторон, которые обмениваются данными.
  6. Криптографическая защита передачи информации с применением протокола TLS.
  7. Использование средств криптографической защиты IP-соединений путем использования ESP, IKE, AH.

Полное описание применения средств криптографической защиты информации содержится в профильных документах.

Решения СКЗИ

В процессе обеспечения информационной безопасности СКЗИ применяют нижеперечисленные методы:

  1. Аутентификация в приложениях осуществляется благодаря Blitz Identity Provider. Сервер аутентификации позволяет, используя единую учетную запись, управлять подключенными ресурсами любых типов (приложения Native, Web, Desktop), обеспечивает строгую проверку подлинности пользователи при помощи токена, смарт-карты.
  2. В момент установления связи опознание сторон обеспечивается благодаря электронной подписи. Inter-PRO обеспечивает защиту HTTP-трафика, возможность редактирования, контроля цифровой подписи онлайн.
  3. Средства для криптографической защиты, применяемые для конфиденциальности цифрового документооборота, также используют электронную подпись. Для работы с электронным ключом в формате веб-приложения применяется плагин Blitz Smart Card Plugin.
  4. Применение криптографических средств защиты позволяет исключить внедрение закладных устройств и вредоносного ПО, модификацию системы.

Классификация СКЗИ

Средства, используемые для криптографической защиты открытой информации в разных системах, обеспечения конфиденциальности в открытых сетях, нацелены на защиту целостности данных. Важно, что применение подобных инструментов для хранения государственной тайны запрещено законодательством, но вполне подходит для обеспечения сохранности персональных сведений.

Средства, используемые для криптографической защиты информации, классифицируются в зависимости от вероятной угрозы, оценки вероятного способа взлома системы. Они зависят от наличия недокументированных возможностей или несоответствия заявленным характеристикам, которые могут содержать:

  1. системное ПО;
  2. прикладное ПО;
  3. прочие недостатки носителя информации.

Программная защита представлена комплексом решений, предназначенных для шифрования сообщений, размещенных на разных носителях информации. Такими носителями информации могут быть карты памяти, флешки или жесткие диски. Самые простые из них можно найти в открытом доступе. К программной криптозащите можно отнести виртуальные сети, предназначенные для обмена сообщениями, работающими «поверх Интернета», например, VPN, расширения, имеющие протокол HTTP, поддерживающие расширения для шифрования HTTPS, SSL. Протоколы, используемые для обмена сведениями, применяются для создания интернет-приложений, в IP-телефонии.

Программную криптозащиту удобно использовать на домашних компьютерах, для серфинга по сети Интернет, в других областях, где не предъявляются высокие требования к функциональности, надежности системы. Или, как при использовании сети интернет, требуется создание большого количества различных защищенных соединений.


Системы аппаратной криптозащиты

Средства аппаратной криптографической защиты представляют собой физические приборы, связанные с системой передачи данных, обеспечивающие шифрование, запись, передачу сведений. Аппараты могут представлять собой персональные устройства или выглядеть в качестве:

  • USB-шифраторов, флеш-дисков.

Используя эти устройства можно построить идеально защищенные компьютерные сети.

Средства аппаратной криптозащиты легко устанавливаются, выдают высокую скорость отклика. Информация, необходимая для обеспечения высокого уровня криптографической защиты, размещается в памяти устройства. Она может быть считана контактным или бесконтактным способом.

При использовании СКЗИ, выпускаемых под брендом ESMART, вы получите эффективные технологии, осуществляющие эффективную криптографическую защиту в режимах онлайн или оффлайн, аутентификацию пользователя при помощи токенов, смарт-карт или биометрических данных. Сочетание аппаратных методов с программными решениями позволяет получить самый высокий уровень защиты при небольших затратах времени, сил в процессе обмена информацией.


Важной особенностью продуктовой линейки средств криптографической защиты ESMART® является наличие единственного в своем роде продукта – , основанного на отечественной микросхеме MIK 51 от ПАО «Микрон», с помощью которого можно эффективно решить многие проблемы, связанные с безопасностью и защитой данных. Он представляет собой СКЗИ с аппаратной поддержкой российских криптографических алгоритмов ГОСТ на базе отечественной микросхемы.

СКЗИ ESMART® Token ГОСТ выпускается в виде смарт-карт и токенов. Разработка компании ESMART сертифицирована ФСБ России по классам КС1/КС2/КС3. Сертификат №СФ/124-3668 удостоверяет, что СКЗИ ESMART Token ГОСТ, соответствует требованиям ФСБ России к шифровальным (криптографическим) средствам класса КС1/КС2/КС3, требованиям к средствам электронной подписи, утвержденным приказом ФСБ №796 и может использоваться для криптографической защиты информации, не содержащий сведений, составляющих государственную тайну. Извещение АБПН.1-2018 допускает использовать ГОСТ Р 34.10-2001 в СКЗИ ESMART Token ГОСТ в течении срока действия сертификата в связи переносом сроков перехода на ГОСТ Р 34.10-2012 до 1 января 2020 года. Также ESMART® Token ГОСТ может использоваться для генерации ключей, формирования и проверки электронной подписи, строгой многофакторной аутентификации пользователей и др.

Компания ESMART предлагает приобрести современные СКЗИ по лучшим ценам от производителя. Наш инженерный R&D центр и производство расположены в Зеленограде. Использование чипов российского производства позволяет предложить лучшие максимально конкурентоспособные цены на средства криптографической защиты информации для государственных проектов, предприятий и организаций.

Средства криптографической защиты информации (СКЗИ)

"...Средство криптографической защиты информации (СКЗИ) - сертифицированные в порядке, установленном законодательством Российской Федерации, аппаратные и (или) программные средства, обеспечивающие шифрование, контроль целостности и применение ЭЦП при обмене электронными документами;..."

Источник:

"Методические рекомендации по предоставлению организациям, осуществляющим производство и (или) оборот (за исключением импорта и розничной продажи) этилового спирта, алкогольной и спиртосодержащей продукции на территории Российской Федерации, программных средств единой государственной автоматизированной информационной системы учета объема производства и оборота этилового спирта, алкогольной и спиртосодержащей продукции и их установки в технические средства фиксации и передачи информации об объеме производства и оборота этилового спирта, алкогольной и спиртосодержащей продукции в единую государственную автоматизированную информационную систему учета объема производства и оборота этилового спирта, алкогольной и спиртосодержащей продукции" (утв. Росалкогольрегулированием)

"...Средства криптографической защиты информации (СКЗИ) - совокупность программных и технических средств, реализующих криптографические преобразования с исходной информацией и функцию выработки и проверки электронной цифровой подписи..."

Источник:

Правления ПФ РФ от 26.01.2001 N 15 "О введении в системе Пенсионного фонда Российской Федерации криптографической защиты информации и электронной цифровой подписи" (вместе с "Регламентом регистрации и подключения юридических и физических лиц к системе электронного документооборота Пенсионного фонда Российской Федерации")


Официальная терминология . Академик.ру . 2012 .

Смотреть что такое "Средства криптографической защиты информации (СКЗИ)" в других словарях:

    СКЗИ - средства криптографической защиты информации СКЗИ средство контроля защищенности информации Источник: http://pcweek.ru/?ID=476136 … Словарь сокращений и аббревиатур

    Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения - Терминология Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения: 29. Администратор защиты Субъект доступа, ответственный за защиту автоматизированной системы от несанкционированного доступа к… … Словарь-справочник терминов нормативно-технической документации

    EToken - смарт карта и USB ключ eToken PRO, eToken NG FLASH, eToken NG OTP, eToken PRO (Java) и eToken PASS eToken (от англ. electronic электронный и англ. token признак, жетон) торговая марка для линейки персональных средств… … Википедия

    OPTIMA-WorkFlow - В данной статье или разделе имеется список источников или внешних ссылок, но источники отдельных утверждений остаются неясными из за отсутствия сносок. Вы можете улучшить статью, внеся более точные указания на источники … Википедия - Аппаратное шифрование процесс шифрования, производимый при помощи специализированных вычислительных устройств. Содержание 1 Введение 2 Достоинства и недостатки аппаратного шифрования … Википедия

СКЗИ (средство криптографической защиты информации) - это программа или устройство, которое шифрует документы и генерирует электронную подпись (ЭП). Все операции производятся с помощью ключа электронной подписи, который невозможно подобрать вручную, так как он представляет собой сложный набор символов. Тем самым обеспечивается надежная защита информации.

Как работает СКЗИ

  1. Отправитель создает документ
  2. При помощи СКЗИ и закрытого ключа ЭП добавляет файл подписи, зашифровывает документ и объединяет все в файл, который отправляется получателю
  3. Файл передается получателю
  4. Получатель расшифровывает документ, используя СКЗИ и закрытый ключ своей электронной подписи
  5. Получатель проверяет целостность ЭП, убеждаясь, что в документ не вносились изменения

Виды СКЗИ для электронной подписи

Есть два вида средств криптографической защиты информации: устанавливаемые отдельно и встроенные в носитель.

СКЗИ, устанавливаемое отдельно - это программа, которая устанавливается на любое компьютерное устройство. Такие СКЗИ используются повсеместно, но имеют один недостаток: жесткую привязку к одному рабочему месту. Вы сможете работать с любым количеством электронных подписей, но только на том компьютере или ноутбуке, на котором установлена СКЗИ. Чтобы работать на разных компьютерах, придется для каждого покупать дополнительную лицензию.

При работе с электронными подписями в качестве устанавливаемого СКЗИ чаще всего используется криптопровайдер КриптоПро CSP . Программа работает в Windows, Unix и других операционных системах, поддерживает отечественные стандарты безопасности ГОСТ Р 34.11-2012 и ГОСТ Р 34.10-2012.

Реже используются другие СКЗИ:

  1. Signal-COM CSP
  2. LISSI-CSP
  3. VipNet CSP

Все перечисленные СКЗИ сертифицированы ФСБ и ФСТЭК, соответствуют стандартам безопасности, принятым в России. Для полноценной работы также требуют покупки лицензии.

СКЗИ, встроенные в носитель , представляют собой «вшитые» в устройство средства шифрования, которые запрограммированы на самостоятельную работу. Они удобны своей самодостаточностью. Все необходимое для того, чтобы подписать договор или отчет, уже есть на самом носителе. Не надо покупать лицензии и устанавливать дополнительное ПО. Достаточно компьютера или ноутбука с выходом в интернет. Шифрование и расшифровка данных производятся внутри носителя. К носителям со встроенным СКЗИ относятся Рутокен ЭЦП, Рутокен ЭЦП 2.0 и JaCarta SE.

Криптографические методы защиты информации могут быть реализованы как программными, так и аппаратными средствами. Аппаратный шифратор или устройство криптографической защиты данных (УКЗД) представляет собой, чаще всего, плату расширения, вставляемую в разъем 18А или РС1 системной платы персонального компьютера (ПК) (рис. 3.21). Существуют и другие варианты реализации, например, в виде и8В-ключа с криптографическими функциями (рис. 3.22).

Производители аппаратных шифраторов обычно оснащают их различными дополнительными возможностями, среди которых:

Генерация случайных чисел, необходимых для получения криптографических ключей. Кроме того, многие криптографические алгоритмы используют их и для других целей, например, в алгоритме электронной цифровой подписи, ГОСТ Р 34.10-2001 при каждом вычислении подписи необходимо новое случайное число;

Рис. 3.21. Аппаратный шифратор в виде платы РС1:

1 - технологические разъемы; 2 - память для ведения журнала; 3 - переключатели режимов; 4 - многофункциональная память; 5 - блок управления и микропроцессор; 6- интерфейс РС1; 7- контроллер РС1; 8- ДСЧ; 9- интерфейсы для подключения ключевых носителей

Рис. 3.22.

  • контроль входа на компьютер. При включении ПК устройство требует от пользователя ввести персональную информацию (например, вставить устройство с закрытым ключом). Загрузка операционной системы будет разрешена только после того, как устройство опознает предъявленные ключи и сочтет их «своими». В противном случае придется вскрыть системный блок и изъять оттуда шифратор, чтобы загрузить операционную систему (однако информация на жестком диске ПК тоже может быть зашифрована);
  • контроль целостности файлов операционной системы для предотвращения злоумышленного изменения конфигурационных файлов и системных программ. Шифратор хранит в себе список всех важных файлов с заранее вычисленными для каждого из них контрольными хеш-значениями и, если при следующей загрузке ОС не совпадет с эталоном хеш-значение хотя бы одного из контролируемых файлов, компьютер будет блокирован.

Шифратор, выполняющий контроль входа на ПК и проверяющий целостность операционной системы, называют также «электронным замком» (см. парагр. 1.3).

На рис. 3.23 приведена типовая структура аппаратного шифратора. Рассмотрим функции его основных блоков:

  • блок управления - основной модуль шифратора. Обычно реализуется на базе микроконтроллера, при выборе которого главным является быстродействие и достаточное количество внутренних ресурсов, а также внешних портов для подключения всех необходимых модулей;
  • контроллер системной шины ПК (например, РС1), через который осуществляется основной обмен данными между УКЗД и компьютером;
  • энергонезависимое запоминающее устройство (ЗУ), реализуемое обычно на базе микросхем флэш-памяти. Оно должно быть достаточно емким (несколько мегабайт) и допускать большое число циклов записи. Здесь размещается программное обеспечение микроконтроллера, которое вы-

Рис. 3.23. Структура УКЗД полняется при инициализации устройства (когда шифратор перехватывает управление при загрузке компьютера);

  • память журнала аудита, также представляющая собой энергонезависимое ЗУ (во избежание возможных коллизий память для программ и память для журнала не должны объединяться);
  • шифропроцессор (или несколько подобных блоков) - специализированная микросхема или микросхема программируемой логики PLD (Programmable Logic Device), обеспечивающая выполнение криптографических операций (шифрование и расшифрование, вычисление и проверка ЭЦП, хэширование);
  • генератор случайных чисел, представляющий собой устройство, выдающее статистически случайный и непредсказуемый сигнал (так называемый белый шум). Это может быть, например, шумовой диод. Перед дальнейшим использованием в шифропроцессоре по специальным правилам белый шум преобразуется в цифровую форму;
  • блок ввода ключевой информации. Обеспечивает защищенное получение закрытых ключей с ключевого носителя и ввод идентификационной информации о пользователе, необходимой для его аутентификации;
  • блок коммутаторов, необходимых для отключения возможности работы с внешними устройствами (дисководами, CD- ROM, параллельным и последовательным портами, шиной USB и т. д.). Если пользователь работает с особо секретной информацией, УКЗД при входе на компьютер заблокирует все внешние устройства, включая даже сетевую карту.

Криптографические операции в УКЗД должны выполняться так, чтобы исключить несанкционированный доступ к сеансовым и закрытым ключам и возможность воздействия на результаты их выполнения. Поэтому шифропроцессор логически состоит из нескольких блоков (рис. 3.24):

  • вычислитель - набор регистров, сумматоров, блоков подстановки ит. п., связанных между собой шинами передачи данных. Предназначен для максимально быстрого выполнения криптографических операций. На вход вычислитель получает открытые данные, которые следует зашифровать (расшифровать) или подписать, и криптографический ключ;
  • блок управления - аппаратно реализованная программа, управляющая вычислителем. Если по какой-либо причине

Рис. 3.24.

программа изменится, его работа начнет давать сбои. Поэтому данная программа должна не только надежно храниться и устойчиво функционировать, но и регулярно проверять свою целостность. Описанный выше внешний блок управления тоже периодически посылает блоку управления контрольные задачи. На практике для большей уверенности в шифраторе устанавливают два шифропроцессора, которые постоянно сравнивают результаты своих криптографических операций (если они не совпадают, операция повторяется);

Буфер ввода-вывода необходим для повышения производительности устройства: пока шифруется первый блок данных, загружается следующий и т. д. То же самое происходит и на выходе. Такая конвейерная передача данных серьезно увеличивает скорость выполнения криптографических операций в шифраторе.

Есть еще одна задача обеспечения безопасности при выполнении шифратором криптографических операций: загрузка ключей в шифратор, минуя оперативную память компьютера, где их теоретически можно перехватить и даже имея подменить. Для этого УКЗД дополнительно содержит порты ввода-вывода (например, СОМ или USB), к которым напрямую подключаются разные устройства чтения ключевых носителей. Это могут быть любые смарт-карты, токены (специальные USB-ключи) или элементы Touch Memory (см. парагр. 1.3). Помимо прямого ввода ключей в УКЗД, многие из таких носителей обеспечивают и их надежное хранение - даже ключевой носитель без знания специального кода доступа (например, PIN-кода) нарушитель не сможет прочесть его содержимое.

Для того чтобы не возникало коллизий при одновременном обращении к шифратору разных программ, в компьютерной системе устанавливается специальное программное обеспечение


Рис. 3.25.

  • (ПО) управления шифратором (рис. 3.25). Такое ПО выдает команды через драйвер шифратора и передает шифратору данные, следя за тем, чтобы потоки информации от разных источников не пересекались, а также за тем, чтобы в шифраторе всегда находились нужные ключи. Таким образом, УКЗД выполняет два принципиально разных вида команд:
  • перед загрузкой операционной системы выполняются команды, находящиеся в памяти шифратора, которые осуществляют все необходимые проверки (например, идентификацию и аутентификацию пользователя) и устанавливают требуемый уровень безопасности (например, отключают внешние устройства);
  • после загрузки ОС (например, Vindows) выполняются команды, поступающие через ПО управления шифратором (шифровать данные, перезагружать ключи, вычислять случайные числа и т. д.).

Такое разделение необходимо из соображений безопасности - после выполнения команд первого блока, которые нельзя обойти, нарушитель уже не сможет совершить несанкционированные действия.

Еще одно назначение ПО управления шифратором - обеспечить возможность замены одного шифратора на другой (скажем, на более производительный или реализующий другие криптоалгоритмы), не меняя программного обеспечения. Это происходит аналогично, например, смене сетевой карты: шифратор поставляется вместе с драйвером, который позволяет программам выполнять стандартный набор криптографических функций в соответствии с каким-либо интерфейсом прикладного программирования (например, Сгур1оАР1).

Таким же образом можно заменить аппаратный шифратор на программный (например, на эмулятор шифратора). Для этого программный шифратор выполняют обычно в виде драйвера, предоставляющего тот же набор функций.

Впрочем, ПО управления шифратором нужно не всем УКЗД (в частности, шифратор для «прозрачного» шифрования-расшифрования всего жесткого диска ПК достаточно настроить один раз).

Для дополнительного обеспечения безопасности выполнения криптографических операций в УКЗД может применяться многоуровневая защита криптографических ключей симметричного шифрования, при которой случайный сеансовый ключ шифруется долговременным ключом пользователя, а тот, в свою очередь, главным ключом (рис. 3.26).

На этапе начальной загрузки в ключевую ячейку № 3 ЗУ шифратора заносится главный ключ. Но для трехуровневого шифрования необходимо получить еще два. Сеансовый ключ генерируется в результате запроса к генератору (датчику) случай-

Рис. 3.26. Шифрование файла с помощью УКЗД ных чисел (ДСЧ) шифратора на получение случайного числа, которое загружается в ключевую ячейку № 1, соответствующую сеансовому ключу. С его помощью шифруется содержимое файла и создается новый файл, хранящий зашифрованную информацию.

Далее у пользователя запрашивается долговременный ключ, который загружается в ключевую ячейку № 2 с расшифровкой посредством главного ключа, находящегося в ячейке № 3. Надежный шифратор должен иметь режим расшифровки одного ключа с помощью другого внутри шифропроцессора; в этом случае ключ в открытом виде вообще никогда «не покидает» шифратора. И наконец, сеансовый ключ зашифровывается с помощью долговременного ключа, находящегося в ячейке № 2, выгружается из шифратора и записывается в заголовок зашифрованного файла.

При расшифровке файла сначала с помощью долговременного ключа пользователя расшифровывается сеансовый ключ, а затем с его помощью восстанавливается информация.

В принципе можно использовать для шифрования и один ключ, но многоключевая схема имеет серьезные преимущества. Во-первых, снижается возможность атаки на долговременный ключ, так как он используется только для шифрования коротких сеансовых ключей. А это усложняет нарушителю криптоанализ зашифрованной информации с целью получения долговременного ключа. Во-вторых, при смене долговременного ключа можно очень быстро заново зашифровать файл: достаточно заново зашифровать сеансовый ключ со старого долговременного на новый. В-третьих, разгружается ключевой носитель, так как на нем хранится только главный ключ, а все долговременные ключи (а их может быть у пользователя несколько для различных целей) могут храниться в зашифрованном с помощью главного ключа виде даже на жестком диске ПК.

Шифраторы в виде ШВ-ключей (см. рис. 3.22) пока не могут стать полноценной заменой аппаратному шифратору для шины РС1 из-за низкой скорости шифрования. Однако у них есть несколько интересных особенностей. Во-первых, токен (ШВ-ключ) представляет собой не только аппаратный шифратор, но и носитель ключей шифрования, т. е. устройство «два в одном». Во-вторых, токены обычно соответствуют распространенным международным криптографическим стандартам (РКСБ #11, 1БО 7816, РС/8С и т. д.), и их можно использовать без дополнительной настройки в уже существующих программных средствах защиты информации (например, с их помощью можно проводить аутентификацию пользователей в ОС семейства Microsoft Windows). И наконец, цена такого шифратора в десятки раз ниже, чем классического аппаратного шифратора для шины PCI.

Средства криптографической защиты информации, или сокращенно СКЗИ, используются для обеспечения всесторонней защиты данных, которые передаются по линиям связи. Для этого необходимо соблюсти авторизацию и защиту электронной подписи, аутентификацию сообщающихся сторон с использованием протоколов TLS и IPSec, а также защиту самого канала связи при необходимости.

В России использование криптографических средств защиты информации по большей части засекречено, поэтому общедоступной информации касательно этой темы мало.

Методы, применяемые в СКЗИ

  • Авторизация данных и обеспечение сохранности их юридической значимости при передаче или хранении. Для этого применяют алгоритмы создания электронной подписи и ее проверки в соответствии с установленным регламентом RFC 4357 и используют сертификаты по стандарту X.509.
  • Защита конфиденциальности данных и контроль их целостности. Используется асимметричное шифрование и имитозащита, то есть противодействие подмене данных. Соблюдается ГОСТ Р 34.12-2015.
  • Защита системного и прикладного ПО. Отслеживание несанкционированных изменений или неверного функционирования.
  • Управление наиболее важными элементами системы в строгом соответствии с принятым регламентом.
  • Аутентификация сторон, обменивающихся данными.
  • Защита соединения с использованием протокола TLS.
  • Защита IP-соединений при помощи протоколов IKE, ESP, AH.

Подробным образом методы описаны в следующих документах: RFC 4357, RFC 4490, RFC 4491.

Механизмы СКЗИ для информационной защиты

  1. Защита конфиденциальности хранимой или передаваемой информации происходит применением алгоритмов шифрования.
  2. При установлении связи идентификация обеспечивается средствами электронной подписи при их использовании во время аутентификации (по рекомендации X.509).
  3. Цифровой документооборот также защищается средствами электронной подписи совместно с защитой от навязывания или повтора, при этом осуществляется контроль достоверности ключей, используемых для проверки электронных подписей.
  4. Целостность информации обеспечивается средствами цифровой подписи.
  5. Использование функций асимметричного шифрования позволяет защитить данные. Помимо этого для проверки целостности данных могут быть использованы функции хеширования или алгоритмы имитозащиты. Однако эти способы не поддерживают определения авторства документа.
  6. Защита от повторов происходит криптографическими функциями электронной подписи для шифрования или имитозащиты. При этом к каждой сетевой сессии добавляется уникальный идентификатор, достаточно длинный, чтобы исключить его случайное совпадение, и реализуется проверка принимающей стороной.
  7. Защита от навязывания, то есть от проникновения в связь со стороны, обеспечивается средствами электронной подписи.
  8. Прочая защита - против закладок, вирусов, модификаций операционной системы и т. д. - обеспечивается с помощью различных криптографических средств, протоколов безопасности, антивирусных ПО и организационных мероприятий.

Как можно заметить, алгоритмы электронной подписи являются основополагающей частью средства криптографической защиты информации. Они будут рассмотрены ниже.

Требования при использовании СКЗИ

СКЗИ нацелено на защиту (проверкой электронной подписи) открытых данных в различных информационных системах общего использования и обеспечения их конфиденциальности (проверкой электронной подписи, имитозащитой, шифрованием, проверкой хеша) в корпоративных сетях.

Персональное средство криптографической защиты информации используется для охраны персональных данных пользователя. Однако следует особо выделить информацию, касающуюся государственной тайны. По закону СКЗИ не может быть использовано для работы с ней.

Важно: перед установкой СКЗИ первым делом следует проверить сам пакет обеспечения СКЗИ. Это первый шаг. Как правило, целостность пакета установки проверяется путем сравнения контрольных сумм, полученных от производителя.

После установки следует определиться с уровнем угрозы, исходя из чего можно определить необходимые для применения виды СКЗИ: программные, аппаратные и аппаратно-программные. Также следует учитывать, что при организации некоторых СКЗИ необходимо учитывать размещение системы.

Классы защиты

Согласно приказу ФСБ России от 10.07.14 под номером 378, регламентирующему применение криптографических средств защиты информации и персональных данных, определены шесть классов: КС1, КС2, КС3, КВ1, КВ2, КА1. Класс защиты для той или иной системы определяется из анализа данных о модели нарушителя, то есть из оценки возможных способов взлома системы. Защита при этом строится из программных и аппаратных средств криптографической защиты информации.

АУ (актуальные угрозы), как видно из таблицы, бывают 3 типов:

  1. Угрозы первого типа связаны с недокументированными возможностями в системном ПО, используемом в информационной системе.
  2. Угрозы второго типа связаны с недокументированными возможностями в прикладном ПО, используемом в информационной системе.
  3. Угрозой третьего типа называются все остальные.

Недокументированные возможности - это функции и свойства программного обеспечения, которые не описаны в официальной документации или не соответствуют ей. То есть их использование может повышать риск нарушения конфиденциальности или целостности информации.

Для ясности рассмотрим модели нарушителей, для перехвата которых нужен тот или иной класс средств криптографической защиты информации:

  • КС1 - нарушитель действует извне, без помощников внутри системы.
  • КС2 - внутренний нарушитель, но не имеющий доступа к СКЗИ.
  • КС3 - внутренний нарушитель, который является пользователем СКЗИ.
  • КВ1 - нарушитель, который привлекает сторонние ресурсы, например специалистов по СКЗИ.
  • КВ2 - нарушитель, за действиями которого стоит институт или лаборатория, работающая в области изучения и разработки СКЗИ.
  • КА1 - специальные службы государств.

Таким образом, КС1 можно назвать базовым классом защиты. Соответственно, чем выше класс защиты, тем меньше специалистов, способных его обеспечивать. Например, в России, по данным за 2013 год, существовало всего 6 организаций, имеющих сертификат от ФСБ и способных обеспечивать защиту класса КА1.

Используемые алгоритмы

Рассмотрим основные алгоритмы, используемые в средствах криптографической защиты информации:

  • ГОСТ Р 34.10-2001 и обновленный ГОСТ Р 34.10-2012 - алгоритмы создания и проверки электронной подписи.
  • ГОСТ Р 34.11-94 и последний ГОСТ Р 34.11-2012 - алгоритмы создания хеш-функций.
  • ГОСТ 28147-89 и более новый ГОСТ Р 34.12-2015 - реализация алгоритмов шифрования и имитозащиты данных.
  • Дополнительные криптографические алгоритмы находятся в документе RFC 4357.

Электронная подпись

Применение средства криптографической защиты информации невозможно представить без использования алгоритмов электронной подписи, которые набирают все большую популярность.

Электронная подпись - это специальная часть документа, созданная криптографическими преобразованиями. Ее основной задачей являются выявление несанкционированного изменения и определение авторства.

Сертификат электронной подписи - это отдельный документ, который доказывает подлинность и принадлежность электронной подписи своему владельцу по открытому ключу. Выдача сертификата происходит удостоверяющими центрами.

Владелец сертификата электронной подписи - это лицо, на имя которого регистрируется сертификат. Он связан с двумя ключами: открытым и закрытым. Закрытый ключ позволяет создать электронную подпись. Открытый ключ предназначен для проверки подлинности подписи благодаря криптографической связи с закрытым ключом.

Виды электронной подписи

По Федеральному закону № 63 электронная подпись делится на 3 вида:

  • обычная электронная подпись;
  • неквалифицированная электронная подпись;
  • квалифицированная электронная подпись.

Простая ЭП создается за счет паролей, наложенных на открытие и просмотр данных, или подобных средств, косвенно подтверждающих владельца.

Неквалифицированная ЭП создается с помощью криптографических преобразований данных при помощи закрытого ключа. Благодаря этому можно подтвердить лицо, подписавшее документ, и установить факт внесения в данные несанкционированных изменений.

Квалифицированная и неквалифицированная подписи отличаются только тем, что в первом случае сертификат на ЭП должен быть выдан сертифицированным ФСБ удостоверяющим центром.

Область использования электронной подписи

В таблице ниже рассмотрены сферы применения ЭП.

Активнее всего технологии ЭП применяются в обмене документами. Во внутреннем документообороте ЭП выступает в роли утверждения документов, то есть как личная подпись или печать. В случае внешнего документооборота наличие ЭП критично, так как является юридическим подтверждением. Стоит также отметить, что документы, подписанные ЭП, способны храниться бесконечно долго и не утрачивать своей юридической значимости из-за таких факторов, как стирающиеся подписи, испорченная бумага и т. д.

Отчетность перед контролирующими органами - это еще одна сфера, в которой наращивается электронный документооборот. Многие компании и организации уже оценили удобство работы в таком формате.

По закону Российской Федерации каждый гражданин вправе пользоваться ЭП при использовании госуслуг (например, подписание электронного заявления для органов власти).

Онлайн-торги - еще одна интересная сфера, в которой активно применяется электронная подпись. Она является подтверждением того факта, что в торгах участвует реальный человек и его предложения могут рассматриваться как достоверные. Также важным является то, что любой заключенный контракт при помощи ЭП приобретает юридическую силу.

Алгоритмы электронной подписи

  • Full Domain Hash (FDH) и Public Key Cryptography Standards (PKCS). Последнее представляет собой целую группу стандартных алгоритмов для различных ситуаций.
  • DSA и ECDSA - стандарты создания электронной подписи в США.
  • ГОСТ Р 34.10-2012 - стандарт создания ЭП в РФ. Данный стандарт заменил собой ГОСТ Р 34.10-2001, действие которого официально прекратилось после 31 декабря 2017 года.
  • Евразийский союз пользуется стандартами, полностью аналогичными российским.
  • СТБ 34.101.45-2013 - белорусский стандарт для цифровой электронной подписи.
  • ДСТУ 4145-2002 - стандарт создания электронной подписи в Украине и множество других.

Стоит также отметить, что алгоритмы создания ЭП имеют различные назначения и цели:

  • Групповая электронная подпись.
  • Одноразовая цифровая подпись.
  • Доверенная ЭП.
  • Квалифицированная и неквалифицированная подпись и пр.