- •Основы криптографической защиты электронных документов
- •Основные требования к криптосистемам
- •Реализация криптографических методов
- •Законодательные основы в области криптографии
- •Политика использования криптографии в разных странах мира
- •Криптографические протоколы
- •Разновидности атак на протоколы
- •Шифрование в каналах связи компьютерной сети
- •Канальное шифрование
- •Сквозное шифрование
- •Комбинированное шифрование
- •Аппаратное и программное шифрование Аппаратное шифрование
- •Характеристика криптографических методов
- •Факторы, влияющие на выбор криптосистемы
- •Криптографические стандарты Стандарты безопасности финансовой отрасли (ansi x9)
- •Часть 1 этого стандарта называется Алгоритм цифровой подписи nist (National Institute of Standards and Technology).
- •Часть 2 называется Безопасный хэш-алгоритм nist.
- •Часть 3 описывает организационные аспекты, связанные с сертификатами для алгоритма dsa (Digital Signature Algorithm).
- •Стандарты ansi х12
- •Стандарты ieee
- •Стандарты Министерства обороны сша
- •Стандарты itu-t
- •Стандарты astm
- •Проблемы и перспективы криптографических систем Шифрование больших сообщений и потоков данных
- •Дополнительные материалы по криптографическим системам Слабые места криптографических систем
- •Атаки на архитектуру
- •Атаки на конкретные реализации
- •Атаки на оборудование
- •Атаки на модели доверительных отношений
- •Атаки на пользователей
- •Атака на средства восстановления после сбоев
- •Атака на средства шифрования
- •Предупреждение, а не выявление
- •Алгоритмы шифрования надежны только в теории
- •К вопросу о криптографических атаках
- •Почему криптосистемы ненадежны?
- •Скорость полного перебора на компьютере класса Pentium/166.
- •Специальные средства защиты
Законодательные основы в области криптографии
ФЕДЕРАЛЬНЫЙ ЗАКОН РОССИЙСКОЙ ФЕДЕРАЦИИ “ Об информации, информатизации и защите информации” от 25.01.95
Для тех, кто использует новые информационные технологии защиты электронных документов, важно знание ст.5, п.3, которой гласит, что юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью. Однако юридическая сила электронной цифровой подписи признается только при наличии в автоматизированной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования.
В п.4 ст. 5 говорится, что право удостоверять идентичность электронной цифровой подписи осуществляется на основании лицензии, порядок выдачи которой определяется законодательством Российской Федерации.
Требования в части лицензирования определены в ряде нормативных документов.
ПОСТАНОВЛЕНИЕ ВЕРХОВНОГО СОВЕТА СССР № 2195-1 “О видах деятельности, которыми предприятия вправе заниматься только на основании специальных разрешений (лицензий)” от 28 мая 1991 г (производство, ремонт, реализация и эксплуатация шифровальной техники относятся к списку видов деятельности, которыми предприятия вправе заниматься только на основании лицензий).
ЗАКОН РФ "О федеральных органах правительственной связи и информации " от 19 ФЕВРАЛЯ 1993 г
Федеральные органы правительственной связи и информации обязаны:
координировать на безвозмездной основе в интересах обеспечения сохранения государственной и иной охраняемой законом тайны деятельность организаций, предприятий, учреждений независимо от их ведомственной принадлежности и форм собственности в области разработки, производства и поставки шифровальных средств и оборудования специальной связи;
Федеральные органы правительственной связи и информации имеют право:
определять порядок разработки, производства, реализации, эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации в Российской Федерации; осуществлять в пределах своей компетенции лицензирование и сертификацию этих видов деятельности, товаров и услуг;
определять порядок и обеспечивать выдачу лицензий на экспорт и импорт шифровальных средств и нормативно-технической документации на их производство и использование; участвовать в определении порядка и обеспечении выдачи лицензий на экспорт и импорт защищенных технических средств передачи, обработки и хранения секретной информации;
осуществлять лицензирование и сертификацию систем и комплексов телекоммуникаций высших органов государственной власти Российской Федерации, а также закрытых систем и комплексов телекоммуникаций органов государственной власти субъектов Российской Федерации, центральных органов федеральной исполнительной власти, организаций, предприятий, банков и иных учреждений, расположенных на территории Российской Федерации, независимо от их ведомственной принадлежности и форм собственности;
осуществлять государственный контроль за состоянием криптографической и инженерно-технической безопасности шифрованной связи в органах государственной власти субъектов Российской Федерации, в центральных органах федеральной исполнительной власти, в организациях, на предприятиях, в банках и иных учреждениях независимо от их ведомственной принадлежности, а также секретно-шифровальной работы в учреждениях, находящихся за рубежом Российской Федерации (кроме секретного делопроизводства в загранаппаратах Службы внешней разведки Российской Федерации);
В соответствии с этим законом 27 апреля 1994 г было принято совместное решение № 10 ФАПСИ и Гостехкомиссии России, которым были разграничены сферы компетенции этих ведомств, которым было утверждено “Положение о государственном лицензировании в области защиты информации”
ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА N 1418 “ O лицензировании отдельных видов деятельности “ от 24 декабря 1994 г., в котором утверждается Перечень видов деятельности, на осуществление которых требуется лицензия, и органов, уполномоченных на ведение лицензионной деятельности, согласно приложению”.
Кроме того, в постановлении определен перечень необходимых для получения лицензии документов, порядок рассмотрения заявления о выдаче лицензии .
УКАЗ ПРЕЗИДЕНТА РФ "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации " от 3 марта 1995 г., в котором говорится:
Запретить использование государственными организациями и предприятиями в информационно-телекоммуникационных системах шифровальных средств, включая криптографические средства обеспечения подлинности информации (электронная подпись), и защищенных технических средств хранения, обработки и передачи информации, не имеющих сертификата ФАПСИ.
Предложить Центральному банку и ФАПСИ принять необходимые меры в отношении коммерческих банков Российской Федерации, уклоняющихся от обязательного использования имеющих сертификат ФАПСИ защищенных технических средств хранения, обработки и передачи информации при их информационном взаимодействии с подразделениями Центрального банка.
В интересах информационной безопасности Российской Федерации и усиления борьбы с организованной преступностью запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных Федеральным агентством правительственной связи и информации при Президенте Российской Федерации в соответствии с Законом Российской Федерации "О федеральных органах правительственной связи и информации".
В Указе определены органы, уполномоченные осуществлять выявление юридических и физических лиц, нарушающих Указ, т.е. на предмет использования нелицензированных шифровальных средств - Федеральная служба контрразведки Российской Федерации и Министерство внутренних дел Российской Федерации совместно с Федеральным агентством правительственной связи и информации при Президенте Российской Федерации, Государственной налоговой службой Российской Федерации и Департаментом налоговой полиции Российской Федерации.
Достатоточно ответственными являются и вопросы сертификации средств криптографической защиты информации (СКЗИ). Требования в части сертификации определены в ПОЛОЖЕНИИ о сертификации средств защиты информации, утвержденном постановлением Правительства от 26.06.95 года N 608.
Сертификация - процесс, осуществляемый в отношении такой категории, как “изделие”, когда в результате выполнения комплекса мероприятий, определенных правилами и порядком ее проведения, устанавливается, удостоверяется или подтверждается качество изделия - т.е. это подтверждение соответствии продукции или услуг установленным требованиям.
В соответствии с законом о ФАПСИ 15 ноября 1993 г ФАПСИ зарегистрировало в Госстандарте России “Систему сертификации средств криптографической защиты информации” POCC.RU.0001.030001. В этом документе была определена организационная структура системы сертификации шифровальных средств ФАПСИ, правила проведения сертификационных исследований и испытаний криптографических средств защиты информации и закрытых с их помощью систем и комплексов обработки, хранения и передачи информации и
Так как риск, связанный с использованием не сертифицированных информационных систем и средств лежит на собственнике (владельце) этих систем и средств, а риск, связанный с использованием информации, полученной из не сертифицированной системы, лежит на потребителе информации, необходимо быть более осмотрительными при выборе средств защиты информации. Специалисты ФАПСИ рекомендуют использовать только сертифицированные средства.
3 апреля 1995 г. подписан Указ "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифровании информации".
Этим Указом запрещено государственным организациям и предприятиям использование шифровальных средств, включая криптографические средства обеспечения подлинности информации (электронная подпись), не имеющих сертификата ФАПСИ.
Указом запрещается деятельность, связанная с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации без лицензий, выданных ФАПСИ.