84. Основные принципы построения системы обеспечения безопасности информации в автоматизированной системе.

Построение системы обеспечения безопасности информации в АС и ее функционирование должны осуществляться в соответствии со следующими основными принципами:

• законность (в соответствии с законодательством)

• системность (При создании системы защиты должны учитываться все слабые и наиболее уязвимые места системы обработки информации)

• комплексность (При создании системы защиты должны учитываться все слабые и наиболее уязвимые места системы обработки информации)

• непрерывность (защита должна работать всегда)

• своевременность (упреждающий характер мер обеспечения безопасности информации)

• непрерывность совершенствования (постоянное совершенствование мер защиты)

• разумная достаточность (стоимость защиты < стоимости информации)

• персональная ответственность (назначается конкретный ответственный, чтобы был известен виновник)

• минимизация полномочий (минимальные права. Только то, что нужно)

• открытость алгоритмов и механизмов защиты (Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже авторам))

• простота применения средств защиты (Механизмы зашиты должны быть интуитивно понятны и просты в использовании)

• специализация и профессионализм (привлечение к разработке средств и реализации мер защиты информации специализированных организаций)

• обязательность контроля (обязательность и своевременность выявления и пресечения попыток нарушения установленных правил обеспечения безопасности информации на основе используемых систем и средств защиты информации)

85. Правовые основы обеспечения безопасности информационных технологий. Законы Российской Федерации и другие нормативные правовые акты, руководящие и нормативно-методические документы, регламентирующие отношения субъектов в информационной сфере и деятельность организаций по защите информации.

В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:

• Законодательные Акты

  • Конституция РФ

  • ФЗ РФ "Об информации, информационных технологиях и о защите информации"

  • ФЗ РФ "О персональных данных"

  • ФЗ РФ "Об электронной подписи"

  • ФЗ "О лицензировании отдельных видов деятельности"

  • ФЗ РФ "О коммерческой тайне"

  • Закон РФ "О государственной тайне"

  • Уголовный кодекс (статьи 272, 273, 274)

• Нормативные правовые акты Президента РФ

  • УП РФ "Об утверждении перечня сведений конфиденциального характера"

  • Доктрина информационной безопасности Российской Федерации

  • Документы ФСТЭК и ФСБ

• Постановления Правительства РФ

  • “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных”

• Основные национальные стандарты в области защиты информации

  • ГОСТЫ

    • 28-147-89 (шифрование)

    • Р 34-10-94 ЭЦП

    • Р 34-10-2001 ЭП

    • Р 34-11-94 Функция хэширования

86. Государственная система защиты информации. Состав государственной системы защиты информации. Организация защиты информации в системах и средствах информатизации и связи. Контроль состояния защиты информации.

Структура и основные функции государственной системы защиты информации от ее утечки по техническим каналам и организация работ по защите информации определены в "Положении о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам", утвержденном Постановлением Правительства от 15 сентября 1993 г. № 912-51.

Этим Положением предусматривается, что мероприятия по защите информации, обрабатываемой техническими средствами, являются составной частью управленческой, научной и производственной деятельности учреждений и предприятий и осуществляются во взаимосвязи с другими мерами по обеспечению установленного федеральными законами "Об информации, информатизации и защите информации" и "О государственной тайне" комплекса мер по защите сведений, составляющих государственную и служебную тайну.

В то же время эти мероприятия являются составной частью работ по созданию и эксплуатации систем информатизации учреждений и предприятий, располагающих такой информацией, и должны осуществляться в установленном нормативными документами » порядке в виде системы защиты секретной информации.

Основные задачи государственной системы защиты информации:

• проведение единой технической политики, организация и координация работ по защите информации в оборонной, экономической, политической, научно-технической и других сферах деятельности;

• исключение или существенное затруднение добывания информации техническими средствами разведки, а также предотвращение ее утечки по техническим каналам, несанкционированного доступа к ней, предупреждение преднамеренных специальных программно-технических воздействий на информацию с целью ее разрушения, уничтожения, искажения или блокирования в процессе обработки, передачи и хранения;

• принятие в пределах компетенции нормативно-правовых актов, регулирующих отношения в области защиты информации;

• общая организация сил, создание средств защиты информации и средств контроля эффективности ее защиты;

• контроль за проведением работ по защите информации в органах государственного управления, объединениях, на предприятиях, в организациях и учреждениях.

В зависимости от приложения деятельности в области защиты информации (в рамках государственных органов власти или коммерческих организаций), сама деятельность организуется специальными государственными органами (подразделениями), либо отделами (службами) предприятия.

Государственные органы РФ, контролирующие деятельность в области защиты информации:

• Комитет Государственной думы по безопасности;

• Совет безопасности России;

• Федеральная служба по техническому и экспортному контролю (ФСТЭК России);

• Федеральная служба безопасности Российской Федерации (ФСБ России);

• Федеральная служба охраны Российской Федерации (ФСО России);

• Служба внешней разведки Российской Федерации (СВР России);

• Министерство обороны Российской Федерации (Минобороны России);

• Министерство внутренних дел Российской Федерации (МВД России);

• Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Службы, организующие защиту информации на уровне предприятия

• Служба экономической безопасности;

• Служба безопасности персонала (Режимный отдел) (отвечает за подбор персонала);

• Кадровая служба;

• Служба информационной безопасности

Механизмами контроля над деятельностью в сфере информационной безопасности являются:

• Лицензирование каждого вида деятельности в сфере ИБ;

• Сертификация устройств и программ – во многих сферах разрешается использовать только сертифицированное оборудование и ПО

87. Организационная структура системы обеспечения безопасности информационных технологий. Понятие технологии обеспечения безопасности информации и ресурсов в автоматизированной системе. Цели создания системы обеспечения безопасности информационных технологий.

Конечной целью создания системы обеспечения безопасности информационных технологий является предотвращение или минимизация ущерба (прямого или косвенного, материального, морального или иного), наносимого субъектам информационных отношений посредством нежелательного воздействия на информацию, ее носители и процессы обработки.

Основной задачей системы защиты является обеспечение необходимого уровня доступности, целостности и конфиденциальности компонентов (ресурсов) АС соответствующими множеству значимых угроз методами и средствами.

К обеспечению безопасности информационных технологий организации (и в определенной степени к управлению ее информационной безопасностью) должны привлекаться практически все сотрудники, участвующие в процессах автоматизированной обработки информации, и все категории обслуживающего АС персонала.

За формирование системы защиты и реализацию единой политики информационной безопасности организации и осуществление контроля и координации действий всех подразделений и сотрудников организации по вопросам организации информационной безопасности (ОИБ) должно непосредственно отвечать специальное подразделение (служба) защиты информации (обеспечения информационной безопасности).

В силу малочисленности данного подразделения решение им многих процедурных вопросов и эффективный контроль за соблюдением всеми сотрудниками требований по ОИБ возможны только при назначении во всех подразделениях, эксплуатирующих подсистемы АС, нештатных помощников - ответственных за обеспечение информационной безопасности.

Эффективное использование штатных (для ОС и СУБД) и дополнительных средств защиты обеспечивается системными администраторами и администраторами средств защиты. Системные администраторы обычно входят в штат подразделений автоматизации (информатизации). Администраторы дополнительных средств защиты, как правило, являются сотрудниками подразделения защиты информации.

Таким образом, организационную структуру системы обеспечения информационной безопасности АС организации можно представить в виде, совокупности следующих уровней:

• уровень 1 - Руководство организации

• уровень 2 - Подразделение ОИБ

• уровень 3 - Администраторы штатных и дополнительных средств защиты

• уровень 4 - Ответственные за ОИБ в подразделениях (на технологических участках)

уровень 5 - Конечные пользователи и обслуживающий персонал

Под технологией обеспечения информационной безопасности в АС понимается определенное распределение функций и регламентация порядка их исполнения, а также порядка взаимодействия подразделений и сотрудников (должностных лиц) организации по обеспечению комплексной защиты ресурсов АС в процессе ее эксплуатации.

Требования к технологии управления безопасностью:

• соответствие современному уровню развития информационных технологий;

• учет особенностей построения и функционирования различных подсистем АС;

• точная и своевременная реализация политики безопасности организации;

• минимизация затрат на реализацию самой технологии обеспечения безопасности.

Реализация технологии ОИБ предполагает:

• назначение и подготовку должностных лиц (сотрудников), ответственных за организацию, реализацию функций и осуществление конкретных практических мероприятий по обеспечению безопасности информации и процессов ее обработки;

• строгий учет всех подлежащих защите ресурсов системы (информации, ее носителей, процессов обработки) и определение требований к организационно-техническим мерам и средствам их защиты;

• разработку реально выполнимых и непротиворечивых организационно-распорядительных документов по вопросам обеспечения безопасности информации;

• реализацию (реорганизацию) технологических процессов обработки информации в АС с учетом требований по информационной безопасности;

• принятие эффективных мер сохранности и обеспечения физической целостности технических средств и поддержку необходимого уровня защищенности компонентов АС;

• применение физических и технических (программно-аппаратных) средств защиты ресурсов системы и непрерывную административную поддержку их использования;

• регламентацию всех процессов обработки подлежащей защите информации, с применением средств автоматизации и действий сотрудников структурных подразделений, использующих АС;

• персональную ответственностью за свои действия каждого сотрудника, участвующего в рамках своих функциональных обязанностей, в процессах автоматизированной обработки информации и имеющего доступ к ресурсам АС;

• эффективный контроль за соблюдением сотрудниками подразделений -пользователями и обслуживающим АС персоналом, - требований по обеспечению безопасности информации;

• проведение постоянного анализа эффективности и достаточности принятых мер и применяемых средств защиты информации, разработку и реализацию предложений по совершенствованию системы защиты информации в АС.

88. Назначение и возможности средств защиты информации от несанкционированного доступа. Задачи, решаемые средствами защиты информации от несанкционированного доступа. Аппаратно-программные средства защиты информации от несанкционированного доступа.

Принято различать внешнюю и внутреннюю безопасность компьютерных систем. Внешняя безопасность включает защиту АС от проникновения злоумышленников извне с целью получения неправомерного доступа к информации и ее носителям, а также с целью вмешательства в процессы функционирования или вывода отдельных компонентов автоматизированной системы из строя.

Усилия по обеспечению внутренней безопасности компьютерных систем фокусируются на создании надежных и удобных механизмов регламентации деятельности всех ее законных пользователей и обслуживающего персонала для принуждения их к безусловному соблюдению установленной в организации дисциплины доступа к ресурсам системы.

На технические средства зашиты от НСД возлагают решение следующих основных задач:

• защиту от вмешательства в процесс функционирования АС посторонних лиц;

• разграничение доступа зарегистрированных пользователей к аппаратным, программным и информационным ресурсам АС;

• регистрацию действий пользователей при использовании защищаемых ресурсов АС в системных журналах и периодический контроль корректности действий пользователей системы путем анализа содержимого этих журналов сотрудниками подразделений компьютерной безопасности;

• оперативный контроль за работой пользователей системы и оперативное оповещение администратора безопасности о попытках несанкционированного доступа к ресурсам системы;

• защиту от несанкционированной модификации (обеспечение неизменности, целостности) используемых в АС программных средств, а также защиту системы от внедрения несанкционированных программ, включая компьютерные вирусы и вредоносные «программы-закладки»;

• защиту хранимой, обрабатываемой и передаваемой по каналам связи информации ограниченного распространения от несанкционированного разглашения, искажения подмены или фальсификации;

• обеспечение аутентификации абонентов, участвующих в информационном обмене (подтверждение подлинности отправителя и получателя информации);

• гибкое управление всеми защитными механизмами.

Программные и аппаратные средства защиты информации позволяют исключить возможность доступа злоумышленников или инсайдеров к персональным данным, коммерческой тайне или другой конфиденциальной информации

На средства аппаратной поддержки возлагается решение следующих задач:

• осуществление идентификации и аутентификации пользователей до загрузки операционной системы (с регистрацией попыток НСД);

• предотвращение несанкционированной загрузки сторонней (незащищенной) операционной системы с отчуждаемых носителей (с гибких дисков, компакт-дисков и, в случае применения электронного замка «Соболь», - с дисков магнитооптических накопителей);

• обеспечение усиленной аутентификации пользователей с применением персональных электронных идентификаторов («таблеток») Touch Memory , Smart -карт и Proximity -карт.

В основе функциональности средств аппаратной поддержки лежит использование расширений базовой системы ввода-вывода и применение персональных устройств идентификации: «таблеток» Touch Memory , Smart -карт, Proximity -карт, хранящих уникальный собственный номер и позволяющих считывать и записывать персональные данные пользователя (ключи и т.п.).

К программно-аппаратным комплексам можно отнести:

• «Соболь» - Средство предотвращения загрузки ОС с других носителей. Принцип работы электронных замков примерно одинаков, и основан на перехвате момента загрузки ОС при помощи кода, размещенного в т.н. Expansion ROM. При получении управления ПО электронного замка проводит идентификацию/аутентификацию пользователя, затем выполняются процедуры контроля целостности аппаратных и программных средств, и затем происходит загрузка ОС, установленной на компьютере.

• Dallas Lock - система защиты информации, в процессе её хранения и обработки, от несанкционированного доступа. Представляет собой программный комплекс средств защиты информации в автоматизированных системах. Система Dallas Lock позволяет в качестве средства опознавания пользователей системы использовать аппаратные электронные идентификаторы:

  • USB-флэш-накопители (флешки),

  • электронные ключи Touch Memory (iButton),

  • USB-ключи Aladdin eToken Pro/Java,

  • смарт-карты Aladdin eToken PRO/SC

• СЗИ НСД «Блокхост-сеть» – новая разработка ООО «Газинформсервис» для защиты от НСД рабочих станций и серверов в локальной вычислительной сети предприятия.

Состав СЗИ НСД «Блокхост-сеть»:

• Клиентская часть - обеспечивает локальную защиту от несанкционированного доступа к информации, содержащейся на рабочей станции.;

• Серверная часть выполняет функции централизованного управление удаленными рабочими станциями;

• Аппаратные средства функционирующие в составе СЗИ «Блокхост-сеть» (eToken,RuToken, другие USB устройства), позволяют:

  • хранить персональные данные для идентификации и аутентификации;

  • хранить криптографическую информацию.

89. Антивирусные средства защиты. Общие правила применение антивирусных средств в автоматизированных системах. Технологии обнаружения вирусов. Возможные варианты размещение антивирусных средств. Антивирусная защита, как средство нейтрализации угроз.

Одним из распространенных видов  угроз являются компьютерные вирусы. Они способны причинить значительный ущерб. Поэтому важное значение имеет не только защита сети или отдельных  средств информационного обмена от вирусов, но и понимание пользователями принципов антивирусной защиты.

В нашей стране наиболее популярны антивирусные пакеты «Антивирус Касперского»  и DrWeb.  Существуют также другие программы, например «McAfee Virus Scan»  и «Norton AntiVirus».

Антивирусная программа (антивирус) — программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще, и восстановления зараженных (модифицированных) такими программами файлов, а также для профилактики — предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом (например, с помощью вакцинации).

Антивирусные программы можно классифицировать на:

• Сканеры - предназначены для последовательного просмотра проверяемых файлов в поиске сигнатур известных вирусов. Используется только для поиска уже известных и изученных вирусов. Неэффективно для обнаружения шифрующихся и полиморфных вирусов, способных полностью изменять свой код при заражении новой программы или загрузочного сектора;

• Принцип работы CRC-сканеров основан на подсчете CRC-сумм (контрольных сумм) для присутствующих на диске файлов/системных секторов. Эти CRC-суммы затем сохраняются в базе данных антивируса, как, впрочем, и некоторая другая информация: длины файлов, даты их последней модификации и т.д. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом. Недостаток состоит в том, что CRC-сканеры не способны поймать вирус в момент его появления в системе, а делают это лишь через некоторое время, уже после того, как вирус разошелся по компьютеру. CRC-сканеры не могут определить вирус в новых файлах (в электронной почте, на дискетах, в файлах, восстанавливаемых из backup или при распаковке файлов из архива), поскольку в их базах данных отсутствует информация об этих файлах.

• Антивирусные блокировщики — это резидентные программы, перехватывающие “вирусо-опасные” ситуации и сообщающие об этом пользователю. К “вирусо-опасным” относятся вызовы на открытие для записи в выполняемые файлы, запись в boot-сектора дисков или MBR винчестера, попытки программ остаться резидентно и т.д., то есть вызовы, которые характерны для вирусов в моменты из размножения. Иногда некоторые функции блокировщиков реализованы в резидентных сканерах. К достоинствам блокировщиков относится их способность обнаруживать и останавливать вирус на самой ранней стадии его размножения, что, кстати, бывает очень полезно в случаях, когда давно известный вирус постоянно “выползает неизвестно откуда”. К недостаткам относятся существование путей обхода защиты блокировщиков и большое количество ложных срабатываний, что, видимо, и послужило причиной для практически полного отказа пользователей от подобного рода антивирусных программ

• Иммунизаторы - это программы записывающие в другие программы коды, сообщающие о заражении. Они обычно записывают эти коды в конец файлов (по принципу файлового вируса) и при запуске файла каждый раз проверяют его на изменение. Недостаток у них всего один, но он летален: абсолютная неспособность сообщить о заражении стелс-вирусом. Поэтому такие иммунизаторы, как и блокировщики, практически не используются в настоящее время. Кроме того многие программы, разработанные в последнее время, сами проверяют себя на целостность и могут принять внедренные в них коды за вирусы и отказаться работать.

Методики обнаружения и защиты от вирусов:

• Сканирование — последовательный просмотр проверяемых файлов в поиске сигнатур известных вирусов. Используется только для поиска уже известных и изученных вирусов. Неэффективно для обнаружения шифрующихся и полиморфных вирусов, способных полностью изменять свой код при заражении новой программы или загрузочного сектора;

• Эвристический анализ — обнаружение ранее неизвестных вирусов;

• Использование антивирусных мониторов — автоматическая проверка всех запускаемых программ, создаваемых, открываемых и сохраняемых документов, файлов программ и документов, полученных через Интернет или скопированных на жесткий диск с дискеты или компакт-диска;

• Обнаружение изменений — обнаружение изменений, внесенных в предварительно запомненные программой-ревизором характеристики всех областей диска;

• Использование антивирусов, встроенных в BIOS компьютера — контроль обращений к главной загрузочной записи жестких дисков и к загрузочным секторам дисков и дискет.

Правила использования средств антивирусной защиты

Абсолютной защиты от вредоносных программ не существует, но с помощью некоторых мер можно существенно снизить риск заражения компьютера. Ниже перечислены основные меры для надёжной безопасности:

1. Использование лицензионных антивирусов.

2. Правильная настройка антивируса.

3. Постоянное автоматическое обновление баз сигнатур вирусов.

4. Периодическая полная проверка ПК.

5. Проверять на вирусы все.

6. Использовать современные операционные системы, не дающие изменять важные файлы без ведома пользователя;

7. Постоянно работать на персональном компьютере исключительно под правами пользователя, а не администратора;

8. Ограничить физический доступ к компьютеру посторонних лиц;

9. Использовать внешние носители информации только от проверенных источников;

10. Не открывать компьютерные файлы, полученные из ненадёжных источников;

11. Использовать персональный Firewall (аппаратный или программный), контролирующий выход в сеть Интернет с персонального компьютера на основании политик, которые устанавливает сам пользователь.

90. Защита информации в ИТ. Основные технологические решения. Шиф-рование данных. Общая характеристика алгоритмов шифрования, схемы работы. Примеры алгоритмов симметричного шифрования и шифрования с открытым ключом. Гибридные криптосистемы. Понятие ЭЦП и сертификата.

Защита информации от утечки - деятельность по предотвращению неконтролируемого распространения защищаемой информации от ее разглашения, несанкционированного доступа к защищаемой информации и от получения защищаемой информации [иностранными] разведками.

Защита информации от несанкционированного воздействия защита информации от НСВ:  Деятельность по предотвращению воздействия на защищаемую информацию с нарушением  установленных  прав  и/или правил на изменение информации,  приводящего к искажению, уничтожению,  копированию, блокированию доступа к информации, а также к утрате,  уничтожению  или сбою функционирования носителя информации.

Защита информации от непреднамеренного воздействия -  деятельность  по предотвращению воздействия на защищаемую информацию ошибок пользователя информацией,  сбоя технических и  программных средств  информационных  систем,  а  также природных явлений или иных нецеленаправленных на изменение информации воздействий, связанных с функционированием технических средств, систем или с деятельностью людей,  приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

Защита информации от несанкционированного доступа - защита информации от НСД: Деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нарушением  установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации.

Основными факторами, способствующими повышению этой уязвимости, являются:

-Резкое увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью ЭВМ и других средств автоматизации;

-Сосредоточение в единых базах данных информации различного назначения и различных принадлежностей;

-Резкое расширение круга пользователей, имеющих непосредственный доступ к ресурсам вычислительной системы и находящимся в ней данных;

-Усложнение режимов функционирования технических средств вычислительных систем: широкое внедрение многопрограммного режима, а также режимов разделения времени и реального времени;

-Автоматизация межмашинного обмена информацией, в том числе и на больших расстояниях.

Для описания технологии защиты информации конкретной информационной системы обычно строится так называемая Политика информационной безопасности или Политика безопасности рассматриваемой информационной системы.

Политика безопасности (информации в организации) (англ. Organizational security policy) — совокупность документированных правил, процедур, практических приёмов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы:

• Защита объектов информационной системы;

• Защита процессов, процедур и программ обработки информации;

• Защита каналов связи (акустические, инфракрасные, проводные, радиоканалы и др.);

• Подавление побочных электромагнитных излучений;

• Управление системой защиты.

При этом по каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:

1. Определение информационных и технических ресурсов, подлежащих защите;

2. Выявление полного множества потенциально возможных угроз и каналов утечки информации;

3. Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;

4. Определение требований к системе защиты;

5. Осуществление выбора средств защиты информации и их характеристик;

6. Внедрение и организация использования выбранных мер, способов и средств защиты;

7. Осуществление контроля целостности и управление системой защиты.

Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы обычно разделяют по уровням описания (детализации) процесса защиты.

Программно-технические способы и средства обеспечения информационной безопасности

Предлагается следующая классификация средств защиты информации.

• Средства защиты от несанкционированного доступа (НСД):

  • Средства авторизации;

  • Мандатное управление доступом (уровень секретности);

  • Избирательное управление доступом (матрица доступа);

  • Управление доступом на основе ролей;

  • Протоколирование и аудит.

• Системы мониторинга сетей:

  • Системы обнаружения и предотвращения вторжений (IDS/IPS).

  • Системы предотвращения утечек конфиденциальной информации (DLP-системы).

• Антивирусные средства.

• Межсетевые экраны.

• Криптографические средства:

  • Шифрование;

  • Цифровая подпись.

• Системы резервного копирования.

• Системы бесперебойного питания:

  • Источники бесперебойного питания;

  • Резервирование нагрузки;

  • Генераторы напряжения.

• Системы аутентификации:

  • Пароль;

  • Ключ доступа (физический или электронный);

  • Сертификат;

  • Биометрия.

• Средства предотвращения взлома корпусов и краж оборудования.

• Средства контроля доступа в помещения.

Шифрование — это обратимое преобразование данных с целью их сокрытия от посторонних. Почти все методы шифрования используют ключ шифрования — секретную кодовую последовательность, используемую в процессе преобразования информации.

Выбор конкретного типа преобразования определяется ключом зашифрования (или расшифрования). Отображения должны обладать свойством взаимооднозначности, т.е. при расшифровании должен получаться единственный результат, совпадающий с первоначальным открытым сообщением

Голландский криптограф Керкхофф (1835 – 1903) впервые сформулировал правило стойкости шифра, в соответствии с которым:

1. Весь механизм преобразований считается известным злоумышленнику;

2. Надежность алгоритма должна определяться только неизвестным значением секретного ключа.

В основе криптографических алгоритмов лежат математические преобразования, позволяющие добиваться высокой практической стойкости большинства алгоритмов. Было доказано, что в криптографии существуют только два основных типа преобразований - замены и перестановки, все остальные являются лишь комбинацией этих двух типов. Таким образом, есть криптографические алгоритмы, построенные на основе замены, перестановки и объединения этих двух преобразований.

В перестановочных шифрах символы открытого текста изменяют свое местоположение.

С другой стороны, в шифрах замены один символ открытого текста замещается символом зашифрованного текста.

В классической криптографии различают четыре типа шифров замены:

• шифры простой замены (моноалфавитные шифры). Один символ открытого текста заменяется одним символом зашифрованного текста;

• шифры сложной замены. Один символ открытого текста заменяется одним или несколькими символами зашифрованного текста, например: “А” может быть заменен ”С” или ”РО4Е”;

• шифры блочной замены. Один блок символов открытого текста заменяется блоком закрытого текста, например: “АВС” может быть заменен ”СРТ” или ”КАР”;

• полиалфавитные шифры замены, в которых к открытому тексту применяются несколько шифров простой замены.

В симметричных криптосистемах для шифрования и расшифрования используется один и тот же ключ. Отсюда название — симметричные. Алгоритм и ключ выбирается заранее и известен обеим сторонам. Сохранение ключа в секретности является важной задачей для установления и поддержки защищенного канала связи. В связи этим, возникает проблема начальной передачи ключа (синхронизации ключей) (AES, ГОСТ 28147-89)

Схема реализации

Задача. Есть два собеседника — Алиса и Боб, они хотят обмениваться конфиденциальной информацией.

Генерация ключа.

Боб (или Алиса) выбирает ключ шифрования и алгоритм (функции шифрования и расшифрования), затем посылает эту информацию Алисе (Бобу).

Шифрование и передача сообщения.

Алиса шифрует информацию с использованием полученного ключа .

И передает Бобу полученный шифротекст . То же самое делает Боб, если хочет отправить Алисе сообщение.

Расшифрование сообщения.

Боб(Алиса), с помощью того же ключа , расшифровывает шифротекст .

Недостатками симметричного шифрования является проблема передачи ключа собеседнику и невозможность установить подлинность или авторство текста. Поэтому, например, в основе технологии цифровой подписи лежат асимметричные схемы.

В системах с открытым ключом используются два ключа — открытый и закрытый, связанные определенным математическим образом друг с другом. Открытый ключ передаётся по открытому (то есть незащищённому, доступному для наблюдения) каналу и используется для шифрования сообщения и для проверки ЭЦП. Для расшифровки сообщения и для генерации ЭЦП используется секретный ключ (RSA, ГОСТ 34.10-2001, Elgamag)

Данная схема решает проблему симметричных схем, связанную с начальной передачей ключа другой стороне. Если в симметричных схемах злоумышленник перехватит ключ, то он сможет как «слушать», так и вносить правки в передаваемую информацию. В асимметричных системах другой стороне передается открытый ключ, который позволяет шифровать, но не расшифровывать информацию. Таким образом решается проблема симметричных систем, связанная с синхронизацией ключей.

Схема реализации

Задача. Есть два собеседника — Алиса и Боб, Алиса хочет передавать Бобу конфиденциальную информацию.

Генерация ключевой пары.

Боб выбирает алгоритм и пару открытый, закрытый ключи — и посылает открытый ключ Алисе по открытому каналу.

Шифрование и передача сообщения.

Алиса шифрует информацию с использованием открытого ключа Боба .

И передает Бобу полученный шифротекст .

Расшифрование сообщения.

Боб, с помощью закрытого ключа , расшифровывает шифротекст .

Если необходимо наладить канал связи в обе стороны, то первые две операции необходимо проделать на обеих сторонах, таким образом, каждый будет знать свои закрытый, открытый ключи и открытый ключ собеседника. Закрытый ключ каждой стороны не передается по незащищенному каналу, тем самым оставаясь в секретности.

Гибридный шифр использует и симметричный шифр, и шифр с открытым ключом. Сначала генерируется случайный ключ для симметричного шифра, называемый сеансовым ключом. Сообщение зашифровывается симметричным шифром с использованием сеансового ключа. Затем сеансовый ключ зашифровывается открытым ключом получателя. Сеансовый ключ, зашифрованный шифром с открытым ключом, и сообщение, зашифрованное симметричным шифром, автоматически объединяются вместе. Получатель использует свой секретный ключ для расшифровки сеансового ключа и, затем, использует полученный сеансовый ключ для расшифровки сообщения. Так как ключ симметричного шифра передаётся защищённым образом, то для каждого сообщения генерируется новый сеансовый ключ. Дополнительно, появляется возможность зашифровать сообщение сразу для нескольких получателей, при этом к сообщению, зашифрованному сеансовым ключом, добавляется несколько копий сеансового ключа, зашифрованного открытыми ключами разных получателей. И PGP и GnuPG используют именно гибридную схему.

Электро́нная по́дпись (ЭП), Электро́нная цифровая по́дпись (ЭЦП) — информация в электронной форме, присоединенная к другой информации в электронной форме (электронный документ) или иным образом связанная с такой информацией. Используется для определения лица, подписавшего информацию (электронный документ)

ЭЦП— реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе, а также обеспечивает неотказуемость подписавшегося.

По своему существу электронная подпись представляет собой реквизит электронного документа, позволяющий установить отсутствие искажения информации в электронном документе с момента формирования ЭП и проверить принадлежность подписи владельцу сертификата ключа ЭП. Значение реквизита получается в результате криптографического преобразования информации с использованием закрытого ключа ЭП.

Электронная подпись предназначена для идентификации лица, подписавшего электронный документ, и является полноценной заменой (аналогом) собственноручной подписи в случаях, предусмотренных законом[1].

Использование электронной подписи позволяет осуществить:

• Контроль целостности передаваемого документа: при любом случайном или преднамеренном изменении документа подпись станет недействительной, потому что вычислена она на основании исходного состояния документа и соответствует лишь ему.

• Защиту от изменений (подделки) документа: гарантия выявления подделки при контроле целостности делает подделывание нецелесообразным в большинстве случаев.

• Невозможность отказа от авторства. Так как создать корректную подпись можно, лишь зная закрытый ключ, а он известен только владельцу, он не может отказаться от своей подписи под документом.

• Доказательное подтверждение авторства документа: Так как создать корректную подпись можно, лишь зная закрытый ключ, а он известен только владельцу, он может доказать своё авторство подписи под документом. В зависимости от деталей определения документа могут быть подписаны такие поля, как «автор», «внесённые изменения», «метка времени» и т. д.

За выдачу сертификата ЭЦП отвечают удостоверяющие центры. Они подтверждают подлинность информации о владельце электронной подписи и его полномочиях. Удостоверяющим центром может стать организация, которая пропишет соответствующий вид деятельности в уставе и получит необходимые разрешения и лицензии. В данный момент на территории РФ активно работают около 100 удостоверяющих центров. Большую часть рынка делят между собой 7-10 крупнейших УЦ.