- •Основы криптографической защиты электронных документов
- •Основные требования к криптосистемам
- •Реализация криптографических методов
- •Законодательные основы в области криптографии
- •Политика использования криптографии в разных странах мира
- •Криптографические протоколы
- •Разновидности атак на протоколы
- •Шифрование в каналах связи компьютерной сети
- •Канальное шифрование
- •Сквозное шифрование
- •Комбинированное шифрование
- •Аппаратное и программное шифрование Аппаратное шифрование
- •Характеристика криптографических методов
- •Факторы, влияющие на выбор криптосистемы
- •Криптографические стандарты Стандарты безопасности финансовой отрасли (ansi x9)
- •Часть 1 этого стандарта называется Алгоритм цифровой подписи nist (National Institute of Standards and Technology).
- •Часть 2 называется Безопасный хэш-алгоритм nist.
- •Часть 3 описывает организационные аспекты, связанные с сертификатами для алгоритма dsa (Digital Signature Algorithm).
- •Стандарты ansi х12
- •Стандарты ieee
- •Стандарты Министерства обороны сша
- •Стандарты itu-t
- •Стандарты astm
- •Проблемы и перспективы криптографических систем Шифрование больших сообщений и потоков данных
- •Дополнительные материалы по криптографическим системам Слабые места криптографических систем
- •Атаки на архитектуру
- •Атаки на конкретные реализации
- •Атаки на оборудование
- •Атаки на модели доверительных отношений
- •Атаки на пользователей
- •Атака на средства восстановления после сбоев
- •Атака на средства шифрования
- •Предупреждение, а не выявление
- •Алгоритмы шифрования надежны только в теории
- •К вопросу о криптографических атаках
- •Почему криптосистемы ненадежны?
- •Скорость полного перебора на компьютере класса Pentium/166.
- •Специальные средства защиты
Политика использования криптографии в разных странах мира
Техника связи используется для передачи непрерывно возрастающих объемов информации (в том числе финансовой, коммерческой и персональной, например медицинской) в гражданском секторе. Важное место занимают такие применения связи, как электронная почта, электронное перечисление платежей и др. В этих условиях все более существенным становится сохранение конфиденциальности информации. Эта задача может быть решена только методами криптографии с использованием ее для аутентификации сообщений, проверки целостности информации и др.
Рекомендации OECD (организация экономического сотрудничества и развития) приняты в результате длившейся более года дискуссии по проекту "Основных принципов". Эти рекомендации, не имеющие характера обязательного соглашения, определяют основные проблемы, которые должны учитывать отдельные страны при формировании политики в области криптографии на национальном и международном уровнях.
В документе OECD записано: «Необходимость принятия "Основных принципов" возникла в связи с взрывоподобным ростом во всем мире информационных и коммуникационных сетей и технологий и требованиями эффективной защиты информации. Криптография является основным инструментом такой защиты. Криптография может также обеспечить сохранение конфиденциальности и целостности данных и явиться механизмом аутентификации и исключения отказов сторон от своих обязательств в электронной коммерции».
Правительства стран — членов OECD намереваются содействовать применению криптографии для защиты данных и в коммерческих операциях, но они вынуждены проводить такую политику, которая давала бы возможность сбалансировать различные интересы и задачи, включая сохранение конфиденциальности персональной информации, интересы национальной безопасности и правоохранительных органов, развития технологий и торговли.
"Основные принципы" должны способствовать расширению областей применения криптографии, развитию электронной коммерции, укреплению доверия пользователей к сетям обмена информацией, повышению уровня защиты данных и сохранению тайны личной информации. Некоторые страны—члены OECD уже проводят определенную политику в области применений криптографии и принимают соответствующие законы, а многие страны еще только вырабатывают такую политику.
"Основные принципы политики в области криптографии"содержат восемь принципов:
1. Криптографические методы должны вызывать доверие пользователей информационных и коммуникационных сетей.
2. Пользователи должны иметь право выбора любого криптографического метода, применение которого разрешено законом.
3. Криптографические методы должны разрабатываться при возникновении необходимости в этом как ответ на определенные требования и по инициативе отдельных лиц, деловых организаций и правительств.
4. Технические стандарты, критерии и протоколы, относящиеся к криптографическим методам, должны разрабатываться и распространяться на национальном и международном уровнях.
5. Основные права человека на личную тайну, включая секретность связи и защиту персональных данных, должны соблюдаться в политике применений криптографии, реализации и использовании криптографических методов.
6. Национальная политика в области криптографии должна обеспечивать законный доступ к открытым текстам, криптографическим ключам или зашифрованным данным. Эта политика должна уважать другие основные принципы в максимально возможной степени.
7. Независимо от того, устанавливается ли по контракту или законодательным порядком ответственность лиц или организаций, предлагающих криптографические услуги или ведающих доступом к криптографическим ключам, она должна быть четко определена.
8. Правительства различных стран должны сотрудничать и координировать свои действия по выработке и реализации политики в области криптографии. Ради общего прогресса криптографии правительства стран—членов OECD должны стремиться устранять возникающие неоправданные препятствия достижению такого взаимодействия.
В комментариях к "Принципам" подчеркивается, что каждый из них затрагивает ту или иную важную особенность общей политики в области криптографии. Поэтому их следует считать взаимозависимыми и реализовывать как единое целое, добиваясь баланса различных интересов. "Принципы" представлены в определенной логической последовательности, выражающей поступательный прогресс при переходе от одного принципа к следующему.
Для достижения международного согласия о применениях криптографии и полного использования потенциальных возможностей национальных и глобальных информационных и коммуникационных сетей политика в области криптографии, принимаемая и проводимая той или иной страной, должна максимально гармонировать с аналогичной политикой других стран.
В июле 1997 г. в Бонне (Германия) состоялась Европейская конференция министерств, посвященная глобальным информационным сетям. Меморандум конференции подписали министры и представители правительств около 30 стран Европы.
Информационным центром защиты конфиденциальности информации в электронных системах EPIC (Electronic Privacy Information Center) по поручению Комитета GLIC был осуществлен обзор, целью которого являлось дать по возможности наиболее полное представление о национальной политике и законодательстве в сфере криптографии большинства стран и территорий земного шара. Обзор составлен на основе официальных сообщений, полученных более чем от 100 стран и территорий.
По результатам анализа материалов опроса приславшие свои ответы разделены на три основные группы в зависимости от характера принятой и реализуемой в них политики контроля криптографии. Этим группам присвоены следующие обозначения: Green — зеленая. К этой группе отнесены страны, придерживающиеся основных принципов OECD о криптографии, т. е. практически не ограничивающие ее свободного применения: Германия;
Yellow — желтая. В эту группу входят страны, намеревающиеся ввести определенный контроль применения криптографии, включая ее использование внутри страны и экспорт программных средств двойного назначения: Япония.
Red — красная. К этой группе относятся страны, осуществляющие строгий контроль криптографии по всем направлениям: Израиль, КНР.
Некоторые страны нельзя точно отнести к той или иной группе, и им присваиваются промежуточные обозначения:
Yellow/Red — желтая/красная: США, Франция;
Green/Yellow — зеленая/желтая: Европейский Союз, Великобритания, Польша.