ПШ являются достаточно сложными устройствами, так как они вместо центрального процессора компьютера вынуждены выполнять дополнительные функции по обработке информации. Обычно в ПШ ставят два шифропроцессора: один из них отвечает за шифрование отправляемых данных, а другой расшифровывает принимаемые. Такое устройство может хранить в себе несколько сотен ключей, чтобы каждый блок информации был зашифрован на своем, отличном от других. Это делает все ключи абсолютно недоступными злоумышленникам, но несколько затрудняет процесс управления ими.
Технические трудности в течение определенного времени не позволяли разрабатывать надежные и быстродействующие ПШ. Однако с появлением на рынке дорогих, но очень качественных микросхем РLD решились многие проблемы создания сложных многофункциональных устройств, что стимулировало выпуск первых отечественных проходных шифраторов.
Кстати, ПШ допускает и другое применение: он может стоять в разрыве между жестким диском компьютера и его контроллером. В этом случае все, что пишется на HDD, будет автоматически шифроваться.
Разработчики аппаратных шифраторов и программного обеспечения для них, полагают, что уже скоро будут созданы УКЗД, осуществляющие управление не только работой дисководов, CD-ROM и портов ввода-вывода, но и всеми ресурсами ПК, т.е. компьютеру останется только передавать данные между процессором и оперативной памятью и обрабатывать их, все остальное сделает само УКЗД. Ясно, что абсолютному большинству пользователей это не потребуется. Но там, где ведется работа с важными и конфиденциальными документами, информация должна быть серьезна защищена.
5.6 Загрузка ключей шифрования
Есть еще одна особенность, касающаяся безопасности: чтобы у злоумышленника не было совсем никаких шансов, необходимо ключи загружать в шифратор, минуя оперативную память компьютера, где их теоретически можно перехватить и даже подменить. Для этого УКЗД дополнительно содержит порты ввода-вывода, например COM или USB, к которым напрямую подключаются разные устройства чтения ключевых носителей. Это могут быть любые смарт-карты, специальные USB-ключи или электронные таблетки Touch Memory (их очень часто используют, например, для домофонов).
Помимо прямого ввода ключей в УКЗД, многие из таких носителей обеспечивают и их надежное хранение - даже украв USB-ключ, без специального кода доступа к его содержимому не подобраться.
5.7 Как программы используют шифратор
Установленный на компьютер шифратор может использоваться сразу несколькими программами, например программой прозрачного шифрования, «прогоняющей» данные сквозь шифратор, и программой электронной подписи, использующей для вычисления подписи получаемые от шифратора случайные числа.
Для того чтобы не возникало коллизий при одновременном обращении к шифратору разных программ (представим, что одна из них шифрует логический диск, а вторая на другом ключе расшифровывает файл: если не управлять очередью выполнения шифратором их требований, получится абракадабра ), ставят специальное программное обеспечение управления ими( рис № ). Такое ПО выдает команды через драйвер шифратора и передает последнему данные, следя за тем , чтобы потоки информации от разных источников не пересекались, а также за тем, чтобы в шифраторе всегда находились нужные ключи. Таким образом УКЗД выполняет два принципиально разных вида команд:
· перед загрузкой операционной системы -- команды, зашитые в память шифратора. Они осуществляют все необходимые проверки и устанавливают требуемый уровень безопасности -- допустим, отключают внешние устройства.
· после загрузки, например, Windows -- команды, поступающие через модуль управления шифраторами: шифровать данные, перезагружать ключи, вычислять случайные числа и т.д.
Такое разделение необходимо из соображений безопасности -- после выполнения команд первого блока, которые нельзя обойти, злоумышленник уже не сможет сделать что-либо запрещенное.
Еще одно назначение ПО управления шифраторами -- обеспечить возможность замены одного шифратора на другой (скажем на более «продвинутый» или быстрый), не меняя программного обеспечения. Это происходит аналогично, например, смене сетевой карты: шифратор поставляется вместе с драйвером, который позволяет программам выполнять стандартный набор функций. Те же программы шифрования и не заметят такой подмены, но будут работать в несколько раз быстрее.
Таким же образом можно заменить аппаратный шифратор на программный. Для этого программный шифратор выполняют обычно в виде драйвера, предоставляющего тот же набор функций.
Впрочем такое ПО нужно не всем шифраторам -- в частности, ПШ , стоящий по дороге к HDD, достаточно настроить один раз, после чего о нем можно просто забыть.
5.8 Аппаратный шифратор «М-506»
Рассмотрим в качестве примера один из отечественных аппаратных шифраторов производства ЗАО НИП «Информзащита» СКЗИ(Система криптографической защиты информации) М-506.
М-506 представляет собой программно-аппаратный комплекс криптографической защиты информации, реализующий алгоритм шифрования данных по ГОСТ 28147-89. В этом комплексном средстве защиты информации возможности аппаратного шифратора дополнены широким спектром других функций информационной безопасности
СКЗИ М-506 состоит из следующих компонентов
· сервер безопасности. Установленный на выделенном компьютере или контроллере домена, он собирает и обрабатывает информацию о состоянии всех защищаемых рабочих станций и хранит данные о настройках всей системы защиты;
5.9 Проблемы применения аппаратных шифраторов
Что же мешает широкому применению аппаратных шифраторов -- или, выражаясь точнее, обусловливает их меньшую распространенность по сравнению с криптографическим ПО?
Прежде всего цена -- в любом случае стоимость аппаратного шифратора будет выше, чем чисто программного решения. Но для организаций, всерьез заботящихся об информационной безопасности, использование аппаратных шифраторов в силу перечисленных выше причин безусловно желательно -- во всяком случае, для защиты наиболее важных ресурсов. Производители аппаратных криптографических средств постоянно дополняют свои продукты новыми возможностями, и по соотношению цена/качество (если понимать под последним прежде всего функциональность) аппаратные шифраторы выглядят более предпочтительно, если их сравнивать с соответствующим ПО.
Зачастую на выбор шифрующего средства (программного или аппаратного) влияет и чисто психологический эффект. Кажется, гораздо проще переписать из Интернета одну из бесплатных или условно-бесплатных программ шифрования и активно ее использовать, в том числе для защиты информационного обмена со сторонними организациями, в то время как закупка аппаратного шифратора представляется началом долгого процесса получения всевозможных лицензий, сбора согласующих виз и т. п. Иными словами, на первый план выходят даже не денежные соображения, а попытки сэкономить время и облегчить себе жизнь.
Замечу, однако, что в нормативных актах, регулирующих практику применения криптографических (шифровальных) средств, не проводится различий между программными и аппаратными средствами: оформлять использование криптосредств надо в любом случае. Другое дело, что документы эти могут быть разными -- или лицензия ФАПСИ (ФАПСИ - Федеральное агентство правительственной связи и информации) . Ведомство РФ, в числе прочего занимающееся разработкой криптографических алгоритмов и отвечающее за сертификацию СКЗИ (Средства криптографической защиты информации) в части криптографических функций на использование криптосредств, или договор с организацией, имеющей необходимую лицензию ФАПСИ на предоставление услуг по криптографической защите конфиденциальной информации. Поэтому переход к применению аппаратных шифраторов можно совместить с оформлением упомянутых выше документов.
6. Советы и рекомендации
Во-первых пользоваться надо только проверенными программами, которые успешно применяются несколько лет и зарекомендовали себя как надежные средства, хорошо противостоящие взлому, и которые, естественно, написаны без ошибок.
Во-вторых , как показала практика, не следует приобретать версии программ, оканчивающиеся на «0»(2.0,3.0,4.0 и т.д.), т.к. именно в них чаще всего встречаются т.н. «дыры», которые может обнаружить кто-либо и использовать в собственных целях, и именно в этих версиях чаще встречаются ошибки, ведущие не только к ухудшению работы программ, но и, иногда , вообще к их неправильной работе(может, например, случиться так, что зашифровав какой-либо файл вы потом расшифруете с ошибками или вообще не расшифруете). Это объясняется тем, что , смена версии программы с 2.2 или 2.6 на 3.0 подразумевает по собой значительные изменения, выражающиеся в добавлении новых или расширении старых функций; а т.к. их вряд ли кто-то тщательно проверял на возможность отказа или взлома ( самую тщательную проверку, как правило, устраивают именно пользователи, подкладывая программе какую-нибудь «свинью», дабы убедиться в надежности программы),то жертвой такой халатности производителя можете стать вы.
В-третьих нужно бдительно охранять собственные, секретные, ключи, чтобы они не стали достоянием общественности, а то от такой защиты информации будет мало толка.
Если же вы владеете или работаете со строго секретной или конфиденциальной информацией (например, с информацией , являющейся коммерческой тайной), то приобретение аппаратного шифратора -- это для вас.
Рекомендовать можно следующее:
Прежде всего -- готовности довести эту покупку до конца, ведь ответственным за информационную безопасность следует помнить, что именно они окажутся крайними в случае утечки конфиденциальной информации или ее разглашения, а ущерб, который наносят компаниям реализованные угрозы информационной безопасности, как правило, многократно превышает затраты на оснащение средствами защиты, в том числе на закупку СКЗИ.
Очевидно и то обстоятельство, что приобретение СКЗИ должно быть частью общей корпоративной политики в отношении информационной безопасности. Отсутствие продуманной стратегии, хаотичность действий способны превратить систему защиты информации в сшитый из дорогих лоскутов тришкин кафтан.
Наконец, следует понимать, что покупкой аппаратных СКЗИ у пользователей (а также администраторов) начинается в буквальном смысле новая жизнь, где нет места лени и беззаботности. Аппаратный шифратор из эффективного средства защиты информации может превратиться в не менее эффективное средство ее гарантированного уничтожения: скажем, потеря или сбой единственного носителя с ключами означает, что вы лишились зашифрованной информации навсегда.
Поэтому не надо скупиться на приобретение более надежных по сравнению с дискетами носителей криптографических ключей; не стоит забывать, как важно делать копии ключевых носителей и убирать их в безопасное хранилище вместе с распечаткой пароля, а сами пароли нужно менять регулярно, используя многосимвольные комбинации с неповторяющимся набором знаков.
Нельзя не заметить, что производители и поставщики аппаратных шифраторов по-прежнему ориентируются прежде всего на достаточно состоятельных заказчиков -- в большинстве своем представителей государственных структур, которые должны выполнять весьма жесткие требования по защите информации и потому охотно приобретают криптографическое «железо». За бортом при такой постановке вопроса остаются потребности гораздо более многочисленных покупателей -- компаний среднего и малого бизнеса. Эти компании, с одной стороны, дозрели до понимания необходимости защиты информации (в том числе применения криптографии), но с другой -- определенно не в состоянии расходовать тысячи долларов на закупку аппаратных СКЗИ.
Достойной альтернативой аппаратным СКЗИ на этом новом сегменте рынка могли бы стать аппаратные мини-шифраторы -- брелоки для шины USB. Подобные решения уже появились в нашей стране, и как знать -- может быть когда-нибудь они вытеснят с рынка ставших уже привычными «большие» СКЗИ.
7. Заключение
Итак, в этой работе был сделан обзор наиболее распространенных в настоящее время методов криптографической защиты информации и способов ее реализации. Выбор для конкретных систем должен быть основан на глубоком анализе слабых и сильных сторон тех или иных методов защиты. Обоснованный выбор той или иной системы защиты в общем-то должен опираться на какие-то критерии эффективности. К сожалению, до сих пор не разработаны подходящие методики оценки эффективности криптографических систем.
Наиболее простой критерий такой эффективности - вероятность раскрытия ключа или мощность множества ключей (М). По сути это то же самое, что и криптостойкость. Для ее численной оценки можно использовать также и сложность раскрытия шифра путем перебора всех ключей. Однако, этот критерий не учитывает других важных требований к криптосистемам:
· невозможность раскрытия или осмысленной модификации информации на основе анализа ее структуры,
· совершенство используемых протоколов защиты,
· минимальный объем используемой ключевой информации,
· минимальная сложность реализации (в количестве машинных операций), ее стоимость,
· высокая оперативность.
Поэтому желательно конечно использование некоторых интегральных показателей, учитывающих указанные факторы. Но в любом случае выбранный комплекс криптографических методов должен сочетать как удобство, гибкость и оперативность использования, так и надежную защиту от злоумышленников циркулирующей в системе информации.
Литература
1. Партыка Т.Л., Попов И.И. Информационная безопасность. Учебное пособие для студентов учреждений среднего профессионального образования.-- М.: ФОРУМ: ИНФРА-М, 2004.
2. Крысин А.В. Информационная безопасность. Практическое руководство -- М.: СПАРРК, К.:ВЕК+,2003.
3. Тарасюк М.В. Защищенные информационные технологии. Проектирование и применение -- М.: СОЛОН-Пресс, 2004.
4. Лукашов И. В. Криптография? Железно! //Журнал «Мир ПК». 2003. № 3.
5. Панасенко С.П., Защита информации в компьютерных сетях // Журнал «Мир ПК» 2002 № 2.
6. Бунин О. Занимательное шифрование // Журнал «Мир ПК» 2003 №7.
7. Панасенко С. П., Ракитин В.В. Аппаратные шифраторы // Журнал «Мир ПК». 2002. № 8.
8. Панасенко С. П. Чтобы понять язык криптографов // Журнал «Мир ПК». 2002. № 5.
9. Панасенко С. П. Чтобы понять язык криптографов // Журнал «Мир ПК». 2002. № 6 .
Страницы: 1, 2, 3, 4, 5, 6, 7, 8