Электронная цифровая подпись и особенности ее применения
суют грамоту другую
С давних времен от человека к человеку пересылались различные послания. Иногда это были подложные письма от подставного адресата. Чтобы этого избежать, ставились на бумаге признаки подлинности: подписи, печати и пр., что в полной мере не гарантировало от несанкционированного доступа к содержанию письма. В настоящее время пользователь, получив послание в электронном виде, должен быть уверен, что:
Для обеспечения авторства и исключения возможности внесения искажений в текст документа используются различные механизмы шифрования (криптографии). Криптография — это наука об обеспеченности секретности и/или аутентичности (подлинности) передаваемых сообщений. Шифрование производится программными и аппаратными средствами.
Шифрование может быть симметричным и ассиметричным. Первое основывается на использовании одного и того же секретного ключа для шифрования и дешифрования. Второе характеризуется тем, что для шифрования используется один общедоступный ключ, а для дешифрования — другой, являющийся секретным, при этом знание общедоступного ключа не позволяет определить секретный ключ.
Названные проблемы позволяет решить криптография с открытым ключом, использующая ассиметричные алгоритмы шифрования.*
Ключи можно использовать и для обеспечения конфиденциальности послания, и для аутентификации его автора. В первом случае для шифрования послания отправитель использует открытый ключ получателя, и таким образом оно останется зашифрованным, пока получатель не расшифрует его личным ключом. Во втором случае, отправитель шифрует послание личным ключом, к которому только он сам имеет доступ.
Другое преимущество криптографии с открытым ключом в том, что она позволяет аутентифицировать отправителя послания. Поскольку вы — единственный, кто имеет возможность зашифровать какую-либо информацию вашим личным ключом, всякий, кто использует ваш открытый ключ для расшифровки послания, может быть уверен, что оно от вас. Таким образом, шифрование электронного документа вашим личным ключом схоже с подписью на бумажном документе. Но не забывайте: нет никаких гарантий, что помимо получателя ваше послание не прочтет кто-то еще. Использование криптографических алгоритмов с открытым ключом для шифрования посланий — это достаточно медленный вычислительный процесс, поэтому специалисты по криптографии придумали способ быстро генерировать короткое, уникальное представление вашего послания, называемое дайджестом послания. Дайджест можно зашифровать, а затем использовать как вашу цифровую подпись.
Самый лучший и надежный способ распространения открытых ключей — воспользоваться услугами сертификационных центров. Сертификационный центр выступает как хранилище цифровых сертификатов. Он принимает ваш открытый ключ вместе с доказательствами вашей личности (какими — зависит от класса сертификата). После этого ваши корреспонденты могут обращаться в сертификационный центр за подтверждением вашего открытого ключа. Цифровые сертификаты выступают в роли электронного варианта удостоверения личности и, будучи общепринятым методом распространения открытых ключей, позволяют вашим корреспондентам убедиться, что вы на самом деле тот. За кого себя выдаете.
Таблица 5
Известно, что алгоритмы защиты информации (прежде всего шифрования) можно реализовать как программным, так и аппаратным методом. Рассмотрим аппаратные шифраторы: почему они считаются более надежными и обеспечивающими лучшую защиту.
Производители аппаратных шифраторов обычно стараются насытить их различными дополнительными возможностями, среди которых:
Плата со всеми перечисленными возможностями называется устройством криптографической защиты данных — УКЗД.
Структура шифраторов
-
Блока управления — основной модуль шифратора, который «заведует» работой всех остальных. Обычно реализуется на базе микроконтроллера. -
Контроллер системной шины ПК. Через него осуществляется основной обмен данными между УКЗД и компьютером. -
Энергозависимое запоминающее устройство (ЗУ) — должно быть достаточно емким (несколько мегабайт) и допускать большое число треков записи. Здесь размещается программное обеспечение микроконтроллера, которое выполняется при инициализации устройства (т.е. когда шифратор перехватывает управление при загрузке компьютера). -
Память журнала. Также представляет собой энергозависимое ЗУ. -
Шифропроцессор — это специализированная микросхема или микросхема программируемой логики. Собственно, он и шифрует данные. -
Генератор случайных чисел. Обычно представляет собой такое устройство, дающее статистически случайный и непредсказуемый сигнал — белый шум. -
Блок ввода ключевой информации. Обеспечивает защищенный прием ключей с ключевого носителя, через него также вводится идентификационная информация о пользователе, необходимая для решения вопроса «свой/чужой». -
Блок коммутаторов. Помимо перечисленных выше основных функций, УКЗД может по велени администратора безопасности ограничивать возможность работы с внешними устройствами: дисководами, CD-ROM и т.д.
Используемые в СКЗИ «Верба — OW» методы шифрования гарантируют не только высокую секретность, но и эффективное обнаружение искажений или ошибок в передаваемой информации.
При зашифровании сообщения криптографическое преобразование использует ключ. Он используется аналогично обычному ключу, которым запирают дверь, и закрывает сообщение от посторонних глаз. Для расшифрования сообщения нужен соответствующий ключ. Важно ограничить доступ к ключам шифрования, так как любой, кто обладает ключом шифрования, может прочитать зашифрованное сообщение.
В СКЗИ «Верба — OW» используется алгоритм шифрования, основанный на принципе гаммирования, который подразумевает процесс наложения по определенному закону гаммы шифра на открытые данные.
В СКЗИ «Верба — OW» ключ зашифрования совпадает с ключом расшифрования. При зашифровании сообщения i-ым абонентом для j-ого абонента общий секретный ключ связи вырабатывается на основе секретного ключа шифрования i-ого абонента и открытого ключа шифрования j-ого абонента. Соответственно, для расшифрования этого сообщения j-ым абонентом формируется секретный ключ связи на основе секретного ключа шифрования j-ого абонента и открытого ключа шифрования i-ого абонента. Таким образом, для обеспечения связи с другими абонентами каждому пользователю необходимо иметь:
— справочник открытых ключей шифрования пользователей сети конфиденциальной связи.
Открытый ключ подписи вычисляется как значение некоторой функции от секретного ключа, но знание открытого ключа не дает возможности определить секретный ключ. Открытый ключ может быть опубликован и используется для проверки подлинности подписанного документа, а также для предупреждения мошенничества со стороны заверяющего в виде отказа его от подписи документа.
Каждому пользователю, обладающему правом подписи, необходимо иметь:
— справочник открытых ключей подписи пользователей сети.
При проверке подписи проверяющий должен располагать открытым ключом пользователя, поставившего подпись. Проверяющий должен быть полностью уверен в подлинности открытого ключа (а именно в том, что имеющийся у него открытый ключ соответствует открытому ключу конкретного пользователя). Процедура проверки подписи состоит из вычисления хэш-значения документа и проверки некоторых соотношений, связывающих хэш-значение документа, подпись под этим документом и открытый ключ подписавшего пользователя. Документ считается подлинным, а подпись правильной, если эти соотношения выполняются. В противном случае подпись под документом считается недействительной.
Процедура проверки подписи состоит из вычисления хэш-значения документа и проверки некоторых соотношений, связывающих хэш-значение документа, подпись под этим документом и открытый ключ подписавшего пользователя. Документ считается подлинным, а подпись правильной, если эти соотношения выполняются. В противном случае подпись под документом считается недействительной.
— на основе исходной ключевой информации, находящейся на лицензионной дискете вырабатывать рабочие ключи (секретные и открытые) шифрования пользователей;
— создавать рабочие копии ключевых дискет шифрования и ЭЦП;
В СКЗИ «Верба — OW» используются следующие типы носителей ключевой информации:
— ключевой диск для подписи;
При создании рабочих копий ключевых дисков необходимо использовать средства СКЗИ «Верба — OW». Полученный с помощью СКЗИ «Верба — OW» рабочий диск не является точной копией исходного, но полностью выполняет его функции. Нельзя создать рабочую копию исходного диска с ключевой информацией простым копированием файлов с исходного ключевого диска.
Смена ключей возможна в следующих ситуациях:
— компрометация ключа;
— удаление ключа.
Пример 2. Система защиты информации «Secret Net 4.0»
-
централизованное управление защитными механизмами клиентов Secret Net; -
контроль всех событий имеющих отношение к безопасности информационной системы; -
контроль действий сотрудников в ИС организации и оперативное реагирование на факты и попытки НСД; -
планирование запуска процедур копирования ЦБД; -
архивирования журналов регистрации.
Система защиты информации Secret Net выпускается в автономном и сетевом вариантах.
Сетевой вариант — состоит из клиентской части, подсистемы управления, сервера безопасности и позволяет реализовать защиту, как всех компьютеров сети, так и только тех рабочих станций и серверов, которые ; хранят и обрабатывают важную информацию.
-
усиленная идентификация и аутентификация, -
полномочное и избирательное разграничение доступа, -
замкнутая программная среда, -
криптографическая защита данных, -
другие механизмы защиты.
Вся информация о событиях в информационной системе, имеющих отношение к безопасности, регистрируется в едином журнале регистрации. О попытках свершения пользователями неправомерных действий администратор безопасности узнает немедленно.
Система Secret Net состоит из трех компонент:
— сервер безопасности;
Особенностью системы Secret Net является клиент-серверная архитектура, при которой серверная часть обеспечивает централизованное хранение и обработку данных системы защиты, а клиентская часть обеспечивает защиту ресурсов рабочей станции или сервера и хранение управляющей информации в собственной базе данных.
Клиенты Secret Net оснащаются средствами аппаратной поддержки (для идентификации пользователей по электронным идентификаторам и управления загрузкой с внешних носителей).
— ведение центральной базы данных системы защиты, функционирующую под управлением СУБД Oracle 8.0 Personal Edition и содержащую информацию, необходимую для работы системы защиты;
— взаимодействие с подсистемой управления и передача управляющих команд администратора на клиентскую часть системы защиты.
— защита информационных ресурсов;
— контроль состояния информационной безопасности.
Электронный замок «Соболь»/»Соболь-PCI» может применяться в составе системы защиты информации Secret Net для генерации ключей шифрования и электронно-цифровой подписи. Кроме того, при использовании электронного замка в составе Secret Net обеспечивается единое централизованное управление его возможностями. С помощью подсистемы управления Secret Net администратор безопасности имеет возможность управлять статусом персональных идентификаторов сотрудников: присваивать электронные идентификаторы, временно блокировать, делать их недействительными, что позволяет управлять доступом сотрудников к компьютерам автоматизированной системы организации. Электронные замки «Соболь-PCI» и «Соболь» разработаны научно-инженерным предприятием «ИНФОРМЗАЩИТА» и предназначены для защиты ресурсов компьютера от несанкционированного доступа. Электронные замки «Соболь» и «Соболь-PCI» сертифицированы Федеральным агентством правительственной связи и информации России. Сертификаты ФАПСИ № СФ/122-0305 и № СФ/022-0306 от 10.02.2000, а также и сертификат № СФ/527-0553 от 01.07.2002 позволяют применять данные средства для защиты информации, составляющую коммерческую или государственную тайну. Электронный замок «Соболь»/Соболь-PCI» может применяться как устройство, обеспечивающее защиту автономного компьютера, а также рабочей станции или сервера, входящих в состав локальной вычислительной сети. Система защиты электронный замок «Соболь»/»Соболь- PCI» обладает следующими возможностями:
— регистрация попыток доступа к ПЭВМ;
Идентификация и аутентификация пользователей. Каждый пользователь компьютера регистрируется в системе электронный замок «Соболь»/»Соболь- PCI», установленной на данном компьютере. Регистрация пользователя осуществляется администратором и состоит в определении имени регистрируемого пользователя, присвоении ему персонального идентификатора и назначении пароля.
Регистрация попыток доступа к ПЭВМ. Электронный замок «Соболь»/»Соболь-PCI» осуществляет ведение системного журнала, записи которого хранятся в специальной энергонезависимой памяти. Электронный замок фиксирует в системном журнале вход пользователей, попытки входа, попытки НСД и другие события, связанные с безопасностью системы. В системном журнале хранится следующая информация: дата и время события, имя пользователя и информация о типе события, например:
Таким образом, электронный замок «Соболь» предоставляет информацию администратору о всех попытках доступа к ПЭВМ.
Источник