ПЕРЕЛІК ДИСЦИПЛІН:
  • Адміністративне право
  • Арбітражний процес
  • Архітектура
  • Астрологія
  • Астрономія
  • Банківська справа
  • Безпека життєдіяльності
  • Біографії
  • Біологія
  • Біологія і хімія
  • Ботаніка та сільське гос-во
  • Бухгалтерський облік і аудит
  • Валютні відносини
  • Ветеринарія
  • Військова кафедра
  • Географія
  • Геодезія
  • Геологія
  • Етика
  • Держава і право
  • Цивільне право і процес
  • Діловодство
  • Гроші та кредит
  • Природничі науки
  • Журналістика
  • Екологія
  • Видавнича справа та поліграфія
  • Інвестиції
  • Іноземна мова
  • Інформатика
  • Інформатика, програмування
  • Юрист по наследству
  • Історичні особистості
  • Історія
  • Історія техніки
  • Кибернетика
  • Комунікації і зв'язок
  • Комп'ютерні науки
  • Косметологія
  • Короткий зміст творів
  • Криміналістика
  • Кримінологія
  • Криптология
  • Кулінарія
  • Культура і мистецтво
  • Культурологія
  • Російська література
  • Література і російська мова
  • Логіка
  • Логістика
  • Маркетинг
  • Математика
  • Медицина, здоров'я
  • Медичні науки
  • Міжнародне публічне право
  • Міжнародне приватне право
  • Міжнародні відносини
  • Менеджмент
  • Металургія
  • Москвоведение
  • Мовознавство
  • Музика
  • Муніципальне право
  • Податки, оподаткування
  •  
    Бесплатные рефераты
     

     

     

     

     

     

         
     
    Системи захисту інформації
         

     

    Комунікації і зв'язок

    на тему: Ефективність систем захисту. Оцінка економічної ефективності систем захисту.

    Зміст


    Введення ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 3


    1.Електронний замок "СОБОЛЬ" ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 4

    2. Система захисту інформації "Secret Net 4.0" ... ... ... ... ... ... ... ... ... ... ... 9
    3. "Акорд 1.95" ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 13
    4. "Грім-ДИСК" ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 14
    5. СКЗІ "Верба - ОW" ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 15
    6. Пристрої криптографічного захисту даних (УКЗД) серії

    Криптон ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 23

    6.1. КРІПТОН-ЗАМОК/PCI

    апаратно-програмний модуль довіреної завантаження ... ... ... ... ... ... .26

    6.2. Crypton ArcMail ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .28

    6.3. Криптон-Шифрування ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 29

    6.4. Криптон-Підпис ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 29

    6.5. Криптон-IP ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .30

    6.6. Криптон AncNet ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .35

    6.7. Криптон-IDE ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 36

    6.8. Crypton Disk ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 37

    6.9. Crypton Lock ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 37

    Висновок ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 39

    Список використовуваної літератури ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 40

    Рис. 1.1.

    1.ЕЛЕКТРОННИЙ ЗАМОК "СОБОЛЬ"

    Електронні замки «Соболь» (Рис. 1.2.), І «Соболь-PCI» (Рис. 1.1.),розроблені науково-інженерним підприємством «Інформзахист» і призначенідля захисту ресурсів комп'ютера від несанкціонованого доступу.
    Рис. 1.2.

    Електронні замки «Соболь» і «Соболь-PCI» сертифіковані Федеральнимагентством урядового зв'язку та інформації Росії. Сертифікати ФАПСИ №
    СФ/122-0305 і № СФ/022-0306 від 10.02.2000, а також і сертифікат № СФ/527-
    0553 від 01.07.2002 дозволяють застосовувати дані засоби для захистуінформації, що становить комерційну або державну таємницю.

    Крім того, електронний замок «Соболь-PCI" сертифіковано
    Держтехкомісії Росії. Сертифікат № 457 від 14.05.2001 р. підтверджуєвідповідність даного виробу вимогам Керівного документа
    Держтехкомісії Росії «Автоматизовані системи. Захист віднесанкціонованого доступу до інформації. Класифікація автоматизованихсистем і вимоги щодо захисту інформації »і дозволяє використовувати данийпродукт при розробці систем захисту для автоматизованих систем зкласом захищеності до 1В включно.

    Застосування

    Електронний замок «Соболь»/«Соболь-PCI» може застосовуватися як пристрій,що забезпечує захист автономного комп'ютера, а також робочої станції абосервера, що входять до складу локальної обчислювальної мережі.
    Система захисту Електронний замок «Соболь»/«Соболь-PCI» має наступніможливостями:

    . Ідентифікація та автентифікація користувачів.

    . Реєстрація спроб доступу до ПЕОМ.

    . Заборона завантаження ОС зі знімних носіїв.

    . Контроль цілісності програмного середовища.
    Можливості з ідентифікації і аутентифікації користувачів, а такожреєстрація спроб доступу до ПЕОМ не залежать від типу що використовується ОС.

    Ідентифікація та автентифікація користувачів.

    Кожен користувач комп'ютера реєструється в системі електроннийзамок «Соболь»/«Соболь-PCI», встановленої на даному комп'ютері.
    Реєстрація користувача здійснюється адміністратором і складається ввизначенні імені реєструється користувача, присвоєння йомуперсонального ідентифікатора і призначення пароля.

    Дія електронного замку «Соболь»/«Соболь-PCI» полягає в перевірціперсонального ідентифікатора і пароля користувача при спробі входу всистему. У разі спроби входу в систему не зареєстрованогокористувача електронний замок «Соболь» реєструє спробу НСД іздійснюється апаратне блокування до 4-х пристроїв, наприклад: FDD, CD-
    ROM, ZIP, LPT, SCSI-порти (електронний замок «Соболь-PCI» дозволяєблокувати до 3-х пристроїв).

    В електронному замку використовуються ідентифікатори Touch Memory фірми
    Dallas Semiconductor. Завантаження операційної системи з жорсткого дисказдійснюється тільки після пред'явлення зареєстрованогоідентифікатора. Службова інформація про реєстрацію користувача (ім'я, номерприсвоєного персонального ідентифікатора і т.д.) зберігається внезалежній пам'яті електронного замку.

    Реєстрація спроб доступу до ПЕОМ.

    Електронний замок «Соболь»/«Соболь-PCI» здійснює веденнясистемного журналу, записи якого зберігаються в спеціальнійнезалежній пам'яті.

    Електронний замок фіксує в системному журналі вхід користувачів,спроби входу, спроби НСД та інші події, пов'язані з безпекоюсистеми.

    У системному журналі зберігається наступна інформація: дата і час події,ім `я та інформація про тип події, наприклад:

    . Факт входу користувача;

    . Введення неправильного пароля;

    . Пред'явлення не зареєстрованого ідентифікатора користувача;

    . Перевищення кількості спроб входу в систему;

    . Інші події.

    Таким чином, електронний замок «Соболь» надає інформаціюадміністратора про всі спроби доступу до ПЕОМ.

    Контроль цілісності програмного середовища і заборона завантаження зі знімнихносіїв

    Підсистема контролю цілісності розширює можливості електронногозамку «Соболь»/«Соболь-PCI». Контроль цілісності системних областей дисківі найбільш критичних файлів здійснюється за алгоритмом ГОСТ 28147-89 врежимі імітовставки (Рис. 1.3.). Адміністратор має можливість задатирежим роботи електронного замку, при якому буде блокований вхідкористувачів в систему при порушенні цілісності контрольованих файлів.
    Рис. 1.3.

    Підсистема заборони завантаження з дискети і CD ROM дисказабезпечує заборону завантаження операційної системи з цих знімних носіївдля всіх користувачів комп'ютера, окрім адміністратора. Адміністраторможе дозволити окремим користувачам комп'ютера виконувати завантаженняопераційної системи зі знімних носіїв.

    Підсистеми контролю цілісності і підсистеми заборони завантаження зі знімнихносіїв функціонують під управлінням наступних ОС:

    . MS DOS версій 5.0-6.22;

    . ОС сімейства Windows'9x (FAT12, FAT16 або FAT32);

    . Windows NT версій 3.51 і 4.0 з файловою системою NTFS;

    . Windows 2000 з файловою системою NTFS (тільки «Соболь-PCI »);

    . UNIX FreeBSD (тільки «Соболь-PCI »).

    Можливості з адміністрування

    Для установки електронного замку« Соболь »адміністратор маєможливість:

    . Визначати мінімальну довжину пароля користувача;

    . Визначати граничне число невдалих входів користувача;

    . Додавати і видаляти користувачів;

    . Блокувати роботу користувача на комп'ютері;

    . Створювати резервні копії персональних ідентифікаторів.

    Інші можливості та переваги

    . Найнижча в порівнянні з аналогічними продуктами ціна - 190 доларів «Соболь» для стандарту ISA і 230 доларів «Соболь-PCI»;

    . Датчик випадкових чисел, який відповідає вимогам ФАПСИ.

    . Простота установки, настроювання й адміністрування.

    . Сучасна елементна база, що забезпечує високу надійність і довговічність.

    . Можливість встановлення в будь-якій IBM-сумісний персональний комп'ютер, що має вільний роз'єм стандарту ISA або PCI.

    Використання в Secret Net і Континент-К

    Електронний замок «Соболь»/«Соболь-PCI »може застосовуватися в складісистеми захисту інформації Secret Net для генерації ключів шифрування іелектронно-цифрового підпису. Крім того, при використанні електронногозамку в складі СЗІ Secret Net забезпечується єдине централізованеуправління його можливостями. За допомогою підсистеми управління Secret Netадміністратор безпеки має можливість управляти статусомперсональних ідентифікаторів працівників: привласнювати електронніідентифікатори, тимчасово блокувати, робити їх недійсними, щодозволяє керувати доступом співробітників до комп'ютерів автоматизованоїсистеми організації. Також «Соболь»/«Соболь-PCI» застосовується в складіапаратно-програмного комплексу «Континент-К» для ідентифікації тааутентифікації адміністратора криптографічного шлюзу, формування ключівшифрування і контролю цілісності програмного забезпечення комплексу. Атакож спільно з криптопровайдером КріптоПРО CSP (для забезпечення зберіганнясертифікатів користувача на електронних ідентифікаторах і в якостізасоби формування ключів електронного цифрового підпису).

    Комплектація

    У базовий комплект електронного замку «Соболь»/«Соболь-PCI» входить:

    . Контролер «Соболь»/«Соболь-PCI»;

    . Зчитувач Touch Memory;

    . 2 ідентифікатора DS-1992;

    . Інтерфейс для блокування завантаження з FDD;

    . Інтерфейс для блокування завантаження з CD-ROM;

    . Програмне забезпечення формування списків контрольованих програм;

    . Документація.

    2. Система захисту інформації "Secret Net 4.0"

    Рис. 2.1.
    Призначення:

    Програмно-апаратний комплекс для забезпечення інформаційної безпекив локальної обчислювальної мережі, робочі станції та сервера якій працюютьпід управлінням наступних операційних систем: Windows'9x (Windows 95,
    Windows 98 і їх модифікацій); Windows NT 4.0; UNIX MP-RAS версії
    3.02.00.


    Безпека робочих станцій і серверів мережі забезпечується за допомогоювсіляких механізмів захисту:

    . посилена ідентифікація і автентифікація,

    . повноважне і виборче розмежування доступу,

    . замкнута програмна середа,

    . криптографічний захист даних,

    . інші механізми захисту.
    Адміністратору безпеки надається єдиний засіб управліннявсіма захисними механізмами, що дозволяє централізовано керувати іконтролювати виконання вимог політики безпеки.


    Вся інформація про події в інформаційній системі, що мають відношення добезпеки, реєструється в єдиному журналі реєстрації. Про спробизвершення користувачами неправомірних дій адміністратор безпекидізнається негайно.


    Існують засоби генерації звітів, попередньої обробки журналівреєстрації, оперативного управління віддаленими робочими станціями. Схемасистема захисту інформації "Secret Net 4.0" представлена на Рис. 2.1.

    Компоненти Secret Net

    Система Secret Net складається з трьох компонентів:

    Клієнтська частина Сервер безпеки Підсистема управління Особливістюсистеми Secret Net є клієнт-серверна архітектура, при якійсерверна частина забезпечує централізоване зберігання і обробку данихсистеми захисту, а клієнтська частина забезпечує захист ресурсів робочоїстанції або сервера і зберігання керуючої інформації у власній базіданих.


    Клієнтська частина системи захисту

    Клієнт Secret Net (як автономний варіант, так і мережевою) встановлюєтьсяна комп'ютер, що містить важливу інформацію, будь то робоча станція в мережіабо який-небудь сервер (у тому числі і сервер безпеки).


    Основне призначення клієнта Secret Net:

    Захист ресурсів комп'ютера від несанкціонованого доступу і розмежуванняправ зареєстрованих користувачів. Реєстрація подій, що відбуваються наробочої станції чи сервері мережі, і передача інформації на сервербезпеки. Виконання централізованих та децентралізованих керуючихвпливів адміністратора безпеки.


    Клієнти Secret Net оснащуються засобами апаратної підтримки (дляідентифікації користувачів по електронних ідентифікаторів і управліннязавантаженням з зовнішніх носіїв).


    Сервер безпеки

    Сервер безпеки встановлюється на комп'ютер або виділений контролердомену та забезпечує вирішення наступних завдань:

    Ведення центральної бази даних (ЦБД) системи захисту, що існує підуправлінням СУБД Oracle 8.0 Personal Edition і містить інформацію,необхідну для роботи системи захисту. Збір інформації про відбуваютьсяподії з усіх клієнтів Secret Net в єдиний журнал реєстрації та передачаобробленої інформації підсистемі управління. Взаємодія з підсистемоюуправління і передача команд, що управляють адміністратора на клієнтську частинусистеми захисту.


    Підсистема управління Secret Net

    Підсистема управління Secret Net встановлюється на робочому місціадміністратора безпеки і надає йому наступні можливості:

    Централізоване управління захисними механізмами клієнтів Secret Net.
    Контроль всіх подій що мають відношення до безпеки інформаційноїсистеми. Контроль дій співробітників в ІС організації та оперативнереагування на факти і спроби НСД. Планування запуску процедуркопіювання ЦБД та архівування журналів реєстрації. Схема управління,реалізована в Secret Net, дозволяє управляти інформаційноїбезпекою в термінах реальної предметної області і в повній мірізабезпечити жорстке розділення повноважень адміністратора мережі іадміністратора безпеки.


    Автономний і мережевий варіант

    Система захисту інформації Secret Net випускається в автономному та мережевомуваріантах.

    Автономний варіант - складається тільки з клієнтської частини Secret Net іпризначений для забезпечення захисту автономних комп'ютерів або робочихстанцій і серверів мережі, що містять важливу інформацію. Мережевий варіант --складається з клієнтської частини, підсистеми управління, сервери безпеки ідозволяє реалізувати захист, як усіх комп'ютерів мережі, так і тільки тихробочих станцій і серверів, які зберігають і обробляють важливуінформацію. Причому в мережевому варіанті, завдяки наявності серверабезпеки і підсистеми управління, буде забезпечено централізованеуправління і контроль роботи всіх комп'ютерів, на яких встановленіклієнти Secret Net.


    Сфери застосування Secret Net

    Основними сферами застосування системи Secret Net є:

    Захист інформаційних ресурсів; Централізоване управління інформаційноїбезпекою; Контроль стану інформаційної безпеки.

    Сертифікати Secret Net 4.0

    Сімейство засобів захисту інформації Secret Net має всі необхіднісертифікати Держтехкомісії Росії та Федерального агентстваурядового зв'язку та інформації Росії.


    Система захисту інформації Secret Net 4.0 сертифікована Держтехкомісії
    Росії по 3 класу захищеності. Це означає, що Secret Net 4.0 можназастосовувати для захисту інформації, яка містить відомості, що становлятьдержавну таємницю.

    3. "Акорд 1.95"

    Представлене виріб є одним з ряду програмно-апаратнихкомплексів захисту інформації сімейства "Акорд", що має і автономні, імережеві версії, виконані на платах як для шини ISA, так і для шини РС1.
    Комплекс "Акорд 1.95" забезпечує наступні функції захисту:

    . ідентифікація та автентифікація користувачів;

    . обмеження "часу життя" паролів і часу доступу користувачів до

    ПК;

    . контроль цілісності програм і даних, у тому числі файлів ОС і службових областей жорсткого диска;

    . розмежування доступу до інформаційних та апаратних ресурсів ПК;

    . можливість тимчасового блокування ПК і гасіння екрану при тривалій неактивності користувача до повторного введення ідентифікатора;

    . функціональне замикання інформаційних систем з виключенням можливості несанкціонованого виходу в ОС, завантаження з дискети і переривання контрольних процедур з клавіатури.

    Важливою відмінною рисою "Акорд" є те, що в ньому вповною мірою реалізований принцип відчуження контрольованого і контролюючогооб'єктів один від одного. Контролер "Акорд" має власний процесор,який не тільки захищає від прочитання і модифікації флеш-пам'ять, дезберігаються ключі і контрольні суми, а й організовує виконання перевіркицілісності конфігурації системи ще до завантаження ОС.

    Ще одна перевага "Акорд" - велика кількість атрибутів доступу допрограмами та файлів. Якщо в SecretNet їх три (дозвіл на читання,модифікацію і запуск завдання), то тут їх 11. Це дає адміністраторубільшу свободу в організації доступу користувачів до ресурсів ПК.

    Вбудоване в контролер ПО забезпечує розбір найбільш популярнихфайлових систем: FAT12, FAT16, FAT32, NTFS, HPFS, FreeBSD. У комплектпоставки крім контролера, зчитувача Touch Memory і двох ключів входитьпрограмна оболонка "Акорд 1.95", інсталяційна програма ідокументація на дискетах. Загальну сприятливу оцінку трохи псує лишенедостатньо докладна документація.

    4. "Грім-ДИСК"

    Спільний продукт АТЗТ "НІІМВ" і ВАТ "ЕЛіПС" цікавий своєюнадійністю і уявною простотою. Пристрій призначений для захистуданих на жорсткому диску з інтерфейсом IDE. "Прозоре" шифруванняреалізовано на апаратному рівні IDE-інтерфейсу. Плата шифратора і жорсткийдиск поміщені в знімний контейнер, завдяки чому їх можна в будь-який часпросто вийняти з компь?? тера і, наприклад, помістити в сейф. Спереду наконтейнері укріплено пристрій зчитування ключів Touch Memory і сигнальнісве-тодіоди. ПЗУ з інтерфейсом користувача знаходиться на мережний PCI-платі
    EtherNet NE2000.

    Шифрування проводиться за алгоритмом ГОСТ 28147-89 (що знижуєшвидкість запису/зчитування даних на жорсткому диску на 40%) або за алгоритмом
    Vesta-2M (знижує швидкість на 20%). Слід зазначити, що алгоритм Vesta-
    2M не сертифікований ФАПСИ, і тому не може застосовуватися в держустановах,однак комерційним організаціям він доведеться вельми до речі.

    Логіка роботи пристрою така: щоб "грим-ДИСК" став доступний,користувач повинен ідентифікувати себе за допомогою Touch Memory, ввестипароль під час роботи лічильника-таймера BIOS і натиснути. Післязавантаження операційної системи "грим-ДИСК" готовий до роботи. Для ОС вінє звичайним жорстким диском, який можна встановити і як провідне, іяк ведене пристрій. Всі записані на ньому дані будуть недоступними длясторонніх після перезавантаження або виключення живлення комп'ютера. Якщо ждоступ до закритих даних не потрібний, ніяких спеціальних дій з ПКробити не треба: завантажившись як завжди, тобто не прикладаючиідентифікатора, ви "грим-ДИСКУ" не побачите.

    Пристрій просто і зручно у зверненні. Воно напевно зацікавитьдеякі комерційні організації, проте необхідно враховувати наступнімоменти. Заміна жорсткого диска не може бути виконана власникомкомп'ютера - для цього буде потрібно звертатися до виробника. Крім того,хорошою лазівкою до секретів законного користувача для витонченогозловмисника може стати процедура скидання даних (свопінгу) на системнийдиск. У комплект поставки входять осередок "грим-ДИСК", контейнер з форм -фактором 5,25 дюйма, що зчитує пристрій, таблетка Touch Memory, 20 -
    Гбайт жорсткий диск Seagate, мережева плата з ПЗУ.

    5. СКЗІ "Верба - ОW"

    Захист даних за допомогою криптографічних перетворень
    (перетворення даних шифруванням та (або) виробленням імітовставки) - однез можливих рішень проблеми їхньої безпеки.

    Шифрування даних проводиться з метою приховати змістщо представляється ними інформації. Зашифровані дані стають доступнимитільки для того, хто знає відповідний ключ, за допомогою якого можнарозшифрувати повідомлення, і тому викрадення зашифрованих даних без знанняключа є безглуздим заняттям.

    Передані по каналах зв'язку зашифровані дані критичні доспотворень. Використовувані в СКЗІ "Верба-ОW" методи шифрування гарантують нетільки високу секретність, але й ефективне виявлення перекручувань абопомилок в інформації, що передається.

    Криптографія забезпечує надійний захист даних. Однак необхіднорозуміти, що її застосування не є абсолютним вирішенням усіх проблемзахисту інформації. Для ефективного вирішення проблеми захисту інформаціїнеобхідний цілий комплекс заходів, який включає в себе відповідніорганізаційно-технічні та адміністративні заходи, пов'язані ззабезпеченням правильності функціонування технічних засобів обробки іпередачі інформації, а також встановлення відповідних правил дляобслуговуючого персоналу, допущеного до роботи з конфіденційноюінформацією.

    Основними компонентами криптографії є дані, криптографічнеперетворення і ключ:

    . дані - при зашифрованими вихідними даними буде повідомлення, а результуючими - зашифроване повідомлення. При розшифрування вони міняються місцями. Повідомлення можуть бути різних типів: текст, відео тощо;

    . криптографічне перетворення - під криптографічним перетворенням розуміють перетворення даних за допомогою алгоритму шифрування або вироблення електронно-цифрового підпису. Вважається, що криптографічне перетворення відомо всім, але, не знаючи ключа, за допомогою якого користувач закрив повідомлення, практично неможливо відновити зміст повідомлення або підробити електронно-цифровий підпис. Термін "шифрування" поєднує в собі два процеси: зашифрування і розшифрування інформації. Якщо зашифрування і розшифрування здійснюються з використанням одного і того ж ключа, то такий алгоритм криптографічного перетворення називається симетричним, інакше-асиметричним. У СКЗІ "Верба-OW" використовується симетричний алгоритм криптографічного перетворення;

    . ключ шифрування (ключ зв'язку) - конкретна секретне стан деяких параметрів алгоритму криптографічного перетворення даних. У даному випадку термін "ключ" означає унікальний бітовий шаблон.

    При зашифрованими повідомлення криптографічне перетворення використовуєключ. Він використовується аналогічно звичайному ключу, яким замикають двері, ізакриває повідомлення від сторонніх очей. Для розшифрування повідомлення потрібенвідповідний ключ. Важливо обмежити доступ до ключів шифрування, тому щобудь-який, хто має ключ шифрування, може прочитати зашифроване Вамиповідомлення.

    У СКЗІ "Верба-OW" використовується механізм відкритого розподілу ключів,при якому для формування ключа зв'язку використовується пара ключів: відкритийі секретний ключі шифрування.

    Алгоритм криптографічного перетворення

    У СКЗІ "Верба-ОW" використовується симетричний алгоритмкриптографічного перетворення даних, визначений ГОСТ28147-89. Данийалгоритм призначений для апаратної і програмної реалізації тазадовольняє необхідним криптографічним вимогам. ГОСТ28147-89передбачає декілька режимів роботи алгоритму криптографічногоперетворення. У СКЗІ "Верба-ОW" використовується алгоритм шифрування,заснований на принципі гамування, що має на увазі процеснакладення за певним законом гами шифру на відкриті дані (підгамою розуміється псевдовипадкових двійкова послідовність,виробляється за заданим алгоритмом). ГОСТ 28147-89 також визначаєпроцес вироблення імітовставки. Імітовставка - це послідовністьданих фіксованої довжини, що виробляється за певним правиломз відкритих даних та ключа шифрування. Вироблення імітовставки забезпечуєзахист інформації від випадкових або навмисних спотворень у каналі зв'язку.
    Вироблення імітовставки забезпечує захист від нав'язування помилкових даних.
    Імовірність нав'язування помилкових перешкод дорівнює 10-9. Імітовставка передається поканалу зв'язку разом з зашифрованих повідомленням. Надійшли зашифрованідані розшифровуються, і з отриманих блоків даних виробляєтьсяконтрольна Імітовставка, яка потім порівнюється з імітовставки,отриманої з каналу зв'язку. У разі неспівпадання імітовставок всерозшифровані дані вважаються помилковими.

    Пара: секретний та відкритий ключі

    Останнім часом широкого поширення набули криптографічнісистеми з відкритим розподілом ключів. У таких системах коженкористувач формує два ключі: відкритий і секретний. Секретний ключшифрування повинен зберігатися в таємниці. Відкритий ключ шифрування не єсекретних і може бути опублікований для використання всіма користувачамисистеми, що обмінюються повідомленнями. Знання відкритого ключашифрування не дає практичної можливості визначити секретний ключ.

    Загальний секретний ключ зв'язку (довжиною 256 біт відповідно до вимог ГОСТ
    28147-89) виробляється після того, як абоненти мережі обмінялися своїмивідкритими ключами.

    СКЗІ "Верба-ОW" є системою з відкритим розподілом ключів.
    Кожен користувач виробляє свій секретний ключ, з якого потім здопомогою деякої процедури формується відкритий ключ. Відкриті ключіоб'єднуються в довідник.

    У СКЗІ "Верба-ОW" ключ зашифрування збігається з ключем розшифрування. Призашифрованими повідомлення i-м абонентом для j-ого абонента загальний секретнийключ зв'язку виробляється на основі таємного ключа шифрування i-огоабонента та відкритого ключа шифрування j-ого абонента. Відповідно, длярозшифрування цього повідомлення j-м абонентом формується секретний ключзв'язку на основі таємного ключа шифрування j-ого абонента та відкритогоключа шифрування i-ого абонента. Таким чином, для забезпечення зв'язку зіншими абонентами кожному користувачеві необхідно мати:

    . власний секретний ключ шифрування;

    . довідник відкритих ключів шифрування користувачів мережі конфіденційного зв'язку.

    Приймемо наступну угоду. Абонента, який зашифровує повідомлення,будемо надалі називати відправником; абонента, який розшифровуєзакриті повідомлення-отримувачем.
    Електронний цифровий підпис

    Електронний цифровий підпис-це засіб, що дозволяє на основікриптографічних методів надійно встановити авторство і достовірністьелектронного документа. Електронний цифровий підпис дозволяє замінити прибезпаперовому документообігу традиційні печатку та підпис. При побудовіцифрового підпису замість звичайного зв'язку між печаткою або рукописної підписомі аркушем паперу виступає складна математична залежність міжелектронним документом, секретним і загальнодоступним ключами. Практичнанеможливість підробки електронного цифрового підпису спирається на дужевеликий обсяг певних математичних обчислень.

    Постановка підпису під документом не змінює самого документа, вонатільки дає можливість перевірити автентичність і авторство отриманоїінформації.

    У СКЗІ "Верба-ОW" реалізована система електронного цифрового підпису набазі криптографічного алгоритму, що відповідає ГОСТ Р34.10-94.
    Секретний ключ підпису використовується для вироблення електронного цифровогопідпису. Тільки збереження користувачем в таємниці свого таємного ключагарантує неможливість підробки зловмисником документа і цифровийпідпису від імені який запевняє.

    Відкритий ключ підпису обчислюється як значення деякої функції відсекретного ключа, але знання відкритого ключа не дає можливості визначитисекретний ключ. Відкритий ключ може бути опублікований і використовується дляперевірки дійсності підписаного документа, а також для попередженняшахрайства з боку який запевняє у вигляді відмови його від підписудокумента.

    При роботі з СКЗІ "Верба-ОW" кожен користувач, який має правопідпису, самостійно формує особисті секретний та відкритий ключіпідпису. Відкриті ключі підпису всіх користувачів об'єднуються вдовідники відкритих ключів мережі конфіденційного зв'язку.
    Кожному користувачеві, яка має право підпису, необхідно мати:

    . секретний ключ підпису;

    . довідник відкритих ключів підпису користувачів мережі.

    У СКЗІ "Верба-ОW" реалізована система електронного цифрового підпису набазі асиметричного криптографічного алгоритму згідно з ГОСТ Р 34.10-94.
    Електронний цифровий підпис виробляється на основі електронногодокумента, що вимагає запевнення, і секретного ключа. Відповідно до стандартудокумент "стискається" за допомогою функції хешування (ГОСТР34.11-94
    "Інформаційна технологія. Криптографічного захисту інформації. ФУНКЦІЯ
    Хешування "). Однонаправлений хеш-функція отримує на вході оригіналповідомлення довільної довжини і перетворює його в хеш-значення фіксованоїдовжини (256 біт згідно ГОСТ Р34.11-94). Значення хеш-функції складнимчином залежить від змісту документа, але не дозволяє відновити самдокумент. Хеш-функція чутлива до всіляких змін у тексті.
    Крім того, для цієї функції не можна вирахувати, які два вихідніповідомлення можуть генерувати одне і те ж хеш-значення, оскільки хеш -значення двох 256-бітових документів можуть співпасти в одному з 2256 (1077)випадків. Далі до отриманого хеш-значенням застосовується деякийматематичне перетворення, в результаті якого і виходитьвласне цифровий підпис електронного документа.

    При перевірці підпису перевіряючий повинен мати у своєму розпорядженні відкритим ключемкористувача, що поставив підпис. Перевіряючий повинен бути повністювпевнений в достовірності відкритого ключа (а саме в тому, що є у ньоговідкритий ключ відповідає відкритому ключу конкретного користувача).
    Процедура перевірки підпису складається з обчислення хеш-значення документа іперевірки деяких співвідношень, що пов'язують хеш-значення документа, підписпід цим документом і відкритий ключ підписала користувача. Документвважається справжнім, а підпис правильною, якщо ці співвідношеннявиконуються. В іншому випадку підпис під документом вважаєтьсянедійсною.

    Для вирішення спорів між відправником і одержувачем інформації,пов'язаних з можливістю викривлення пересилається документа або відкритогоключа перевірки підпису, достовірна копія цього ключа може видаватисятретій стороні (арбітра) і застосовуватися їм при виникненні конфліктуміж відправником і одержувачем. Наявність у абонента секретного ключа недозволяє йому самому змінити свій номер в мережі або виробити підпис підномером іншого абонента.

    Для контролю цілісності і справжності довідників відкритих ключіввикористовується процедура вироблення імітовставки, що визначається ГОСТ 28147-89.
    При перевірці підпису перевіряючий повинен мати у своєму розпорядженні відкритим ключемкористувача, що поставив підпис. Перевіряючий повинен бути повністювпевнений в достовірності відкритого ключа (а саме в тому, що є у ньоговідкритий ключ відповідає відкритому ключу конкретного користувача).

    Процедура перевірки підпису складається з обчислення хеш-значення документа іперевірки деяких співвідношень, що пов'язують хеш-значення документа, підписпід цим документом і відкритий ключ підписала користувача. Документвважається справжнім, а підпис правильною, якщо ці співвідношеннявиконуються. В іншому випадку підпис під документом вважаєтьсянедійсною.
    АРМ Адміністратора безпеки

    АРМ Адміністратора безпеки (АРМ АБ), що функціонує під управліннямопераційної системи MS DOS v5.0 і вище на персональних ЕОМ, сумісних з
    IBM PC/АТ (процесор 80386 і вище), призначений для роботи з ключовоюінформацією. Він дозволяє:

    . на основі вихідної ключової інформації, що знаходиться на ліцензійній дискеті виробляти робочі ключі (секретні та відкриті) шифрування користувачів;

    . на основі ключів шифрування формувати секретні та відкриті ключі

    ЕЦП;

    . створювати робочі копії ключових дискет шифрування і ЕЦП;

    . готувати ключі шифрування і секретні ключі ЕЦП для зберігання на жорсткому диску.

    Ядром АРМ АБ є програма HOST_O.EXE, що входить до складу СКЗІ "Верба-
    ОW ". При роботі з ключовою інформацією використовується також програмнийдатчик випадкових чисел - резидентний драйвер CYPRASW.EXE. Правила роботи зключовою інформацією і цими програмами описані в документах "ЯЦІТ.00007-
    01 90 01. Адміністратор безпеки.
    Ключова система.
    Ідентифікація абонента в мережі.

    Кожна підмережа однозначно визначається всередині всієї інформаційної мережіномером SSSSSS, який може приймати значення від 000000 до 999999. Цейномер присвоюється ключовому диску з вихідною ключовою інформацією іназивається номером серії. Абоненти всередині всієї мережі розрізняються за номерамивиду XXXXSSSSSSYY, а всередині окремої підмережі-за номерами виду XXXXYY.
    Номери всередині окремої підмережі розподіляються користувачем при створенніносіїв ключової інформації. Складова XXXX позначає номер ключовогодиска для шифрування і може приймати значення від 0000 до 9999. Ключовийдиск для підпису створюється з використанням ключового диска для шифрування.
    На кожному ключовому диску для шифрування можна створювати від 0 до 99 ключовихдисків для підпису, які ідентифікуються за особистим кодом YY. Такимчином, абоненти, що володіють правом шифрувати документи, ідентифікуютьсявсередині окремої підмережі за номерами виду XXXX, де XXXX - номер ключовоюдискети; абоненти, що володіють правом підпису - за номерами виду XXXXYY, де
    XXXX - номер ключової дискети, YY - особистий код.
    Носії ключової інформації
    Типи ключових дисків
    У СКЗІ "Верба-ОW" використовуються такі типи носіїв ключовоїінформації:

    . ключовий диск для шифрування;

    . ключовий диск для підпису;

    . суміщений ключовий диск (з ключами шифрування і підпису) та їх робочі копії.

    При створенні робочих копій ключових дисків необхідно використовуватикошти СКЗІ "Верба-ОW". Отриманий за допомогою СКЗІ "Верба-ОW" робочий дискне є точною копією вихідного, але повністю виконує його функції.
    Не можна створити робочу копію вихідного диска з ключовою інформацією простимкопіювання файлів з вихідного ключового диска.
    Створення носітелей ключової інформації.

    Вихідні ключові диски для шифрування виготовляються ФАПСИ за заявкоюкористувача і містять відповідний даному абонентові вектор ключівшифрування, номер серії та іншу службову інформацію. Ключовий диск дляпідпису формується користувачем на основі диска для шифрування або йогоробочої копії. Після завершення вироблення ключів сформується файл,що містить ключ підпису, його номер, а також індивідуальні ключі шифруваннясекретних ключів підпису та шифрування для зберігання їх на ЖМД. Секретніключі користувача повинні зберігатися в таємниці.
    Тимчасове зберігання секретних ключів на жорсткому диску.

    ВО "Верба-ОW" передбачає можливість зберігання секретних ключів нажорсткому диску, що зручно при частому зверненні до ключової інформації.

    Секретні і відкриті ключі шифрування та підписи зберігаються в захищеномувигляді. При зберіганні на ключовому ГМД ключі перешіфровиваются на такзваному головному ключі, при тимчасовому зберіганні на ЖМД-на головному ключі іна індивідуальних ключі шифрування секретних ключів.
    Типи ключів.
    Визначено такі типи відкритих ключів:

    . діючий;

    . скомпрометований;

    . резервний.

    Зміна ключів.
    Зміна ключів можлива в наступних ситуаціях:

    . планова зміна ключів;

    . компрометація ключа;

    . введення в дію нового ключа;

    . видалення ключа.

    Планову зміну ключів рекомендується проводити не рідше одного разу нарік. При плановій зміні ключів, при їх компрометації та видалення абонента ізмережі конфіденційного зв'язку, всі секретні ключі (шифрування, підпису)повинні бути знищені, а виведені з дії відкриті ключі повиннізберігатися протягом певного "центром" часу для розбору конфліктнихситуацій. Після знищення ключової інформації (при компрометації ключа)вводяться в дію резервні ключі. Всі зміни повинні негайновідображатися в довідниках ключів і негайно розсилатися всім абонентаммережі.
    Знищення ключової інформації.

    Для знищення ключової інформації передбачена спеціальнапроцедура форматування ключової дискети, яка прописує несекретнуінформацію для того, щоб наявні на ній дані зникли фізично.

    Технічні характеристики

    У 2000 р. довжина відкритих ключів шифрування і підпису збільшена до 1024біт.

    При обробці інформації на ПЕОМ СКЗІ "Верба-ОW" забезпечуєнаступні показники (без урахування часу звернення до пристроїв введення -виводу):

    Операції Intel Celeron 266 МГц

    Шифрування/розшифрування 2,0 МБайт/с

    Обчислення хеш-функції 1,9 МБайт/с

    Формування ЕЦП 0,01 с

    Перевірка ЕЦП 0,04 с

    6. Пристрої криптографічного захисту даних (УКЗД) серії Криптон

    Пристрої криптографічного захисту даних (УКЗД) серії Криптон - цеапаратні шифратори для IBM PC-сумісних комп'ютерів. Пристроїзастосовуються у складі засобів і систем криптографічного захисту даних длязабезпечення інформаційної безпеки (в тому числі захисту з високимрівнем секретності) у державних і комерцій

         
     
         
    Реферат Банк
     
    Рефераты
     
    Бесплатные рефераты
     

     

     

     

     

     

     

     
     
     
      Все права защищены. Reff.net.ua - українські реферати ! DMCA.com Protection Status